Project: Windows 2000 Professional Vossenberg Special Products & Vossenberg Aero Structures
Project: Windows 2000 Professional Vossenberg Special Products & Vossenberg Aero Structures
Naam: Tinus Plotseling Datum: 13 – 02 - 2003 BPV bedrijf: Vossenberg Special Products b.v. BPV begeleider: P. van der Voordt BPV docent: J. Stegeman School: Alfa College (MBO) Richting: ICT Niveau 4 Leerjaar: 4
2 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
Inhoudsopgave
Inleiding_________________________________________________________________ 4
1.
WINDOWS 2000 PROFESSIONAL _________________________________ 5
1.1.
De Active Directory: Forest en domein structuur ________________________________ 5 Forest _______________________________________________________________________ 5 Domein structuur _____________________________________________________________ 6
1.1.1. 1.1.2. 1.2.
Group policies _____________________________________________________________ 8
2.
BEVEILIGING __________________________________________________ 9
2.1.
Bedrijf beveiliging policies ___________________________________________________ 9
2.2.
Virus beveiliging ___________________________________________________________ 9
2.3.
Remote Access ____________________________________________________________ 9 Inbellen ______________________________________________________________________ 9 VPN connecties _____________________________________________________________ 10 Boot wachtwoorden _________________________________________________________ 10 Auditing _____________________________________________________________________ 10 Encrypting File System ______________________________________________________ 10 Smartcard logon_____________________________________________________________ 10 IPSEC ______________________________________________________________________ 10
2.3.1. 2.3.2. 2.3.3. 2.3.4. 2.3.5. 2.3.6. 2.3.7.
3.
NETWERKSTRUCTUUR ________________________________________ 11
3.1.
LAN verbindingen _________________________________________________________ 11
3.2.
Wan verbindingen _________________________________________________________ 12
3.3.
Domain Name Server (DNS) _________________________________________________ 12 DNS zones _________________________________________________________________ 12
3.3.1. 3.4.
DHCP Servers ____________________________________________________________ 13 DHCP en DNS services _____________________________________________________ 13 DHCP en de nieuwe omgeving _______________________________________________ 14
3.4.1. 3.4.2.
3 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
Inleiding Vossenberg Special Products (FSP) en Vossenberg Aero Structures (FAE) zijn samen een nieuw bedrijfsonderdeel gevormd binnen Stork. Dit nieuwe bedrijfsonderdeel heet Vossenberg AESP b.v. Omdat deze bedrijfsonderdelen van Stork samen zijn gegaan wordt op het gebied van IT gestreefd naar een standaardisatie. Als onderdeel van deze standaardisatie is gekozen voor een migratie van de werkplekken naar Windows 2000. Door dit te migreren hoopt men het integratie proces van de bedrijfsonderdelen te bespoedigen. De eerste stap in een besparing op de ICT kosten is te bereiken door het samenvoegen van de twee gescheiden Windows netwerken van FAE en FSP. De meest optimale manier van integreren is de twee gescheiden omgevingen te laten opgaan in één nieuwe Windows omgeving. De oude Windows omgevingen van Vossenberg FAE en FSP is een Windows NT4 omgeving. Door de nieuwe Vossenberg omgeving direct op te bouwen in Windows 2000 is Vossenberg in staat om de twee gescheiden ICT omgevingen direct te combineren in een nieuwe up-to-date Windows 2000 netwerk. Vanwege de verwachte problemen bij de migratie van de applicatieservers van Vossenberg in de huidige NT4 domeinen is besloten om dit jaar uitsluitend de gebruikers en de werkstations van Vossenberg te migreren naar het nieuwe Windows 2000 domein. De FAE omgeving bestaat uit ongeveer 550 office werkplekken, 40 productie- en 60 sterktewerkplekken werkplekken. De FSP omgeving bestaat uit ongeveer 450 office werkplekken en 50 productie werkplekken. Alleen de office werkplekken worden vervangen of geüpdate met Windows 2000 Professional. De office computers van FSP zullen gedeeltelijk worden vervangen door nieuwe computers en gedeeltelijk een upgrade met hardware krijgen. De computers bij FAE worden allemaal vervangen door nieuwe computers. Als alle computers vervangen of geupgrade zijn voldoen ze aan de minimale systeemeisen die FSP en FAE voor de nieuwe omgeving hebben gedefinieerd. Op de te vervangen systemen werd over het algemeen gebruik gemaakt van Windows 95. Omdat de beveiliging niet al te goed is hadden veel gebruikers eigen software geïnstalleerd. Met de nieuwe omgeving wordt er voor gezorgd dat dit niet meer kan. De manier waarop dit project is uitgevoerd is de top-level methode. In de eerste fase is dit bepaald. In de top-level methode komen de volgende punten naar voren: •
De Active Directory;
•
Beveiliging aspecten;
•
De netwerk infrastructuur;
•
Beheer aspecten;
•
Migratiescenario’s;
•
Tot slot het tijdspad en de kosten.
In dit verslag wordt dieper ingegaan op de Active Directory, beveiliging aspecten en de netwerk infrastructuur.
4 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
1.
Windows 2000 Professional 1.1.
De Active Directory: Forest en domein structuur
Vossenberg Special Products en Vossenberg Aero Structures hadden een Windows NT4 domein. Omdat FSP en FAE zijn samengegaan is er een mogelijkheid om op een verbeterde communicatie tussen de twee bedrijven te bewerkstelligen. 1.1.1.
Forest
Bij Windows NT4 wordt er gebruik gemaakt van domeinen, dit domeinenbegrip vervalt in Windows 2000. Domein:
Volgens het woordenboek ‘van Dale’ is een domein een gebied waarin iemand het voor het zeggen heeft. In de ICT is een domein een logische verzameling gebruikers en computers die een gemeenschappelijke beveiligingdatabase delen, hierbij heeft een domeinadministrator het voor het zeggen.
Het domeinen begrip dat onder Windows NT4 wordt gebruikt wordt anders geïnterpreteerd in Windows 2000 namelijk door de Active Directory, dit us een database waarin niet alleen informatie over gebruikers en groepen maar ook andere informatie kan worden opgeslagen. Het inrichten van een Active Directory is niet zo eenvoudig als het inrichten van een Windows NT4 domein. Het is een lastig proces dat nauw verbonden is met de TCP/IP en DNS configuratie. Als één van deze twee een probleem heeft, kan dit gemakkelijk leiden tot problemen met de Active directory. Binnen de Active Directory wordt nog wel gebruik gemaakt van domeinen, alleen zijn nu al deze domeinen met elkaar verbonden. Al deze met elkaar verbonden domeinen noemen we een forest.
Bron: www.microsoft.com
Een forest bestaat dus uit één of meer domeinen. Domeinen in een forest hebben een twoway transitive trust relatie met elkaar. Hierdoor is het mogelijk om gebruikers uit verschillende domeinen toegang te verlenen tot dezelfde informatie. Alle domeinen delen een gemeenschappelijke database met velden (het schema) en alle domeinen hebben een zelfde centrale adreslijst (global catalog). 5 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
Bij het gebruik van een Windows 2000 Active Directory is het inrichten van een forest zeer belangrijk. De eerste keuze die gemaakt moet worden is of er één forest gebruikt gaat worden of dat er meerdere gebruikt moeten worden. Redenen om te kiezen voor meerdere forests zijn: •
Politieke, organisatorische of juridische redenen; Hier gaat het om het vertrouwen van elkaar en sommige afdelingen moeten juridisch gescheiden blijven.
•
Aantal objecten; In Windows 2000 kan een single forest zoveel objecten bevatten als dat de domain controllers fysiek aankunnen. Uitstekende resultaten met miljoenen objecten kwamen uit verschillende testen. Vossenberg heeft niet meer dan 2000 gebruikers en zal niet boven de 25000 objecten uitkomen.
Vossenberg ziet momenteel geen nut in het gebruik van meerdere forests, mocht het in de toekomst wel nodig zijn dan kunnen deze zonder problemen toegevoegd worden. Vossenberg is onderdeel van Stork dus zal daarom binnen het forest van Stork worden opgenomen. 1.1.2.
Domein structuur
Bij het bepalen van de domeinstructuur worden een aantal factoren in overweging genomen. Namelijk de volgende: Domein replica: Door het opsplitsen van de ICT omgeving in meerdere domeinen worden kleinere domeinen gecreëerd, waardoor het replicaverkeer tussen deze domeinen minder groot is dan binnen een enkel groot domein. Dit zou zinvol kunnen zijn als de domeinen worden verbonden aan geografische locaties, zoals nu het geval is met Vossenberg voor Papendrecht (FAE) en Hoogeveen (FSP). Rechtenstructuur: Leden van de “Domain Administrators” groep hebben een bijzondere positie in de rechtenstructuur van een domein. Als er gebruik wordt gemaakt van single domain structuur is er maar één Domain Administrator account nodig. Het is belangrijk dat deze groep overal rechten tot heeft. Wanneer er meerdere domeinen zijn ben je als Domain Administrator beperkt tot je eigen domein waardoor een scheiding ontstaat van de verantwoordelijkheden. Domein Administrator:
Een domein administrator is een super gebruiker met alle rechten binnen zijn domein.
Group policies: Per domein moeten er verschillende group policies worden gedefinieerd. Binnen een domein zullen de policies standaard door worden gegeven, het overerven van policies. Dit is niet mogelijk tussen verschillende domeinen hoewel dit wel gelinkt kan worden maar tussen domeinen heeft dit weer als nadeel dat er vrij veel replicatie verkeer zal optreden tussen de twee domeinen. Group policies:
Dit zijn computer en gebruiker instellingen die van een centrale plaats kunnen worden ingesteld. Policies instellingen zijn bijvoorbeeld de schermachtergrond, of gebruikers wel of niet software mogen installeren, of er gebruik gemaakt mag worden van bepaalde software, etc.
Overerven en delegeren van rechten werkt niet domein overstijgend. Binnen een domein worden rechten vastgelegd. In een standaard omgeving zullen de rechten met behulp van 6 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
een hiërarchische structuur van organizational units doorvloeien van boven naar beneden. Dit doorvloeien van rechten kan niet worden gerealiseerd tussen domeinen. Hiervoor zullen de rechten van ieder domein afzonderlijk moeten worden ingesteld en dit kan zorgen voor aanzienlijk meer beheer. Organization Unit (OU):
Dit is een groepje van computers en gebruikers die vanuit het oogpunt van het ICT beheer gelijkwaardig zijn. Een OU wordt gebruikt om de grote groep gebruikers en computers in een domein verder onder te verdelen. Een OU heeft in principe geen enkele connectie met de organisatie structuur van een bedrijf.
Configuratie en ouderhoud: Het configureren en onderhouden van de replicatiestructuur (selectie van bridgehead servers) is complexer. Binnen een Windows 2000 forest zijn er minimaal twee replicatie ringen aanwezig tussen de domein controllers. De eerste ring is verantwoordelijk voor het repliceren van domein gerelateerde items. De andere ring doet dit voor de forest gerelateerde items. Deze replicatie gebeurd met behulp van bridgehead servers op de verschillende locaties (Papendrecht en Hoogeveen). In een single domein omgeving zullen alle bridgehead servers beide rollen kunnen vervullen. Bridgehead servers:
Replicatie tussen verschillende Windows 2000 sites gebeurt d.m.v. bridgehead servers. Deze serverrollen worden automatisch toegekend aan één of meer van de aanwezige domeincontrollers binnen een site. Al het replicatieverkeer vanuit een site zal naar deze bridgehead server worden gestuurd en zal vanuit deze bridgehead servers verder worden gerepliceerd. ( Hieronder een voorbeeld van bridgehead servers )
In dit voorbeeld kunnen site A en site B gezien worden als de verschillende locaties
De beveiliging van een Windows NT4 domein is minder nauwkeurig te regelen dan die van een Windows 2000 domein. Waardoor het regelen van verschillende externe beheerders in Windows 2000 voor het toegang hebben tot bepaalde delen van het domein beter geregeld kan worden. Daarom is het verstandig om voor het Windows 2000 domein een single domain te gebruiken. 7 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
De policy van de Stork Active Directory vereist het gebruik van een single domain. In overleg is bepaald dat FAE en FSP in een overgangssituatie onder het nieuwe domein twee child domeinen mag plaatsen. Binnen een enkel domein is het goed mogelijk om beheersactiviteiten te overdragen aan verschillende organisatie onderdelen of aan externe beheersorganisaties. Voor het beheren van gebruikers en werkstations zou de huidige beheerstructuur dus hetzelfde kunnen blijven. De domein controllers binnen één domein zijn zo met elkaar verbonden dat het absoluut verkeerd is om deze door meerdere beheersorganisatie te laten beheren. Voor het beheren van de domain controllers in het nieuwe domein zal dus een keuze voor één beheerpartij moeten worden gemaakt, deze is dan verantwoordelijk voor het beheren van deze domain controllers. Omdat de beide beheerspartijen hun Service Level Agreement alleen kunnen halen indien de domain controllers van het nieuwe domein goed functioneren zullen hierover tussen de beide beheersorganisaties onderlinge afspraken moeten worden gemaakt. Service Level Agreement: Een Service Level Agreement (SLA) is een contract tussen klant en leverancier over het te leveren niveau en type service. Vervolgens wordt bijgehouden of de klant ook daadwerkelijk krijgt waar hij voor betaalt. Een SLA wordt o.a. opgesteld voor een organisatie die een deel van de automatisering wil uitbesteden aan een leverancier. Ook kunnen SLA's worden opgezet voor de verschillende afdelingen binnen een organisatie. De kosten worden dan per afdeling afgestemd en het gebruik wordt per afdeling verrekend. Zo worden de kosten van de automatisering beheersbaar en controleerbaar gehouden.
Het nieuwe domein zal bestaan uit drie sites: Papendrecht, Hoogeveen en Schiphol. Op elke locatie moet een Windows 2000 domeincontroller komen te staan. Hiervoor moeten er dus drie additionele domein controllers worden aangeschaft. FSP: •
Één Windows 2000 domain controller van het nieuwe domein voor de locatie Hoogeveen
•
Twee Windows 2000 domain controllers van het nieuwe domein. Één voor de locatie Papendrecht en één voor de locatie Schiphol.
FAE:
1.2.
Group policies
Met group policies kan precies worden bepaald wat een gebruiker wel en niet mag doen op zijn of haar werkstation. Door de group policies verstandig te gebruiken kan een werkomgeving van een gebruiker zo worden gecreëerd dat de kans op verstoring van de gebruiker kleiner wordt. Group policies verduidelijken de computerinstellingen voor de groepen gebruikers, individuele gebruikers en/of computers. Om een Windows 2000 omgeving goed te beheren is het gebruik van group policies bijna onvermijdelijk. Hier bij Vossenberg zal voor de nieuwe Windows 2000 omgeving dan ook gebruik worden gemaakt van group policies. Het beheer van de nieuwe omgeving kan een stuk eenvoudiger worden door het gebruik van deze group policies. Goed gebruik van de group policies houd onder andere in dat de policies ingesteld worden voor een zo hoog mogelijk niveau in de active directory OU-niveau. Het gebruik van te veel policies kan leiden tot een onoverzichtelijk geheel. Daarom worden group policies bijvoorkeur ingesteld op organization units en groepen gebruikers en computers. Hoewel het technisch mogelijk is om ook group policies in te stellen op individuele gebruikers. Deze situatie is moeilijk te beheren.
8 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
2.
Beveiliging
Beveiliging is tegenwoordig een belangrijk punt omdat criminaliteit en virusinfecties rond computers steeds vaker voorkomen. In de ontwikkelfase speelt de beveiliging een belangrijke rol. Alles wat gemaakt wordt moet goed getest worden om er voor te zorgen dat de beveiliging zo goed mogelijk is.
2.1.
Bedrijf beveiliging policies
Een technische oplossing voor het ontbreken van beveiligingsprocedures binnen een bedrijf is er niet. De gebruikte data moet geclassificeerd worden, dit wil zeggen dat er gekeken moet worden naar de data welke bijzondere aandacht verdient. De groepen- en rechtenstructuur moeten goed worden gedefinieerd om te kunnen zeggen wie mag welke data inzien. Vossenberg moet zich houden aan de security policy van Stork. In deze security policy is onder andere vastgelegd dat: •
Toegang tot de computersystemen beperkt moet worden tot geautoriseerde gebruikers;
•
Aanpassingen aan het lokale netwerk moeten worden uitgevoerd op basis van change management procedures.
De Security Policy van Stork is een document dat momenteel niet wordt beheerd. In dit document staan een aantal richtlijnen zoals het gebruik van wachtwoorden op de computers die het beheren van de computers een stuk lastiger en tijdrovender zullen maken. In overleg met Stork zal worden bepaald in welke mate de nieuwe omgeving zich aan deze policies zal moeten vol doen.
2.2.
Virus beveiliging
Virussen zijn altijd al een groot probleem geweest, tegenwoordig zie je overal virussen opduiken via o.a. e-mail. Omdat er bij Stork gebruik wordt gemaakt van e-mail moeten alle computers voorzien worden met een up-to-date virusscanner. Alle computer bij FAE en FSP binnen de nieuwe omgeving zullen dan ook allemaal voorzien worden van een virusscanner. Met het programma SMS 2.0 worden de virusscanners dan geregeld vernieuwd om up-todate te blijven.
2.3. 2.3.1.
Remote Access Inbellen
Op basis van de Stork security policy mogen er geen modems worden gekoppeld aan computers die zijn verbonden aan het lokale netwerk. Alle remote access moet verlopen via het Stork Net. De bestaande remote access oplossing bij FAE en FSP is zo opgezet dat er uitsluitend kan worden ingebeld naar het Stork net. Deze mogelijkheden zijn beveiligd door middel van Token Acces Cards. Het idee achter deze werkwijze is dat het dus niet genoeg is om een user account en password te hebben, maar ook fysiek bezit van de token generator vereist is (2-factor authenticatie). Ook in de nieuwe omgeving wordt deze methode gebruikt. Er zijn geen redenen om dit beleid te wijzigen en dit beleid zal dan ook worden overgenomen in de nieuwe omgeving.
9 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
2.3.2.
VPN connecties
Momenteel maakt FAE al gebruik van VPN verbindingen (Virtual Private Network). De Stork corporate security policy vereist dat alle partner verbindingen via SorkNet lopen en dat deze verbindingen dagelijks worden gecontroleerd. 2.3.3.
Boot wachtwoorden
Op basis van de StorkNet securiy policy moeten alle computers worden voorzien van een boot-up wachtwoord. 2.3.4.
Auditing
Windows ondersteunt het vastleggen van security gegevens zoals het aan- en afloggen van gebruikers en de toegang tot bestanden. Deze informatie kan handmatig of door middel van tools worden geanalyseerd vanuit de eventlogs. Het is aan te raden auditing te gebruiken. 2.3.5.
Encrypting File System
De Stork security policy classificeert data in drie verschillende types: •
Non classified
•
Classified: Stork only
•
Classified: Stork Secret
De standaard data die FAE en FSP gebruiken is non-classified. Deze data mag ongecodeerd worden opgeslagen op de lokale file server. Alle andere data mag niet ongecodeerd worden opgeslagen. De classified-Stork-only data moet gecodeerd worden opgeslagen op een fileserver of op een diskette. Classified: Stork secret moet gecodeerd worden opgeslagen op een diskette. Diskettes met geclassificeerde data moeten in een kluis worden opgeborgen. De Stork security policy vereist dat alle data op laptops gecodeerd wordt opgeslagen. Om bestanden op de file systems van laptops en servers onleesbaar te maken voor derden, kan encrypting file system (EFS) gebruikt worden. De Stork security policy vereist dat deze encryptie gebeurt op basis van het boot wachtwoord. 2.3.6.
Smartcard logon
Smartcards zijn kaartjes even groot als een bankpas en bevatten een kleine microprocessor en een kleine hoeveelheid geheugen. Deze ‘nanocomputer’ kan een sleutel bevatten en daarmee kunnen encryptiefuncties uitgevoerd worden. Om de kaart zo’n functie te laten uitvoeren (bijvoorbeeld om aan te loggen op een werkstation), is behalve bezit van de smartcard, een wachtwoord of pincode nodig. Smartcards worden tegenwoordig vaak ingezet om toegang tot het netwerk extra te beveiligen. Bij het gebruik van login namen en wachtwoorden komt het vaak voor dat gebruikers de wachtwoorden van hun collega’s weten en ook gebruiken voor het uitvoeren van werkzaamheden. Dit is meestal ongewenst en kan met behulp van smartcards worden voorkomen. Smartcard logon werkt op basis van certificates en vereist daarom een Certificate Authority. Toepassing van smartcards bij de nieuwe omgeving maakt geen onderdeel uit van dit project, maar is in de toekomst wel mogelijk. 2.3.7.
IPSEC
Internet Protocol SECurity (IPSEC) versleuteld netwerkverkeer, zodat het niet leesbaar is als dit wordt onderschept. IPSEC kan gebruik maken van het Windows 2000 standaard authenticatie protocol (kerberos v5) of van X.509 certificates. Indien gebruik wordt gemaakt van X.509 certificates, kan ook gebruik worden gemaakt van VPN’s door L2TP over IPSEC.
10 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
3.
Netwerkstructuur
De basis van een netwerk is de infrastructuur. De netwerk infrastructuur bij Vossenberg bestaat uit lokale netwerken en koppelingen tussen de verschillende locaties (LAN en WAN). De lokale netwerken bestaan uit switches, hubs, routers en netwerkkabels.
3.1.
LAN verbindingen
LAN staat voor Local Area Network, dit houd in een lokaal netwerk. Bij FSP is een gigabit ethernet backbone aanwezig, waar de werkstations via 10 of 100 Mb aansluitingen mee verbonden zijn. 85% procent van de werkstations zijn via 16 Mb tokenring met dit ethernet netwerk verbonden. De infrastructuur die bij FSP en bij FAE wordt gebruikt is niet geschikt voor de nieuwe Windows 2000 omgeving, dit is een tokenring netwerk en deze wordt omgezet naar een ethernet netwerk die wel geschikt is voor de nieuwe omgeving. Bij FAE is er al een ethernet netwerk aanwezig en is hierdoor geschikt voor de nieuwe Windows 2000 omgeving. Alle computer worden bij FAE vervangen dus zullen deze voor dat ze bij de gebruiker in gebruik worden genomen worden geprepareerd met Windows 2000. Bij FSP is dit niet het geval. Er is geen ethernet netwerk aanwezig wel een tokenring netwerk, tijdens de migratie wordt deze tokenring netwerk omgezet naar een ethernet netwerk. De computers worden of vervangen of geüpgrade.
voorbeeld van een Local Area Network
11 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
3.2.
Wan verbindingen
WAN staat voor Wide Area Network, dit is een computernetwerk dat niet is gebonden aan een gebouw maar de computers kunnen wereldwijd verspreid staan. Bij Vossenberg wordt gebruik gemaakt van een WAN doormiddel van huurlijnen. De belangrijkste verbinding is die tussen Vossenberg Special Products (FSP) en Vossenberg Aero Structures (FAE). Dit is een 2MB/sec verbinding.
voorbeeld van een Wide Area Network
3.3.
Domain Name Server (DNS)
Bij het inrichten van een Windows 2000 domein is een DNS nodig. DNS koppelt IP adressen aan namen. Domain Name Server:
DNS is een service die zorgt voor de vertaling van host namen (b.v. www.Vossenberg.nl) naar IP adressen. Met behulp van deze IP adressen kunnen computers onderling communiceren. Nieuw in Windows 2000 is dat computers ook in DNS kunnen zoeken naar computers met bepaalde functies b.v. computers die functioneren als domein controller.
Windows 2000 gebruikt DNS om computers te kunnen vinden. De beschikbaarheid van DNS beïnvloed direct de beschikbaarheid van de Active Directory (AD). Werkstations zijn afhankelijk van DNS om domain controllers (DC’s) te kunnen vinden en DC’s vertrouwen op DNS om andere DC’s te vinden. Vanwege de afhankelijkheid van DNS en de belasting van de WAN verbinding is het gunstig om op elke site minimaal één DNS server te plaatsen. In de nieuwe Windows 2000 omgeving wordt ook gebruik gemaakt van een DNS server. 3.3.1.
DNS zones
DNS servers worden over bepaalde DNS delen verantwoordelijk deze delen noemen we DNS zones. Een voorbeeld van een zone is de .nl zone, of hier weer een subzone van, Vossenberg.nl. Allebei zijn ze een voorbeeld van een zone. De .nl zone heeft in het voorbeeld van Vossenberg.nl een stukje verantwoordelijkheid afgestaan aan de DNS server van Vossenberg. Hierdoor is deze een Vossenberg DNS server verantwoordelijk voor de DNS zone Vossenberg.nl.
12 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
In Windows 2000 is een nieuw type DNS Zone opgenomen, AD (Active Directory) intergrated zones. Dit type heeft twee belangrijke voordelen. De zone is geïntegreerd in de AD, hierdoor zal de replicatie mee lopen in de normale AD replicatie. Het tweede voordeel en ook het grootste is de mogelijkheid tot secure updates. Iedere keer dat een werkstation of server opstart zal hij zich registreren bij DNS. Deze handeling kan eenvoudig worden misbruikt bijvoorbeeld door een werkstation die zich met een server naam aanmeld. Om misbruik te voorkomen kan beter gebruik worden gemaakt van secure updates. Hierbij kan per DNS record worden aangegeven door welke computers of gebruikers de records mogen worden aangepast. Alle domains die voor FSP, FAE en de nieuwe omgeving zullen worden aangemaakt zullen Active Directory Integrated domains worden. Op elke site van de nieuwe omgeving zullen domain controllers worden geplaatst. Op deze domain controllers zal DNS geïnstalleerd worden.
3.4.
DHCP Servers
DHCP is een service die er voor zorgt dat werkstations automatisch een IP adres krijgen. Het voordeel van een DHCP server is dat een beheerder niet meer de IP adressen handmatig hoeft in te voeren. Het gebruik van een DHCP server vereenvoudigt het beheer en voorkomt fouten zoals het dubbel toewijzen van IP adressen. Bij het toekennen van IP adressen kunnen er ook DHCP opties worden meegegeven. Deze opties zijn onder andere het automatisch toekennen van de DNS servers, WINS servers en default gateway. 3.4.1.
DHCP en DNS services
De Windows 2000 DHCP servers zijn in staat om voor werkstations de registratie bij DNS te verzorgen. De IP adres records worden hierbij door de DHCP service aangeleverd en bij het verlopen van een DHCP lease zorgt dezelfde DHCP service ervoor dat deze records worden verwijderd uit de registratie database.
13 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
3.4.2.
DHCP en de nieuwe omgeving
In Windows 2000 is DHCP aanzienlijk verbeterd ten opzichte van Windows NT4 en biedt o.a. een betere ondersteuning aan voor de RIS servers (RIS servers zijn voor het installeren van werkstations). De oude NT4 DHCP servers moet worden gemigreerd naar de Windows 2000 servers.
14 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling
Verslag ontvangen d.d.
18
februari 2003
--> OP TIJD
Verslag 2 is goedgekeurd Cijfer: 8,5
Niveau: 4
Verslag: Totaal indruk van het verslag : goed Inleiding / samenvatting : voldoende Onderwerp behandeling (Kern) : voldoende Toepassing binnen het BPV bedrijf : goed Slotwoord / conclusie : onvoldoende Literatuur overzicht : voldoende Taal gebruik : goed Bijlagen : n.v.t. Tekenwerk : n.v.t. 22 februari 2003 Met vriendelijke groet, Jan Stegeman
mail to:
[email protected]
15 Project: Windows 2000 Professional – Vossenberg Special Products & Vossenberg Aerospace -- Gemaakt door: Tinus Plotseling