• Artykuł

Windows Server 2008

Instalacja usługi Active Directory w Windows Server 2008 w trybie nienadzorowanym Udostępnij na: Facebook

Opublikowano: 6 maja 2008
Autor: Paweł Weichbroth

Usługa Active Directory jest rdzeniem bezpieczeństwa w środowisku sieciowym platformy Microsoft Windows Server. Jest odpowiedzialna m.in. za autentykacje użytkowników i komputerów w domenie organizacji, zarządzanie i wdrażanie zasad grup oraz kontrolę dostępu do zasobów sieciowych. Poniższy artykuł ma na celu przybliżenie procesu instalacji usługi Active Directory w trybie nienadzorowanym w systemie operacyjnym Microsoft Windows Server 2008.

*

Zawartość strony
Wstęp  Wstęp
Scenariusze wdrożenia usługi katalogowej  Scenariusze wdrożenia usługi katalogowej
Nowości w instalacji Active Directory  Nowości w instalacji Active Directory
Programowe wymagania konieczne do instalacji  Programowe wymagania konieczne do instalacji
Instalacja nowego lasu Windows Server 2008  Instalacja nowego lasu Windows Server 2008
Podsumowanie  Podsumowanie

Wstęp

Termin „katalog” wzbudzał wiele zainteresowania w środowisku informatycznym w ciągu ostatnich kilku lat. Przyrost sieci komputerowych w przedsiębiorstwach oraz wzrost znaczenia informacji w ciągu ostatniej dekady spowodowały potrzebę ochrony infrastruktury sieciowej. Jednym ze sposób osiągnięcia powyższego celu jest wdrożenie usługi katalogowej Active Directory, dostępnej w systemie operacyjnym Microsoft Windows Server 2008.

Active Directory należy uznać za największą, pojedynczą zmianę w systemie Windows 2000 w stosunku do Windows NT. Zarówno w wersji 2003 oraz 2008, usługa ta została poprawiona, czyniąc z niej główny komponent systemu operacyjnego. AD gwarantuje pojedyncze odniesienie (single reference) w postaci usługi katalogowej dla wszystkich obiektów tj. komputerów, grup, użytkowników, drukarek i uprawnień. Pod kątem zarządzania dostarcza pojedynczego, hierarchicznego widoku, służącego do zarządzania powyższymi obiektami.

W praktyce Active Directory wykorzystuje standardy i protokoły sieci Internet, m.in. Kerberos, SSL (Secure Sockets Layer), TLS (Transport Layer Security), LDAP (Lightweight Directory Access Protocol) oraz DNS (Domain Name Service).

 Do początku strony Do początku strony

Scenariusze wdrożenia usługi katalogowej

AD może być, w zależności od potrzeb, wdrożone w postaci następujących scenariuszy:

  • Active Directory Lightweight Directory Services (AD LDS) dostarcza mechanizmy dla aplikacji korzystających z usługi katalogowej; taka instancja nie wymaga i nie opiera się na strukturze lasów i domen, wcześniej znana, jako ADAM (Active Directory Application Mode).
  • Active Directory Federation Services (AD FS) to usługi jednorazowego logowania się (single sign-on SSO) dla technologii webowych w celu autentykacji użytkownika w środowisku wielu aplikacji podczas trwania jednej sesji; AD FS bezpiecznie przechowuje informacje na temat tożsamości, zarządzając prawami dostępu do określonych aplikacji.
  • Active Directory Rights Management Services (AD RMS) to technologia ochrony informacji, która współdziała z aplikacjami (np. MS Word) w celach bezpiecznego przechowywania danych cyfrowych i zapobieganiu przed nieautoryzowanym dostępem, zarówno w trybie online jak i offline.
  • Active Directory Read-Only Domain Controller to tryb pracy kontrolera domeny tylko do odczytu dla lokalizacji, gdzie fizyczne zabezpieczenia nie są wystarczające
  • Active Directory Domain Services (AD DS) to usługi katalogowe, które z powodzeniem mogą być wykorzystane do centralnego zarządzania zasobami infrastruktury sieciowej, m.in. poprzez zasady grupy.

W tym artykule, autor skupił się na ostatnim z wymienionych powyżej scenariuszy wykorzystania usługi Active Directory.

 Do początku strony Do początku strony

Nowości w instalacji Active Directory

Instalacja Active Directory Domain Services (AD DS) posiada nowe opcje, które obejmują :

  • instalację nienadzorowaną,
  • kontrolery domeny tylko do odczytu (RODC),
  • serwer DNS,
  • katalog globalny (global catalog),
  • kreator instalacji Active Directory Domain Services,

Domyślnie na poziomie funkcjonalności lasu (domeny) Windows Server 2008, dostępne są wszystkie cechy z Windows Server 2003. Wśród nowości na poziomie domeny należy wymienić:.

  • funkcję zastosowania różnych polityk haseł oraz blokad kont dla różnych zbiorów użytkowników lub globalnych grup zabezpieczeń na poziomie pojedynczej domeny,
  • replikacja rozproszonego systemu plików odnośnie katalogu SYSVOL jest wydajniejsza i uszczegółowiona pod kątem jego zawartości,
  • wsparcie AES (Advanced Encryption Services 128 i 256) dla protokołu Kerberos,
  • dodatkowe informacje o ostatnim interaktywnym logowaniu w postaci czasu ostatniego poprawnego zalogowania się użytkownika, nazwy stacji roboczej oraz liczby nieudanych prób zalogowania się.

Jeżeli chodzi o poziom funkcjonalności lasu w Windows Server 2008, nie można wyróżnić dodatkowych cech w stosunku do Windows Server 2003. Jednak w tym miejscu należy zaznaczyć, iż pożądany poziom lasu to Windows Server 2003, gdyż wspiera on zarówno wersję systemu Windows Server 2003/2008 w przeciwieństwie do poziomu Windows Server 2008.

 Do początku strony Do początku strony

Programowe wymagania konieczne do instalacji

Usługa Active Directory w systemie Windows Server 2008 posiada niezbędne wymagania programowe do których należą:

  • Poprawna konfiguracja stosu protokołów TCP/IP oraz DNS,
  • Folder SYSVOL musi być zlokalizowany na lokalnej partycji sformatowanej w systemie plików NTFS,
  • w przypadku dodawania kontrolera domeny pracującego na Windows Server 2008, należy upewnić się, iż operacja wykonywana przez plik adprep.exe dobiegła końca.

 Do początku strony Do początku strony

Instalacja nowego lasu Windows Server 2008

Stworzenie nowego lasu usługi Active Directory w Windows Server 2008 można wykonać przy pomocy:

  • interfejsu graficznego systemu Windows,
  • linii komend,
  • pliku odpowiedzi.

Poniżej zostanie opisana procedura, która dotyczy ostatniej możliwości tj. stworzenia pliku odpowiedzi dla programu dcpromo.

W pierwszej kolejności należy utworzyć plik tekstowy w którym zostaną zawarte wszystkie niezbędne informacje dla kreatora instalacji usługi Active Directory. W tym celu posłużymy się wbudowanym edytorem tekstu notepad.exe. Po jego uruchomieniu należy:

1. W pierwszej linii wpisać [DCINSTALL], nacisnąć Enter,

2. Następnie wprowadzić kolejne parametry:

InstallDNS=yes

NewDomain=forest

NewDomainDNSName=<pełna kwalifikowana nazwa domeny FQDN>

DomainNetBiosName=<domyślnie pierwszy człon FQDN>

ReplicaOrNewDomain=domain

ForestLevel=<numer poziomu funkcjonalności lasu>

DomainLevel=< numer poziomu funkcjonalności domen>

DatabasePath=<lokalizacja (ścieżka) pliku ntds.dit, oznaczona przez podwójne cudzysłowy>

LogPath=<lokalizacja do folderu dla plików logów, oznaczona przez podwójne cudzysłowy>

RebootOnCompletion=yes

SYSVOLPath=<lokalizacja folderu SYSVOL>

SafeModeAdminPassword=<hasło dla trybu przywracania usługi katalogowej>

3. Zachować plik w dostępnym dla użytkownika folderze.

4. Następnie z linii komend, wydajemy polecenie dcpromo /unattend:”ścieżka do pliku odpowiedzi”.

Proces tworzenia nowego lasu i tym samym domeny sygnalizowany jest przez komunikat widoczny na rysunkach poniżej:


Przy okazji instalacji usługi Active Directory, została dodana konsola do zarządzania zasadami grup: Group Policy Management Console.

Do celów instalacji usługi Active Directory DS został wykorzystany plik dc_install.txt, którego zawartość przedstawiona jest poniżej:

[DCINSTALL]

InstallDNS=yes

NewDomain=forest

NewDomainDNSName=nwtraders.msft

DomainNetBiosName=nwtraders

ReplicaOrNewDomain=domain

ForestLevel=2

DomainLevel=2

DatabasePath="c:\ntds"

LogPath="c:\ntds"

RebootOnCompletion=yes

SYSVOLPath="c:\sysvol"

SafeModeAdminPassword=P@ssw0rd

 Do początku strony Do początku strony

Podsumowanie

Active Directory jest jedną z najważniejszych cech Windows Server 2008, opartą na schemacie X.500 zawiera wiele predefiniowanych i wstępnie skonfigurowanych obiektów. Zadaniem administratora serwera jest znajomość narzędzi instalacji usługi katalogowej oraz sposobów na jej automatyzację. Wykorzystanie narzędzi z linii poleceń pozwala na skrócenie czasu procesu przywracania serwera do pracy po awarii.

Paweł Weichbroth Paweł Weichbroth (Combidata Poland)
Z wykształcenia statystyk, absolwent Uniwersytetu Gdańskiego. Obecnie pracuje w charakterze wykładowcy w Combidata Poland. Brał udział w wielu wdrożeniach opartych na platformie Windows Server 2000/ 2003, ekspert systemu Nowa Księga Wieczysta. Posiada certyfikaty firmy Microsoft MCSE+M, MCSE+S i MCT. W wolnym czasie uprawia sport: koszykówkę i tenis ziemny.
 Do początku strony Do początku strony

Windows Server 2008