Instalacja usługi Active Directory w Windows Server 2008 w trybie nienadzorowanym
Usługa Active Directory jest rdzeniem bezpieczeństwa w środowisku sieciowym platformy Microsoft Windows Server. Jest odpowiedzialna m.in. za autentykacje użytkowników i komputerów w domenie organizacji, zarządzanie i wdrażanie zasad grup oraz kontrolę dostępu do zasobów sieciowych. Poniższy artykuł ma na celu przybliżenie procesu instalacji usługi Active Directory w trybie nienadzorowanym w systemie operacyjnym Microsoft Windows Server 2008.
Zawartość strony
 | Wstęp |
| Scenariusze wdrożenia usługi katalogowej |
| Nowości w instalacji Active Directory |
| Programowe wymagania konieczne do instalacji |
| Instalacja nowego lasu Windows Server 2008 |
| Podsumowanie |
Wstęp
Termin „katalog” wzbudzał wiele zainteresowania w środowisku informatycznym w ciągu ostatnich kilku lat. Przyrost sieci komputerowych w przedsiębiorstwach oraz wzrost znaczenia informacji w ciągu ostatniej dekady spowodowały potrzebę ochrony infrastruktury sieciowej. Jednym ze sposób osiągnięcia powyższego celu jest wdrożenie usługi katalogowej Active Directory, dostępnej w systemie operacyjnym Microsoft Windows Server 2008.
Active Directory należy uznać za największą, pojedynczą zmianę w systemie Windows 2000 w stosunku do Windows NT. Zarówno w wersji 2003 oraz 2008, usługa ta została poprawiona, czyniąc z niej główny komponent systemu operacyjnego. AD gwarantuje pojedyncze odniesienie (single reference) w postaci usługi katalogowej dla wszystkich obiektów tj. komputerów, grup, użytkowników, drukarek i uprawnień. Pod kątem zarządzania dostarcza pojedynczego, hierarchicznego widoku, służącego do zarządzania powyższymi obiektami.
W praktyce Active Directory wykorzystuje standardy i protokoły sieci Internet, m.in. Kerberos, SSL (Secure Sockets Layer), TLS (Transport Layer Security), LDAP (Lightweight Directory Access Protocol) oraz DNS (Domain Name Service).
Scenariusze wdrożenia usługi katalogowej
AD może być, w zależności od potrzeb, wdrożone w postaci następujących scenariuszy:
| • | Active Directory Lightweight Directory Services (AD LDS) dostarcza mechanizmy dla aplikacji korzystających z usługi katalogowej; taka instancja nie wymaga i nie opiera się na strukturze lasów i domen, wcześniej znana, jako ADAM (Active Directory Application Mode). |
| • | Active Directory Federation Services (AD FS) to usługi jednorazowego logowania się (single sign-on SSO) dla technologii webowych w celu autentykacji użytkownika w środowisku wielu aplikacji podczas trwania jednej sesji; AD FS bezpiecznie przechowuje informacje na temat tożsamości, zarządzając prawami dostępu do określonych aplikacji. |
| • | Active Directory Rights Management Services (AD RMS) to technologia ochrony informacji, która współdziała z aplikacjami (np. MS Word) w celach bezpiecznego przechowywania danych cyfrowych i zapobieganiu przed nieautoryzowanym dostępem, zarówno w trybie online jak i offline. |
| • | Active Directory Read-Only Domain Controller to tryb pracy kontrolera domeny tylko do odczytu dla lokalizacji, gdzie fizyczne zabezpieczenia nie są wystarczające |
| • | Active Directory Domain Services (AD DS) to usługi katalogowe, które z powodzeniem mogą być wykorzystane do centralnego zarządzania zasobami infrastruktury sieciowej, m.in. poprzez zasady grupy. |
W tym artykule, autor skupił się na ostatnim z wymienionych powyżej scenariuszy wykorzystania usługi Active Directory.
Nowości w instalacji Active Directory
Instalacja Active Directory Domain Services (AD DS) posiada nowe opcje, które obejmują :
| • | instalację nienadzorowaną, |
| • | kontrolery domeny tylko do odczytu (RODC), |
| • | serwer DNS, |
| • | katalog globalny (global catalog), |
| • | kreator instalacji Active Directory Domain Services, |
Domyślnie na poziomie funkcjonalności lasu (domeny) Windows Server 2008, dostępne są wszystkie cechy z Windows Server 2003. Wśród nowości na poziomie domeny należy wymienić:.
| • | funkcję zastosowania różnych polityk haseł oraz blokad kont dla różnych zbiorów użytkowników lub globalnych grup zabezpieczeń na poziomie pojedynczej domeny, |
| • | replikacja rozproszonego systemu plików odnośnie katalogu SYSVOL jest wydajniejsza i uszczegółowiona pod kątem jego zawartości, |
| • | wsparcie AES (Advanced Encryption Services 128 i 256) dla protokołu Kerberos, |
| • | dodatkowe informacje o ostatnim interaktywnym logowaniu w postaci czasu ostatniego poprawnego zalogowania się użytkownika, nazwy stacji roboczej oraz liczby nieudanych prób zalogowania się. |
Jeżeli chodzi o poziom funkcjonalności lasu w Windows Server 2008, nie można wyróżnić dodatkowych cech w stosunku do Windows Server 2003. Jednak w tym miejscu należy zaznaczyć, iż pożądany poziom lasu to Windows Server 2003, gdyż wspiera on zarówno wersję systemu Windows Server 2003/2008 w przeciwieństwie do poziomu Windows Server 2008.
Programowe wymagania konieczne do instalacji
Usługa Active Directory w systemie Windows Server 2008 posiada niezbędne wymagania programowe do których należą:
| • | Poprawna konfiguracja stosu protokołów TCP/IP oraz DNS, |
| • | Folder SYSVOL musi być zlokalizowany na lokalnej partycji sformatowanej w systemie plików NTFS, |
| • | w przypadku dodawania kontrolera domeny pracującego na Windows Server 2008, należy upewnić się, iż operacja wykonywana przez plik adprep.exe dobiegła końca. |
Instalacja nowego lasu Windows Server 2008
Stworzenie nowego lasu usługi Active Directory w Windows Server 2008 można wykonać przy pomocy:
| • | interfejsu graficznego systemu Windows, |
| • | linii komend, |
| • | pliku odpowiedzi. |
Poniżej zostanie opisana procedura, która dotyczy ostatniej możliwości tj. stworzenia pliku odpowiedzi dla programu dcpromo.
W pierwszej kolejności należy utworzyć plik tekstowy w którym zostaną zawarte wszystkie niezbędne informacje dla kreatora instalacji usługi Active Directory. W tym celu posłużymy się wbudowanym edytorem tekstu notepad.exe. Po jego uruchomieniu należy:
1. | W pierwszej linii wpisać [DCINSTALL], nacisnąć Enter, |
2. | Następnie wprowadzić kolejne parametry: InstallDNS=yes NewDomain=forest NewDomainDNSName=<pełna kwalifikowana nazwa domeny FQDN> DomainNetBiosName=<domyślnie pierwszy człon FQDN> ReplicaOrNewDomain=domain ForestLevel=<numer poziomu funkcjonalności lasu> DomainLevel=< numer poziomu funkcjonalności domen> DatabasePath=<lokalizacja (ścieżka) pliku ntds.dit, oznaczona przez podwójne cudzysłowy> LogPath=<lokalizacja do folderu dla plików logów, oznaczona przez podwójne cudzysłowy> RebootOnCompletion=yes SYSVOLPath=<lokalizacja folderu SYSVOL> SafeModeAdminPassword=<hasło dla trybu przywracania usługi katalogowej> |
3. | Zachować plik w dostępnym dla użytkownika folderze. |
4. | Następnie z linii komend, wydajemy polecenie dcpromo /unattend:”ścieżka do pliku odpowiedzi”. |
Proces tworzenia nowego lasu i tym samym domeny sygnalizowany jest przez komunikat widoczny na rysunkach poniżej:
Przy okazji instalacji usługi Active Directory, została dodana konsola do zarządzania zasadami grup: Group Policy Management Console.
Do celów instalacji usługi Active Directory DS został wykorzystany plik dc_install.txt, którego zawartość przedstawiona jest poniżej:
[DCINSTALL] InstallDNS=yes NewDomain=forest NewDomainDNSName=nwtraders.msft DomainNetBiosName=nwtraders ReplicaOrNewDomain=domain ForestLevel=2 DomainLevel=2 DatabasePath="c:\ntds" LogPath="c:\ntds" RebootOnCompletion=yes SYSVOLPath="c:\sysvol" SafeModeAdminPassword=P@ssw0rd
Podsumowanie
Active Directory jest jedną z najważniejszych cech Windows Server 2008, opartą na schemacie X.500 zawiera wiele predefiniowanych i wstępnie skonfigurowanych obiektów. Zadaniem administratora serwera jest znajomość narzędzi instalacji usługi katalogowej oraz sposobów na jej automatyzację. Wykorzystanie narzędzi z linii poleceń pozwala na skrócenie czasu procesu przywracania serwera do pracy po awarii.
 | Paweł Weichbroth (Combidata Poland) |