Windows 2003 Server
ako Domain Controller
Domény, Strom, Les...
Ešte predtým ako vôbec nejaký doménový kontrolér postavím je dobré porozumieť trošku terminológii...Windows doména je akási logická jednotka, ktorá združuje skupinu počítačov s operačným systémom Windows, ktoré zdieľajú spoločnú databázu... Je to čosi podobné ako pracovná skupina (WORKGROUP) až na to, že doménu spravuje (aspoň) jeden hlavný centrálny počítač - server.
V prípade WORKGROUP fungoval každý počítač nezávisle, a aj keď boli všetky počítače v sieti súčasťou jednej pracovnej skupiny, nikde neexistoval centrálny bod správy. Toto je na jednej strane výhodné v tom, že keďže nie je žiaden centrálny prvok, tak sa nemá ako pokaziť, ale veľmi nevýhodné pri väčších sieťach, a najmä vo firemnom prostredí kde je jednoducho nutné spravovať všetky počítače z jedného miesta.
Pracovná skupina má mnoho ďalších nevýhod. Keďže každý počítač funguje "sám za seba", dáta nie sú uložené centrálne a zálohovanie dát je problémom.
Pri WORKGROUP sa overovanie hesiel koná na koncovom počítači (Clients) čo tiež nie je práve ideálne.
No a samozrejme - ďalšie problémy nastávajú čím je sieť väčšia... Čím viac počítačov v sieti, tým je väčší problém to bez domény udržať pokope aby všetko fungovalo...
Jednoducho - doména je užitočná, má svoj význam a doporučuje sa vytvárať doménu pre všetky siete, ktoré majú viac ako 10 počítačov...
Keďže na internete fungujú domény v tvare napr. www.wray.sk tak aj Microsoft sa rozhodol, že sa budú používať bodky, a taká obyčajná doména má tvar domena.com
Takáto doména má svoj doménový kontrolér (server) a na ňom je uložená databáza užívateľov pracujúcich v tejto doméne (Active Directory).
Doména sa zvykne znázorňovať takto (ako trojuholník). Ja som doplnil do vnútra farebné krúžky znázorňujúce počítače v doméne. Dve farby sú preto lebo v doméne fungujú servre (červenou) a bežné počítače - klienti, resp. pracovné stanice (modrou)... |
Už v samotnej doméne sa dá ľahko tvoriť organizačná štruktúra, ale ak je to nutné môžem vytvoriť novú doménu. Ak má táto doména nejaký vzťah k predošlej zvykne sa použiť forma rodič - dieťa (parent - child) a doména research.wray.sk je teraz tzv. "detská doména" (child domain) alebo tiež subdoména (subdomain). |
Ak takýchto vzťahov rodič-potomok je viac, vznikajú zložitejšie štruktúry. Stále sa však všetko odvíja od domény wray.sk a takéto zoskupenie domén a poddomén sa nazýva (doménový) strom. (domain Tree). Samozrejme aj jedna jediná doména tvorí (najjednoduchší) strom. |
Povedzme, že okrem firmy "wray" existuje aj príbuzná firma s názvom "nova" a doménou nova.sk. Táto ma pobočku vo Viedni a doména pre túto pobočku je wien.nova.sk. Keďže je vidieť dva stromy, takáto štruktúra sa (logicky) nazýva les (Forest)...
Opäť - aj jediný doménový strom tvorí les, a teda ak jedna jediná doména vytvára najjednoduchší strom, tak zároveň vytvára aj najjednoduchší les... |
Všetky tieto štruktúry sú uložené v centrálnej databáze, ktorá sa nazýva Active Directory.
Takáto štruktúra sa však používa iba pri skutočne veľkých organizáciách, ktoré majú pobočky po celom svete. Oveľa častejšie stačí použiť jednu doménu, a využiť možnosti štrukturovania priamo v nej...
Prvkami jednotlivej domény môžu byť počítače, užívatelia, tlačiarne a - aby to všetko nebolo pomiešané dokopy tak je možné jednotlivé objekty (počítače, užívateľov, tlačiarne...) zaraďovať do logických celkov nazývaných Organizačné jednotky (Organizational Unit resp. OU)
Čiže pomocou OU (na obrázku sivé elipsy) si môžem jednotlivé objekty zoradiť do logických celkov (Organizational Units) a správa bude jednoduchšia, pretože v tom budem mať nejaký prehľad... |
OU môžu byť vnorené do seba, takže ešte lepšie je vytvoriť nejakú hierarchiu. Na obrázku to vyzerá zložito, ale v skutočnosti je to omnoho jednoduchšie a dá sa to zapísať nasledovne: |
wray.sk Users Research Managers Users Sales Managers Users Staff IT Admins Computers Servers Workstations PrintersMám doménu wray.sk. Objektami v nej sú užívatelia, (štvorčeky) počítače (krúžky) a tlačiarne (hviezdičky). Tieto sú rozdelené do organizačných jednotiek (OU).
No a v týchto jednotlivých OU môžem znázorniť objekty samotné...
wray.sk Users Research Managers (Bob) Users (Dave) (Eva) Sales Managers (Alice) (Zoe) Users (Charlie) Staff (Mallory) (Trent) IT Admins (Walter) (Lubo) Computers Servers (ServerA - Domain Controller) (ServerB - File and Print Server) (ServerC - Email Server) Workstations (XPClientA) (XPClientB) (XPClientC) (XPClientD) (XPClientE) (XPClientF) (XPClientG) (XPClientH) Printers (Canon Colour Printer) (HP Multifunction Device) (Xerox BW Laser Printer) (Epson Printer and Copier)A takto nejak môže vyzerať hierarchická štruktúra v doméne wray.sk...
Každý si samozrejme vytvára hierarchiu po svojom. Také najznámejšie prístupy sú Funkčné delenie (teda objekty rozdelím podľa funkcie), Organizačné (Čiže jednotlivé oddelenia vo firme zadelím do rôznych skupín) a podľa miesta (teda ak mám jednu pobočku v Bratislave a inú v Žiline, zadelím tieto do rôznych OU)
Pár základných nastavení na servri...
Ok takže, zhruba vieme čo je to tá doména a načo je to dobré. Teraz potrebujem spraviť z môjho servra kontrolér domény (Domain Controler). Prihlásim sa teda prvýkrát na môj server... (Pri Virtual PC slúži na prihlásenie klávesová skratka pravý Alt-Del)
Privíta ma wizard, ktorý mi "pomôže" nastaviť úlohy servra, ale radšej ho zdvorilo domietnem a toto okno zatvorím... |
Najprv pár vecí na úvod... Ako prvé kliknem pravým tlačítkom na My Computer a skontrolujem, či je nainštalovaný aj Service Pack 1.
A keďže tento môj ServerA Service Pack 1 nemá, ako prvé ho doinštalujem (dá sa stiahnuť zadarmo na stránkach Microsoftu) |
Na serveri bežiacom na virtuálnom PC prístup na internet (zatiaľ) nemám, čiže to stiahnem na hlavnom (host) počítači a potom jednoducho pretiahnem do okna virtuálneho počítača... Celkovo keď potrebujem presúvať súbory medzi virtuálnym počítačom a hlavným (hostom) tak to ide jednoducho cez drag and drop...
Ale aby to nebolo zas tak jednoduché - na to aby to (drag and drop) fungovalo, je však najprv potrebné nainštalovať "Virtual Machine Additions". Čiže v hlavnom menu virtuálneho počítača zvolím Action, a Install or Update Virtual Machine Additions.
Jediný spôsob ako v tejto chvíli dostať súbory na virtuálny počítač je zatiaľ iba prostredníctvom CD Rom, takže toto (Install or Update Virtual Machine Additions) spôsobí že sa namapuje CD s update, a toto treba potom nainštalovať...
Uff - znie to komplikovane, ale proste - Action, Install or Update Virtual Machine Additions, potom na virtuálnom počítači otvoriť disk D, spustiť setup, reštartovať virtuálne PC a hotovo...
Inštalácia Service Packu je klasická Next, Next, Next, Restart procedúra a zabere to pár minút...
*Inštalácia Service Packu si overuje aj Product Code, takže už pri inštalácii treba použiť "správne" sériové číslo...
Server ako doménový kontrolér (Domain Controller)
Doménový kontrolér sa vytvorí pomerne ľahko, stačí spustiť príkaz dcpromo (Start, Run, dcpromo, Enter). Ohlási sa wizard na inštaláciu Active Directory, čo je úplne v poriadku, pretože doména a AD sú veľmi úzko prepojené.Úvodné hlášky, a poznámku o kompatibilte stačí odkliknúť a objaví sa možnosť výberu typu doménového kontroléra...
Keďže žiadnu doménu zatiaľ nemám, je jasné, že vyberiem prvú možnosť. |
Nemám žiadnu doménu, a teda ani strom ani les, a preto opäť vyberiem prvú možnosť... |
DNS (Domain Name Server) - áno, chcem, a keďže žiaden zatiaľ nemám, vyberám si druhú možnosť... |
Meno domény napr. wray.sk
Je dobrým zvykom pri doméne uvádzať aj to .sk na konci, resp. kde sa doména nachádza... |
Netbios meno domény má význam iba pre počítače so staršími operačnými systémami, žiadne také neplánujem, ale pre poriadok nechám teda WRAY (bez špeciálnych znakov) |
Áno, doporučuje sa (kvôli bezpečnosti a výkonu) mať uloženú AD databázu na inom disku ako log (to je zoznam toho čo sa v databáze vykonalo a na jeho základe sa dá AD databáza obnoviť) ale keďže zatiaľ mám disk iba jeden ponechám všetko v C:\WINDOWS\NTDS |
SYSVOL ani netuším načo presne je a tak ho nechám tam kde je... |
Nastavenie prístupových práv ponechám také ako doporučuje wizard (aj tak neplnánujem mať v doméne operačné systémy staršie ako Windows 2000) |
Restore Mode Administrator Password sa hodí (neskôr sa ukáže načo) a tak si teda nejaké heslo zadám. Ja som si vybral Password@1 *Hesiel bude čoraz viac a zapamätáva sa to ťažko. Preto nie je zlý nápad niekde ich značiť (a odložiť na zabezpečené miesto samozrejme!) |
Ďalší krok "odnextujem", chvíľku počkám a dostanem čosi takéto... Aby nebolo nutné stále dávať do mechaniky CD (alebo image inštalačného CD) tak skopírujem adresár i386 z inštalačného CD na harddisk C: virtuálneho počítača.
V budúcnosti, keď bude potrebné čosi z inštalačného CD, nájdem to v C:\i386 |
Hotovo. Finish, Restart now, a doména funguje.
V tejto chvíli moja doména vyzerá takto. Mám v nej jediný počítač - server, ktorý je zároveň doménovým kontrolérom mojej domény.
IP adresa tohto servra je 192.168.0.1. Keďže je to zároveň DNS server, tak v budúcnosti budem na otázku "DNS Server" udávať vždy 192.168.0.1 |
No a keď už mám funkčný DNS server uvediem jeho IP aj v konfigurácii servra samého. (tento server je sám sebe DNS servrom) |