.png "Windows Server 2008")
.png "Poradnik instalacji bazowej infrastruktury, cz. II"){kind=icon}
Poradnik instalacji bazowej infrastruktury, cz. I .png "Udostępnij na: Facebook")
Opublikowano: 23 czerwca 2008
Zawartość strony
.gif){kind=icon} |
Windows Server 2008 – Poradnik instalacji sieci bazowej |
|
O tym poradniku |
|
Czego nie zawiera ten poradnik |
|
Przegląd technologii |
|
Sieć bazowa – przegląd |
|
Planowanie sieci bazowej |
Windows Server 2008 – Poradnik instalacji sieci bazowej
Sieć bazowa stanowi zbiór sprzętu sieciowego, urządzeń i oprogramowania, które zapewniają podstawowe usługi dla potrzeb organizacyjnych rozwiązań technologii informatycznych (IT).
Bazowa sieć Windows Server zapewnia szereg korzyści, w tym następujące:
- Podstawowe protokoły gwarantujące łączność pomiędzy komputerami i innymi urządzeniami zgodnymi z Transmission Control Protocol/Internet Protocol (TCP/IP). TCP/IP stanowi rodzinę standardowych protokołów wykorzystywanych do łączenia komputerów i budowania sieci. TCP/IP jest oprogramowaniem protokołu sieciowego, dostarczanego wraz z systemami Microsoft® Windows®, które zapewnia implementację i wsparcie dla rodziny protokołów TCP/IP
- Automatyczne adresowanie IP za pomocą Dynamic Host Configuration Protocol (DHCP). Ręczne konfigurowanie adresów IP na wszystkich komputerach w sieci jest czasochłonne i mniej elastyczne, niż dynamiczne przydzielanie dzierżaw adresów przez serwer DHCP komputerom i innym urządzeniom sieciowym.
- Usługi rozwiązywania nazw, takie jak Domain Name System (DNS) oraz Windows Internet Name Service (WINS). DNS i WINS pozwalają użytkownikom, komputerom, aplikacjom i usługom odnajdywać adresy IP komputerów i urządzeń w sieci poprzez nazwę NetBIOS lub w pełni kwalifikowaną nazwę domenową komputera lub urządzenia.
- Las, stanowiący jedną lub więcej domen Active Directory, które współdzielą te same definicje klas i atrybutów (schemat), informacje o lokacjach i replikacji (konfigurację) oraz możliwości wyszukiwania w obrębie całego lasu (wykaz globalny).
- Domenę główną lasu, będącą pierwszą domeną utworzoną w nowym lesie. Grupy Enterprise Admins oraz Schema Admins, stanowiące grupy administracyjne na poziomie całego lasu, zlokalizowane są w domenie głównej lasu. Dodatkowo domena główna lasu, podobnie jak inne domeny, stanowi zbiór obiektów komputerów, użytkowników i grup definiowanych przez administratora w usłudze Active Directory Domain Services (AD DS). Obiekty te wykorzystują wspólną bazę danych katalogowych oraz zasady zabezpieczeń. Używają one również współdzielonych powiązań zabezpieczeń z innymi domenami, jeżeli w miarę wzrostu organizacji zostaną dodane nowe domeny. Usługa katalogowa przechowuje również dane katalogowe i pozwala upoważnionym komputerom, aplikacjom i użytkownikom na dostęp do danych.
- Bazę danych kont użytkowników i komputerów. Usługa katalogowa udostępnia scentralizowaną bazę danych kont użytkowników, która pozwala na tworzenie kont użytkowników i komputerów dla osób i maszyn, które są upoważnione do połączenia z siecią i uzyskiwania dostępu do zasobów sieci, takich jak aplikacje, bazy danych, udostępnione pliki i foldery lub drukarki.
Sieć bazowa pozwala również na skalowanie sieci w miarę wzrostu rozmiarów organizacji i zmiany wymagań IT. Dzięki sieci bazowej można na przykład dodawać domeny, podsieci IP, usługi dostępu zdalnego, usługi bezprzewodowe oraz inne funkcje i role serwera zapewniane przez systemy Windows Server® 2008 i Windows Vista®.
.gif){kind=icon}
Do początku strony
O tym poradniku
Poradnik ten przeznaczony jest dla administratorów sieci i systemów instalujących nowe sieci lub tych którzy chcą utworzyć sieć opartą na domenach w celu zastąpienia sieci złożonej z grup roboczych. Scenariusz wdrożenia zawarty w tym poradniku jest szczególnie użyteczny dla osób, które przewidują potrzebę dołączenia dodatkowych usług i funkcji sieciowych w przyszłości.
Zalecamy też przejrzenie projektu i poradników wdrożenia dla każdej techniki wykorzystanej w tym scenariuszu w celu ustalenia, czy ten dokument zapewnia usługi i konfiguracje, które są wymagane.
Wymagania dotyczące sprzętu sieciowego
Udane wdrożenie sieci bazowej wymaga zainstalowania sprzętu sieciowego, w tym:
- Okablowania Ethernet, Fast Ethernet lub Gigabyte Ethernet.
- Koncentratora, switcha Layer 2 lub 3, routera lub innego urządzenia umożliwiającego przekazywanie ruchu sieciowego pomiędzy komputerami i urządzeniami.
- Komputerów spełniających minimalne wymagania sprzętowe dla odpowiednich systemów operacyjnych – klienckich i serwerowych.
Uwaga
W poradniku tym przyjęto zastosowanie czterech serwerów. W niektórych wypadkach, jak w małych sieciach, można użyć mniejszej liczby serwerów. Na przykład można zainstalować DHCP i WINS na tym samym serwerze, a nie na oddzielnych maszynach.
Do początku strony
Czego nie zawiera ten poradnik
Poradnik ten nie zapewnia instrukcji dla wdrażania następujących elementów:
- Sprzętu sieciowego, takiego jak okablowanie, routery, switche i koncentratory
- Dodatkowych zasobów sieciowych, jak drukarki i serwery plików
- Łączności z Internetem
- Dostępu zdalnego
- Dostępu bezprzewodowego
- Instalacji komputerów klienckich
Uwaga
Komputery klienckie pracujące pod kontrolą systemów Windows Vista oraz Windows XP są domyślnie konfigurowane tak, aby odbierać dzierżawy adresów IP z serwera DHCP. Z tego względu nie zachodzi potrzeba dodatkowego konfigurowania DHCP ani protkołu Internet Protocol w wersji 4 (IPv4) na komputerach klienckich.
Do początku strony
Przegląd technologii
Kolejne podrozdziały zapewniają krótkie omówienie wymaganych i opcjonalnych technologii wykorzystywanych w budowie sieci bazowej.
Active Directory Domain Services
Katalog (directory) stanowi hierarchiczną strukturę przechowującą informacje o obiektach w sieci. Usługa katalogowa, taka jak AD DS, udostępnia metody przechowywania danych katalogowych i udostępniania tych danych użytkownikom i administratorom sieci. Na przykład AD DS przechowuje informacje o kontach użytkowników, takie jak nazwy, hasła, numery telefonów i tak dalej, pozwalając innym, autoryzowanym użytkownikom tej samej sieci na dostęp do tych informacji.
DNS
DNS jest protokołem rozwiązywania nazw dla sieci TCP/IP, takich jak Internet lub sieć organizacyjna. Serwer DNS utrzymuje informacje, które pozwalają komputerom klienckim na przekształcanie łatwych do zapamiętania, alfanumerycznych nazw DNS na adresy IP, których komputery używają do komunikowania się ze sobą.
DHCP
DHCP stanowi standard protokołu IP, pozwalający na uproszczenie zarządzania konfiguracją IP hostów. Standard DHCP opisuje wykorzystanie serwerów DHCP jako metody zarządzania dynamicznymi alokacjami adresów IP i innych, powiązanych szczegółów konfiguracyjnych dla komputerów klienckich z włączoną obsługą DHCP.
Każdy komputer w sieci TCP/IP musi mieć unikatowy adres IP. Adres ten (wraz z odpowiadającą mu maską podsieci) identyfikuje zarówno komputer hosta, jak i podsieć, do której należy. Przy przeniesieniu komputera do innej podsieci jego adres IP musi ulec zmianie. DHCP pozwala na dynamiczne przypisywanie adresów IP pochodzących z bazy danych adresów serwera DHCP klientom w sieci lokalnej.
W sieciach opartych na TCP/IP DHCP pozwala zredukować złożoność i ilość pracy administracyjnej związanej z rekonfigurowaniem komputerów.
WINS (opcja)
Podczas gdy DNS stanowi wymagany składnik sieci bazowej, WINS jest składnikiem opcjonalnym, gdyż podobnie jak DNS jest to usługa rozwiązywania nazw. W niektórych wypadkach nie będzie konieczne zainstalowanie zarówno DNS, jak i WINS, jednak starsze systemy operacyjne i aplikacje mogą wymagać zainstalowania WINS. W średnich i małych sieciach instalacja i zarządzanie WINS są niezwykle proste, przy czym rozwiązanie to nie wymaga zbyt wielu zasobów. Jeśli nie ma pewności, czy WINS jest potrzebne w danej sieci, można przetestować funkcjonowanie sieci bez tego składnika i zainstalować go dopiero wówczas, gdy okaże się potrzebny.
WINS udostępnia rozproszoną bazę danych na potrzeby rejestracji i odpytywania dynamicznego mapowania nazw NetBIOS komputerów i grup używanych w sieci. WINS mapuje nazwy NetBIOS na adresy IP. Został zaprojektowany w celu rozwiązania problemów związanych ze stosowaniem rozwiązywania nazw NetBIOS w środowiskach rutowanych. WINS jest najlepszym wyborem zapewniającym rozwiązywanie nazw NetBIOS w sieciach rutowanych, które wykorzystują NetBIOS over TCP/IP.
Nazwy NetBIOS używane są przez wcześniejsze wersje systemów operacyjnych Windows do identyfikowania i lokalizowania komputerów oraz innych udostępnionych lub zgrupowanych zasobów, niezbędnych do zarejestrowania lub rozwiązania nazw używanych w sieci.
Nazwy NetBIOS są niezbędne do zapewnienia usług sieciowych we wcześniejszych wersjach systemów operacyjnych Windows. Jakkolwiek protokół nazw NetBIOS może być stosowany z protokołami sieciowymi innymi niż TCP/IP (takimi jak NetBEUI lub IPX/SPX), WINS został zaprojektowany wyłącznie w celu zapewnienia wsparcia dla NetBIOS over TCP/IP (NetBT).
WINS upraszcza zarządzanie przestrzenią nazw NetBIOS w sieciach opartych na TCP/IP.
NPS (opcja)
Rozwiązanie Network Policy Server (NPS) umożliwia scentralizowane konfigurowanie i zarządzanie zasadami sieciowymi za pośrednictwem następujących funkcji: serwera Remote Authentication Dial-In User Service (RADIUS), proxy RADIUS oraz serwera zasad Network Access Protection (NAP).
NPS jest opcjonalnym składnikiem sieci bazowej, jednak należy wykonać jego instalację, jeśli spełniony jest którykolwiek z poniższych warunków:
- Planowane jest rozszerzenie sieci w celu dołączenia dowolnego serwera dostępu zdalnego zgodnego z protokołem RADIUS, takiego jak komputer pracujący pod kontrolą systemu Windows Server 2008 z uruchomioną usługą Routing and Remote Access.
- Planowane jest wdrożenie NAP.
- Planowane jest wdrożenie standardu 802.1X dla dostępu kablowego lub bezprzewodowego.
TCP/IP
TCP/IP w systemie Windows Server 2008 to:
- Oprogramowanie sieciowe oparte na protokołach sieciowych stanowiących standard branżowy.
- Rutowalny protokół sieciowy klasy przedsiębiorstwa, który zapewnia łączność komputerów systemu Windows zarówno w środowisku sieci lokalnej (LAN), jak i sieci rozległej (WAN).
- Podstawowe techniki i narzędzia umożliwiające połączenie komputerów systemu Windows z odmiennymi systemami w celu współdzielenia informacji.
- Podstawa do uzyskiwania dostępu do globalnych usług Internetowych, takich jak serwery World Wide Web lub File Transfer Protocol (FTP).
- Mocne, skalowalne i międzyplatformowe środowisko typu klient/serwer.
TCP/IP udostępnia podstawowe narzędzia TCP/IP, które pozwalają komputerom systemu Windows na połączenie i wymianę informacji z odmiennymi systemami – zarówno firmy Microsoft, jak i innymi, w tym:
- Windows Vista
- Windows Server 2003
- Windows XP
- hosty Internetowe
- komputery Apple Macintosh
- komputery mainframe firmy IBM
- systemy UNIX
- systemy Open VMS
- drukarki sieciowe, takie jak drukarki serii HP LaserJet wyposażone w karty HP JetDirect
Do początku strony
Sieć bazowa – przegląd
Poniższa ilustracja ukazuje składniki sieci bazowej.
.gif)
Składniki sieci bazowej
Poniżej przedstawiono składniki sieci bazowej.
Router
Poradnik ten zawiera instrukcje wdrożenia sieci bazowej złożonej z dwóch podsieci rozdzielonych routerem z włączonym przekierowaniem DHCP. Można jednak, zamiast niego, zastosować switch warstwy 2, switch warstwy 3 lub koncentrator, zależnie od wymagań i zasobów. W przypadku zastosowania switcha musi on być w stanie przekierowywać ruch DHCP albo konieczne będzie umieszczenie serwera DHCP w każdej podsieci. W wypadku użycia koncentratora utworzona zostanie pojedyncza podsieć i nie będzie konieczne przekierowywanie DHCP ani drugi zakres adresów na serwerze DHCP.
Statyczne konfiguracje TCP/IP
Wszystkie serwery w tym scenariuszu są konfigurowane przy użyciu statycznych adresów IPv4. Komputery klienckie są domyślnie konfigurowane do otrzymywania dzierżaw adresów IP z serwera DHCP.
Wykaz globalny i serwer DNS
Na serwerze tym instalowane są usługi Active Directory Domain Services (AD DS) oraz Domain Name System (DNS), zapewniając dostęp do usług katalogowych i rozwiązywania nazw wszystkim komputerom i urządzeniom w sieci.
Serwer WINS (opcjonalny)
Instalacja rozwiązania Windows Internet Name Service (WINS) w sieci bazowej jest opcjonalna. Często trudno jest określić, czy wykorzystywane aplikacje i usługi wymagają WINS do rozwiązywania nazw. W niektórych wypadkach WINS może okazać się niezbędny, zaś w innych DNS może być jedyną usługą rozwiązywania nazw, która jest wymagana w danej sieci. Ponieważ WINS ma niewielkie wymagania pod względem obsługi i nie powoduje znaczącego obciążenia procesora w przypadku średnich lub małych sieci, można zainstalować serwer WINS na serwerze DHCP na wypadek, gdyby aplikacje lub usługi wymagały tego rozwiązania.
Serwer DHCP
Na serwerze Dynamic Host Configuration Protocol (DHCP) skonfigurowane są zakresy, z których przydzielane są dzierżawy adresów IP dla komputerów w lokalnej podsieci. Serwer DHCP może również zawierać dodatkowe zakresy służące do przydzielania adresów IP dla komputerów w innych podsieciach, o ile na routerach włączone jest przekierowywanie DHCP.
Serwer NPS (opcjonalny)
Serwer Network Policy Server (NPS) jest instalowany jako krok przygotowawczy do wdrażania innych technik dostępu do sieci, takich jak serwery wirtualnych sieci prywatnych (VPN), bezprzewodowe punkty dostępowe i przełączniki uwierzytelniające standardu 802.1X. Dodatkowo zainstalowanie NPS pozwala przygotować sieć do wdrożenia rozwiązania Network Access Protection (NAP).
Komputery klienckie
Komputery klienckie pracujące pod kontrolą systemu Windows Vista® lub Windows XP są domyślnie skonfigurowane jako klienci DHCP, którzy uzyskują adresy IP i opcje DHCP automatycznie z serwera DHCP.
Do początku strony
Planowanie sieci bazowej
Przed wdrożeniem sieci bazowej należy przygotować plany następujących elementów:
- Planowanie podsieci
- Planowanie wyjściowej konfiguracji wszystkich serwerów
- Planowanie wdrożenia AD-DNS-01
- Planowanie dostępu do domeny
- Planowanie wdrożenia WINS-01
- Planowanie wdrożenia DHCP-01
- Planowanie wdrożenia NPS-01
Poszczególne elementy zostały omówione w kolejnych podrozdziałach.
Planowanie podsieci
W sieciach Transmission Control Protocol/Internet Protocol (TCP/IP) routery służą do połączenia sprzętu i oprogramowania używanego w różnych segmentach sieci fizycznej, zwanych podsieciami. Routery są również używane do przekazywania pakietów IP pomiędzy poszczególnymi podsieciami. Fizyczny wzór sieci, w tym liczbę wymaganych routerów i podsieci, należy określić przed przystąpieniem do realizowania instrukcji zawartych w tym poradniku.
Dodatkowo, w celu skonfigurowania adresów statycznych dla serwerów w sieci, należy określić zakres adresów IP, który powinien być używany w podsieci zawierającej serwery sieci bazowej. W tym poradniku dla przykładu użyto prywatnego zakresu adresów IP 192.168.1.1 - 192.168.1.254, ale można zastosować dowolny prywatny zakres adresów.
Dokument Internet Request for Comments (RFC) 1918 definiuje następujące zakresy adresów IP jako prywatne:
- 10.0.0.0 – 10.255.255.255
- 172.16.0.0 – 172.31.255.255
- 192.168.0.0 – 192.168.255.255
Przy korzystaniu z adresów prywatnych, zgodnych z RFC 1918 nie można bezpośrednio połączyć się z Internetem, gdyż wywołania pochodzące z takich adresów lub kierowane do nich są automatycznie odrzucane przez routery dostawców usług internetowych (ISP). W celu dodania łączności internetowej do sieci bazowej konieczne jest zawarcie umowy z ISP w celu uzyskania publicznego adresu IP.
Ważne
Przy korzystaniu z prywatnych adresów IP konieczne jest zastosowanie jakiegoś typu serwera proxy lub translacji adresów sieciowych (NAT) w celu przekonwertowania prywatnych adresów z sieci lokalnej na rutowalny adres publiczny.
Więcej informacji zawiera podrozdział Planowanie wdrożenia DHCP-01.
Planowanie wyjściowej konfiguracji wszystkich serwerów
Na każdym serwerze należącym do sieci bazowej należy zmienić hasło lokalnego konta Administrator tego komputera, przemianować komputer, po czym przypisać i skonfigurować statyczny adres IP.
Planowanie hasła dla konta Administrator
Ze względów bezpieczeństwa konieczne jest utworzenie silnego hasła dla lokalnego konta Administrator każdego serwera. Zalecane jest przy tym stosowanie innego hasła konta Administrator na każdym serwerze w sieci.
Poniższa tabela przedstawia przykład silnego hasła:
| Element konfiguracji: | Przykładowa wartość: |
| Hasło administratora |
Przykład: J*p2leO4$F Uwaga Silne hasła powinny zawierać minimum siedem znaków, wśród których powinny wystąpić znaki należące do następujących podzbiorów: wielkie litery (A, B, C), małe litery (d, e, f), cyfry (0, 1, 2, 3) oraz symbole (' ~ ! @ # $ % | /). |
Planowanie konwencji nazw dla komputerów i urządzeń
Dobrym pomysłem zapewnieniającym jednolitość w obrębie sieci jest stosowanie konsekwentnych nazw dla serwerów, drukarek i innych urządzeń. Nazwy komputerów powinny umożliwiać administratorom i użytkownikom łatwą identyfikację przeznaczenia i lokalizacji danego serwera, drukarki czy innego urządzenia. Na przykład w sieci zawierającej trzy serwery DNS, z których jeden znajduje się w San Francisco, drugi w Los Angeles, a trzeci w Chicago, można zastosować konwencję nazw funkcja serwerowa- lokalizacja-numer :
- DNS-SF-01. Nazwa ta oznacza serwer DNS zlokalizowany w San Francisco. Jeśli w tym mieście zostaną umieszczone dodatkowe serwery DNS, można je będzie odróżnić, zwiększając wartość numeryczną, na przykład DNS-SF-02 oraz DNS-SF-03.
- DNS-LA-01. Ta nazwa oznacza serwer DNS w Los Angeles.
- DNS-CH-01. Ta nazwa oznacza serwer DNS w Chicago.
Konwencję nazewniczą należy wybrać przed przystąpieniem do instalowania sieci bazowej za pomocą tego poradnika.
Planowanie statycznych adresów IP
Przed skonfigurowaniem każdego komputera za pomocą statycznego adresu IP konieczne jest przygotowanie planu podsieci i zakresu adresów. Dodatkowo trzeba ustalić adresy IP serwerów DNS i WINS. Jeśli planowane jest zainstalowanie routera zapewniającego dostęp do innych sieci, na przykład do innych podsieci lub Internetu, potrzebna będzie znajomość adresu IP tego routera, zwanego również bramą domyślną, przed skonfigurowaniem adresów statycznych IP.
Poniższa tabela przedstawia przykładowe wartości statycznej konfiguracji adresu IP:
| Elementy konfiguracyjne: | Przykładowe wartości: |
| Adres IP | 192.168.0.3 |
| Maska podsieci | 255.255.255.0 |
| Brama domyślna | 192.168.0.10 |
| Preferowany serwer DNS | 192.168.0.1 |
| Alternatywny serwer DNS | 192.168.0.7 |
| Preferowany serwer WINS | 192.168.0.2 |
| Alternatywny serwer WINS | 192.168.0.8 |
Więcej informacji zawiera podrozdział Planowanie wdrożenia DHCP-01.
Planowanie wdrożenia AD-DNS-01
Poniższe części zawierają kluczowe elementy planowania instalacji Active Directory Domain Services (AD DS) oraz DNS on AD-DNS-01.
Planowanie nazwy głównej domeny lasu
Pierwszym krokiem w procesie projektowania AD DS jest określenie liczby lasów wymaganych przez organizację. Las stanowi kontener AD DS najwyższego poziomu i składa się z jednej lub więcej domen, które wykorzystują wspólny schemat i wykaz globalny. Organizacja może zawierać kilka lasów, ale w większości wypadków projekt z jednym lasem jest modelem preferowanym, a przy tym łatwiejszym do administrowania.
W momencie utworzenia pierwszego kontrolera domeny w organizacji, tworzona jest pierwsza domena (zwana także domeną główną lasu) i pierwszy las. Przed wykonaniem tej czynności trzeba jednak najpierw ustalić najlepszą nazwę domenową dla danej organizacji. W większości przypadków jako nazwa domeny użyta zostanie nazwa organizacji, a w wielu przypadkach będzie to nazwa rejestrowana. Jeżeli planowane jest wdrożenie serwerów Web dostępnych dla klientów lub partnerów, należy przy wybieraniu nazwy domeny upewnić się, że nie jest ona już używana.
Planowanie poziomu funkcjonalności lasu
W trakcie instalacji AD DS należy wybrać poziom funkcjonalności lasu, który ma być użyty. Poziomy funkcjonalności domen i lasów, wprowadzone w Windows Server 2003 Active Directory, zapewniają możliwość włączania funkcji Active Directory na poziomie domeny lub lasu. Dostępne są różne poziomy funkcjonalności domen i lasów, zależnie od danego środowiska.
Funkcjonalność lasu umożliwia włączanie pewnych funkcji we wszystkich domenach wchodzących w jego skład. Dostępne są następujące poziomy funkcjonalności lasów:
- Windows 2000. Na tym poziomie wspierane są kontrolery domeny systemów Windows NT 4.0, Windows 2000 oraz Windows Server 2003.
- Windows Server 2003. Na tym poziomie wspierane są tylko kontrolery domeny pracujące pod nadzorem systemu Windows Server 2003.
- Windows Server 2008. Na tym poziomie funkcjonalności wspierane są tylko kontrolery domeny pracujące pod nadzorem systemu Windows Server 2008.
Jeśli wykonywane jest wdrożenie nowej domeny w nowym lesie i wszystkie planowane kontrolery domeny będą pracowały pod nadzorem systemu Windows Server 2008, zalecane jest wybranie poziomu funkcjonalności lasu Windows Server 2008 podczas instalowania usługi AD DS.
Ważne
Po podniesieniu poziomu funkcjonalności lasu kontrolery domeny pracujące pod nadzorem wcześniejszych wersji systemu operacyjnego nie będą mogły zostać włączone do domeny. Jeśli na przykład poziom funkcjonalności lasu zostanie podniesiony do poziomu Windows Server 2008, kontrolery domeny używające systemu Windows 2000 Server lub Windows Server 2003 nie będą mogły zostać dołączone do tego lasu.
Przykłady elementów konfiguracyjnych dla usługi AD DS zawiera poniższa tabela:
| Elementy konfiguracyjne: | Przykładowe wartości: |
| Pełna nazwa DNS |
Przykłady: · example.com · corp.example.com |
|
Poziom funkcjonalności lasu: Windows 2000 Poziom funkcjonalności lasu Windows 2000 zapewnia wszystkie funkcje AD DS, które dostępne są w systemie Windows 2000 Server. Jeżeli istnieją kontrolery domeny pracujące pod kontrolą starszych wersji systemu operacyjnego Windows Server, niektóre zaawansowane funkcje nie będą dostępne na tych kontrolerach, gdy poziom lasu zostanie ustawiony na wartość Windows 2000. Windows Server 2003 Poziom funkcjonalności lasu Windows Server 2003 udostępnia wszystkie funkcje, które są osiągalne na poziomie Windows 2000, a ponadto następujące funkcje dodatkowe: · Replikację powiązanych wartości, co usprawnia replikowanie zmian w członkostwie grup. · Wydajniejsze generowanie złożonych topologii replikacji za pomocą narzędzia Knowledge Consistency Checker (KCC). · Relacje zaufania lasów, które pozwalają organizacjom na łatwe udostępnianie wewnętrznych zasobów w wielu lasach. Każda nowa domena utworzona w takim lesie automatycznie będzie działać na poziomie funkcjonalności domeny Windows Server 2003. Windows Server 2008 Ten poziom funkcjonalności lasu nie wprowadza nowych funkcji w porównaniu do poziomu Windows 2003. Tym niemniej gwarantuje, że każda nowa domena utworzona w tym lesie będzie automatycznie funkcjonować na poziomie funkcjonalności domeny Windows Server 2008, który oferuje nowe, unikatowe funkcje. |
· Windows Server 2003 · Windows Server 2008 |
| Lokalizacja folderu Active Directory Domain Services Database |
E:\Configuration\ albo zaakceptować lokalizację domyślną. |
| Lokalizacja folderu Active Directory Domain Services Log files |
E:\Configuration\ albo zaakceptować lokalizację domyślną. |
| Lokalizacja folderu Active Directory Domain Services SYSVOL |
E:\Configuration\ albo zaakceptować lokalizację domyślną. |
| Hasło administratora trybu Directory Restore Mode | J*p2leO4$F |
| Nazwa pliku odpowiedzi (oppcjonalnie) | AD DS_AnswerFile |
Planowanie stref DNS
Podczas instalacji usługi DNS domyślnie tworzona jest strefa wyszukiwania do przodu. Strefa taka pozwala komputerom i urządzeniom wysyłać zapytania o adresy IP innych komputerów i urządzeń na podstawie ich nazw DNS. Oprócz strefy wyszukiwania do przodu zalecane jest utworzenie strefy wyszukiwania wstecz. Dzięki kwerendom wyszukiwania wstecznego komputer lub urządzenie może ustalić nazwę innego komputera lub urządzenia na podstawie jego adresu IP. Wdrożenie strefy wyszukiwania wstecz zazwyczaj podnosi wydajność DNS i znacząco zwiększa skuteczność kwerend DNS.
Podczas tworzenia strefy wyszukiwania wstecz w DNS instalowana jest domena in-addr.arpa, zdefiniowana w standardzie DNS i zarezerwowana w Internetowej przestrzeni nazw, aby zapewnić praktyczną i skuteczną metodę wykonywania kwerend wstecznych. Następnie, w celu zbudowania odwrotnej przestrzeni nazw, formowane są poddomeny w domenie in-addr.arpa, których nazwy są numerami notacji kropkowo-dziesiętnej adresów IP w odwróconej kolejności.
Domena in-addr.arpa jest stosowana we wszystkich sieciach TCP/IP opartych na adresowaniu Internet Protocol wersji 4 (IPv4). Narzędzie New Zone Wizard automatycznie przyjmuje, że przy tworzeniu strefy wyszukiwania wstecz należy użyć tej domeny.
Przy korzystaniu z kreatora New Zone Wizard zalecane są następujące ustawienia:
| Elementy konfiguracyjne: | Przykładowe wartości |
| Zone type | Wybrane opcje Primary zone oraz Store the zone in Active Directory |
| Active Directory Zone Replication Scope | To all DNS servers in this domain |
| Strona kreatora First Reverse Lookup Zone Name | IPv4 Reverse Lookup Zone |
| Strona kreatora Second Reverse Lookup Zone Name | Network ID = 192.168.0. |
| Dynamic Updates | Allow only secure dynamic updates |
Planowanie dostępu do domeny
Aby móc zalogować się do domeny, komputer musi być członkiem domeny, a konto użytkownika musi zostać utworzone wcześniej (przed próbą logowania) w AD DS.
Uwaga
Nie można zalogować się do domeny przy użyciu konta użytkownika zlokalizowanego w bazie danych kont Security Accounts Manager (SAM) komputera lokalnego.
Po pierwszym udanym logowaniu za pomocą poświadczeń domenowych ustawienia logowania pozostają niezmienne, o ile komputer nie zostanie usunięty z domeny lub ustawienia te nie zostaną zmienione ręcznie.
Przed zalogowaniem w domenie należy:
- Utworzyć konta użytkowników w AD DS. Każdy użytkownik musi mieć konto Active Directory Domain Services utworzone w narzędziu Active Directory Users and Computers. Więcej informacji zawiera dział Tworzenie konta użytkownika w narzędziu Active Directory Users and Computers.
- Zweryfikować konfigurację adresu IP. Aby komputer mógł zostać dołączony do domeny, musi on mieć adres IP. W tym poradniku serwery używają statycznych adresów IP, zaś komputery klienckie otrzymują dzierżawy adresów IP z serwera DHCP. Z tego powodu serwer DHCP musi zostać zainstalowany, zanim komputery klienckie zaczną być przyłączane do domeny. Więcej informacji zawiera dział Instalowanie Dynamic Host Configuration Protocol (DHCP).
- Przyłączyć komputer do domeny. Każdy komputer, który ma zapewnić dostęp do zasobów sieciowych lub udostępniający te zasoby musi być przyłączony do domeny. Więcej informacji zawiera dział Przyłączanie komputera do domeny.
Planowanie wdrożenia WINS-01
Jeżeli zostało ustalone, że oprócz DNS w sieci konieczne jest wdrożenie WINS, należy określić, ile serwerów WINS trzeba zainstalować.
- W mniejszych sieciach pojedynczy serwer WINS może wystarczająco obsłużyć do 10000 klientów w zakresie usług rozwiązywania nazw NetBIOS. W celu zapewnienia dodatkowej odporności na awarie można skonfigurować drugi komputer pracujący pod kontrolą systemu Windows Server® 2008 jako pomocniczy (zapasowy) serwer WINS. Przy korzystaniu tylko z dwóch serwerów WINS można je łatwo skonfigurować jako partnerów replikacji. W celu zapewnienia prostej replikacji między dwoma serwerami – jeden powinien zostać ustawiony jako partner wypychania, a drugi jako partner ciągnący. Replikacja może się odbywać ręcznie lub automatycznie.
- Wielkie sieci niekiedy wymagają więcej serwerów WINS z różnych powodów, z których najważniejszym jest liczba połączeń klienckich przypadająca na serwer. Liczba użytkowników, których może obsłużyć każdy serwer WINS, zmienia się w zależności od wzorców użycia, przechowywania danych i zdolności przetwarzania komputera odgrywającego rolę serwera WINS.
Podczas planowania serwerów należy pamiętać, że każdy serwer WINS może równolegle obsłużyć setki rejestracji i zapytań na sekundę.
Planowanie wdrożenia DHCP-01
Poniższe wskazówki stanowią kluczowe punkty planowania przed zainstalowaniem roli serwera DHCP na komputerze DHCP-01.
Planowanie serwerów DHCP i przekierowywania DHCP
Ponieważ komunikaty DHCP są komunikatami rozgłaszanymi, zatem nie są standardowo przekierowywane przez routery pomiędzy różnymi podsieciami. W celu zapewnienia usług DHCP w każdej z kilku podsieci trzeba użyć jednej z następujących metod:
- Zainstalować serwer DHCP w każdej podsieci.
- Skonfigurować routery, aby przekierowywały komunikaty rozgłaszania DHCP pomiędzy podsieciami i utworzyć kilka zakresów na serwerze DHCP, po jednym zakresie na każdą podsieć.
W większości wypadków skonfigurowanie routerów, aby przekierowywały komunikaty DHCP, jest efektywniejsze od instalowania serwera DHCP w każdym fizycznym segmencie sieci.
Planowanie zakresów adresów IP
Każda podsieć musi mieć unikatowy przedział adresów IP. Przedziały te są reprezentowane na serwerze DHCP w postaci zakresów.
Zakres stanowi administracyjne zgrupowanie adresów IP dla komputerów używających usługi DHCP. Administrator najpierw tworzy zakresy dla każdej fizycznej podsieci, po czym używa tych zakresów do zdefiniowania parametrów używanych przez klientów.
Zakres ma następujące właściwości:
- Przedział adresów IP, z którego pobierane są adresy używane przez usługę DHCP do oferowania dzierżaw.
- Maskę podsieci, która określa podsieć dla danego adresu IP.
- Nazwę zakresu określoną podczas jego tworzenia.
- Długość dzierżawy, czyli czas, na który klienci otrzymują dynamicznie alokowane adresy IP.
- Dowolne opcje zakresów DHCP skonfigurowane dla klientów DHCP, takie jak adresy IP serwerów DNS, routera/bramy domyślnej oraz serwera WINS.
- Rezerwacje – używane opcjonalnie w celu zagwarantowania, że wybrani klienci DHCP zawsze otrzymają te same adresy IP.
Przed zainstalowaniem serwerów należy sporządzić listę podsieci i zakresów adresów IP, które mają być użyte w każdej z nich.
Planowanie masek podsieci
Identyfikatory sieci i hosta wewnątrz adresu IP są rozróżniane za pomocą maski podsieci. Każda maska jest 32-bitową liczbą dwójkową, zawierającą najpierw grupę kolejnych jedynek (1), identyfikującą ID sieci, a następnie grupę samych zer (0), określającą część ID hosta.
Na przykład maska podsieci standardowo używana z adresem IP 131.107.16.200 jest następującą liczbą 32-bitową (dwójkową):
11111111 11111111 00000000 00000000
Maska ta to 16 bitów jedynkowych, po których następuje 16 zer, zatem identyfikatory sieci i hosta w tym adresie IP mają oba po 16 bitów długości. Maskę taką można przedstawić w notacji dziesiętno-kropkowej jako 255.255.0.0.
Poniższa tabela przedstawia klasy podsieci dla typowych klas adresów Internetowych:
| Klasa adresowa | Bity maski podsieci | Maska podsieci |
| Class A | 11111111 00000000 00000000 00000000 | 255.0.0.0 |
| Class B | 11111111 11111111 00000000 00000000 | 255.255.0.0 |
| Class C | 11111111 11111111 11111111 00000000 | 255.255.255.0 |
Przy tworzeniu zakresu w konsoli DHCP, po podaniu przedziału adresów IP konsola zaproponuje domyślne wartości maski podsieci. Wartości te (pokazane w poprzedniej tabeli) są do przyjęcia w większości sieci nie mających specjalnych wymagań, w których każdy segment sieci IP odpowiada pojedynczej sieci fizycznej.
W niektórych przypadkach konieczne może być użycie niestandardowych masek podsieci w celu implementacji podziału na podsieci IP. Mechanizm ten pozwala podzielić domyślną część identyfikatora hosta adresu IP w celu wskazania podsieci, które są ułamkami oryginalnego ID sieci wynikającego z klas.
Dzięki dostosowaniu długości maski podsieci można zredukować liczbę bitów używanych przez faktyczny identyfikator hosta.
W celu zabezpieczenia się przed problemami dotyczącymi adresowania i routingu należy się upewnić, że wszystkie komputery TCP/IP w segmencie sieci używają tej samej maski podsieci i że każdy komputer lub urządzenie ma unikatowy adres IP.
Planowanie przedziałów wykluczeń
Pewne adresy IP można wyłączyć z dystrybucji przez serwer DHCP poprzez utworzenie przedziału wykluczeń dla każdego zakresu. Przedział ten powinien obejmować wszystkie adresy IP przypisane ręcznie innym serwerom, a także klientom nie obsługującym DHCP, bezdyskowym stacjom roboczym lub klientom połączeń Routing and Remote Access oraz PPP.
Zaleca się skonfigurowanie przedziałów wykluczeń z zapasem uwzględniającym przyszłe powiększenie sieci. Poniższa tabela przedstawia przykład przedziału wykluczeń dla zakresu obejmującego adresy IP z przedziału 192.168.0.1 - 192.168.0.254.
| Elementy konfiguracyjne: | Przykładowe wartości: |
| Adres początkowy przedziału wykluczeń | 192.168.0.1 |
| Adres końcowy przedziału wykluczeń | 192.168.0.15 |
Planowanie statycznej konfiguracji TCP/IP
Niektóre urządzenia, takie jak routery, serwery DHCP oraz serwery DNS muszą mieć skonfigurowane statyczne adresy IP. Ponadto w sieci mogą występować inne urządzenia, takie jak drukarki, dla których chciałoby się zagwarantować, że zawsze będą miały te same adresy IP. Należy zatem dla każdej podsieci sporządzić listę urządzeń, które powinny zostać skonfigurowane statycznie, po czym zaprojektować przedział wykluczeń, aby zagwarantować, że serwer DHCP nie wydzierżawi klientom adresów IP statycznie skonfigurowanych systemów. Przedział wykluczeń stanowi ograniczoną sekwencję adresów IP wewnątrz zakresu, który jest wyłączony z ofert usługi DHCP.
Dla przykładu, jeśli zakres adresów dla podsieci to 192.168.0.1 do 192.168.0.254 i istnieje dziesięć urządzeń, które powinny mieć statyczne adresy IP, należy utworzyć przedział wykluczeń dla zakresu 192.168.0.x obejmujący co najmniej dziesięć adresów IP: na przykład 192.168.0.1 do 192.168.0.15.
W tym przykładzie dziesięć wykluczonych adresów IP zostanie zużytych na konfigurację serwerów i innych urządzeń, przy czym pozostanie pięć dodatkowych adresów dla statycznej konfiguracji urządzeń, które mogą pojawić się w przyszłości. Przy takim przedziale wykluczeń serwer DHCP dysponuje pulą adresów od 192.168.0.16 do 192.168.0.254.
Poniższa tabela przedstawia przykładowe elementy konfiguracyjne dla usług AD DS i DNS:
| Elementy konfiguracyjne: | Przykładowe wartości: |
| Network Connect Bindings | Local Area Connection 2 |
| DNS Server Settings | AD-DNS-01 |
| Adres IP preferowanego serwera DNS | 192.168.0.1 |
| Adres IP alternatywnego serwera DNS | 192.168.0.6 |
| WINS Server Settings – należy podać adres IP preferowanego serwera WINS jedynie wówczas, gdy mechanizm WINS został wdrożony w sieci. | 192.168.0.2 |
Adres IP alternatywnego serwera WINS Uwaga Należy podać adres IP alternatywnego serwera WINS jedynie wówczas, gdy w sieci wdrożono dodatkowe serwery WINS. | 192.168.0.12 |
Wartości w oknie dialogowym Add Scope: · Scope Name · Starting IP Address · Ending IP Address · Subnet Mask · Default Gateway (optional) · Subnet Type | · Primary Subnet · 192.168.0.1 · 192.168.0.254 · 255.255.255.0 · 192.168.0.11 · Wired (czas trwania dzierżawy będzie wynosił 6 dni) |
| IPv6 DHCP Server Operation Mode | Nie włączony |
Planowanie wdrożenia NPS-01
Jeżeli zamierza się wdrożyć serwery dostępowe, takie jak bezprzewodowe punkty dostępowe lub serwery VPN, po utworzeniu sieci bazowej zalecane jest wdrożenie NPS.
Przy korzystaniu z NPS jako serwera Remote Authentication Dial-In User Service (RADIUS) NPS wykonuje uwierzytelnianie i autoryzację żądań przychodzących do sieciowych serwerów dostępowych. NPS umożliwia także scentralizowaną konfigurację i zarządzanie zasadami sieciowymi określającymi, kto może uzyskać dostęp do sieci, w jaki sposób ten dostęp może być zrealizowany i w jakim terminie.
Poniższe punkty prezentują kluczowe kroki planowania przed zainstalowaniem NPS:
- Zaplanować bazę danych kont użytkowników. Domyślnie, po podłączeniu serwera z usługą NPS do domeny Active Directory NPS wykonuje uwierzytelnianie i autoryzację przy użyciu bazy danych kont użytkowników AD DS. W niektórych wypadkach, na przykład w bardzo wielkich sieciach, które używają NPS jako proxy RADIUS do przekierowywania żądań połączeń do innych serwerów RADIUS, użyteczne może być zainstalowanie NPS na komputerze niebędącym członkiem domeny.
- Zaplanować wykorzystanie Network Access Protection (NAP). Posługiwanie się niektórymi metodami wymuszania NAP wymaga zainstalowania NPS na konkretnym serwerze. Jeśli na przykład NAP zostanie wdrożony łącznie z DHCP, serwer NPS musi zostać zainstalowany na serwerze DHCP.
- Zaplanować rozliczenia RADIUS. NPS umożliwia rejestrowanie danych rozliczeniowych w bazie danych SQL Server lub w pliku tekstowym na komputerze lokalnym. Jeśli zamierza się użyć rejestrowania SQL Server, należy w planie uwzględnić instalację i skonfigurowanie komputera, na którym zostanie zainstalowane oprogramowanie SQL Server.
| Do początku strony |