Telepítés virtuális gépre
Hozzunk létre a VirtualBoxban egy új virtuális gépet. Tárterületnek elég akár egy 32GB-os virtuális merevlemez is, hiszen a feltelepített op.rendszer kb 12GB-ot foglal. Célszerű a dinamikus méretezést választani, így ténylegesen csak annyi helyet foglal el a gazda rendszeren, amennyi szükséges. A típusánál az operációs rendszerünknek megfelelőt válasszuk, mert az adott virtuális gép arra van optimalizálva. pl: Windows Server 2012 – Windows 2012
Egyéb paraméterek: minimum 512MB ram, de minél több, annál jobb. Ha lehet, azért 1GB-nál kevesebbet ne adjunk meg. Fontos, hogy a memória mérete 2 hatványa legyen, ne kerek számok. Felhasznált processzormagok száma is legyen páros, vagy csak 1. Célszerű bekapcsolni a hardveres gyorsítás lehetőségét.
Hibalehetőség: ha a VirtualBox nem enged 64 bites operációs rendszert telepíteni, akkor a gazda gép BIOS-ában engedélyezni kell a virtualizáció támogatását!
Hálózat
A VirtualBox megfelelő beállítása: a szerver és a kliens gépek is ugyanazt a hálótatot használják, pl: belső hálózat. Ha a Windows Serveren lesz dhcp kiszolgáló is, akkor a VirtualBox saját dhcp szerverét kapcsoljuk ki!
Ha feltelepült, akkor célszerű a VirtualBoxban egy pillanatképet készíteni, így a frissen telepített rendszerre egy kattintással visszaállhatunk később… Pillanatképből több is lehet, így akár különféle beállításokkal is tesztelhetjük a rendszert.
A Windows Server 2012 beállítása
A rendszergazda fióknak legyen jelszava, kisbetű+nagybetű+szám, egyéb karakterek! Ha nincs megadva jelszó, akkor az AD-t nem lehet telepíteni például.
A frissen feltelepített rendszer a Kiszolgálókezelő ablakával kezd. Két dolgot célszerű megadni kezdetnek: fix ip címet, és a szerver nevét. (helyi kiszolgáló konfigurálása) A számítógép neve nagyon fontos, mert van pár olyan szolgáltatás, ami erre épül, így később nehéz megváltoztatni. (hitelesítés stb.) Érdemes még az Internet Explorer fokozott biztonsági beállításokat a rendszergazdáknak kikapcsolni, amíg szükség lehet valamilyen telepítőre. (Nat-hálózat szükséges ahhoz, hogy kilásson az internetre a gép) Persze szerveren nem internetezünk, de egy-két telepítőre szükség lehet.
Még egy tipp: ha csak tesztelésre, gyakorlásra használjuk a szervert, akkor a windows update-et is kikapcsolhatjuk.
Alapesetben a szerver tűzfala szinte mindent tilt, így pingelni se lehet! Ha szeretnénk a szervert pingelni, vagy a szerverről munkaállomást, akkor a bejövő és a kimenő tűzfal szabályokban is engedélyezni kell! (Vannak olyan szolgáltatások, amelyek automatikusan engedélyezik, pl: fájlmegosztás). Itt lehet engedélyezni: eszközök/fokozott biztonságú Windows tűzfal. Azon belül bejövő és a kimenő szabályoknál is: fájl és nyomtatómegosztás, echo kérés. Van ipv4 és ipv6-os is.
Szolgáltatások telepítése, avagy mitől is szerver a szerver
Kiszolgálókezelő/kezelés/Szerepkörök és szolgáltatások hozzáadása. Itt tudunk szerepköröket és szolgáltatásokat beállítani, illetve eltávolítani. A kis zászlónál jelzi, ha valami még folyamatban van, esetleg hiba lépett fel. Vannak olyan hibák is, melyek igazából nem hibák, csak pl. késleltetve indul el egy szolgáltatás, és emiatt még nem fut. Célszerű a frissítés gombot is megnyomni, ha hibát jelez, mert lehet, hogy közben már az adott szolgáltatás fut, csak a hibajelzés nem tűnt el.
Active Directory
Röviden AD, a Microsoft egyes hálózati szolgáltatásainak gyűjtőneve. Ezek: címtárszolgáltatás, Kerberos protokoll-alapú autentikáció, DNS-alapú névszolgáltatás és egyéb hálózati információk. Rövidebben: felhasználók és számítógépek kezelésére szolgál.
Az Active Directory címtár az adatbázisból és az azt futtató Active Directory szolgáltatásból áll. Fő célja a Windowst futtató számítógépek részére autentikációs és autorizációs szolgáltatások nyújtása, lehetővé téve a hálózat minden publikált erőforrásának (fájlok, megosztások, perifériák, kapcsolatok, adatbázisok, felhasználók, csoportok stb.) központosított adminisztrálását – vagy éppen a rendszergazdai jogosultságok delegálásával a decentralizált felügyeletét. Számos különböző erőforráshoz (megosztott mappák, nyomtatók, levelezés stb.) egyetlen felhasználónév/jelszó páros megadásával biztosít hozzáférést (Single Sign On, SSO).
Lehetőséget nyújt a rendszergazdák számára házirendek kiosztására, szoftverek és szoftverfrissítések telepítésére a szervezeten belül. Az Active Directory az információkat és beállításokat egy központi adatbázisban tárolja, a tartományvezérlő számítógépe(ke)n. Ennek az adatbázisnak a mérete egy kisvállalat néhány száz objektumától egy több ezer szervert üzemeltető nemzetközi vállalat sok millió objektumáig terjedhet. Az Active Directory szükséges néhány Windows-összetevő, mint például az Exchange, az RRAS, az ISA Server vagy a Certificate Services működéséhez.
Egy Active Directory-címtár legmagasabb szintje az erdő (forest), ami egy vagy több bizalmi kapcsolatokkal (trust) összekötött tartományt (domain) magába foglaló egy vagy több fa (tree) összessége. A tartományokat DNS-beli névterük azonosítja. A címtár objektumait a Directory Information Tree (címtárinformációs fa, DIT) adatbázisa tárolja, ami három partícióra bomlik, ezek:
- az objektumok tulajdonságait leíró sémapartíció (schema partition),
- az erdő szerkezetét (tartományokat, fákat, helyeket) leíró konfigurációs partíció (configuration partition)
- a tartomány objektumait tartalmazó tartományi partíció (domain partition).
- Ezeken kívül létezhetnek alkalmazáspartíciók (application partition) is.
Az Active Directory objektumokból épül fel. Ezek három fő kategória egyikébe tartoznak:
- erőforrások (például nyomtatók)
- szolgáltatások (például e-mail)
- felhasználók (felhasználói fiókok, csoportok)
Az AD információkat tárol ezekről az objektumokról, rendszerezi őket, szabályozza a hozzáférést és biztonsági beállításokat tárol; ezzel egyben központosítva a hálózatot.
Minden objektum egyetlen entitást reprezentál – legyen az felhasználó, számítógép, nyomtató vagy egy csoport – attribútumaival együtt. Bizonyos objektumok más objektumokat tartalmazó konténerként is működhetnek. Egy objektumot egyértelműen azonosít megkülönböztetett neve (dn, distinguished name), ami tulajdonképpen az objektum neve és a fában elfoglalt helye együttesen.
Az Active Directory objektumait a Directory Information Tree (címtárinformációs fa, DIT) adatbázisa tárolja. Fizikailag az Active Directory adatai egy vagy több egyenrangú tartományvezérlőn (domain controller, DC) tárolódnak. A struktúra legmagasabb szintjén foglal helyet az erdő (forest) – az AD minden objektumának, azok attribútumainak és szabályainak (az attribútumok szintaxisa) gyűjteménye. Az erdőt egy vagy több, kétirányú és tranzitív bizalmi kapcsolat (trust) által összekötött fa (tree) alkotja. Egy-egy fában egy vagy több, konfigurációs és sémapartíciójukban megegyező tartomány (domain) lehet, amik egy tartományhierarchiát alkothatnak, melyben a szülő- és a gyermektartományok között automatikusan létrejövő, tranzitív kétirányú bizalmi kapcsolat van. A tartományokat DNS-beli névterük azonosítja, és ez a tartományi hierarchiát is tükrözi (például a child.parent.root.com tartomány szülője a parent.root.com).
A tartományban lévő objektumok szervezeti egységekbe (Organizational Unit, OU) rendezhetők. A csoportházirendek (amik szintén AD objektumok, csoportházirend-objektum – Group Policy Object, röviden GPO néven) általában a szervezeti egységek szintjén fejtik ki hatásukat, bár tartomány és hely (site) szinten is alkalmazhatók.
Active Directory telepítése: szerepkörök és szolgáltatások hozzáadása, kiszolgálói szerepkörök. Active Directory tartományi szolgáltatások
Fontos! Telepítés előtt a szerver gépet nevezzük el, adjunk neki fix ip címet, átjáró, és dns adatokat! (lehet saját maga is)
A „varázsló” feltelepíti a szükséges szolgáltatásokat is. Telepítés és konfigurálás után a szerver gépet majd elő kell léptetni tartományvezérlővé, (ezt a kiszolgálókezelő is jelezni fogja) majd újra fog indulni. Újraindulás után a helyi kiszolgáló tulajdonságainál már látszik is, hogy a tartomány tagja lett:
Innentől kezdve létrehozhatunk szervezeti egységeket, felhasználói csoportokat, felhasználókat, majd ki is próbálhatjuk a tartományba léptetést (ha nincs dhcp szerver, akkor a kliensen manuálisan kell megadni a megfelelő hálózati konfigurációt)
Példaként létrehoztam egy diákok nevű felhasználói csoportot, egy felhasználóval. A felhasználót hozzá kell adni a csoporthoz, ha szeretnénk, hogy a tagja legyen. Legegyszerűbb, a felhasználó nevén jobb egérgomb/hozzáadás csoporthoz vagy a felhasználó tulajdonságainál is lehet.
Célszerű dokumentálni, és előre megtervezni, milyen szervezeti egységeket kívánunk létrehozni, milyen jogokkal stb.