Δημιουργία Active Directory DNS στα Windows Server 2008 Τεχνικός Δικτύων & Τηλεπικοινωνιών - Διαχείριση Δικτύων ΙΙ
Τι είναι το Active Directory; Το Active Directory είναι ουσιαστικά μια βάση δεδομένων δικτυακών πόρων (γνωστών και ως αντικείμενα-objects) και πληροφοριών για κάθε ένα από αυτά τα αντικείμενα. Ο κατάλογος του κάθε τομέα μπορεί να αποθηκεύσει μέχρι και 10 εκατομμύρια αντικείμενα, αρκετά για να φιλοξενήσουν εκατομμύρια χρηστών ανά τομέα. Το Active Directory αποθηκεύει ιεραρχικά πληροφορίες που αφορούν τα αντικείμενα του δικτύου και που βρίσκονται στη διάθεση των διαχειριστών, των χρηστών και των εφαρμογών.
Αρχιτεκτονική του Active Directory Τα Αντικείμενα objects, μπορεί να περιλαμβάνουν εκτυπωτές, χρήστες, servers, υπηρεσίες, κοινούς φακέλους κ.λπ., και είναι το πιο βασικό συστατικό του καταλόγου. Τα Χαρακτηριστικά attributes περιγράφουν ένα αντικείμενο. Για παράδειγμα, οι κωδικοί πρόσβασης και τα ονόματα είναι τα χαρακτηριστικά των αντικειμένων χρήστη. Η Οργανωτική μονάδα Organizational Unit στην οποία μπορούμε να τοποθετήσουμε χρήστες, ομάδες, υπολογιστές και άλλες οργανωτικές μονάδες. Η Οργανωτική μονάδα δεν μπορεί να περιέχει αντικείμενα από άλλους τομείς, μπορούν όμως να περιέχουν άλλες οργανωτικές μονάδες.
Η έννοια του Domain Ένας τομέας είναι το κεντρικό σημείο ενός δικτύου των Windows. Το domain είναι μια λογική ομάδα από υπολογιστές διαχειριζόμενους και προσπελάσιμους από κοινούς κανόνες, που χρησιμοποιούν εκδόσεις του λειτουργικού συστήματος Microsoft Windows και που μοιράζονται μια κεντρική βάση δεδομένων καταλόγου. Αυτή η κεντρική βάση δεδομένων ονομάζεται Active Directory. Το Active Directory υλοποιείται όταν οριστεί ένας εξυπηρετητής σαν ελεγκτής τομέα - Domain Controller DC. Κάθε ελεγκτής τομέα είναι σε θέση να δέχεται αιτήσεις για αλλαγές στη βάση δεδομένων του τομέα και να αντιγράφειreplicate αυτές τις πληροφορίες στους άλλους DC του τομέα.
Root και Child Domain Ο πρώτος τομέας που δημιουργείται αναφέρεται ως " root domain " και βρίσκεται στην κορυφή του δέντρου καταλόγουdirectory tree. Όλοι οι επόμενοι τομείς θα δημιουργούνται κάτω από το ριζικό τομέα και αναφέρονται ως child domains.
Ρόλοι του AD - Active Directory Roles Tο Active Directory χρησιμοποιεί το Lightweight Directory Access Protocol (LDAP) προκειμένου να δώσει μια τυποποιημένη ονομασία για τα αντικείμενα. Οι 2 βασικές έννοιες είναι distiguished names και common names. Tα Distiguished names είναι η πλήρης «διαδρομή», μέσω της ιεραρχικής δομής δέντρου προς ένα συγκεκριμένο αντικείμενο.
Βασικά Στοιχεία Tα παρακάτω είναι τα στοιχεία που απαρτίζουν ένα distiguished name: OU Organizational Unit. Το χαρακτηριστικό αυτό χρησιμοποιείται για να διαιρέσει ένα χώρο ονομάτωνnamespace με βάση την οργανωτική δομή όπως προηγουμένως. DC - Domain Component. Ένα distiguished name που χρησιμοποιεί DC χαρακτηριστικά θα έχει ο ελεγκτής για κάθε επίπεδο κάτω του root. Δηλαδή, υπάρχει ένα χαρακτηριστικό DC για κάθε τμήμα που χωρίζεται από μια τελεία στο όνομα τομέα. CN - Common Name. Αυτό το χαρακτηριστικό αποτελεί το ίδιο το αντικείμενο, εντός της υπηρεσίας καταλόγου.
Global Catalog Η ονοματοδοσία μπορεί να είναι πολύπλοκη και δύσκολα διαχειρίσιμη αλλά υπάρχει ένα εργαλείο που την καθιστά εφικτή. Το Active Directory χρησιμοποιεί μια υπηρεσία με την ονομασία Global Catalog (GC), που χρησιμοποιείται για να εντοπίσει οποιαδήποτε αντικείμενα ενός δίκτυο στο οποίο ένας συγκεκριμένος χρήστης έχει πρόσβαση. πχ το Global Catalog μας επιτρέπει να κάνουμε αναζήτηση στο δίκτυο για έναν εκτυπωτή που έχει συγκεκριμένα χαρακτηριστικά. Όταν ένα νέο αντικείμενο δημιουργείται στο A.D., του αποδίδεται ένας μοναδικός αριθμός που ονομάζεται GUID (παγκοσμίως μοναδικό αναγνωριστικό globally unique identifier). Το GUID είναι χρήσιμο διότι παραμένει το ίδιο για οποιοδήποτε αντικείμενο, ακόμη και αν το αντικείμενο μετακινηθεί. Σο GUID είναι ένα αναγνωριστικό μεγέθους 128-bit.
Replication Τα Windows δίκτυα εξαρτώνται σε μεγάλο βαθμό από το AD και ως εκ τούτου, είναι πολύ σημαντικό η υπηρεσία να λειτουργεί γρήγορα και είναι προσβάσιμη ανά πάσα στιγμή. Για να επιτευχθεί αυτό, η βάση δεδομένων AD πρέπει να υπάρχει σε πολλούς διακομιστές, έτσι ώστε αν ένας server αποτύχει, ένας πελάτης να μπορεί να επικοινωνήσει με ένα άλλο εξυπηρετητή με πανομοιότυπες υπηρεσίες και πληροφορίες. Αυτό δεν δημιουργεί μόνο διαθεσιμότητα, αλλά μειώνει το φορτίο στους μεμονωμένους διακομιστές. Το μόνο που χρειάζεται να γίνει σε έναν ελεγκτή τομέα προκειμένου να καταστεί replication partner είναι να τον προσθέσετε στον τομέα.
Active Directory Domain Services (ADDS) Το Active Directory Domain Services (AD DS) των Windows Server 2008, περιλαμβάνει πολλές βελτιώσεις και νέα χαρακτηριστικά σε σύγκριση με το Windows Server 2003. Για την εγκατάσταση του ρόλου Active Directory Domain Services (AD DS) σε εξυπηρετητή είναι απαραίτητο να έχει εγκατασταθεί και ο Domain Name System (DNS) ρόλος σε αυτόν τον εξυπηρετητή ή σε κάποιο άλλο και γι αυτό το λόγο η εγκατάσταση θα πρέπει να γίνει μετά από σωστό σχεδιασμό του DNS.
Domain Name System (DNS) Είναι ένα σύστημα ονοματοδοσίας για υπολογιστές και για δικτυακές υπηρεσίες που αντιστοιχίζει ονόματα σε διευθύνσεις δικτύου και τα οργανώνει σε μια ιεραρχική δομή (τομείς, ζώνες περιοχές). Όταν ένας χρήστης εισάγει το DNS όνομα του υπολογιστή σε μια εφαρμογή, η υπηρεσία DNS θα πρέπει να αναζητήσει το όνομα και να παρέχει και άλλες πληροφορίες που συσχετίζονται με τον υπολογιστή, όπως η IP διεύθυνση του ή υπηρεσίες που αυτός παρέχει στο δίκτυο.
Δημιουργία ονομάτων υπολογιστών DNS Θα πρέπει να ακολουθούμε τα παρακάτω όταν δημιουργούμε DNS ονόματα: Επιλογή ονομάτων υπολογιστών που θα είναι εύκολο στους χρήστες να τα θυμούνται. Ορίζουμε τον ιδιοκτήτη του υπολογιστή ή την θέση εργασίας στο όνομα του υπολογιστή. Χρησιμοποιούμε μοναδικά ονόματα για όλους τους υπολογιστές της εταιρείας/οργανισμού μας. Χρησιμοποιούμε χαρακτήρες ASCII για να εξασφαλιστεί η διαλειτουργικότητα με τους υπολογιστές που χρησιμοποιούν εκδόσεις των Windows πριν από τα Windows 2000 εάν φυσικά έχουμε τέτοιους. Για τον υπολογιστή και τα ονόματα τομέα, θα χρησιμοποιηθούν μόνο οι χαρακτήρες A έως το Ω, 0 έως 9, καθώς και η παύλα (-).
Εγκατάσταση και ρύθμιση Όταν δημιουργούμε ένα νέο Active Directory Domain Services (AD DS) domain, ο Active Directory Domain Services οδηγός εγκατάστασης (wizard) εγκαθιστά το ρόλο Domain Name System (DNS) από προεπιλογή. Στον Windows Server 2008, ένα επιπλέον βήμα πρέπει να ληφθεί υπόψη πριν από την εκτέλεση του DCPROMO για να προβιβάσουμε τον εξυπηρετητή σε ελεγκτή τομέα και για την εγκατάσταση του Active Directory σε αυτό. Αυτό είναι η εγκατάσταση του ρόλου Active Directory Domain Services (AD-DS) στον εξυπηρετητή. Στην πραγματικότητα, ο ρόλος AD-DS είναι αυτός που επιτρέπει στον server να ενεργεί ως ελεγκτής τομέα.
ΠΡΟΣΟΧΗ! Πριν από την εγκατάσταση AD DS και DNS στον πρώτο domain controller server σε ένα νέο τομέα-domain θα πρέπει να βεβαιωθούμε ότι η διεύθυνση IP του εξυπηρετητή είναι στατική. Δηλαδή, ότι δεν έχει ανατεθεί από κάποιο Dynamic Host Configuration Protocol (DHCP) server.
Ρύθμιση Ονόματος DC Από τον αρχικό οδηγό πάμε στην επιλογή «Provide computer name and domain» προκειμένου να δώσουμε το όνομα στον domain controller μας. Αλλάζουμε το συμπληρωμένο όνομα με αυτό που θέλουμε χωρίς να πειράξουμε την τιμή του Workgroup.
Πατώντας το ok ο υπολογιστής θα μας ζητήσει να εκτελέσουμε επανεκκίνηση, πράγμα το οποίο και θα κάνουμε. Μετά την επανεκκίνηση θα συνεχίσουμε τα βήματα του οδηγού και θα ρυθμίσουμε το Enable automatic updating and feedback.
Τέλος αφού έχουμε κάνει τις βασικές ρυθμίσεις στον Server μας, επιλέγουμε το check-mark που υπάρχει κάτω αριστερά (Do not show this windows at logon), έτσι ώστε να σταματήσει να εμφανίζεται συνέχεια αυτή η οθόνη με το ξεκίνημα του υπολογιστή. Στη συνέχεια ανοίγει αυτομάτως ο server manager, ένα συγκεντρωτικό εργαλείο των βασικών λειτουργιών και ρυθμίσεων του server, το οποίο είναι αρκετά βολικό για την διαχείριση του server μας, και που καλό είναι να το χρησιμοποιούμε.
Server Manager Στο αριστερό τμήμα του παραθύρου βλέπουμε με την σειρά: Ρόλους, Χαρακτηριστικά, Διαγνωστικά, Ρυθμίσεις και Αποθήκευση. Εμείς θέλουμε να προσθέσουμε το «ρόλο» του Active Directory Domain Services και θα το κάνουμε από αυτό το μενού.
Πατάμε add roles και ξεκινάει ο ακόλουθος wizard προσθήκης ρόλων
Εμείς επιλέγουμε το ρόλο Active Directory Domain Services
Πατάμε Next και διαβάζουμε τις συστάσεις της Microsoft για τον συγκεκριμένο ρόλο. Βασικότατη σύσταση είναι η ύπαρξη τουλάχιστον δύο domain controllers σε κάθε domain έτσι ώστε να εξασφαλίσουμε λειτουργία του domain ακόμα και σε πιθανή βλάβη του ενός από τους δύο. Βλέπουμε ακόμα ότι το ADDS βασίζεται στην υπηρεσία DNS, οπότε ο ρόλος θα εγκατασταθεί αυτόματα. Το ADDS δεν λειτουργεί χωρίς DNS Μετά την εγκατάσταση του ρόλου ADDS βλέπουμε ότι ξεκινάει αυτόματα η εκτέλεση του Active Directory Domain Services Installation Wizard, το γνωστό dcpromo.exe προκειμένου να γίνει ο server μας ένας πλήρως λειτουργικός domain controller. Πατάμε και πάλι Next.
Η εγκατάσταση ολοκληρώνεται σε λίγη ώρα
Επιλέγουμε Close this wizard and launch the Active Directory Domain Services Installation Wizard (dcpromo.exe)
Ακολουθούμε τις οδηγίες και επιλέγουμε:
Δίνουμε το όνομα που θέλουμε και στη συνέχεια επιλέγουμε το functional level. Συνιστάται η χρήση του functional level σε επίπεδο Windows Server 2008. Προσοχή χρειάζεται το σημείο με το θαυμαστικό που λέει ότι δεν θα μπορούμε να χρησιμοποιήσουμε domain controllers που τρέχουν σε Windows Server 2003.
Δεν έχουμε άλλον DNS Server, οπότε επιλέγουμε να εγκατασταθεί και να ρυθμιστεί ο DNS στον Server μας. Παρατηρούμε ότι επειδή στήνουμε τον πρώτο domain controller στο domain μας, ο server αυτός θα είναι υποχρεωτικά και Global Catalog.
Πατάμε Yes
Αφήνουμε τις ρυθμίσεις ως έχουν
Restore Mode Administrator Password Εδώ πρέπει να δηλώσουμε έναν βασικότατο κωδικό ασφάλειας ο οποίος ίσως να μη χρειαστεί και ποτέ, αλλά αν χρειαστεί και δεν τον έχουμε θα έχουμε καταστρέψει όλο το domain.
Σύνοψη Εδώ έχουμε μια σύνοψη όλων των εργασιών που κα εκτελεστούν, την οποία καλό είναι να την κάνουμε export ώστε να την έχουμε κάπου.
Ολοκλήρωση Όσο περιμένουμε την εγκατάσταση του DNS να ολοκληρωθεί, επιλέγουμε το Reboot on completion, έτσι ώστε να γίνει αυτόματα επανεκκίνηση του server με την ολοκλήρωση των ρυθμίσεων.
Μετά την επανεκκίνηση Εμφανίζεται η οθόνη εισαγωγής του χρήστη με το όνομα του Login να έχει γίνει administrator, το οποίο αναφέρεται πλέον στον διαχειριστή (administrator) του domain. Ο τοπικός διαχειριστής του Server έχει «γίνει» πλέον και διαχειριστής του domain. Προσοχή: Στον domain controller ΔΕΝ υπάρχουν τοπικοί χρήστες Γράφουμε τον κωδικό και κάνουμε login στον server. Ανοίγει αυτόματα ο Server Manager και από τις επιλογές που υπάρχουν στο αριστερό τμήμα κάνουμε ανάπτυξη των Roles και του Active Directory Domain Services που είναι και ο ρόλος που εγκαταστήσαμε.
Στο επόμενο Θα γνωρίσουμε το Active Directory Users and Computers console Ευχαριστώ για την προσοχή σας!