Лабораторна робота №7

Встановлення ролей Active Directory Domain Service та DNS, їх основні налаштування в Windows Server 2008 R2

Мета роботи: навчитися налаштовувати служби Acrive Directory Domain Service та DNS в Windows Server 2008 R2, а також додавати комп’ютери в  домен.

Зв’язок з проектом: доменна система корпорації Microsoft є досить унікальним явищем і водночас поширеним, а тому адміністраторові необхідно орієнтуватися та вміти налаштовувати служби, які мають до цієї системи безпосереднє відношення.

Методичні вказівки

Active Directory (служба каталогів) дозволяє адміністраторам використовувати групові політики (GPO) для забезпечення одноманітності налаштувань призначеного для користувача робочого середовища, розгортати ПО на безлічі комп'ютерів (через групові політики або за допомогою System Center Configuration Manager), встановлювати оновлення ОС, прикладного і серверного ПО на всіх комп'ютерах в мережі (з використанням Windows Server Update Services (WSUS)). Active Directory зберігає дані і налаштування середовища в централізованій базі даних. Мережі Active Directory можуть бути різного розміру: від декількох сотень до декількох мільйонів об'єктів.

Active Directory (AD) має ієрархічну структуру, що складається з об'єктів. Об'єкти розділяються на три основні категорії: ресурси (наприклад, принтери), служби (наприклад, електронна пошта) і люди (облікові записи користувачів і груп користувачів). Active Directory надає інформацію про об'єкти, дозволяє організовувати об'єкти, управляти доступом до них, а також встановлює правила безпеки.

Кожен об'єкт представляє окрему суть – користувача, комп'ютер, принтер, додаток або загальну мережеву теку – і його атрибути. Об'єкти можуть також бути контейнерами для інших об'єктів. Об'єкт унікально ідентифікується своїм ім'ям і має набір атрибутів – характеристик і даних, які об'єкт може містити, – які залежать від типу об'єкту. Атрибути є складовою базової структури об'єкта, що визначаються в схемі. Схема визначає, які типи об'єктів можуть існувати в AD.

Верхнім рівнем структури є ліс – сукупність всіх об'єктів, атрибутів і правил (синтаксису атрибутів) в Active Directory. Ліс містить одне або декілька дерев, зв'язаних транзитивними відносинами довіри. Дерево містить один або декілька доменів, також зв'язаних в ієрархію транзитивними відносинами довіри. Домени ідентифікуються своїми структурами імен DNS – просторами імен.

Об'єкти в домені можуть бути згруповані в контейнери – підрозділи. Підрозділи дозволяють створювати ієрархію усередині домена, спрощують його адміністрування і дозволяють моделювати організаційну і/або географічну структури компанії в Active Directory. Підрозділи можуть містити інші підрозділи. Корпорація Microsoft рекомендує використовувати якомога менше доменів в Active Directory, а для структуризації AD і політик використовувати підрозділи. Часто групові політики застосовуються саме до підрозділів.

DNS-сервер – програма, призначена для відповідей на DNS-запити за відповідним протоколом. Також DNS-сервером можуть називати хост, на якому запущено відповідну програму.

Завдання до виконання роботи

Завдання 1. Встановлення ролей Active Directory та DNS на Windows Server 2008 R2.

1. Метою даного завдання є знайомство з основними етапами встановленя і налаштувань домена. Для виконання даного завдання необхідно увійти до системи під обліковим записом Адміністратор або членом групи Адміністратори.

2. Після входу в систему у вікні Завдання початкового налаштування встановіть прапорець Не показувати це вікно при вході в систему і натисніть кнопку Закрити.

Примітка. Основним інструментом для виконання налаштувань операційної системи Windows Server 2008 R2 є диспетчер сервера. Він є єдиним інтерфейсом, за допомогою якого системні адміністратори можуть виконувати всі дії з встановлення, налаштування серверних ролей і функцій Windows Server 2008 R2 та управлінню ними.

3. Надамо статичну адресу мережевому адаптеру, що підключений до інтернету (inet). Для нашого випадку ми задамо таку IP-адресу, яку отримує адаптер автоматично, у якості пріоритетного DNS свій IP-адрес або 127.0.0.1. Цей крок є необов'язковим, але рекомендованим (рис.1).

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\20.jpg

Рис. 1. Налаштування мережевих параметрів

4. Запускаємо Диспетчер сервера і тиснемо Додати ролі (рис.2). Натискуємо Далі.

Рис. 2. Додавання нової ролі

5. Ставимо прапорець навпроти  Доменних служб Active Directory та додаємо необхідні компоненти (рис.3). Натискуємо Далі.

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\6.jpgОписание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\5.jpg

Рис. 3. Вибір служби Active Directory та додавання необхідних компонент

6. Натискуємо Встановити. Дочекаємось повідомлення про успішне встановлення ролі AD та натискуємо Закрити. Тепер потрібно завершити встановлення запустивши утиліту dcpromo (рис.4).

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\8.jpgОписание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\9.jpg

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\10.jpg

Рис. 4. Процес встановлення ролі Active Directory

7. Натиснувши комбінацію клавіш Win+R, запускаємо утиліту dcpromo (рис. 5).

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\11.jpg

Рис. 5. Запуск утиліти dcpromo

8. Запустивши утиліту dcpromo, ставимо прапорець Використовувати розширений режим установки і натискуємо два рази Далі (рис.6).

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\14.jpg        Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\13.jpg

Рис. 6. Майстер встановлення доменних служб Active Directory     

9. Обираємо Створити новий домен в новому лісі і натискуємо Далі.

10. Вводимо імя домена для Active Directory: kn.local (рис.7).

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\16.jpg

Рис. 7. Введення імені домена

11. Вказуємо нове NetBIOS – ім’я домена, або залишаємо запропоноване.

12. Вибираємо режим роботи лісу для AD. У нашій мережі тільки один Windows Server 2008 R2 з Active Directory тому сміливо вказуємо режим роботи лісу Windows Server 2008 R2. Якщо ж у мережі є сервер Windows Server 2003/2008 і ви хочете зробити між серверами реплікацію то потрібно вказати режим роботи лісу самого старішого сервера, тобто якщо в мережі є сервер на базі Windows Server 2003 і Windows Server 2008 R2 то режим роботи лісу потрібно вказати саме Windows Server 2003 (рис. 8).

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\18.jpg

Рис. 8. Вибір режиму роботи лісу

13. Для роботи AD потрібен DNS-сервер, тиснемо Далі і він встановиться автоматично. На попередження погоджуємося (рис. 9)

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\19.jpg        Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\21.jpg

Рис. 9. Встановлення ролі DNS-сервера

14. Вказуємо де буде зберігається база даних AD, рекомендується нічого не змінювати.

15. Вказуємо пароль для відновлення AD в разі краху: Passw0rd.

16. Збір інформації завершено, після натискання Далі розпочнеться встановлення AD. Можна поставити прапорець навпроти Перезавантаження по завершенню і після встановлення Active Directory сервер буде перезавантажено, якщо цього не сталося виконуємо перезавантаження власноручно (рис. 10).

 Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\24.jpg        Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\25.jpg

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\26.jpg

Рис. 10. Завершення роботи майстра встановлення Active Directory

17. Після того як сервер перезавантажиться бачимо, що вхід відбувається в домен: KN. Вводимо пароль локального адміністратора, якщо винекне необхідність змінюємо пароль на: Passw0rd1 (рис.11).

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\Безымянный.jpg       Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\Безымянный1.jpg

Рис. 11. Вхід на сервер з встановленою роллю Active Directory

18. У правій частині вікна Диспетчер сервера (knR2) в розділі Зведення по ролях переконайтеся, що встановлено дві ролі: DNS-сервер і Доменні служби Active Directory.

@  Відобразіть у звіті скріншоти процесу виконання завдання (7-8).

Завдання 2. Аналізатор відповідності рекомендаціям

У операційній системі Windows Server 2008 R2 з'явилася нова можливість Аналізатор відповідності рекомендаціям. Аналізатор відповідності рекомендаціям доменних служб Active Directory допомагає оптимальним чином налаштувати середовище Active Directory. Аналізатор відповідності рекомендаціям доменних служб Active Directory сканує встановлену дану роль сервера на контролерах домена Windows Server 2008 R2 і повідомляє про невідповідності параметрів значення, що рекомендуються. Користувач може фільтрувати або виключати непотрібні результати із звітів аналізатора. Для запуску Аналізатор відповідності рекомендаціям потрібно:

1. Відкрити вікно Диспетчер сервера.

2. У лівій частині вікна вибрати Доменні служби Active Directory.

3. У розділі Аналізатор відповідності рекомендаціям вибрати посилання Перевірити цю роль.

4. Ознайомтесь з результатами перевірки. Частина зауважень надалі буде усунута, інші зауваження в нашому середовищі усунути не вдасться, оскільки потрібний, наприклад, другий контролер домену і ін.

@  Відобразіть у звіті скріншоти процесу виконання завдання.

Завдання 3. Переглянути створений домен двома способами.

1-й спосіб.

Відкрийте Моє мережеве оточення – Вся мережа мережа Microsoft Windows. Переконаєтеся, що з'явився запис про домен kn.local, в якому міститься один комп'ютер – knR2.

2-й спосіб.

1. У меню Пуск - Програми - Адміністрування виберіть Користувачі і комп'ютери Active Directory. Відкриється однойменне оснащення.

2. У дереві оснащення двічі клацніть на kn.local (або на імені вашого домена), щоб побачити вміст вузла kn.local.

3. У розділі Контролери домена дерева оснащення перегляньте назву контролера домена і його повне ім'я DNS (наприклад, якщо ім'я ізольованого сервера було knR2, то після встановлення домена повинно стати knR2.kn.local).

4. У розділі Користувачі перегляньте список вбудованих облікових записів користувачів і груп користувачів домена.

5. Активізуйте вбудований обліковий запис Гість і спробуйте увійти до системи. Чи вдалася спроба зробити це? На контролери домена дозволений вхід тільки адміністраторам домена.

6. Закрийте консоль Active Directory Користувачі і комп'ютери.

@  Відобразіть у звіті скріншоти та поясніть отримані результати виконання завдання.

Завдання 4. Перевірити роботу служби DNS за допомогою оснащення DNS.

1. Відкрийте консоль DNS командою Пуск - Програми - Адміністрування - DNS.

2. У дереві консолі DNS клацніть правою кнопкою по імені вашого сервера і виберіть команду Властивості. Відкриється вікно властивостей knR2 (якщо у сервера інше ім'я, то в заголовку вікна значитиметься воно).

3. Перейдіть на вкладку Спостереження.

4. У списку Виберіть тип тесту помітьте прапорці Простий запит до цього DNS-серверу і Рекурсивний запит до інших DNS-серверам і клікніть Протестувати. У вікні властивостей knR2 в списку результатів тестування повинен з'явитися напис PASS (Пройдений успішно) або FAIL (Не пройдений) - в стовпцях Simple Query (Простій запит) і Recursive Query (Рекурсивний запит).

Зверніть увагу: від правильно налаштованого DNS сервера прямо пропорційно залежить продуктивність роботи мережі.

@  Відобразіть у звіті скріншоти та поясніть отримані результати виконання завдання.

Завдання 5. Додавання робочої станції з Windows 7 в домен Active Directory.

На даному завданні ви додасте робочу станцію в домен. Для виконання завдання вам знадобиться встановлена операційна система Windows 7. Для виконання даного завдання необхідно увійти до системи під управлінням операційної системи Windows 7 під обліковим записом Адміністратор або членом групи Адміністратори.

1. Перевірте за допомогою команди ping мережеве з'єднання між віртуальними Windows 7 та Windows Server 2008 R2 (Маршрутизація в IP-мережах, Налаштування служби DHCP). У разі успішності передачі пакетів можна переходити до наступного пункту.

2. Для того, щоб додати комп'ютер в домен, необхідно запустити вікно Властивості системи. Для цього натисніть кнопку Пуск і виберіть пункт Панель управління.

3. У вікні Панель управління клікніть Система і безпека.

4. У вікні Система і безпека в розділі Система клікніть посилання Перегляд імені цього комп'ютера.

5. У вікні Система в розділі Ім'я комп'ютера, ім'я домена і параметри робочої групи клікніть посилання Змінити параметри.

6. У вікні Властивості системи на вкладці Ім'я комп'ютера натисніть кнопку Змінити.

7. У вікні Зміна імені комп'ютера або домена в розділі Являється членом встановіть перемикач домена, в рядку вкажіть kn.local і натисніть кнопку ОК (рис.12).

Рис. 12. Додавання робочої станції в домен

8. У вікні Безпека Windows в рядку Користувач введіть облікові дані адміністратора домена (у даній лабораторній роботі користувачАдминистратор, в рядку Пароль Passw0rd або Passw0rd1 і натисніть кнопку ОК.

9. У вікні Зміна імені комп'ютера або домена прочитайте повідомлення і натисніть кнопку ОК.

10.У вікні Зміну імені комп'ютера або домена прочитайте повідомлення про необхідність перезавантаження комп'ютера і натисніть кнопку ОК.

11. У вікні Властивості системи натисніть кнопку Закрити.

12. У вікні Microsoft Windows натисніть кнопку Перезавантажити зараз при відповіді на питання про необхідність перезавантаження системи.

Таким чином, ми додали клієнтський комп'ютер в службу каталогів Active Directory. Після додавання комп'ютера в домен необхідно перевірити наявність облікового запису комп'ютера в службі каталогів Active Directory. Для цього:

13. Увійдіть до системи під управлінням операційної системи Windows Server 2008 R2 під обліковим записом Адміністратор або членом групи Адміністратори.

14. Натисніть кнопку Пуск і виберіть послідовно Адміністрування і Active Directory - користувачі і комп'ютери.

15. У вікні Active Directory - користувачі і комп'ютери розкрийте гілку дерева імя_домена (у нашому випадку kn.local), клацніть по теці Computers.

4. У правій частині вікна двічі клацніть по елементу knlclient для проглядання властивостей комп'ютера knclient.

@  Відобразіть у звіті скріншоти (4-5) з результатами виконання завдання.

Завдання 6. Створення облікових записів адміністратора та користувача домену в Active Directory.

Для виконання завдання вам знадобиться сервер під управлінням операційної системи Windows Server 2008 R2, на якому встановлена роль контролера домена. Для виконання даного завдання необхідно увійти до системи під управлінням операційної системи Windows Server 2008 R2 обліковим записом Адміністратор або членом групи Адміністратори.

1. Для створення нового користувача домена відкрийте оснащення Active Directory - користувачі і комп'ютери. Для цього натисніть кнопку Пуск і виберіть послідовно Адміністрування і Active Directory - користувачі і комп'ютери (рис. 13).

2. У вікні Active Directory - користувачі і комп'ютери розкрийте гілку дерева імя_домена (у нашому випадку kn.local), клацніть по теці Users і в меню Дія виберіть послідовно пункти Створити і Користувач.

 

Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\27.jpg  Описание: D:\LNTU\Предмети\Адміністрування комп.систем та мереж\Лабораторні\img\28.jpg

Рис. 13. Оснащення Active Directory – користувачі і комп’ютери

3. У вікні Новий об'єкт - Користувач в рядку Ім'я вкажіть ім'я створюваного користувача (для даної роботи власне Ім’я, всі дані вводьте на англійській мові використовуючи трансліт), в рядку Прізвище - прізвище користувача (для даної демонстрації власне Прізвище), в рядку Ім'я входу користувача - логін (для даної роботи власне Ім’я) і натисніть кнопку Далі (рис. 14).

Описание: C:\Users\pasha\Desktop\1.jpg

Рис. 14. Додавання нового користувача в Active Directory

4. У рядках Пароль і Підтвердження вкажіть пароль для створюваного користувача (для даної роботи: Passw0rd2).

Примітка. Раніше вже наголошувалося, що в домені під управлінням операційної системи Windows Server 2008 R2 активна політика використання складних паролів.

5. Переконаєтеся, що встановлений прапорець Вимагати зміну пароля при наступному вході в систему і натисніть кнопку Далі.

Примітка. Використання даного правила «змусить» користувача змінити свій пароль при першому вході в систему, зберігши свій пароль в таємниці.

6. Ознайомтеся з інформацією про створюваного користувача і натисніть на кнопку Готово.

7. У вікні Active Directory - користувачі і комп'ютери переконаєтеся, що в списку користувачів з'явився користувач з вашим прізвищем та ім’ям. Таким чином, ми створили доменний обліковий запис.

8. Аналогічно створіть ще один обліковий запис використовуючи свої ініціали.

9. Перемістіть створених користувачів у групи, відповідно: Адміністратори домена та Користувачі домена (рис. 15).

Описание: C:\Users\pasha\Desktop\2.jpg

Рис. 15. Переміщення користувачів в різні групи Active Directory

@  Відобразіть у звіті скріншоти (3-4) з результатами  виконання завдання.

Завдання 7. Вхід в систему під користувачем та адміністратором домена.

1. У вікні запрошення для входу в систему під управлінням операційної системи Windows 7 натисніть поєднання клавіш сtrl+alt+del.

Примітка. Зверніть увагу, що за замовчуванням нам пропонується увійти до системи, використовуючи локальний обліковий запис user. Нам необхідно увійти в систему під обліковим записом з правами адміністратора, для цього потрібно:

2. Натиснути кнопку Змінити користувача.

3. Клікнути піктограму Інший користувач.

4. У рядку Користувач ввести імя_домена\ імя_користувача (у нашому випадку KN\Власне ім’я(трансліт)), в рядку Пароль - пароль користувача (у нашому випадку Passw0rd2) і натиснути клавішу Enter.

5. При запиті нового пароля введіть новий пароль - Passw0rd1.

Таким чином, ми виконали вхід в систему під доменним обліковим записом з правами адміністратора. Ми можемо скористатися даним обліковим записом на будь-якому комп'ютері, що підключений до домена.

6. Увійдіть в систему використовуючи обліковий запис користувача домену. Переконайтесь в обмежених правах користувача.

@  Відобразіть у звіті скріншоти (2-3) з результатами виконання завдання.

Контрольні запитання:

1.   Що Ви знаєте про доменну систему імен (DNS)?

2.   Active Directory як служба каталогів корпорації Microsoft.

3.   Встановлення ролі Active Directory в Windows Server 2008 R2.

4.   Розкажіть про способи перегляду створеного домена, а також перевірку роботи служби DNS Windows Server 2008 R2.

5.   Опишіть кроки додавання робочої станції в доменне середовище та створення нового облікового запису в домені.