Téma 3 - řešení s obrázky Hlavním cílem tohoto cvičení je vytvořit doménovou strukturu, kterou je možné vidět na obrázku 1. Seznámit se a prozkoumat základní administrační prostředky služby AD, vytvořit vyhledávací dotaz. Dále si vyzkoušíte vytvořit vztah důvěryhodnosti mezi doménami a roli globálního katalogu. Nakonec bude odchycen Logon proces programem Wireshark. Servery, které budete importovat, mají nastavený pouze název ve tvaru S-ITAcademy, S-SW-ITAcademy…
Obrázek 1 - doménová struktura
1. Importujte servery Server-ITAcademy, Server-SW-ITAcademy,Server-HW-ITAcademy, ServerIT a klientskou stanici Windows 7 do prostředí Hyper-V tak, jak jste se naučili v předešlém cvičení.
2. Spusťte servery,přihlašte se jako Administrator (heslo 7Cisco14) a postupně všem přidělte statickou IP adresu : (Start->Ovládací panely->Centrum síťových připojení a sdílení->Změnit nastavení adaptéru->Pravý tl. myši nad adaptérem->Vlastnosti->Protokol IP verze 4 (TCP/IPv4)->Vlastnosti) a. Server-ITAcademy: 10.11.12.1/24 b. Server-SW-ITAcademy: 10.11.12.2/24 c. Server-HW-ITAcademy: 10.11.12.3/24 d. Server-IT: 10.11.12.4/24 e. Stanice Windows7: 10.11.12.5/24
3. Na Server-ITAcademy přidejte roli AD DS (Active Directory Domain Services)(Správce serveru->Přidat role->AD DS(Active Directory Domain Services)-> (Přidání funkcí potvrďte))
4. Vytvořte ze serveru Server-ITAcademy řadič kořenové domény ITAcademy.local dle následující konfigurace: (Správce serveru->Role->Služba AD DS(Active Directory Domain Services)->Spusťte průvodce instalací služby Active Directory Domain Services(dcpromo.exe) a. Použijte rozšířený režim instalace b. Úroveň funkčnosti nastavte pro Windows Server 2008 R2 c. Nainstalujte DNS server d. Heslo nastavte 7Cisco14 e. Po dokončení restartujte!
5. Všimněte si, co se stalo s lokálním účtem Administrator
6. Zjistěte úplný název počítače (Správce serveru -> Úplný název počítače)
7. Na serveru Server-SW-ITAcademy přidejte roli AD DS stejně jako u serveru ServerITAcademy
8. Nastavte adresu DNS na server Server-ITAcademy (Start->Ovládací panely->Centrum síťových připojení a sdílení->Změnit nastavení adaptéru->Pravý tl. myši nad adaptérem>Vlastnosti->Protokol IP verze 4 (TCP/IPv4)->Vlastnosti)
9. Ze serveru Server-SW-ITAcademy vytvořte řadič podřízené domény SW.ITAcademy.local nadřízené kořenové domény ITAcademy.local. Konfiguračního průvodce spusťte přes příkazovou řádku. (Start->cmd->příkaz dcpromo). Neinstalujte DNS! Ostatní nastavení zůstávají stejná. Při delegování pověření použijte ůčet Administrator s heslem 7Cisco14.(Níže obsažené screeny neobsahují screeny, které se již vyskytli při konfiguraci serveru ServerITAcademy)
10. Absolutně stejným způsobem vytvořte ze serveru Server-HW-ITAcademy doménový řadič podřízené domény HW.ITAcademy.local nadřízené kořenové domény ITAcademy.local.
11. Ze serveru Server-IT vytvořte doménový řadič domény IT.local, která je novým kořenem aktuální doménové struktury. (Nastavení DNS adresy, Přidat roli AD DS, Spustit konfiguračního průvodce dcpromo.exe…(DNS server instalovat))
12. Prozkoumejte strukturu Active Directory DS na serveru Server-ITAcademy a ověřte, že jsou přítomny všechny doménové řadiče(Správce serveru- >Role->Služba AD DS->Lokality a služby Active Directory->Sites->Default-First-Site-Name->Servers)
13. Na stejném serveru otevřete Centrum správy služby Active Directory ( Start -> Nástroje pro správu->Centrum správy Active Directory)
14. Přidejte navigační uzel domény SW.ITAcademy.local (Přidat navigační uzly)
15. Vyhledejte uživatele Administrator pomocí Globálního hledání, prozkoumejte kritéria, která jsou možná a prozkoumejte vlastnosti uživatele( Levá část Centra správy služby AD >Globální hledání (Přidat kritéria, Vlastnosti (Pravá část Centra správy služby AD)) )
16. Na Serveru_ITAcademy otevřete Domény a vztahy důvěryhodnosti služby Active Directory (Start -> Nástroje pro správu-> Domény a vztahy důvěryhodnosti služby Active Directory)
17. Zjistěte, kterým doménám doména SW.ITAcademy.local důvěřuje. (Uzel ITAcademy.local >Pravý tl.myši nad SW.ITAcademy.local->Vlastnosti->Vztah důvěryhodnosti)
18. Vytvořte nový jednosměrný příchozí vztah důvěryhodnosti domény SW.ITAcademy.local s doménou IT.local s heslem 7Cisco14(Záložka Vztahy důvěryhodnosti -> Nový vztah důvěryhodnosti…(Dole))
19. Otevřete Uživatelé a počítače služby Active Directory (Star->Nástroje pro správu-> Uživatelé a počítače služby Active Directory)
20. Vytvořte a uložte vyhledávací dotaz, který v doméně ITAcademy vyhledá všechny skupiny, která začínají na písmeno A. ( Pravý tl. myši nad Uložené dotazy ->Nová položka->Dotaz)
21. Přidejte klientskou stanici Windows7 do domény SW.ITAcademy.local (Start->Pravý tl.myši nad Computer->Properties->Change settings->Change)
22. Zkuste suspendovat hlavní řadič doménové struktury Server_ITAcademy a z klientské stanice Windows 7 se přihlásit na účet Administrátora v doméně HW.ITAcademy.local. Bude přihlášení úspěšné bez Serveru_ITAcademy? Nebude, jelikož globální katalog není přítomný. Řadič domény Server_SW_ITAcademy nezná uživatele Administrator z domény HW. V tomto případě se obrací na globální katalog, ten ale není v této chvíli přístupný a proto přihlášení selže.
23. Vraťte Server_ITAcademy do provozu. 24. Odhlaste se ze stanice Windows 7 (Start->Logoff) 25. Nyní se pokuste zachytit Logon proces uživatele Administrator v doméně SW.ITAcademy.local pomocí programu Wireshark (Spustit Wireshark na serveru Server_SW_ITAcademy->Vybrat síťový adaptér->Na stanici Windows 7 připravit přihlášení uživatele Administrator do domény SW.ITAcademy.local->Stiskněte v programu Wireshark Start a poté se přihlašte na stanici Windows7->Po přihlášení zastavte analyzér)
26. V programu Wireshark vyfiltrujte protokol Kerberos a prozkoumejte, jaké informace se přenáší ( Filter->Kerberos; zaměřte se na položky s popisem AS-REQ,AS-REP,TGS-REQ,TGSREP)
Pro maximálně detailní informace doporučuji - http://www.samuraj-cz.com/clanek/kerberosprotokol-a-single-sign-on/
27. Na serveru Server_ITAcademy spusťte Diagnostiku stavu řadičů domény, doménových struktur a instancí služby AD LDS pro server Server-ITAcademy (Start->cmd->dcdiag.exe)
28. Prozkoumejte a dle časových možností vyzkoušejte existující Rozšířené nástroje služby AD (Správce serveru->Role->Služba AD DS->Sjet dolů až na Rozšířené nástroje)
