Windows/2019/Server Client/Setup domain controller

Μετά την εγκατάσταση των λειτουργικών συστημάτων στον εξυπηρετητή και στους σταθμούς εργασίας του σχολικού εργαστηρίου, είναι δυνατή η δημιουργία του τομέα (domain) και η ένταξη όλων των υπολογιστών σε αυτό.

Για οδηγίες σχετικές με Active Directory δείτε στα Windows/2019/Server_client/Architecture και Windows/2019/Server_Client/Guides

Προετοιμασία της Εγκατάστασης

Πριν την αναβάθμιση ενός Windows Server σε Domain Controller θα πρέπει για τον ίδιο τον εξυπηρετητή να οριστεί στις παραμέτρους του TCP/IP να χρησιμοποιεί ως DNS server τον εαυτό του (την IP address 10.x.y.10 που ορίσαμε σε προηγούμενο βήμα) αφαιρώντας τους DNS Servers του Π.Σ.Δ. Ο λόγος είναι ότι η εγκατάσταση του Domain Controller ρόλου προϋποθέτει εγκατάσταση του DNS Server ρόλου στον εξυπηρετητή για το Domain που θα δημιουργηθεί.

Προκειμένου ο εξυπηρετητής να μπορεί να απαντά και σε ερωτήματα DNS εκτός του Domain του, οι DNS Servers του Π.Σ.Δ. θα οριστούν ως forwarders σε επόμενο βήμα.

Εναλλακτικά μπορείτε να ορίσετε τις TCP/IP ρυθμίσεις με powershell $interface=Get-NetIPInterface -AddressFamily IPv4 -InterfaceAlias "Ethernet*" Set-DNSClientServerAddress -InterfaceIndex $interface.ifIndex -ServerAddresses 10.50.40.10

Εγκατάσταση Domain

Εκκίνηση Εγκατάστασης

Στο Windows Server η διαδικασία εγκατάστασης ενός domain controller μπορεί πλέον να γίνει μόνο μέσω γραφικού περιβάλλοντος με χρήση του εργαλείου  Server Manager το οποίο είναι ένα Microsoft Management Console (MMC) για τη διαχείριση του εξυπηρετητή και ξεκινά αυτόματα μετά το logon του διαχειριστή (administrator).

Εναλλακτικά μπορείτε να το τρέξετε από: Το  Start μενού  ▸  δεξί-click Computer  ▸  Manage  Το  Start μενού  ▸  Administrative Tools  ▸  Server Manager  Πληκτρολογώντας Windows Key+R και κατόπιν servermanager

Για να ρυθμίσετε τον εξυπηρετητή να λειτουργεί ως Domain Controller, ακολουθείστε τα παρακάτω βήματα:

• Επιλέξτε τον σύνδεσμο  Add roles and features από την διεπαφή που προσφέρει το λειτουργικό σύστημα με την έναρξή του, όπως φαίνεται και στη γειτονική εικόνα.

• Στην αρχική διεπαφή που εμφανίζεται επιλέγουμε Next.

Μπορείτε να αποφύγετε την εμφάνιση του συγκεκριμένου βήματος, σε μελλοντική εγκατάσταση, επιλέγοντας το  Skip this page by default

• Επιλέξτε  Role-based or feature-based installation.

• Επιλέξτε  Select a server from the server pool και κατόπιν επιλέξτε τον εξυπηρετητή σας (πχ srv-2lyk-mesol).

• Ο χρήστης επιλέγει την εγκατάσταση των  Active Directory Domain Services.

• Εμφανίζεται διάλογος για την εγκατάσταση απαιτούμενων features. Επιλέξτε Add Features

• Στην συνέχεια παρουσιάζεται τσεκαρισμένη η αντίστοιχη επιλογή. Επιλέξτε Next

• Αφήνουμε τα προεπιλεγμένα features για εγκατάσταση. Επιλέγετε Next
• Επιλέγετε Next και στο διάλογο της εγκατάστασης Active Directory Domain Services

• Και επιλέγουμε Next και Install στις αντίστοιχες διεπαφές που εμφανίζονται.

• Με το πέρας των παραπάνω βημάτων ξεκινάει η εγκατάσταση.

Εναλλακτικά μπορείτε να εγκαταστήσετε το ρόλο του Domain Controller με powershell Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools

Ορισμός Forest & Domain

• Μετά την εγκατάσταση γίνεται επανέναρξη του υπολογιστή. Παρατηρούμε ότι στο Dashboard του Server Manager έχει προστεθεί ο AD DS (Active Directory Domain Server). Επίσης εμφανίζεται προειδοποιητικό σήμα το οποίο ενημερώνει για την εγκατάσταση των features και για την δυνατότητα να κάνουμε τον server Domain Controller, επιλέγοντας Promote this server to a domain controller.

• Στο νέο διάλογο που εμφανίζεται επιλέγουμε το  Add a new forest και πληκτρολογούμε στο Root domain name ένα νέο ενδεικτικό όνομα. Προτείνεται η υποδομή να αναπτυχθεί κάτω από το <όνομα σχολείου>.<Νομαρχιακή Ενότητα>.priv.sch.gr πχ 2lyk-mesol.ait.priv.sch.gr

Το όνομα του σχολείου που χρησιμοποιείται στο Domain Name είναι μοναδικό στο Π.Σ.Δ. και προκύπτει αν από το web site του σχολείου (π.χ. http://2lyk-mesol.ait.sch.gr) κρατήσουμε το αρχικό κομμάτι (π.χ. 2lyk-mesol)

• Στον επόμενο διάλογο Domain Controller Options αφήνουμε τις προεπιλογές στα:
  • Forest functional level Windows Server 2016
  • Domain functional level Windows Server 2016
  • Domain Name System (DNS) server
  • Global Catalog (GC)

Επιπλέον ορίστε τον κωδικός ασφαλείας για το λογαριασμό διαχειριστή, όταν ο εξυπηρετητής λειτουργεί σε "directory services restore mode". Για λόγους ευκολίας διαχείρισης, προτείνεται να επιλέγεται ίδιος κωδικός με αυτόν που έχει οριστεί για κάποιον από τους διαχειριστές του domain

• Κατόπιν εμφανίζεται μήνυμα για την δημιουργία DNS delegation για το οποίο επιλέγετε Next

• Στη συνέχεια σας ζητείται να ορίσετε το ΝetBIOS domain name. Αν έχετε ακολουθήσει την προτεινόμενη διαδικασία αφήστε το προεπιλεγμένο όνομα που ταυτίζεται με το όνομα του σχολείου (πχ 2LYK-MESOL) και επιλέγετε Next

• Κατόπιν επιβεβαιώνετε τους φακέλους αποθήκευσης της βάσης δεδομένων και των αρχείων καταγραφής του ενεργού καταλόγου (database and log folders). Καθώς το μέγεθος του Active Directory δεν είναι αυξημένο στα σχολικά εργαστήρια δεν κρίνεται σκόπιμη η αποθήκευση των συγκεκριμένων αρχείων σε πιθανό δεύτερο σκληρό δίσκο για βελτιστοποίηση της απόδοσης. Με αυτόν τον τρόπο γίνεται πιο εύκολη και η λήψη αντιγράφων ασφαλείας για επαναφορά του συστήματος. Επίσης, ορίζεται το μονοπάτι του διαμοιραζόμενου φακέλου ‘sysvol’. Προτείνεται να γίνεται αποδεκτή η προεπιλεγμένη επιλογή φακέλου και επιλέγετε Next

• Παρουσιάζεται ένα review των επιλογών του χρήστη, ώστε να είναι σε θέση να προβεί σε ενέργειες διόρθωσης εφόσον το επιθυμεί και επιλέγετε Next

• Σε αυτό το σημείο (Prerequisites Check) πραγματοποιείται ένας έλεγχος ότι ικανοποιούνται όλες οι απαιτήσεις και εφόσον δεν διαπιστωθούν προβλήματα η μετατροπή του εξυπηρετητή σε domain controller ξεκινάει εφόσον επιλέξετε Install.
• Περιμένετε την ολοκλήρωση της εγκατάστασης του Active Directory Domain Services.

• Με την ολοκλήρωση της εγκατάστασης πραγματοποιείται αυτόματα επανεκκίνηση του συστήματος για την εφαρμογή των αλλαγών σε αυτό.

• Με την επανεκκίνηση του υπολογιστή:
  • Συνδέεστε ως διαχειριστής (administrator) του domain πλέον (δεν υπάρχει η έννοια του τοπικού διαχειριστή στον Domain Controller) με τον ίδιο κωδικό που συνδεόσασταν πριν την εγκατάσταση του Domain.
  • Στο εργαλείο  Server Manager και συγκεκριμένα στα  tools υπάρχουν διαθέσιμες οι εφαρμογές διαχείρισης των υπηρεσιών του Active Directory Domain, DNS κτλ.

Εναλλακτικά μπορείτε να ρυθμίσετε τα forest, domain κτλ με powershell Install-ADDSForest -DomainName 2lyk-mesol.ait.priv.sch.gr -DomainNetBIOSName 2lyk-mesol -InstallDNS

Ρύθμιση της υπηρεσίας DNS του εξυπηρετητή

Στον εξυπηρετητή του εργαστηρίου κατά την εγκατάσταση του Active Directory εγκαθίσταται και η υπηρεσία ονοματολογίας Domain Name System (DNS). Η υπηρεσία μπορεί να απαντήσει ερωτήματα για την περιοχή <όνομα σχολείου>.<νομαρχιακή ενότητα>.priv.sch.gr, ενώ για την ομαλή επικοινωνία και με το διαδίκτυο είναι απαραίτητο να απευθύνει ερωτήματα για τις υπόλοιπες περιοχές στους DNS servers του Π.Σ.Δ., τους οποίους θα χρησιμοποιεί ως forwarders.

Από την κονσόλα διαχείρισης της υπηρεσίας DNS (DNS Manager), που είναι διαθέσιμη από την εφαρμογή  Server Manager αφού επιλέξετε  Tools και κατόπιν  DNS επιλέγετε το όνομα του εξυπηρετητή και με δεξί click επιλέγετε  Properties και κατόπιν επιλέγετε την καρτέλα ρύθμισης των  Forwarders:

• Προσθέστε τους DNS servers του Π.Σ.Δ. που λαμβάνετε μέσω DHCP από το router του ΣΕΠΕΗΥ (συνήθως 194.63.238.4, 194.63.239.164 και 194.63.237.4).

Απενεργοποιείστε τη ρύθμιση  Use root hints if no forwarders are available, ώστε να περιορίσετε την επικοινωνία του DNS server μόνο με τους αντίστοιχους εξυπηρετητές του Π.Σ.Δ.

Εναλλακτικά μπορείτε να ρυθμίσετε τα forest, domain κτλ με powershell Set-DnsServerForwarder -UseRootHint $false Add-DnsServerForwarder -IPAddress 194.63.238.4, 194.63.239.164, 194.63.237.4

Ενεργοποίηση συγχρονισμού ώρας

Ο εξυπηρετητής είναι επιθυμητό να έχει συγχρονισμένη την ώρα του με αυτή του ΠΣΔ. Για το λόγο αυτό ενεργοποιούμε την επικοινωνία του με βάση το πρωτόκολλο NTP με το δρομολογητή του τοπικού δικτύου (IP address δρομολογητή 10.x.y.1) καθώς και με τον εξυπηρετητή ntp του ΠΣΔ ntp.sch.gr (για τις περιπτώσεις σχολείων που δεν διαθέτουν δρομολογητές που υποστηρίζουν να είναι ntp εξυπηρετητές).

Η ρύθμιση πρέπει να γίνεται μετά την ενεργοποίηση του Active Directory, καθώς η τελευταία ακυρώνει κατά την εγκατάστασή της τις προϋπάρχουσες ρυθμίσεις ntp.

Η ρύθμιση πραγματοποιείται με τα ακόλουθα βήματα με χρήση powershell: Παρατηρούμε τη διαφορά ώρας μεταξύ του Server του ΣΕΠΕΗΥ και του δρομολογητή του τοπικού δικτύου:

PS C:\Users\Administrator> w32tm /stripchart /computer:10.x.y.1 /samples:3 Tracking 10.x.y.1 [10.x.y.1:123]. Collecting 3 samples. The current time is 28/8/2012 12:27:14 μμ. 12:27:14, -79.8252831s 12:27:16, -79.8264222s 12:27:18, -79.8264938s PS C:\Users\Administrator>

Ορίζουμε το δρομολογητή του ΣΕΠΕΗΥ ως NTP Source για το Domain Controller:

PS C:\Users\Administrator> w32tm /config /manualpeerlist:10.x.y.1,ntp.sch.gr /syncfromflags:domhier /update The command completed successfully.

Επιβεβαιώνουμε τη σύγκλιση ώρας μεταξύ του NTP Source και NTP Client:

PS C:\Users\Administrator> w32tm /stripchart /computer:10.x.y.1 /samples:3 Tracking 10.x.y.1 [10.x.y.1:123]. Collecting 3 samples. The current time is 28/8/2012 12:28:38 μμ. 12:28:38, -00.0034371s 12:28:40, -00.0052040s 12:28:42, -00.0052799s PS C:\Users\Administrator>

Στη γραμμή Tracking 10.x.y.1 [10.x.y.1:123] το 123 είναι το IP port επικοινωνίας του πρωτοκόλλου NTP.