Obsah. Obsah. Úvod Vlastnosti a instalace Active Directory...31

��

��

��

��

��

��

��

SPRÁVA WINDOWS SERVERU 2008

Obsah Úvod .........................................................................................13 1. Vlastnosti a instalace ...........................................................15 1.1 Vlastnosti Windows Serveru 2008 ..............................................15 1.2 Požadavky na hardware..............................................................17 1.3 Rozdíly jednotlivých edicí.............................................................18 1.4 Postup instalace..........................................................................19 1.4.1 1.4.2

Inovační instalace .................................................................................................... 21 Shrnutí instalačních fází ........................................................................................... 24

1.5 Parametry instalace ....................................................................26 1.5.1

Parametry programu Setup ...................................................................................... 26

1.6 Bezobslužná instalace..................................................................27 1.6.1

Struktura bezdotazové instalace ............................................................................... 28

1.7 Inovace Active Directory ..............................................................29 1.8 Příprava pomocí Adprep ..............................................................29

2. Active Directory ...................................................................31 2.1 Návrh a design ...........................................................................31 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 2.1.8 2.1.9 2.1.10 2.1.11 2.1.12 2.1.13

Adresářové služby.................................................................................................... 31 Členění Active Directory............................................................................................ 32 Logická a fyzická struktura ...................................................................................... 34 Česká terminologie .................................................................................................. 35 Funkční úrovně domény ........................................................................................... 36 Funkční úrovně pro forest ........................................................................................ 38 Typy vztahů důvěry ................................................................................................. 40 Ruční definování trustu ............................................................................................ 42 Dotazy při instalaci .................................................................................................. 43 Více řadičů ............................................................................................................... 44 Rozmístění řadičů a jejich rolí ................................................................................... 44 Problémy s operačními servery ................................................................................. 45 Active Directory Sizer ............................................................................................... 46

Obsah

5

6


2.2 Instalace řadičů domény ..............................................................47 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.2.6

Průběh instalace ...................................................................................................... 49 Vlastnosti serveru DNS ............................................................................................. 57 Problémy při instalaci řadiče..................................................................................... 59 Instalace ze záložního média .................................................................................... 59 Automatická instalace Active Directory ...................................................................... 60 Druhý řadič do domény ............................................................................................ 62

2.3. Organizační jednotky...................................................................63 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 2.3.8 2.3.9

Tři stupně administrace ............................................................................................ 63 Rozložení organizačních jednotek ............................................................................. 64 Vytvoření organizační jednotky ................................................................................ 64 Vytvoření organizační jednotky příkazem ................................................................. 66 Delegace oprávnění ................................................................................................. 67 Zobrazení delegací ................................................................................................... 68 Úprava delegovaných oprávnění .............................................................................. 69 Přesná oprávnění ..................................................................................................... 70 Neviditelnost objektů ............................................................................................... 71

2.4 Uživatelé a skupiny.....................................................................72 2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 2.4.6 2.4.7 2.4.8

Typy uživatelských účtů............................................................................................ 72 Nový uživatel příkazem ........................................................................................... 75 Spolupráce příkazů .................................................................................................. 76 Výmaz uživatelů ...................................................................................................... 76 Skupiny uživatelů .................................................................................................... 77 Skupiny a SID .......................................................................................................... 78 Typy skupin a jejich rozsah....................................................................................... 81 Příkazy pro skupiny ................................................................................................. 81

2.5 Údržba a zálohy..........................................................................84 2.5.1 2.5.2 2.5.3 2.5.4 2.5.5 2.5.6 2.5.7 2.5.8 2.5.9 2.5.10 2.5.11 2.5.12 2.5.13 2.5.14

Obsah

Automatická údržba ................................................................................................. 85 Mechanizmus replikace ............................................................................................ 85 Manuální replikace .................................................................................................. 86 Replikační monitor ................................................................................................... 86 Údržba pomocí Ntdsutil ............................................................................................ 87 Kontrola Active Directory.......................................................................................... 89 Sekce Local Roles ..................................................................................................... 89 Správce pro obnovu ................................................................................................. 90 Duplicitní SID ........................................................................................................... 90 Odstranění poškozeného řadiče domény ................................................................... 90 Role hlavního operačního serveru ............................................................................. 91 Změny rolí FSMO ..................................................................................................... 93 Odinstalování řadiče................................................................................................. 95 Stavy doménového řadiče ........................................................................................ 97


2.6 Speciální řadiče ...........................................................................98 2.6.1 2.6.2 2.6.3 2.6.4 2.6.5 2.6.6 2.6.7 2.6.8 2.6.9

RODC ...................................................................................................................... 98 Instalace RODC ........................................................................................................ 99 Výroba instalačního média ..................................................................................... 100 Instalace AD DS z média......................................................................................... 101 Příkazy ntdsutil ifm................................................................................................ 101 Přípravná procedura .............................................................................................. 103 Restartovatelné služby AD DS ................................................................................. 105 Server CORE .......................................................................................................... 107 Administrace edice Server Core ............................................................................... 108

3. Zásady skupiny .................................................................113 3.1 Mechanizmus Group Policy ........................................................113 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14

Objekty a nastavení zásad...................................................................................... 115 Priorita zásad ........................................................................................................ 119 Dědění zásad ......................................................................................................... 121 Pokročilá ovlivnění priorit ...................................................................................... 123 Položky pro správce ............................................................................................... 126 Časování zásad ...................................................................................................... 129 Ovlivnění chodu zásad............................................................................................ 130 Ruční aktualizace zásad ......................................................................................... 130 Využití šablon ........................................................................................................ 131 Šablony zabezpečení .............................................................................................. 132 Šablony pro správu ................................................................................................ 134 Export zabezpečení ................................................................................................ 134 Výsledné zásady .................................................................................................... 135 Resultant Set of Policy v GPMC ............................................................................... 136

3.2 Group Policy Modeling v GPMC..................................................139 3.2.1

Hledání v objektech GPO ........................................................................................ 140

3.3 Údržba objektů .........................................................................142 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7

Zálohování objektů GPO......................................................................................... 142 Postup zálohy ........................................................................................................ 142 Obnova objektů zásad............................................................................................ 143 Kopírování zásad skupiny....................................................................................... 144 Import objektu GPO ............................................................................................... 145 Upozornění k úplné obnově.................................................................................... 145 Řešení problémů se zásadami................................................................................. 146

Obsah

7

8


4. Bezpečnost ........................................................................147 4.1 Principy zabezpečení .................................................................147 4.1.1 4.1.2 4.1.3

Autentikace a autorizace ........................................................................................ 147 Bezpečnost dat....................................................................................................... 148 Základní typy útoků............................................................................................... 152

4.2 Šifrování ..................................................................................153 4.2.1 4.2.2 4.2.3

Šifrování EFS ......................................................................................................... 153 Postup šifrování ..................................................................................................... 155 Technologie BitLocker............................................................................................. 159

4.3 Autentikace a sítě .....................................................................165 4.3.1 4.3.2 4.3.3

Způsoby autentikace .............................................................................................. 165 Problémy s autentikací ........................................................................................... 167 Řešení problémů se zabezpečením .......................................................................... 167

4.4 Firewall ....................................................................................168 4.4.1 4.4.2 4.4.3

Útoky proti firewallu .............................................................................................. 168 Nastavení firewallu ................................................................................................ 169 Porty potřebné v síti............................................................................................... 170

4.5 IPSec ........................................................................................171 4.5.1 4.5.2 4.5.3 4.5.4

Zabezpečení paketů IP ........................................................................................... 171 GPO a IPSec ........................................................................................................... 174 Vytvoření vlastní zásady IPSec ................................................................................ 175 Doporučení pro zavádění........................................................................................ 179

4.6 Spolupráce komponent...............................................................179 4.6.1 4.6.2 4.6.3 4.6.4 4.6.5

Microsoft Baseline Security Analyzer ....................................................................... 179 Vzdálená plocha..................................................................................................... 180 Software Update Services ....................................................................................... 182 Překlad adres a IPSec............................................................................................. 184 Názvové služby...................................................................................................... 186

5. Zálohování ........................................................................193 5.1 Co a proč zálohovat? .................................................................193 5.2 Windows Server Backup ............................................................194 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5

Obsah

Zadání opakovaného spouštění zálohy.................................................................... 199 Základní postupy obnovy ....................................................................................... 200 Nová pravidla zálohování....................................................................................... 201 Zálohování a práva ................................................................................................ 203 Záloha a obnova Active Directory ........................................................................... 203


5.2.6 5.2.7 5.2.8 5.2.9 5.2.10 5.2.11 5.2.12 5.2.13 5.2.14 5.2.15

Úplná obnova domény ........................................................................................... 203 Neautoritativní obnova AD DS ................................................................................ 204 Obnova příkazem .................................................................................................. 205 Kontrola správné obnovy ....................................................................................... 206 Parametry startu systému ...................................................................................... 207 Instalační médium.................................................................................................. 207 Výmaz objektů v AD DS.......................................................................................... 208 Změna konfigurace AD DS ..................................................................................... 209 Zálohovací příkazy................................................................................................. 210 Robocopy .............................................................................................................. 211

6. WMIC ...............................................................................215 6.1 Význam WMI a WMIC ..............................................................215 6.2 Uživatelé a skupiny...................................................................218 6.2.1 6.2.2

Výpisy uživatelů..................................................................................................... 218 Výběr položek uživatelů ......................................................................................... 219

6.3 Počítač a zdroje ........................................................................224 6.3.1 6.3.2

Informace a řízení operačního systému ................................................................... 224 Informace o počítači ............................................................................................... 226

7. Skriptování........................................................................231 7.1 Úvod do WSH ...........................................................................231 7.1.1 7.1.2 7.1.3 7.1.4 7.1.5 7.1.6 7.1.7 7.1.8

Proč skripty?.......................................................................................................... 231 Volání skriptů ........................................................................................................ 232 Kompatibilita skriptů .............................................................................................. 232 Druhy skriptování .................................................................................................. 233 VBScript kontra Windows Script Host ....................................................................... 233 WScript .................................................................................................................. 234 CScript ................................................................................................................... 235 Skripty WSF ........................................................................................................... 235

7.2 Jak začít psát? .........................................................................236 7.2.1 7.2.2 7.2.3 7.2.4 7.2.5 7.2.6 7.2.7

Základy syntaxe .................................................................................................... 236 Podmínky .............................................................................................................. 237 Smyčky ................................................................................................................. 239 První krůčky .......................................................................................................... 240 Objekty ................................................................................................................. 241 Skript využívající metodu ....................................................................................... 241 Object Browser....................................................................................................... 242

Obsah

9

10


7.2.8 7.2.9 7.2.10 7.2.11

Zajímavé knihovny ................................................................................................ 244 Ovládací tlačítka a boxy ......................................................................................... 245 Informace o disku .................................................................................................. 246 Skripty pro všední den ........................................................................................... 247

7.3 Skripty pro správce ...................................................................248 7.3.1 7.3.2 7.3.3 7.3.4 7.3.5 7.3.6

Licence Serveru 2008 ............................................................................................. 248 Mapování složky a tiskárny .................................................................................... 248 Otestujeme volné místo .......................................................................................... 249 Logon skript .......................................................................................................... 249 Práce s daty ........................................................................................................... 250 Podrobné informace o discích ................................................................................. 251

7.4 ADSI ........................................................................................252 7.4.1 7.4.2 7.4.3

Nová organizační jednotka a uživatel ..................................................................... 252 Hromadné vytvoření objektů .................................................................................. 253 Vytvoření skupiny uživatelů ................................................................................... 255

7.5 Změna místních účtů ..................................................................256 7.5.1 7.5.2 7.5.3

Kam uživatel patří? ................................................................................................ 256 Odemčení účtu uživatele ........................................................................................ 257 Práce s rolemi FSMO .............................................................................................. 258

7.6 WMI ........................................................................................258 7.6.1 7.6.2 7.6.3 7.6.4 7.6.5 7.6.6 7.6.7 7.6.8 7.6.9 7.6.10 7.6.11 7.6.12 7.6.13 7.6.14 7.6.15 7.6.16 7.6.17 7.6.18 7.6.19 7.6.20

Obsah

Skripty WMI........................................................................................................... 258 Informace o souborech ........................................................................................... 259 Identifikace startujícího systému ............................................................................. 261 Výpis spořiče obrazovky ......................................................................................... 262 Informace o stránkovém souboru ........................................................................... 263 Informace o procesoru ........................................................................................... 264 Přístup na instalované aplikace .............................................................................. 264 Sdílené složky ........................................................................................................ 267 Práce s registrem ................................................................................................... 268 Startup command................................................................................................... 268 Výpis lokálních uživatelů ........................................................................................ 269 Start aplikace ve skrytém okně .............................................................................. 270 Informace o službách ............................................................................................. 271 Zastavení služby .................................................................................................... 272 Seznam procesů včetně cesty a priority ................................................................... 273 Změna priority procesu .......................................................................................... 274 Ukončení procesu ................................................................................................... 275 Vyhodnocení vlastností počítače .............................................................................. 276 Shutdown či restart ................................................................................................ 276 Převzetí vlastnictví ................................................................................................. 277


7.6.21 Komprese .............................................................................................................. 278 7.6.22 Generátory skriptů ................................................................................................. 278

7.7 Zabezpečení skriptů ..................................................................280 7.7.1 7.7.2 7.7.3 7.7.4 7.7.5 7.7.6 7.7.7 7.7.8 7.7.9 7.7.10

Odstranění souborů ................................................................................................ 280 Zrušení asociací...................................................................................................... 280 Nastavení oprávnění .............................................................................................. 281 Roztřídění skriptů .................................................................................................. 281 Digitální podepisování skriptu................................................................................. 281 Zásady softwaru .................................................................................................... 281 Antivirový software a blokování skriptů .................................................................. 281 Vzdálené spouštění a nejmenší oprávnění ............................................................... 281 Brány firewall ........................................................................................................ 283 Závěrečná pravidla ................................................................................................ 283

Rejstřík ...................................................................................287

Obsah

11


Úvod Tato kniha se zaměřuje na středně pokročilé správce přecházející na Windows Server 2008. Takové, kteří již rok či více používají systémy Windows Server 2003. Jste v této situaci a potřebujete bezbolestně přejít na novou verzi? Nemáte na aktualizaci rok času, a tak potřebujete konkrétní a přesné informace. Nechcete mít v knize obrázky jen pro zpestření, ale nasnímané obrazovky, které budou přesně popisovat daný problém a budete je muset podrobně studovat? Pak je tato kniha pro vás vhodná. Další podrobnosti (jistě víte, že na 300 stran se nevejde všechno…) budete těžit se znalostní báze či ze sady Resource Kit. Zaměření na středně pokročilé správce chápu tak, že nemusíme popisovat, proč je důležité mít nastaveny přísné zásady hesel, či jak vytvořit uživatelský účet a přihlásit se na něj. O tom by si chtěli přečíst začínající správci. Naproti tomu úplně pokročilí budou chtít optimalizovat své propojení VPN či generovat obrazy disků pro instalace RIS – a tak hluboko v této knize nepůjdeme. Budeme se tedy pohybovat mezi těmito mantinely. Budeme popisovat automatizované instalace Serveru 2008 i jeho Active Directory, konfigurovat zásady Group Policy a správcovské postupy si zefektivníme pomocí skriptovacího rozhraní. Informace, které v této knížce najdete, lze rozdělit do tří kategorií: a) Úplné novinky Windows Serveru 2008, b) inovované a rozšířené komponenty Windows Serveru 2008, c) komponenty, jež jsou obdobné s minulou verzí, ale pravděpodobně je neznáte. Novinek je ve Windows Serveru 2008 celá řada. BitLocker, RODC, AD DS či Core Edition. Budeme se jim věnovat převážně v kapitolách o instalaci, Active Directory, zálohování a zabezpečení. Na inovované komponenty se zaměříme v kapitolách o vlastnostech systému a Group Policy. Na části systému, které jsou podobné ve verzích 2008 a 2003, se podíváme v kapitolách o WMIC a skriptování. Ze své šestnáctileté praxe ve školení vidím, že to jsou komponenty, které mnohdy učiní ze správců skutečné profesionály. Mám za to, že je většina správců buď neumí používat, odsoudí je jako příliš složité, či v nich jen postupuje metodou „pokus – omyl“. A také mám dojem, že neexistuje česky psaná publikace, kde by se správce za jeden týden naučil skriptovat. O to jsem se pokusil v sedmé kapitole této knihy. Mottem této knížky je tedy „Upgrade správce sítě!“. Tak, jako probíhá upgrade systému, pokusíme se tedy i upgradovat správce (tedy, no … vlastně vás … ☺) na ještě vyšší úroveň. A to ve všech klíčových součástech administrace Serveru 2008.

Úvod

13

1. Vlastnosti a instalace Na úvod celé knihy si představme souhrn nových vlastností Windows Serveru 2008.

1.1 Vlastnosti Windows Serveru 2008 Novinek je pochopitelně ještě více, než si zde představíme. Je to z toho důvodu, že tato kniha je věnovaná praktické administraci menší sítě. Nevěnuje se tématům pro velké mezinárodní realizace se strukturovanou úrovní šifrování, autentikací, Load Balancing a dalších pokročilých mechanizmů. K tomu slouží MS Resource Kit s pěti tisíci stranami. To ovšem neznamená, že čtete knihu začátečnickou. Témata jako skriptování, WMIC nebo instalační média RODC takovými nejsou. Převážně se cílově věnujeme praktické administraci v menší síti s 50 klienty při přechodu na Server 2008. Podle praktické důležitosti pro takovou síť si seřadíme i novinky Windows Serveru 2008: Server Core Nová edice MS Serveru, a to bez grafického rozhraní! Získáme tím vyšší spolehlivost, výkon a zabezpečení. Také získáme nižší nároky na HW a práci správce.

1.1 Vlastnosti Windows Serveru 2008

15 1. Vlastnosti a instalace


16


Členění služeb Active Directory Inovace v Active Directory jsou velmi rozsáhlé. Její komponenty jsou rozdělené podle typu využívání objektů na AD DS, AD FS či AD LDS, jak si popíšeme v oddílu o Active Directory. Read Only Domain Controller RODC je novým typem řadiče Active Directory. Takový řadič má pouze jednosměrnou replikaci objektů a správce nemůže jeho objekty editovat. Restartovatelné AD DS Služby Active Directory (AD) DS lze za běhu serveru zapínat, vypínat nebo restartovat podle potřeb údržby či zabezpečení. Integrovaný ADSI Edit Přímo z editace objektů v konzoli Active Directory je nyní možné upravovat atributy objektu podobně jako v samostatném modulu ADSI Edit. Přibyla totiž karta Attribute Editor ve vlastnostech objektu. Spolupráce s Windows Vista Systém Windows Vista pro klienty i systém Windows Server 2008 pro servery představují ideální kombinaci. Společně budou nabízet výhody z hlediska homogenity správy, produktivity a zabezpečení. Ovládání i volby v nabídkách jsou identické. Určité komponenty správy, jako jsou instalace správcovského balíku Adminpak, budou fungovat pouze při této spolupráci. Například funkce NAP (Network Access Protection) využije plně své možnosti také pouze při této serverové i klientské verzi; jen tak je dosaženo vyššího zabezpečení sítě. BitLocker Přibývá cela nový způsob šifrování dat na pevném disku. Pracuje na hlubší úrovni než tradiční EFS. Nemá tedy vazbu na jednotlivé uživatele a jejich účet, ale využívá klíčování na objekt operačního systému. Zálohování a obnova Inovované postupy zálohování a obnovy integrované do nového programu Windows Server Backup pro kompletní zálohy systémových svazků a systému. Network Access Protection (NAP) Pro vysoké zabezpečení síťových komunikací s bloky nastavení požadavků na klienty, jako je antivirový software či existence záplat. Rovněž pro zabezpečení bezdrátových komunikací 802.1x. Inovace síťových komponent Přeorganizované klíčové komponenty sítě pro úplnou duální adresační podporu IPv4 a IPv6. Podpora IPv6 pro DHCP, IPSec a PPP. Internet Information Services Nová verze webového serveru IIS 7.0 obsahuje škálu novinek především delegovatelnou správu, diagnostiku a aplikační přenosy xcopy. Windows Firewall Vyšší zabezpečení s podporou IPSec a protokolů IPv4 i IPv6.

1. Vlastnosti a instalace

Diagnostika Nové programy pro diagnostiku spolehlivosti a výkonových charakteristik počítače, paměti a komponent. Integrovaná virtualizace Technologie Microsoft Hyper-V je Microsoftem realizovaná virtualizace. Jedná se o provoz různých softwarových produktů v různých operačních systémech na jednom fyzickém stroji. Hlavní přínosy tohoto řešení: • Dynamické rozložení zátěže, • bezpečnost a spolehlivost (celý disk v „jednom souboru“, jednoduchá obnova), • testování, zkušební provoz, zaškolení, • kompatibilita pro starší aplikace, • virtuální funkčnosti složitějších domén a prostředí, • různé systémy na jednom stroji. Špatná zpráva… Tato komponenta virtualizace pravděpodobně není na vašem systému k dispozici! Tento nový virtuální server není součástí instalace systému Windows Server 2008 v okamžiku uvedení na trh. Bude uvolněn jako stáhnutelná aktualizace na podzim roku 2008, tedy zhruba půl roku po uvedení systému na trh. Uvidíme, zda bude pak existovat i jako součást instalačních CD/DVD. Proto se v knize této velmi progresivní technologii nemůžeme věnovat.

známka Po

1.2 Požadavky na hardware Minimální požadavky na hardware pro Windows Server 2008 standardní edice jsou tyto: Procesor minimálně

1 GHz (pro procesor x86) 1,4 GHz (pro procesor x64)

Paměť minimálně

512 MB RAM

Volné místo na disku minimálně

8 GB

Jednotka

DVD-ROM

Monitor

SuperVGA (800×600) Tab. 1.1: Minimální hardwarové požadavky

Doporučené požadavky na hardware pro Windows Server 2008: Procesor

2 GHz

Paměť

2 GB RAM

Volné místo na disku

40 GB Tab. 1.2: Doporučený hardware

1.2 Požadavky na hardware



18

SPRÁVA W*INDOWS SERVERU 2008

1.3 Rozdíly jednotlivých edicí Jako všechny předchozí verze je i Windows Server 2008 tvořen několika škálovatelnými edicemi. Jedná se o edice Web, Standard, Enterprise a Datacenter – seřazeno od nejslabější k nejsilnější. Podle zaměření, nároků a možností naší organizace si vybereme tu nejvhodnější. Role serveru Služba systému

Web

Standard

Enterprise

Datacenter

16 uzlů

16 uzlů

Web (IIS) Print Hyper-V Active Directory Domain Services Active Directory Lightweight Directory Services DHCP Server DNS Server File Server Core Cluster Nodes Network Access Connections (RRAS)

250 připojení

neomezeno

neomezeno

Network Access Connections (IAS)

50 připojení

neomezeno

neomezeno

Terminal Services Gateway

250 připojení

neomezeno

neomezeno

BitLocker Drive Encryption Telnet Server / Client Windows PowerShell Tab. 1.3: Poskytované služby systému

Vazba na vlastnosti hardwaru se u jednotlivých edicí rovněž liší. Celá škála produktu Windows Server 2008 je však ještě širší, než jak by vyplývalo z minulé tabulky. Každá edice (Web, Standard, Enterprise a Datacenter) totiž existuje ve dvou různých instalačních sadách podle toho, zda bude provozována na 32- nebo 64bitovém procesoru. A ještě existuje speciální sada pro 64bitovou verzi s instrukční sadou pro procesory třídy Itanium. Celkem tedy devět různých instalačních sad a výsledných možností. Základní odlišnosti ukáže následující tabulka. Role serveru HW vlastnost

Web

Standard Enterprise Datacenter Itanium

Přidání RAM za provozu (Hot Add Memory) Výměna RAM za provozu (Hot Replace Memory)


Role serveru HW vlastnost

Web

Standard Enterprise Datacenter Itanium

Maximální adresovatelná RAM, 32 bitů

4 GB

4 GB

64 GB

64 GB

–

Maximální adresovatelná RAM, 64 bitů

32 GB

32 GB

2 TB

2 TB

2 TB

Maximálně CPU pro 32 bitů

4

4

8

32

–

Maximálně CPU pro 64 bitů

4

4

8

64

64

Přidání a výměna CPU za provozu (Hot Add/ Replace Processors)

Tab. 1.4: Hardwarové vlastnosti systému

1.4 Postup instalace Samotná instalace Serveru 2008 obsahuje překvapivě málo dotazů. Pokud bychom chtěli instalaci ovlivnit více, museli bychom použít režim odpovědního souboru nebo upravovat inicializační soubory pro instalaci, což by ale bylo příliš náročné. Po vložení instalačního DVD z něj nastartujeme počítač. Dostaneme se na výběr národního prostředí, který ale můžeme klidně ponechat ve výchozí angličtině a kdykoli v průběhu práce se serverem jej můžeme změnit.

Obr. 1.1: Zadání jazyka a národního prostředí instalace

Vlastní spuštění instalace se nám nabídne na následující obrazovce tlačítkem Install Now. Tímto způsobem bychom spouštěli klasickou instalaci Serveru 2008 nebo inovaci z minulé verze. Obrazovka pro výběr startu instalace nám nabídne i přístup k informacím, které byste měli vědět před instalací. Můžeme klepnout na text What to know before installing Windows. Dále je v nabídce přístup k možnostem zotavení, kde je i funkce pro diagnostiku.

1.4 Postup instalace



20


Pokud tedy chceme použít instalaci opravnou (tedy již server 2008 máme instalovaný, ale obsahuje chybu), musíme zvolit nabídku Repair v levé dolní části obrazovky:

Obr. 1.2: Volba typu instalace

Pak se dostaneme do zadávání produktového klíče. Zde je důležité upozornit na zaškrtávací pole automatické aktivace produktu. Toto pole se nachází hned pod produktovým klíčem a je standardně zaškrtnuté. Znamená to, že jakmile se tímto systémem připojíme na Internet, bude zahájen proces automatické aktivace. Dejme si pozor na nastavení sítě a firewall, aby taková aktivace mohla proběhnout. Při zaškrtnutí se pokusí systém Windows Vista po třech dnech provést aktivaci automaticky. V opačném případě můžeme volbu Automatically activate Windows when I'm online potlačit. Zrušením zaškrtnutí potlačíme možnost automatické aktivace Windows po Internetu a necháme si možnost aktivovat Windows Server ručně. Nejdéle to smíme odkládat po dobu 30 dní.

Obr. 1.3: Budeme vypisovat produktový klíč

Nyní se dostáváme ke zcela klíčové volbě – i když jsou zde pouze dva řádky na výběr, toto rozhodnutí nemůžeme žádným způsobem vrátit zpět a musíme si je tedy pečlivě promyslet. Vybíráme, zda náš server bude tvořen plnou instalací nebo instalací Server Core, která je


minimalizovaná a ovládaná z příkazového řádku. Nejsme-li si jisti, vybíráme vždy první možnost, což je klasický plnohodnotný server. Variantě Server Core je věnovaná část na závěr popisu Active Directory této knihy.

Obr. 1.4: Full nebo Server Core?

Pak budeme muset potvrdit, že souhlasíme s licenční smlouvou. Bez tohoto potvrzení v příslušném zaškrtávacím políčku nemůžeme v instalaci pokračovat. Všimněte si, že po celou dobu instalace je v dolní části obrazovky grafický přehled o tom, v jaké části instalační procedury se nacházíme a kolik nás toho ještě čeká. Jak instalace probíhá, zelená linka informující o dokončených činnostech se prodlužuje zleva doprava. Vidíme, že nyní jsme stále v části zaměřené na získávání vstupních informací.

Obr. 1.5: Potvrzení licenčních pravidel

1.4.1

Inovační instalace

Máme-li na serveru minulou verzi operačního systému, která umožňuje inovaci na Windows Server 2008, bude nám tato inovace nabídnuta volbou Upgrade v následující části instalačního průvodce. Při čisté instalaci je dostupná pouze volba Custom. Upgrade je možný jen za určitých podmínek a je nutné takovou instalaci spustit přímo ze starší verze Windows Serveru! Budou tak zachovány soubory, nastavení a aplikace z předchozího staršího operačního systému. Konkretizujme si výhody inovace.




22


Výhody inovované instalace jsou především tyto: • Ponechání uživatelských účtů a jejich hesel a práv, • ponechání uživatelských skupin a dalších systémových objektů, • ponechání datových souborů a složek, • ponechání dalších konfigurací systému, jako je národní prostředí či multimédia a asociace, • ponechání nainstalovaných programů a to jak uživatelských, tak správcovských. V našem případě však máme na počítači pouze klientský operační systém a nabídka inovace tedy není dostupná. Inovovat by šlo pouze z minulých verzí serverového systému. Budeme muset zvolit čistou instalaci.

Obr. 1.6: Volba Upgrade je pro nás nedostupná

Na další obrazovce instalačního průvodce zadáváme, kam chceme náš systém nainstalovat. Nezadává se název složky, ale pouze disková oblast. Jde takto instalovat na oblasti, které

Obr. 1.7: Výběr instalačního disku


již existují, ovšem můžeme si vytvořit i oblast novou na nevyužitém místě disku. U každé oblasti (ať je existující, nebo prázdná) máme informaci o celkové velikosti a především o volném místě. Vidíme, že pro instalaci je zapotřebí alespoň 7 GB volného místa. Pokud si nemůžeme jednoduše vybrat ze tří nabízených oblastí, lze klepnout na volbu Drive Options. Po stisku nabídky Drive Options zůstává přehled oblastní stejný, ale dole přibyly nové možnosti. Mohli bychom oblast na disku odstranit, přeformátovat ji, vytvořit novou oblast na nevyužitém prostoru disku, nebo oblast rozšířit. Vybereme si například první oblast pevného disku a pokračujeme tlačítkem Next.

Obr. 1.8: Upřesněné nabídky u diskových oblastí

V této chvíli se může objevit okno s upozorněním na chybu. Jak jsem říkal, v mém případě tato disková oblast již obsahuje klientský operační systém, a právě na to jsem upozorněn následující zprávou.

Obr. 1.9: Kolize se starším operačním systémem




24


Jak na tuto kolizi instalace zareaguje? Předchozí operační systém bude přesunut včetně svým programů a dokumentů do složky s názvem Windows.old. Ovšem především nebude funkční! Budeme si tedy moci vzít jeho soubory, ale minulý systém spustit nepůjde. To může být velmi překvapivé, zejména když tímto systémem byly v mém případě Windows Vista. Minulá verze serveru (2003) si uměla s Windows XP na stejné diskové oblasti poradit lépe. Zde je u Windows Serveru 2008 situace velmi zjednodušená. Na každé diskové oblasti může být pouze jeden funkční operační systém. Výběr systému při startu počítače tu tedy existuje, ale dá na výběr z každé diskové oblasti maximálně jeden systém. Chceme-li tedy například z důvodu testování mít na počítači několik systémů, musíme tomu předem uzpůsobit diskové oddíly a pro každý systém naformátovat oddělenou oblast disku. Tip

Sám mám na testování rozdělen disk na šest oblastí, každou o velikosti 20 GB. Na první oblasti jsou Windows XP, na druhé Windows Server 2003, na třetí oblasti Windows Vista a dalších oblastech různé edice Windows Server 2008, abych mohl zkoušet doménový řadič, členský či RODC server odděleně. Taková je možnost pro testování. V reálném provozu ale takhle uvažovat nebudeme a velmi pravděpodobně budeme chtít mít na celém serverovém počítači jenom jeden operační systém. Tudíž toto varování pravděpodobně neuvidíte.

známka Po

Mohli jsme vidět, že dotyčná oblast v mém případě obsahovala pouze 5 GB volného místa, ale instalace psala, že potřebuje 7 GB. V tomto požadavku je již zahrnuta rezerva, která bude pro práci zatíženého serveru potřeba. V mém případě kvůli testování pracuje instalace i server funkčně v pořádku, i když je k dispozici pouze oněch 5 GB volného prostoru.

Toto zadání, kam chceme instalovat, je posledním krokem, jímž ovlivňujeme instalačního průvodce. Teď se již instalace rozbíhá ve své druhé části označené modrou linkou dole na obrazovce. Bude probíhat ještě přibližně 30 minut.

1.4.2

Shrnutí instalačních fází

V závěrečném přehledu o instalaci vidíme, že celý instalační proces je složen z následujících částí: 1. Kopírování instalačních souborů. 2. Rozbalování a třídění souborů na disku. 3. Instalace vybraných součástí a jejich nastavení. 4. Instalace inovačních balíčků. 5. Kompletace instalace. Velice zjednodušeně můžeme říci, že každá z těchto částí trvá přibližně 10 minut. V průběhu instalace je počítač dvakrát restartován. Po druhém restartu je instalace již dokončena a objeví se okno vyzývající ke změně hesla administrátora. Toto heslo se v průběhu instalace nezadávalo a budeme je muset vyplnit nyní. Je vyžadováno heslo složité, obsahující alespoň tři různé typy znaků. Po stisknutí tlačítka OK je budeme zadávat.




Obr. 1.10: Změna hesla administrátora při prvním přihlášení

Obr. 1.11: Heslo musíme vyplnit dvakrát

Rovněž zde máme možnost vytvoření disku, který slouží k obnově hesla, pokud bychom je zapomněli. Vidíme, že celá instalace systému Windows Server 2008 je velmi zjednodušena a obsahuje polovinu dotazů minulé verze instalace. Hlavním důvodem je to, že všechny otázky týkající se konfigurace operačního systému byly z procesu instalace přesunuty až do momentu jeho prvního spuštění. Jakmile instalace skončí a počítač restartuje, jsme vyzváni k dalšímu zadávání, které bylo dříve součástí instalačního procesu. První je změna hesla lokálního administrátora. Hned poté se spouští nástroj Initial Configuration Tasks. Ten nám umožní provést ty nejzákladnější správcovské kroky, pomocí nichž dojde k nastavení základních parametrů operačního systému – např. adresy IP, časového pásma, nastavení Windows Update atd. Tím možnosti konfigurace ovšem nekončí. Po ukončení tohoto nástroje se automaticky spustí nástroj Server Manager. Tento nástroj se potom spouští po každém přihlášení uživatele, který je členem lokálních administrátorů (toto chování je možné samozřejmě potlačit). Tímto nástrojem budeme aktivovat role našeho stroje, které nebyly instalací zapnuty, například řadič domény, DHC, server WINS či DNS.


26


Obr 1.12: Aktivace rolí a funkcí programem Server Manager

1.5 Parametry instalace Instalaci realizuje program Setup z kořenové složky instalačního DVD. DVD má jinou strukturu než v předchozí verzi serveru a jiné jsou i možnosti ovlivnění a parametrizace instalačního procesu. Není zde žádný program Winnt32 ani jeho obdoba. Bez specifikovaných přepínačů provede Setup.exe běžnou instalaci či upgrade (to v případě, že na disku najde existující systém) ze standardních souborů složky Sources. Můžeme provést následujícími ovlivnění.

1.5.1

Parametry programu Setup

• /tempdrive:drive_letter Volba diskové jednotky pro umístění dočasných instalačních souborů. Není-li specifikováno, instalační program vybere tento prostor sám, tedy použije první volný disk. Smí se napsat jen označení celé jednotky, bez názvu adresáře. • /unattend Tento parametr spustí instalaci bez doplňujících dotazů. Nezadává se zde název skriptového souboru, protože se jedná o upgrade. Instalace nebude obsahovat žádné dotazy. • /unattend:answer_file Slouží pro instalaci bez dotazů, použije se nastavení instalace ze zadaného souboru .xml, kde answer_file je název odpovědního souboru. Ten musí být umístěn ve zdrojovém adresáři. • /m:folder_name S využitím tohoto přepínače lze použít instalační soubory z pomocné zdrojové složky. Pokud standardní instalační zdroj a tato složka obsahují stejný


soubor, přednost budou mít soubory uvedené v adresáři označeném /m. Teprve když se v něm příslušný instalační soubor nenachází, použije se ten na standardní zdrojové cestě. Lze tak inovovat a upravovat instalační sadu. • /noreboot Potlačí restart počítače po úvodním kopírování souborů. Místo restartu lze potom zadat další příkazy. Pokud znáte Windows Server 2003 a jeho parametrizaci instalační procedury, vidíte, že zde je možností podstatně méně. Většina přepínačů chybí a kdybychom se je zkusili zadat, budou označeny jako neznáme. Ty existující zjistíme pomocí Setup /?. Důvodem je úplné přepracování instalační procedury a nové vazby na parametrické soubory XML.

známka Po

1.6 Bezobslužná instalace Bezobslužná instalace způsobí, že instalační proces bude klást uživateli méně otázek; třeba vůbec žádné. Pak by to znamenalo plně bezobslužnou instalaci neboli automatizovanou instalaci. Míru automatizace čili bezobslužnosti můžeme volit. Bezobslužná instalace Windows Serveru 2008 je zcela odlišná oproti Serveru 2003. Naopak je principiálně shodná s automatizovanou instalací systému Windows Vista. Instalace a její základní přizpůsobení se zde provádí s pomocí odpovědního souboru Autounattend.xml. Tento odpovědní soubor vytvoříme a uložíme na sdílenou složku, disketu či flash-disk. Údaje v něm by měl instalační proces rozpoznat a použít, aby uživatel nemusel téměř nic zadávat. Pro vytvoření souboru automatické instalace a jeho dodatečnou úpravu je výhodné využít balíček Windows Automated Installation Kit (WAIK) stáhnutelný ze stránek Microsoftu. WAIK existuje již i v češtině. Je však možné odpovědní soubor získat z Internetu přímo, popřípadě jej upravovat editorem XML. Možnosti přizpůsobení souboru neslouží jen pro základní instalaci. Soubor Autounattend.xml může být přizpůsoben pro čistou instalaci, kdy veškerá data na disku budou zničena. Můžeme jej ale vytvořit i pro instalaci jiného typu. Často správce nebude tuto automatickou instalaci používat pro servery (ty si raději ohlídá sám), ale pro stanice Windows Vista. Windows AIK Documentation je elektronická dokumentace pro komponenty Windows Automated Installation Kit (Windows AIK). WAIK je sadou pro profesionální zavádění systémů MS Vista a MS Windows Server 2008 včetně automatizovaných instalací a správy obrazů disku – image. Celková velikost zabaleného souboru pro instalaci WAIK činí na webu Microsoftu 1,1 GB. Kromě vlastního nástroje je součástí WAIK i rozsáhlá dokumentace, která má tyto hlavní součásti: • Getting_Started_ITPro.rtf Úvodní informace, zavádění obrazů. • Windows AIK User‘s Guide (Waik.chm) Rozsáhlá nápověda pro celý životní cyklus nasazení WAIK v korporacích, včetně návrhu, výroby a správy image a akcí údržby. • Unattended Windows Setup Reference (Unattend.chm) Zhuštěné informace o struktuře a volbách souboru Unattend.xml pro bezobslužnou instalaci.

1.6 Bezobslužná instalace



28


1.6.1

Struktura bezdotazové instalace

O proces bezdotazové instalace se starají služby Windows Deployment Services. Činnost se skládá ze dvou fází: • Zpracování odpovědního souboru Unattend.xml službami Windows Deployment Services. Soubor je uložen ve složce \WDSClientUnattend. • Zpracování parametrického souboru pro obraz disku – image. Ten bude pro moderní verze systému ve tvaru Unattend.xml a pro starší verze systémů ve formátu Sysprep.inf. Uložen bude v podsložce $OEM$ nebo \Unattend. Windows Server 2008 a Windows Vista používají formát Unattend.xml. Systémy Windows Server 2003 a Windows XP používají starší formát Sysprep.inf Jako ukázku si zobrazíme sekci DiskConfiguration ze souboru Unattend.xml využitelnou jak pro Windows Server 2008, tak pro Windows Vista. Instalace vytvoří dvě nové oblasti na pevném disku pro instalaci Serveru 2008. První oblast pro vlastní instalaci bude primární o velikosti 100 GB a dostane písmeno jednotky C: 0 1 Primary <Size>100 2 Primary <Extend>true <ModifyPartitions> <ModifyPartition> 1 <PartitionID>1 C <ModifyPartitions> Na závěr této části si ukážeme příklad spuštění bezobslužné instalace. Chceme provést síťovou instalaci z instalačního média H odpovědním souborem Odpoved.xml a umístěním pracovních souborů na disk D: Setup /unattend:h:odpoved.xml /tempdrive:d


1.7 Inovace Active Directory Samotná instalace se neptá, zda chceme mít roli doménového řadiče. Ta se zavádí dodatečně aktivací této role či programem Dcpromo. Případně se aktivuje automaticky, pokud provádíme upgrade z Windows Serveru DC. Instalační program sám pozná případ, kdy se jedná o inovaci doménového řadiče, a po skončení instalačního programu se po restartu spustí program Dcpromo.exe, který konfiguruje funkci řadiče domény. Tento program tedy není nedílnou součástí instalace, ale její samostatnou procedurou. Programem Dcpromo lze provádět jak povyšování na doménový řadič, tak ponížení do role členského serveru. Pokud Dcpromo nenalezne fungující server DNS, nabídne nám jeho vytvoření na lokálním počítači. Ovšem mezi instalací systému a instalací či inovací služeb AD DS jsou třeba přípravné procesy. Jedná se o přípravu schématu AD na vyšší funkční úroveň a na nové atributy, které například vyžadují řadiče RODC. Některé scénáře služeb Active Directory Domain Services tyto procesy vyžadují, pro jiné nejsou nezbytné. Jde o to, zda vytváříme nový forest, jaké máme verze řadičů a jaké funkční úrovně. Nikdy však těmito kroky situaci nezhoršíme, a tak je raději uděláme vždy. Tyto přípravné procesy spouštíme ještě na původní struktuře Active Directory Windows Serveru 2000/2003. Teprve po jejich dokončení budeme instalovat řadiče Serveru 2008 na další servery, inovovat je na existujících řadičích i instalovat na řadiče RODC. Pro přesné rozlišení nutnosti procesů Adprep AD DS doporučuji studium Knowledge Base. Ovšem i sama firma Microsoft preferuje nevynucené volání procesu Adprep. Pozor na správnou verzi instalačního DVD. Musíme použít 32- a 64bitovou verzi Adprep přesně podle odpovídajícího mateřského systému!

Tip

1.8 Příprava pomocí Adprep Příprava struktury forestu a. Přihlásíme se na řadič vlastnící roli FSMO Schema master. Uživatel musí být členem skupiny Enterprise Admins a Schema Admins. b. Zkopírujeme celou složku \sources\adprep z instalačního DVD pro systém Windows Server 2008 na místní disk. c. V příkazovém řádku přejdeme do složky Adprep na disku a spustíme program adprep /forestprep. d. Pokud plánujeme kdekoli ve forestu existenci RODC (Read-Only Domain Controller), provedeme navíc příkaz adprep /rodcprep. e. Provedeme ruční replikaci celého forestu. Příprava domény a zásad a. Přihlásíme se na řadič vlastnící roli FSMO Infrastructure master. Uživatel musí být členem skupiny Domain Admins. b. Zkopírujeme celou složku \sources\adprep z instalačního DVD pro systém Windows Server 2008 na místní disk.

1.8 Příprava pomocí Adprep



30


c. V příkazovém řádku přejdeme do složky Adprep na disku a spustíme program adprep /domainprep /gpprep. d. Provedeme ruční replikaci domény. známka Po

Další informace o instalaci či inovaci struktur AD DS a RODC Active Directory najdete v samostatné části této knihy. Některé kroky jsme probrali zde, neboť následují logicky hned po instalaci systémové.


2. Active Directory Nyní se zaměříme na správu objektů umístěných v Active Directory. Začneme návrhem její struktury a instalací. Pokračovat budeme správou konkrétních objektů, od běžných uživatelů přes jejich řazení do skupin až k nastavení bezpečnostních zásad. Stále budeme věrni zaměření této knihy. Neztrácejme tedy čas dlouhým povídáním o tom, jak a proč vytvořit nového uživatele, ale řekněme si raději, jak správně navrhnout doménovou strukturu nebo vytvářet desítky uživatelů najednou. Oddíl věnovaný adresářovým službám Active Directory je rozčleněn do podkapitol o návrhu, instalaci, organizačních jednotkách, uživatelích a skupinách, údržbě a speciálních řadičích.

2.1 Návrh a design 2.1.1

Adresářové služby

Adresářové služby v serverových systémech firmy Microsoft jsou tvořeny komponentou Active Directory. Pokročilý správce se jistě nepozná tím, že umí brilantně vytvořit uživa-

2.1 Návrh a design

31

2. Active Directory


32


tele v Active Directory či jej zařadit do pěti uživatelských skupin. To umí začátečníci po půlhodině práce se serverem. Pokročilý správce musí umět nejenom mnohem složitější činnosti a modifikace, ale především musí chodu Active Directory rozumět, chápat jednotlivé návaznosti i úskalí a být schopen efektivního návrhu rozložení jednotlivých služeb – ať už se to týká prvotní instalace, optimalizace provozu, nebo změn struktury vyvolaných změnami organizace. Pro efektivní práci je tak nutné porozumět celé infrastruktuře Active Directory a chápat jednotlivé zásahy a úpravy v celém kontextu. Je třeba rozumět Active Directory jako základní databázi, ve které jsou uloženy nenahraditelné doménové objekty (a zdaleka nejen ty nejznámější, jako jsou uživatelé a jejich hesla), a vidět, že tato databáze neexistuje oddělena. Je přímo závislá na činnostech sítě, DNS a TCP, a naopak na této databázi závisí a z ní vycházejí činnosti zásad skupiny a tím i uživatelské prostředí na jednotlivých stanicích. Celkovým prostorem práce všech správců v určité organizaci je doménová struktura nazývaná v anglických systémech výstižně forest (českým ekvivalentem forestu je struktura). Forest vznikne spojením všech domén, které v mé organizaci existují a které chtějí být navzájem logicky propojeny. Jakákoli doména ve struktuře (forestu) je tady logicky propojena s každou doménou jinou.

Tranzitivita Všechny vzájemné vztahy důvěry (trusty) vznikající automaticky vytvářením dalších domén ve forestu jsou tranzitivní. To znamená, že jsou průchozí nejen pro dvě zúčastněné domény, ale jsou průchozí pro všechny domény forestu. Tranzitivní trust tedy dědí i ostatní. V praxi to znamená, že všechny umístěné zdroje (sdílená data, tiskárny, kontakty) v kterékoli doméně jsou dostupné pro uživatele z kterékoli jiné domény nacházející se ve stejné struktuře forest. A stejně tak všechny uživatelské účty umístěné v jedné doméně jsou použitelné pro přihlášení z jakéhokoli počítače umístěného v jiné doméně stejného forestu. známka Po

Díky tranzitivitě vzniká vzájemné dostupnost účtů a zdrojů a díky tranzitivitě je tato dostupnost také dále děditelná dalšími doménami v nižších patrech struktury. Pokud vám takové spojení nefunguje, zkontrolujte funkčnost nadřazené domény, konektivitu na server DNS, propojení na Schema Master a propojení na Global Catalog.

Tip

Správce tedy musí chápat všechny objekty jako potenciálně dostupné z celé struktury forest – je nutné ohlídat přístupová oprávnění bez ohledu na hranice jednotlivých domén. Musí tedy nastavovat hranice bezpečnosti, jako kdyby k jeho objektům mohl přistupovat kdokoli z celé struktury forest.

O struktuře domén (forestu) mluvíme, ať už je v ní zúčastněno několik domén (třeba jen tři), nebo tisíce nadnárodních domén. I tak velké struktury jsou možné – adresačním maximem je 12 miliónů objektů v jedné doméně a takových domén lze propojit až 10 miliónů.

2.1.2

Členění Active Directory

Termín adresářové služby je nově v Serveru 2008 rozčleněn na několik zčásti spolupracujících komponent, z nichž AD DS je komponentou nejdůležitější a v podstatě odpovídající

2. Active Directory


33

2. Active Directory

celé adresářové službě z minulých verzí serveru. Naše kniha není podrobným průvodcem po všech komponentách systému Windows Server 2008, ale věnuje se technologiím nejdůležitějším pro správce systému a síťovou správu. Proto se většina našeho textu o adresářových službách bude týkat právě AD DS. Jednotlivé komponenty si nyní představíme.

Obr. 2.1: Struktura domén střední organizace

Active Directory Domain Services Active Directory Domain Services (AD DS) se dříve nazývaly Active Directory Directory Services a jak vidíme, i zkratka zůstala. AD DS je úložiště informací o objektech, které jsou součástí našeho doménového forestu. Ať již se jedná o objekty běžné, jako jsou uživatelé či organizační jednotky, nebo o systémovější, skrytější objekty, jako jsou replikační konektory či identifikátory sítí. AD DS Windows Serveru 2008 obsahuje všechny služby známé z minulé verze (včetně Group Policy – zásad skupiny) a řadu nových komponent, jako jsou řadiče domény určené jen pro čtení (Read-Only Domain Controllers – RODC) či příznaky sloužící k řízení a restartu služeb Active Directory Domain Services.

Active Directory Lightweight Directory Services Služby Active Directory Lightweight Directory Services (AD LDS) se také již vyskytovaly dříve a to pod označením Active Directory Application Mode. Jedná se o komponentu umožňující využít Active Directory jako adresářovou databázi kompatibilní se standardem LDAP. Do takové databáze pak mohou přistupovat (pro čtení i zápis) aplikace podporující LDAP a to včetně aplikacích napsaných pro systémy jiné než Windows.

Active Directory Certificate Services Active Directory Certificate Services (AD CS) je rozšířením již dříve funkčních certifikačních služeb na serverech Microsoftu. Databázově využívá Active Directory jako chráněné úložiště certifikátů a soukromých klíčů (private keys). Novou aplikací je řídící Enterprise PKI (PKI View) pro správu Certification Authority (CA).

2.1 Návrh a design

34


Active Directory Federation Services Active Directory Federation Services jsou služby zaměřené na identifikační, autentikační a komunikační operace mezi různými databázemi Active Directory – tedy typicky mezi různými a oddělenými organizacemi a foresty. Pro tyto činnosti umí používat také internetovou komunikaci. Uživatelé jedné organizace se budou moci autentikovat v organizaci partnerské. Tomu budou odpovídat i vysoké nároky na zabezpečení komunikačních linek. AD FS spolupracuje i s autentikacemi Microsoft Office SharePoint Server 2007.

2.1.3

Logická a fyzická struktura

Předcházející termíny jako doména, vztah důvěry a doménová struktura se týkají takzvané logické struktury Active Directory. Tato logická struktura se vytváří zcela podle logických potřeb jednotlivých organizací. Když například rozdělíme organizaci na část běžnou (zákaznickou), chráněnou (vnitřní firemní) a utajenou (výzkumnou), pak budeme potřebovat v naší struktuře tři domény. Naše logická struktura má tedy tři části. Ovšem existuje i fyzická struktura Active Directory. Ta není dána potřebami organizace, ale fyzickým rozložením počítačů, síťových prvků a vlastnostmi kabeláže. Tato fyzická struktura odděluje části Active Directory na jednotlivé sítě (site) a v nich na jednotlivé doménové řadiče neboli počítače, které fyzicky Active Directory obsahují. Je tedy nasnadě, že zatímco logickou strukturu může návrhář ovlivňovat v rámci desítek minut, fyzická struktura závisí na historických vlivech minulosti organizace a hloubce bankovního konta – k jejím změnám dochází často velice obtížně. Tip

Takovou změnou fyzické struktury je např. nahrazení části sítě realizované vytáčenou linkou komunikací po optických vláknech, která bude mnoho tisíckrát rychlejší.

Každá doména i každá síť (site) musí obsahovat minimálně jeden doménový řadič. Je-li řadičů více, nedělí se na řadiče primární a záložní, ale na řadič plný FULL a řadič jen pro čtení RODC. Pro autentikace nám tedy stačí jeden libovolný řadič, pro změny v AD DS potřebujeme Full Domain Controller, který umí nejenom číst, ale i zapisovat a mazat záznamy v Active Directory.

Obr. 2.2: Logická a fyzická struktura domén

2. Active Directory


35

Logická a fyzická struktura Active Directory jsou na sobě nezávislé. V extrémních případech to znamená, že můžeme mít organizaci, která má jen jednu logickou doménu, ovšem rozčleněnou na 30 fyzických sítí (site) kvůli velkému počtu směrovačů a typů kabeláže. A naproti tomu druhou organizaci obsahující ve své logické struktuře 30 domén, které jsou ovšem všechny spojeny do jediné fyzické sítě pracující na rychlém Ethernetu. Tip

2. Active Directory

Pro rychlost a přehlednost síťového provozu je velmi výhodné zachovávat co nejvíce jednoduchost v logické struktuře. To znamená používat co nejnižší počet domén v nízké úrovni hierarchického větvení a jednoduché umístění serverů globálního katalogu např. v každé kořenové doméně. Je to proto, že při autentikacích se musí ověřovat celá tzv. důvěryhodná trasa. Dochází tedy k ověřování ve všech průchozích doménách, kudy vede naše cesta do cílové domény, kde jsou umístěny hledané zdroje. A navíc je nutné některé objekty vyhledávat na globálním katalogu. Znamená to, že při složitě navržené hierarchii bude po síti nutno provádět např. 30 ověřovacích rámců, než dojde k povolení a autorizaci spojení, ale při výhodnější struktuře budou stačit rámce čtyři.

Active Directory Schema Pro celou doménovou strukturu (forest) platí jednotné schéma. Toto schéma popisuje podrobně strukturu všech objektů, které se mohou v Active Directory objevit. Obsahuje všechny třídy (např. uživatel) a všechny jejich atributy (např. jméno uživatele, heslo, telefon). Zahrnuje také položky jako povinné vyplnění atributu či zda má být replikován na server globálního katalogu. Takto podrobně je ve schématu popsána struktura každého objektu. Součástí schématu nejsou konkrétní naplnění atributů (třeba jméno či heslo uživatele)! Toto schéma je centrálně zpracováno doménovým řadičem, který má funkci Schema Master. Pokud nemůžete přidat nový typ objektu, je potřeba prozkoumat, je-li ve struktuře forest dostupný tento Schema Master – a nemusí se jednat o dostupnost uvnitř vaší domény. Tato nutnost neplatí vždy, jen u nové třídy objektů.

2.1.4

Tip

Česká terminologie

V době tvorby této publikace ještě nebyla k dispozici verze MS Serveru 2008 s kompletně českým prostředím. Dá se však brzo očekávat. Proto jsou praktické postupy i snímané obrazovky v této knize anglicky mluvící. Uvedu zde nejdůležitější ekvivalenty českého a anglického prostředí. Existuje názor mnoha správců, a já se k nim přidávám, že anglické prostředí na serveru je logičtější a intuitivnější. V praxi se oba systémy (plně český a anglický s českým prostředím) vyskytují zhruba stejně často. Typicky problematický je převod anglického slova site pro označení fyzické části sítě Active Directory. V české literatuře je překládáno jako pracoviště, sídlo, nebo síť. Rozdíl slov network a site se tedy v češtině musí rozeznat dle kontextu. A nyní již slíbená přehledová tabulka pro práci s lokalizovanými servery pro součásti Active Directory.

2.1 Návrh a design

36


English/US

Hezky česky

Active Directory

Služba Active Directory

Directory Services

Adresářové služby

Member server

Členský server

Domain controller

Řadič domény

Forest

Doménová struktura

Forest root

Základní doména v doménové struktuře

Tree

Větev

Child domain

Podřízená doména

Root

Kořenová doména

Distinguished name

Rozlišovací název

Mixed mode

Kombinovaná funkční úroveň

Native mode

Nativní funkční úroveň

Interim mode

Provizorní funkční úroveň (pouze 2003)

Site

Síť

Windows 2000 mode

Funkční úroveň Windows 2000

Windows 2003 mode


Windows 2008 mode


Core Server

Core Server

RODC Controller

Řadič jen pro čtení Tab. 2.1: Přehled názvosloví

2.1.5

Funkční úrovně domény

Domény ve Windows Serveru 2008 se nechovají všechny stejně. Mohou mít různé funkční úrovně a tím i různé vlastnosti. Nesmí nás překvapit, když jsme byli zvyklí na svou funkčnost a najednou budeme pracovat v organizaci, kde se doména chová jinak. Funkční úrovně rozlišují stavy jednotlivých domén, ale i celých struktur forest. Úroveň volíme podle toho, zda potřebujeme vyšší míru kompatibility, nebo větší soubor možností a vlastnosti Active Directory. Každá doména má svou úroveň, kterou nastavujeme odděleně od ostatních domén ve forestu. Rozlišujeme tyto funkční úrovně domény (funkční úrovně pro forest jsou odlišné): Mixed (kombinovaná) Jedná se o základní typ domény, který má každá doména se servery Windows po své instalaci. Pak funguje jako kompatibilní dokonce i pro řadiče Windows NT. Neexistují tedy například univerzální uživatelské skupiny či přepínání skupin. Native Vyšší úroveň domény umožňující i univerzální skupiny, změnu typu i rozsahu skupiny a mnohem bohatší vkládání a začleňování uživatelů a skupin. Pracuje jako kompatibilní s prostředím Windows 2000, nelze používat řadiče Windows NT.

2. Active Directory


37

Server 2003 Funkční úroveň obsahující a využívající všechny vlastnosti Windows Serverů 2003. Podporuje všechny mechanizmy nativní úrovně a navíc změny v logické struktuře (což jsou postupy jako přejmenování řadičů, přejmenování domén, přesuny domén). V této úrovni a úrovni 2008 je možné také ustanovit vztah důvěry mezi celými strukturami domén neboli Forest Trust.

Funkční úroveň obsahující všechny vlastnosti Windows Serverů 2008. Podporuje všechny mechanizmy úrovně 2003 a navíc například vyšší zabezpečení Kerberos Advanced Encryption Standard (AES 128 a AES 256) i Last Interactive Logon Information obsahující informace o počtu chybných hesel či odhlášení pro jednotlivé uživatele. Jednotlivé funkční úrovně, se na systémové vrstvě popisují čísly od nuly do tří. Kombinovaná má nulu, nativní jedničku, Server 2003 dvojku a Server 2008 trojku.

známka Po

Kupříkladu v následujícím kódu nelze přejmenovat doménu, protože je v kombinované úrovni – 0. Musela by být v úrovni Server 2003 či 2008, tedy ve stavu 2 či 3: C:\>rendom /upload The Behavior version of the Forest is 0 it must be 2 or greater to rename: The server is unwilling to process the request. :8245 Zvýšení funkční úrovně domény provedeme, pokud nebudeme potřebovat řadiče starších verzí. Spustíme Active Directory Users and Computers a pravým tlačítkem myši vyvoláme místní nabídku:

Obr. 2.3: Nabídka zvýšení úrovně domény

V následujícím okně uvidíme označení úrovně aktuální. Máme zde výstrahu, že proces je jednosměrný – nelze jej vrátit zpět. Pak uvedeme požadovanou úroveň domény:

2.1 Návrh a design

2. Active Directory

Server 2008

38


Obr. 3.4: Zadávání požadované úrovně domény

2.1.6

Funkční úrovně pro forest

Také funkčnost doménové struktury (forestu) lze měnit, stejně jako u jednotlivé domény. Funkční úrovně doménové struktury jsou tyto: Server Windows 2000 Základní úroveň forestu po běžné instalaci jakýchkoli verzí systému. Windows Server 2003 Obsahuje navíc možnosti přesunu domén ve forestu a také trusty forestů – vztahy důvěry celých struktur navzájem. Windows Server 2008 Přesně technicky nepoznáme rozdíl oproti minulému typu. Jen všechny nově přidávané domény budou automaticky přepnuty do doménové úrovně 2008 a tomu budou muset odpovídat i jejich řadiče. ozornění Up

Mnoho administrátorských úvah a operací nemůžeme řídit jen podle zdravého uvážení, obvykle nazývaného „selský rozum“. Jednoduše bychom si mohli myslet, že novinky verze 2008 jako řadič RODC nebo AD DS na Core Serveru budou dostupné pouze ve funkční úrovni 2008. Není tomu tak! Doporučení? Raději pracovat s odzkoušenými informacemi než s domněnkami. Tedy hledat na Internetu, v knihách, na TechNet a klíčová fakta vyzkoušet. Třeba ten správce, co na internetovém fóru vypadá jako Bill G., zkouší ve skutečnosti Windows Server teprve druhý týden…

Postup změny funkčnosti je vždy jednosměrný – pouze k vyšším možnostem, nikoli zpět. Toto platí jak pro úroveň domény, tak pro úroveň celé struktury. Můžeme však určité úrovně přeskočit a přejít hned z nejnižšího stupně na nejvyšší, nemusíme postupovat vždy po třech krocích. Platí, že změna vyžaduje restart všech řadičů.

2. Active Directory


39

Změny mají nutnou logickou návaznost. Například když potřebujeme přesunout doménu z jednoho místa do jiné větve: 1. Vyhodnotíme, jaká úroveň struktury je nutná – v tomto případě Windows 2003 či Windows 2008. 2. Všechny řadiče struktury musíme převézt na Server 2003 či 2008.

4. Spustíme Active Directory Domains and Trusts. 5. Z místní nabídky zadáme příkaz Raise forest functional level. Podívejme se, jaké typy řadičů lze využívat v různých funkčních úrovních pro domény. Pokud budou mít všechny domény tuto funkční úroveň, lze aktivovat funkční úroveň forestu typu

Funkční úroveň domény

Český význam

Použitelné doménové řadiče

mixed

kombinovaný

Windows NT 4.0 SP4 a jakýkoli vyšší

interim

provizorní

Windows NT 4.0 SP4, Windows Server 2003

native

native

Windows 2000 Server a jakýkoli vyšší

Server 2000

Server 2003

Server 2003

Windows Server 2003 a jakýkoli vyšší

Server 2003

Server 2008

Server 2008

Windows Server 2008 a jakýkoli vyšší

Server 2008

Tab. 2.2: Typy řadičů

Obr. 3.5: Výpis aktuální úrovně doménové struktury

2.1 Návrh a design

2. Active Directory

3. Pak budeme moci provézt přepnutí všech domén postupně do úrovně Native.

40

SPRÁVA WINDOWS SERVERU 2008 známka Po

2.1.7

Již při instalaci prvního řadiče domény ve forestu pomocí Dcpromo je možné specifikovat nejvyšší funkční úroveň. Pak by bylo příslušné okno v Active Directory Domains and Trusts pouze informativní, neboť jsme v nejvyšší úrovni a výše to nejde.

Typy vztahů důvěry

Abychom mohli úspěšně navrhnout strukturu Active Directory, je třeba znát její vlastnosti po instalaci, možnosti rozšiřování struktur a také hranice, přes které nelze přejít. To je velmi důležité, abychom půl roku instalací nenarazili na strop a nemuseli vše přeinstalovat jinak! Základem této doménové komunikace je rozumět vztahům domén a chápat, které se realizují již při instalaci doménových řadičů a které bude nutné vytvářet ručně. Ručně můžeme nastavovat vztahy mezi doménami v modulu Active Directory Domains and Trusts. Automaticky vznikají vztahy důvěry při instalaci domény a jejich řadičů. Podívejme se, jaké jsou typy těchto vztahů, jejich základní vlastnosti a jak vznikají. Vztahy automatické 1. Parent-Child trust (dceřiný vztah důvěry) Trust vzniká mezi nadřízenou a podřízenou doménou. Je plně tranzitivní, obousměrný a způsobuje dědění názvu z nadřízené domény na podřízenou 2. Tree Root (kořenový vztah důvěry) Root trust je vztah mezi hlavním kořenem struktury (Forest Root) a dalším kořenem (Root). Podobně jako v předchozím vztahu i zde je plná tranzitivita a obousměrnost, ale na rozdíl od předešlého zde nedochází k dědění názvů.

Obr. 2.6: Automaticky vzniklé trusty doménové struktury

Vztahy nastavované manuálně 3. Forest trust (vztah forestů) Tento vztah důvěry lze provádět pouze od verze 2003 a vzniká mezi dvěma různými strukturami domén. Způsobuje pak jejich plnou tranzitivní i obousměrnou důvěru bez dědění názvů.

2. Active Directory


41

4. Shortcut trust (zástupná důvěra) Shortcut trust je propojením dvou domén ve stejné struktuře, které ale nejsou spolu ve vztahu rodič – dcera. Není obousměrný a slouží pouze pro urychlení a zjednodušení autentikací v rámci doménové struktury. známka Po

„Mohl byste mi Humprey už jednoznačně odpovědět zda je či není tento trust tranzitivní – ANO nebo NE?!“ „ANO i NE, pane ministře!“ Je to tak, tento trust je POLOTRANZITIVNÍ. Pro domény umístěné ve struktuře pod ním je tranzitivní. Pro domény výše položené tranzitivní není. 5. External trust (externí důvěra) Zde se jedná se o vnější navázání důvěry např. s doménou v jiné struktuře či doménou Windows NT, které struktury neznaly. Toto spojení je vždy netranzitivní a jednosměrné. Pochopitelně můžeme následně uzavřít trust i v opačném směru. 6. Kerberos trust Vztah Kerberos znamená externí spojení s objekty, které nejsou součástí operačního systému Microsoft a fungují kompatibilně s protokolem Kerberos V5. Jedná se o heterogenní důvěru. Takový vztah důvěry může být volitelně tranzitivní a nastavujeme mu jeden či oba směry provozu.

Obr. 2.7: Trusty doménové struktury vytvářené ručně

2.1 Návrh a design

2. Active Directory

Mohli jste si všimnout, že jsem u popisu tohoto typu trustu vynechal informaci, zda je či není tranzitivní. Je to trochu jako z mého oblíbeného „Jistě, pane ministře“:

42


2.1.8

Ruční definování trustu

Můžeme si již nyní v rámci informací o návrhu Active Directory ukázat postup ručně vytvořeného vztahu důvěry mezi doménami. Uvidíme, že je to jednoduché, a více se tomuto postupu nemusíme v knize věnovat. 1. Spustíme si Active Directory Domain and Trusts. 2. Zvolíme Properties na názvu domény, která má trust navázat. Pokud ji nevidíme, budeme si ji muset připojit pomocí volby Connect to Domain. 3. Vybereme kartu Trusts. 4. Po zadání požadavku na vytvoření nového trustu se dostaneme do nového průvodce pro vytváření trustů:

Obr. 2.8: Výběr nově zadávaného vztahu důvěry

5. Pokračujeme zadáním názvu domény, se kterou chceme vztah navázat. 6. Na další obrazovce vybíráme typ trustu podle předcházejícího popisu. 7. Pak se s touto doménou zkontaktujeme. U některých trustů je to nezbytné, jinak se nám nepovede průvodce dokončit. 8. Pro způsob spojení vybíráme jednu z těchto možností: Two-way pro obousměrnou důvěru mezi doménami. One-way: incoming pro důvěru v jednom směru, kdy druhá doména může přistupovat na naše zdroje, my však opačně na zdroje nesmíme. One-way: outgoing pro důvěru v opačném směru než v předchozím případě, kdy druhá doména nemůže přistupovat na naše zdroje, my však na její zdroje můžeme. 9. Aktivace je tedy zcela jednoduchá, stačí zadat správně jména domén a inicializační heslo trustového spojení.

2. Active Directory


43

2. Active Directory

Tlačítkem Remove můžeme kdykoli důvěru zrušit. V okně Active Directory Domain and Trusts → název domény → Properties → Trust máme všechny vztahy důvěry viditelné. A to jak automaticky vzniklé, tak ručně vytvořené.

Obr. 2.9: Zobrazení všech trustů s jejich vlastnostmi

2.1.9

Dotazy při instalaci

Než se pustíme do instalace Active Directory, musíme se připravit na zásadní dotazy instalační procedury a na ně zaměřit svou rozvahu. Bude se jednat především o umístění AD DS na disku, cílový počet řadičů, jejich rozmístění a rozdělení rolí FSMO a RODC. Umístění databáze Active Directory je důležité ze třech důvodů: 1. Databáze musí být zabezpečena před chybami, útočníky nebo neoprávněnými uživateli. 2. Databáze se musí nacházet na disku s dostatkem prostoru s ohledem na její několikanásobné rozrůstání (viz AD Sizer dále). 3. Vzhledem k velkému objemu stále probíhajících operací je nezbytné umístění na disku s nejvyšší možnou rychlostí. Ideální je diskové pole či disk vyhrazený pouze pro Active Directory, odlišný od disků s aplikacemi a operačním systémem. Instalace AD DS vyžaduje trojí umístění pro komponenty Active Directory: 1. Umístění vlastní databáze (Ntds.dit), 2. místo pro protokoly Active Directory (edb.log, *.log), 3. umístění svazku Active Directory SYSVOL (Policies s GPO). Upřednostněte co nejvíce jednoduchost v logické struktuře. Tedy kromě nízkého počtu domén a jednoduchého umístění serverů globálního katalogu nezapomenout na definování nízkého počtu sítí.

2.1 Návrh a design

44


2.1.10 Více řadičů Klíčovým aspektem návrhu Active Directory je odolnost vůči chybám. Nezbytným předpokladem této odolnosti je existence alespoň dvou řadičů v každé doméně, aby byl stále alespoň jeden funkční, když na druhém probíhá údržba (nebo něco horšího). Pak členové domény mohou komunikovat s libovolným doménovým řadičem uvnitř domény a díky automatické replikaci údajů mezi řadiči mají k dispozici stále aktuální databázi. Jestliže doménový řadič, který komunikuje se členem domény, nemá nejnovější informace o službě Active Directory a závislém nastavení skupinové politiky, nemůže předat klientům správné informace. Replikace zajišťuje, aby všechny doménové řadiče obdržely aktuální informace o objektech služby Active Directory a skupinové politice. K tomuto cíli se směřuje v časové ose a je tedy nemožné žádat okamžitou aktuálnost všech objektů na všech řadičích. Replikační zpoždění se pohybuje v řádu minut u běžných sítí (pět minut jako výchozí hodnota) a v řádu desítek minut u WAN (180 minut jako výchozí hodnota) a speciálních trust konektivit. Toto závisí i na struktuře interních a externích replikačních topologií. V krajním případě nepůjde o časové zpoždění, ale o úplnou nepropojenost. Může dojít k tomu, že změny v Active Directory by nikdy nedorazily na všechny doménové řadiče. Je to krajní situace, kdybychom například zaměnili replikační a časové konfigurace pro interní a externí práci sítě, či zbytečně rozdělili strukturu na dvě sítě (site). Problematiku replikační topologie a časování si ukážeme na obrázku:

Obr. 2.10: Schéma replikační topologie

2.1.11 Rozmístění řadičů a jejich rolí Pro rozmístění doménových řadičů platí několik základních doporučení, která si uvedeme. Vždy je ovšem nutné vyhodnotit originální situaci ve vaší organizaci. Jaké figurky máme k dispozici, tedy jaké máme základní typy řadičů? • Řadič FSMO (role PDC, RID, Infrastructure, Schema a Domain Naming – stejné jako ve verzi Server 2003), • globální katalog, • řadič RODC – jen pro čtení.

2. Active Directory


45

Pokud je naše organizace rozsáhlejší, zadáme operační role na doménový řadič, který není serverem globálního katalogu. Jako servery globálního katalogu pověříme řadiče domény v každé oddělené fyzické síti a v dceřiných doménách můžeme ponechat tři operační role jednoduše na prvním instalovaném řadiči. Bude tedy odlišná situace kořenové domény a situace ostatních dceřiných domén. Globální katalogy budou odděleny od operačních rolí s výjimkou Domain Naming role. Pro tento operační server doménových názvů bychom měli zajistit aby byl současně serverem globálního katalogu. V nižších funkčních úrovních je to dokonce nutnost! Operační server PDC Emulator má vyšší nároky na přenosy i místní zátěž, než ostatní role FSMO. Umístění a charakter této operační role je z hlediska návrhu řadičů tím nejdůležitějším. Nebudeme jej tedy zatěžovat jinými funkcemi ani serverovými aplikacemi a nebudeme mu aktivovat funkci globálního katalogu.

Tip

Read Only Domain Controller má oproti klasickému řadiči omezenou funkčnost. Umístíme jej do oddělených částí síťové struktury, kde potřebujeme doménový řadič kvůli některým přihlašovacím činnostem, ale nikoli pro provádění editace Active Directory. Řadič RODC replikuje s ostatními pouze jednosměrně a kvůli bezpečnosti nebude obsahovat nejcitlivější hesla uživatelů a jiných objektů. V dané doméně musíme mít minimálně jeden plný doménový řadič Windows Server 2008, abychom mohli použít RODC.

2.1.12 Problémy s operačními servery Problémy s operačními servery se mohou projevovat výrazně odlišně v závislosti na tom, o jakou roli operačního serveru se jedná. • Operační server schématu V tomto případě nelze provádět změny schématu Active Directory, tedy deklarovat nové objekty či měnit strukturu jejich atributů. Příkladem je nemožnost instalace poštovního serveru nebo databázového serveru. • Operační server doménových názvů V případě jeho výpadku nepůjde vytvořit novou doménu doménové struktury a rovněž nepůjde doménu odstranit nebo ji přesunout na jiné místo či přejmenovat (v závislosti na aktivní funkční úrovni doménové struktury). Přidávání řadičů do již existujících domén nebo jejich odebírání půjde bez problémů. • Operační server emulátoru PDC V případě jeho výpadku se může projevit několik různých problémů např. se zadáním nových hesel u některých klientů nebo s objekty zásad skupiny. Rovněž se může týkat časové synchronizace. • Operační server infrastruktury Při jeho výpadku se chyba projeví problémy se členstvím uživatelů ve skupinách, ovšem pouze v závislosti na přesunu uživatele z jedné skupiny do druhé.

2.1 Návrh a design

2. Active Directory

V případě, že máme jedinou doménu, je výhodné ponechat všechny operační role FSMO na prvním instalovaném řadiči domény, nastavit na jednom až dvou řadičích domény funkci serveru globálního katalogu a mít minimálně dva doménové řadiče.

46


• Operační server RID Protože je tento server zodpovědný za bezpečnostní relativní identifikátory, jeho výpadek způsobí nemožnost vytvoření nových bezpečnostních objektů v dané doméně, tedy např. uživatelů či skupin. Dobrou rozeznávací diagnostikou je při podezření na jeho výpadek vyzkoušet vytvoření dvou uživatelských skupin, jedné typu distribučního a druhé se zabezpečením. Pokud se vytvoření první podaří a druhé nikoli, je velice pravděpodobnou příčinou nefunkčnost RID.

2.1.13 Active Directory Sizer Databáze AD DS se provozem rozrůstá mnohdy až do stonásobku původního instalačního objemu. Důvody pro nárůst prostoru jsou nejen nové objekty, ale i jejich nové atributy – nemění počet objektů, ale jejich komplexnost. Rozumět velikosti oceníme, když se nám nevejde Active Directory na systémový disk nebo na zálohovací médium, a také při návrhu potřebného hardwaru. Program Active Directory Sizer slouží k dokonalému zjištění nároků Active Directory v naší organizaci. Má vynikající podrobnost informací, a proto je pro návrháře nedocenitelným pomocníkem. Můžeme jej stáhnout zdarma ze sekce download.microsoft.com. Jeho instalační velikost je 5 MB. Všimněte si, že program je určen pro starší verzi serverů Windows. Zadávané i předávané hodnoty jsou plně platné. Výsledné požadavky odpovídají i ve verzích Serveru o dvě vyšších. Struktura databáze, jejich objemů a transportů je totiž už delší dobu podobná. Když pro Server 2008 raději přidáme k výsledným hodnotám 20 procent navíc, bude to pochopitelně rozumné. AD Sizer je přesný, ale nezachází do absolutních podrobností typu rozmístění FSMO či komunikace VPN. Vzhledem k starší verzi programu nás může limitovat výběr doporučených počítačů na doménové řadiče a především jejich procesorů. Nečekejme tedy údaje typu P4Em64HTQUAD 4×2400 MHz, ale maximálně Xeon 800 MHz.

Obr. 2.11: Okno programu AD Sizer

Programem Active Directory Sizer provádíme kapacitní výpočty a návrhy doménové struktury formou průvodce. V něm zadáme postupně odpovědi na rozsáhlost naší organizace, počty objektů, jejich změn, přihlášení uživatelů, činností služeb atd. Po všech zadáních obdržíme rozvahu o počtu doménových řadičů, návrh jejich hardwarové konfigurace a logickou i fyzickou strukturu sítě.

2. Active Directory


47

2. Active Directory

Po stažení a instalaci programu Active Directory Sizer jej spustíme a dostaneme se do průvodce.

Obr. 2.12: Zadávání vstupních údajů v AD Sizer

V tomto průvodci budeme postupně vyplňovat hodnoty pro popis nároků naší organizace na AD DS. Půjde především o počet uživatelů v doméně, počet současně pracujících uživatelů, atributy objektu uživatel, počet skupin uživatelů a jejich členství, počet počítačů a jejich operačních systémů a dalších objektů jako organizačních jednotek, kontaktů či tiskáren. Na závěr budeme uvádět, zda provozujeme MS Exchange Server a počty průchozích zpráva a jejich příjemců. Po vyplnění všech hodnot a ukončení průvodce programu Active Directory Sizer nás čeká výsledek našeho snažení. Uvidíme, kolik potřebujeme domén, řadičů, sítí a jaká bude jejich konfigurace. Celkem se vypíší nároky na počet doménových řadičů v jednotlivých doménách a sítích, globální katalogy v jednotlivých doménách a sítích, typ a počet CPU pro počítače řadičů a zvlášť pro globální katalog, diskové požadavky, doporučená operační paměť a přenosové charakteristiky sítě. V levé části okna si označíme na požadovanou oblast a vpravo uvidíme výsledky. Zde vidíme zobrazení po jednotlivých sekcích. Ukážeme si postupně dvě části výsledné kalkulace. Jednu pro strukturu domény a druhou pro konkrétní nároky na počítač doménového řadiče s rolí bridgehead, tedy propojujícího s druhou sítí.

2.2 Instalace řadičů domény Instalace řadičů domény znamená i instalaci Active Directory DS, buď na prvním počítači v organizaci, nebo jako rozšíření služeb AD DS na další počítač. Počítač s nainstalovanými službami AD DS nazýváme řadič domény. Instalace Active Directory se provádí procesem Dcpromo. Lišit se ale může způsob, jak se tento proces aktivuje. Dcpromo lze spustit přímo, nebo ze správce rolí serveru z obrazovky komponenty Server Management.

2.2 Instalace řadičů domény

48


Obr. 2.13: Doporučení AD Sizer pro naši síť

Obr. 2.14: Hardwarová doporučení pro řadiče

2. Active Directory

49

2. Active Directory


Obr. 2.15: Spuštění Dcpromo ze správce rolí Server Management

Dcpromo lze využít jak k instalaci adresářových služeb, tak k jejich odinstalaci. Tyto základní možnosti rozezná systém sám podle toho, zda je aktuálně náš počítač řadičem domény (pak nabídne odinstalování adresářových služeb AD DS), nebo není aktuálně řadičem domény (pak nabídne instalaci adresářových služeb AD DS). Podívejme se na přepínače ovlivňující chod programu Dcpromo: • Dcpromo /answer:file Slouží k bezdotazovému režimu, kdy program pracuje podle instrukcí v textovém odpovědním souboru a to jak pro instalaci, tak pro odinstalaci. • Dcpromo /adv Pro aktivaci více pokročilých voleb při instalaci – přidá jen dvě okna navíc, tedy žádné dramatické změny • Dcpromo /? Vypíše základní nápovědu.

2.2.1

Průběh instalace

Nyní si popíšeme krok za krokem instalaci řadiče domény. Sled dotazů je odlišný od starší verze, ale až si to několikrát zkusíte, bude vše jasné. Podstatné je uvědomit si, že okna průvodce budou zásadně odlišná podle toho, jaký řadič instalujeme – je-li první ve forestu, první v doméně, přidávaný do existující domény či dokonce typu RODC. Přihlásíme se na Server jako člen skupiny Domain Admins. Instalaci spustíme třeba ze správce rolí. Po spuštění instalace Active Directory probíhá kontrolní mechanismus, který prochází již nainstalované komponenty, síťové konfigurace a další inicializační kroky. Tato inicializační fáze se bude projevovat následujícím okénkem, jehož text informující o aktuální činnosti se může měnit. Doba trvání této fáze vás nesmí překvapit, může to být i několik minut.


50


Obr. 2.16: Grafická informace o úvodních mechanismech instalace AD DS.

Po úspěšné inicializaci již nastartuje vlastní průvodce, na jehož první obrazovce (Welcome to the Active Directory Domain Services Installation Wizard) můžeme kromě výpisu nápovědy zvolit, zda chceme pokračovat průvodcem v běžném režimu nebo v režimu rozšířeném. Tomu odpovídá parametr řádkového příkazu DCPROMO /adv.

Obr. 2.17: Volíme rozšířené možnosti instalačního průvodce

Dále budeme zadávat nejdůležitější volbu celé instalace Active Directory – kam chceme náš doménový řadič začlenit v rámci firemní struktury. Nabídnou se nám následující možnosti, které vypíšu podle pořadí na obrazovce: • Instalace do existujícího forestu, • přidání doménového řadiče do existující domény, • vytvoření nové domény v existujícím forestu, • vytvoření nové kořenové domény (vytvoření ROOT ale nikoli ForestRoot), • vytvoření nové domény v novém forestu. Tato poslední možnost znamená tedy založení zcela nové doménové struktury a používá se na prvním doménovém řadiči, který bychom instalovali v naší organizaci. Průběh instalace

2. Active Directory


51

2. Active Directory

Active Directory je závislý na tom, jakou variantu vybereme. Jinak budou probíhat okna při odinstalaci, jinak při instalaci nové domény, nové struktury domén a jinak při přidávání řadiče do již existující domény.

Obr. 2.18: Výběr začlenění řadiče domény

Obr. 2.19: Zadání DNS názvu domény


52


Tím je popsána základní situace (co vlastně chceme vytvářet) a následuje zadání jména domény a to nejprve ve formátu DNS a pak ve formátu NetBIOS. Pokud jsme zadali přidání do existující domény, budeme na název této domény nyní dotázáni. A dále budou následovat specifické dotazy ohledně Additional Domain Controller Options. Naproti tomu v našem případě jsme zvolili vytvoření domény nové, a tak bude následovat okno pro zadání plnohodnotného doménového názvu, kterým naši doménu pojmenujeme ve formátu DNS. Tento název se nesmí nikdy opakovat. Pro dceřinou doménu to bude okno s definicí kořenové domény: Name the Forest Root Domain. Hned následuje zadání názvu druhého formátu. Doporučuje se, abychom tuto položku nechali ve výchozím stavu. Výchozí stav znamená, že tento název bude totožný s formátem názvu DNS, jen nebude obsahovat příponu. Tak tomu je i v našem případě, jak vidíme na následujícím obrázku:

Obr. 2.20: Potvrzení názvu NETBIOS

Řízení funkční úrovně celého Forestu můžeme provádět volbou Set Forest Functional Level již při instalaci prvního řadiče. Zadáme-li na něm nejvyšší funkční úroveň pro doménovou strukturu (tedy Windows Server 2008), nepůjde již toto nastavení nikdy změnit. Všechny ostatní domény se budou muset takto určené nejvyšší funkční úrovni přizpůsobit. U každé funkční úrovně se nám na obrazovce vypíše stručná nápověda, jaké má tato funkční úroveň vlastnosti. Pokračujeme tlačítkem Next dále a budeme vyplňovat, které vlastnosti a role bude náš řadič plnit. Toto okno bude své nabídky určovat rozdílně podle toho, jaký řadič instalujeme, zda vzniká nová doména, kolik řadičů již existuje atd. V našem případě, protože zadáváme první nejdůležitější řadič domény v celé podnikové struktuře, bude situace následující: 1. Vybírat si můžeme jediné políčko, a sice zda chceme na našem počítači současně s AD DS nainstalovat i funkci serveru DNS – políčko DNS server. My jsme zvolili, že ano, jedná se totiž o nejpřehlednější možnost.

2. Active Directory

53

2. Active Directory


Obr. 2.21: Zadání funkční úrovně celého Forestu

2. Funkce globálního katalogu je aktivovaná a nemůžeme ji změnit. První řadič domény ve Forestu musí být vždy globálním katalogem. Až nainstalujeme další řadiče, budeme mu moci tuto funkci odebrat.

Obr. 2.22: Výběr nastavení a rolí prvního řadiče ve Forestu


54


3. Funkce řadiče určeného pouze pro čtení (RODC) je třetím zaškrtávacím políčkem v našem výběru. Je deaktivované a zapnout jej nemůžeme. První řadič domény nesmí být typu RODC. Toto pole by se otevřelo teprve při instalaci druhého řadiče a mohli bychom pak i zadávat, zda budou jeho data získána replikací z řadiče původního, nebo budou přenesena ze speciálního instalačního média. Pak následuje obrazovka pro zadání umístění souborů adresářových služeb. Jako první zadáme umístění databáze, pak umístění transakčního protokolu a nakonec umístění svazku SYSVOL pro skripty a další objekty GPO. Popisy v okně Location for Database, Log Files, and SYSVOL jsou jednoznačné.

Obr. 2.23: Zadání umístění pro soubory Active Directory

Následně určujeme heslo správce pro režim obnovy adresářových služeb Active Directory ve volbě Directory Services Restore Mode Administrator Password. Názvem tohoto účtu je vždy Administrator. Heslo zadáváme zde. Doporučuji je zadat komplexní a říci to i ostatním správcům. Změnit je lze pouze příkazem Ntdsutil. Tím jsme už na samém konci instalace, žádné další nastavení nás nečeká. Všechny zadané volby uvidíme v závěrečném souhrnu. Kdybychom chtěli, je ještě možné vrátit se a něco opravit. V závěrečném souhrnu máme i zcela nové tlačítko sloužící pro export našich nastavení. Tento export je velmi zajímavou možností. Vyexportovaný soubor obsahuje všechny parametry, které jsme v průběhu instalace Active Directory zadali a můžeme ho tedy použít kdykoli později takto: • Instalaci řadiče teď můžeme přerušit, tyto exportované volby uložit do souboru a někdy příště jimi spustit automatizovanou instalaci doménového řadiče. • Instalaci řadiče můžeme spustit a tyto exportované volby použít pro instalaci řadiče stejného typu, tedy například využít stejné volby pro přidávání druhého, třetího i čtvrtého řadiče do téže domény.

2. Active Directory

55

2. Active Directory


Obr. 2.24: Heslo správce pro obnovu Active Directory

• Exportované volby upravíme a budeme je používat pro každou další automatizovanou instalaci různě upravené.

Obr. 2.25: Sumář zakončující instalaci AD DS


56


• Exportované volby uložíme a zaprotokolujeme. Budeme tak mít dobrý přehled, co jsme přesně nainstalovali, a samozřejmě i možnost provést s tímto souborem dodatečně některý z kroků 1 až 3. Formát výstupního souboru jsme zadali jako textový a název si můžeme vybrat libovolně, jak zachycuje obrázek.

Obr. 2.26: Specifikace exportního souboru

V závěrečném okně jsou všechny parametry zadané v instalaci v přehledném a stručném výpisu. I ten můžeme katalogizovat a shromažďovat jako protokol. Nejdůležitější parametry si zvýrazníme tučně: Configure this server as the first Active Directory domain controller in a new forest. The new domain name is test.bc. This is also the name of the new forest. The NetBIOS name of the domain is TEST Forest Functional Level: Windows Server 2008 Domain Functional Level: Windows Server 2008 Site: Default-First-Site-Name Additional Options: Read-only domain controller: No Global catalog: Yes DNS Server: Yes Create DNS Delegation: No Database folder: C:\Windows\NTDS Log file folder: C:\Windows\NTDS SYSVOL folder: C:\Windows\SYSVOL The DNS Server service will be installed on this computer. The DNS Server service will be configured on this computer. This computer will be configured to use this DNS server as its preferred DNS server. známka Po

Pokud aktivujeme volbu Use advanced mode installation v uvítacím okně průvodce Welcome to the Active Directory Domain Services Installation Wizard, budeme moci konfigurovat replikační zásady a další pokročilá nastavení. Replikační zásady (Password Replication Policy) nabídnou hned v Dcpromo výběr, které objekty chceme replikovat a které nikoli.

2. Active Directory


2.2.2

57

Vlastnosti serveru DNS

Z dokumentace je dostatečně známo, že nám pro Active Directory nestačí jakýkoli komunikující server DNS. Měl by mít totiž následující vlastnosti, které nejsou pro běžný internetový názvový server nutné:

Dynamický update umožňuje službám na síti zasahovat do záznamů DNS za provozu. Například server DHCP bude moci změnit adresy IP v záznamech DNS pro klienty, kterým je změněné přidělil a potvrdil svým rámcem ACK. • RFC 2782 – DNS Server Service Record SRV Records jsou adresami služeb umístěných na jednotlivých klientech sítě. Jedná se tedy o přesnější „optiku“ pohledu na síť, kdy DNS již zaostřuje hlouběji než na IP adresy klientů a jejich síťových rozhraní. • RFC 1995 – DNS Server Incremental Zone Transfer Inkrementální přesuny umožňují neposílat mezi DNS Servery celý obsah zóny při její jakékoli změně, ale posílat po síti jen ty záznamy, které byly změněny. Povinné pro instalaci AD DS je splnění RFC 2782 . Bez této podpory na straně serveru DNS nebude Dcpromo fungovat. Tento typ záznamu odkazuje na umístění služeb Active Directory (např. služby Kerberos či globálního katalogu) v rámci sítě (dává jméno a následně i IP) a také řídí přístup k těmto službám (číslo portu).

Tip

Obr. 2.27: Záznamy SRV v databázi DNS


2. Active Directory

• RFC 2136 – DNS Server Dynamic Update

Toto je pouze náhled elektronické knihy. Zakoupení její plné verze je možné v elektronickém obchodě společnosti eReading.

Obsah. Obsah. Úvod Vlastnosti a instalace Active Directory...31

Recommend Documents