Active Directory kiegészítő szerverek telepítése és konfigurálása Windows Server 2003 R2 alatt Készítette: Petróczy Tibor Active Directory kiegészítő kiszolgálók telepítése és konfigurálása Windows Server 2003 R2 alatt Ezen leírás támaszkodik az Active Directory telepítése és konfigurálása Windows Server 2003 R2 alatt című leírásomhoz, ezért a szükséges virtuális szoftver beállításait (hálózati csatolók és egyéb beállítások) itt nem részletezem. Jelen leírásban feltételezem, hogy rendelkezünk már egy elsődleges Active Directory kiszolgálóval, amely a ceg.local tartományért felelős. A tartomány névtől természetesen elrugaszkodhatunk. A másodlagos szerver, replikálja az adatokat az elsődlegesen létrehozott kiszolgálótól, továbbá a szervert nem fog tartalmazni újabb child (gyerek) tartományt, vagy új domain-tree (tartomány fát), azonban ennek a segítségével a műveleti főkiszolgálói szerepköröket át lehet ruházni, illetve az elsődleges szervernél fellépő esetleges üzemzavar esetén a tartomány alapú hálózatunk gond nélkül üzemel. Továbbá az elsődleges tartomány vezérlőn win2003-server néven a 192.168.100.1-es IP címen fut, továbbá tartalmaz egy DNS kiszolgálót. Második tartományvezérlő beállításai: Mielőtt tovább haladnánk, teszteljük le, hogy van-e kapcsolat a két szerver között:
Ezt követően a szerver nevét kötelező megváltoztatnunk, mivel a hálózaton névváltozás fog fellépni, illetve a szerverek nem tudnak egymással kommunikálni: Amennyiben feltételezzük, hogy virtualizált operációs rendszerek használunk, akkor több, mint valószínű, hogy ugyanazt a virtuális gépet másoltuk/klónoztuk le, amely jelen esetben problémához vezet, ugyani a szerverek egymást az úgynevezett SID (Security Identifier) alapján azonosítják, és ez jelen esetben megegyezhet. A SID mindig az operációs rendszer telepítése során jön létre automatikusan, és elméletileg nem egyezhet meg egy hálózaton a gépek között, azonban a gyakorlat néha mást szokott mutatni. A SID módosításához egy egyszerű NewSID.exe programot használhatunk, amely néhány kattintás után el is végzi a megfelelő beállításokat. A programot tetszőleges helyről letölthetjük, és az aktuális virtuális gépen kell futtatnunk: 2
A telepítés során maradhatunk a Random SID beállításnál, esetlegesen speciális feladatok elvégzésénél vagy tesztelésnél lehet szükség egy meglévő SID klónozására, vagy egy egyedileg kitüntetett azonosító meghatározására: Az új SID generálása: 3
Ezután egyúttal a gépünk nevét is megváltoztathatjuk, amennyiben ezt a korábbiakban elfelejtettük volna: A generált SID alkalmazása, majd a rendszer újraindítása, és ezáltal felkészülve a következő tartományvezérlő telepítésére: 4
DNS beállítások Mielőtt belekezdenénk a telepítésbe, az elsődleges szerveren a DNS kiszolgálóban vegyük fel a másodlagos szerver adatait. Ez a lépés kihagyható, ha a szerver nevének beállításakor egyúttal felvettük a tartomány nevét is, amelyben dolgozni fog, ha nem így cselekedtünk, akkor végezzük el a szükséges DNS bejegyzést: Egy új állomás (A) rekord hozzárendelése a win2003-server2 névvel a 192.168.100.2-es IP címhez: Teszteljük, le, hogy a DNS működik-e a másodlagos szerverre: 5
Látható, hogy a megfelelő bejegyzés felvétele után, a második szerverünk már tartomány névvel is elérhető: 6
Active Directory telepítése második kiszolgálóra A lépesek szinte ugyanazok lesznek, mint az előző jegyzetben bemutatott telepítés lépései, ezét különösebb magyarázatot nem fűzök minden egyes lépéshez: 7
8
Itt látható egy fő különbség az elsődleges telepítéssel ellentétben, ugyanis itt határozzuk meg, hogy már egy meglévő tartományba szeretnénk felvenni egy új kiszolgálót: 9
Szükséges authentikálni magunkat egy olyan felhasználó az adott tartomány (ceg.local) esetében, akinek ehhez jogosultsága van, ez általában egy tartományi rendszergazda: Adjuk meg vagy tallózzuk be a létező tartományunkat: A következő lépesek ugyanazok, amelyek az elsődleges kiszolgáló telepítése során is előfordultak: 10
11
12
13
Látható, hogy telepítés után a második tartományvezérlőn vagyunk, és a teljes AD adatbázis át lett másolva: Ezt követően a műveleti főkiszolgálói szerepköröket (FSMO Flexible Single Master Operation) is tudjuk módosítani, átvehetjük az elsődleges kiszolgálótól amennyiben az szükséges (esetleges költöztetés, hardver-csere esetén ). Ezen beállításokat is az előző jegyzetben tárgyaltam: 14
A RID szerepkör módosítása az elsődleges szerverről a másodlagos szerverre: Látható, hogy innentől kezdve a második szerver látja el ezt a szerepkört, ha mégsem felelne meg a beállítás, akkor ugyanezt a lépést az első szerveren elvégezhetjük: 15
A második szerverről át tudunk csatlakozni az elsődleges szerverre: Látható, hogy a második szerveren (win2003-server2) dolgozunk, de az AD esetében az első szerver adatait töltöttük be: A tesztelésnél látható, hogy az első tartományvezérlő le van állítva, de a tartományi bejelentkezés mégis működik, mivel a második tartományvezérlő üzemképes: 16
17
Active Directory telepítése gyerektartománnyal harmadik kiszolgálóra Harmadik szerver beépítése a hálózatba, gyerektartománnyal, vagy akár új tartományfával. Jelen leírásban csak egy gyerektartomány beépítését mutatom be, mivel az új tartományfa létrehozása hasonló módon történik. A harmadik szerver esetében is a megelőző beállítások az IP cím, a számítógép név, és az elsődleges DNS szerveren a szükséges bejegyzések: Teszteljük le a kapcsolatot az első és második tartományvezérlővel: 18
A DNS szerveren tegyük meg a szükséges bejegyzést a harmadik gépnek, ahol már látható, hogy a megfelelő gépnevet rendeljük a rekordhoz (ez a beállítás ismételten nem szükséges, ha a gépnév módosítása során a tartomány nevét is megadtuk): A megfelelő gépnév beállítása, IP beállítás és DNS bejegyzést követően, a harmadik szerveren is el kell végeznünk a SID módosítását (ez akkor szükséges, ha másolt operációs rendszerekről van szó). A módosítás menete 100%-ban megegyezik a második gépen elvégzett módosítás menetével (NewSID.exe program): 19
20
21
A megfelelő beállításokat követően, következhet az Active Directory telepítése. Jelen esetben is a kezdeti lépések megegyeznek az előzőekben leírt első és második szerver telepítésével: 22
A fő változás itt történik, ugyanis itt határozzuk, meg, hogy egy gyerek tartományt szeretnénk létrehozni, vagy egy tartományfát: Az AD authentikációhoz szükséges megadnunk egy felhasználót, és egy tartományt, amelyhez illesztjük a child (gyerek) tartományt: Adjuk meg a fő tartományt, továbbá a child (gyerek) tartomány nevét: 23
A telepítés további lépése ugyanazok, mint a korábbi telepítések esetében: 24
25
26
Néhány előforduló hibaüzenet, amely telepítés során elő jöhet: Tipikus hiba, mikor a szerverek SID-je megegyezik, ebben az esetben a telepítés félbeszakad, és szükséges az operációs rendszer SID-jét módosítani a fentebb leírtak alapján: Sikeres telepítés befejezése: 27
Telepítés után a kötelező újraindítás: Újraindítás után, látható, hogy a szerverünk már be tud jelentkezni a Budapest és a Ceg tartományba is: 28
Megerősítés a sikeres telepítésről. Ezt követően a tartomány vezérlőnkön elérhetjük a gyerek tartományunkat, és tetszőleges konfigurálhatjuk: Jól látható, hogy a felhasználó létrehozása során, immáron választhatunk bármelyik tartományunkból: 29
Sikeres bejelentkezés a használt kliens gépünkről: 30
Egy kis szösszenet Árva tartomány eltávolítása: 1. ntdsutil 2. metadata cleanup 3. connections (set creds tartománynév felhasználónév jelszó) 4. connect to server kiszolgálónév 5. quit (Metadata Cleanup) 6. select operation target 7. list domains 8. select domain szám 9. quit (Metadata Cleanup) 10. remove selected domain 11. quit Forrás: http://support.microsoft.com/kb/230306 31