Active Directory bez serwera DHCP – Windows Server 2016 Instalacja,konfiguracja

Jest to drugi wpis dotyczący Windows Server 2016 i skupimy się w nim na zainstalowaniu oraz podstawowym skonfigurowaniu usługi Active Directory.  Przyjmiemy założenie, że będziemy ją wdrażać w małej firmie, którą sobie nazwiemy XYZ gdzie jest 10 użytkowników i tyle samo komputerów

Czym tak właściwie jest Active Directory?

Active Directory jest to usługa stworzona przez Microsoft jako implementacja protokołu LDAP czyli mówiąc prostszym językiem jest do katalog, baza danych(hierarchiczna) zawierająca informacje na temat użytkowników, komputerów czy też uprawnień dostępu do poszczególnych usług lub funkcji. Można ująć to w jeszcze krótszej definicji mówiącej, że Active Directory pozwala na zarządzanie tożsamościami.

Przygotowania i instalacja

Zobrazujmy sobie na początku jak wygląda sieć lan firmy XYZ. Posiada ona jeden router(który pełni rolę serwera DHCP i firewalla), switch 24 porty, jeden serwer, na którym znajduje się Windows Server 2016, 10 PC z Windowsem 10 Pro i trzy drukarki.  Całość wygląda mniej więcej tak jak na obrazku poniżej.

Tą strukturą będziemy posługiwać się w kolejnych wpisach, ale nie musisz jej pamiętać.
Załóżmy, że każde z trzech pomieszczeń (biuro 1, biuro2 biuro3) będzie musiało mieć dostęp do różnych udziałów sieciowych, oraz posiadać dostęp do odpowiedniego oprogramowania. Z drukarkami sobie nieco ułatwimy sprawę i powiedzmy, że tylko biuro 2 będzie mieć dostęp do wszystkich drukarek w sieci a pozostałe pomieszczenia tylko do tych, które się w nim znajdują. W między czasie coś pewnie wpadnie mi do głowy, żeby utrudnić całe zadanie ;). Wróćmy jednak do sedna i zainstalujmy wreszcie usługę Active Directory.

Zanim zaczniemy chciałbym tylko dodać, że dobrze jest przeznaczyć na pliki AD osobną partycję, tak samo jak i na pliki udostępnione. Nie jest to wymóg, jednak z doświadczenia mogę polecić takie rozwiązanie.

Otwórzmy sobie aplikację „Server Manager” i z górnego menu po prawej stronie wybieramy „Manage” a następnie „Add Roles” and „Features”.

Uruchomi się kreator instalacji w którym klikamy na „Next”.

Zostawiamy domyślnie zaznaczoną opcję „Role-based-feature-based installation” i klikamy „Next”.

Posiadamy tylko jeden serwer, więc możemy przejść dalej klikając „Next”.

Z dostępnej listy zaznaczamy checbboxa przy Active Directory Domain Services. Pojawi się okno informujące o instalacji wymaganych funkcji. Klikamy na „Add Features” a następnie na „Next”.

Tu również zostawiamy domyślne zaznaczenia i klikamy „Next”.

W następnej planszy wyświetlone zostaną informacje o tym, że usługa Ad DS przechowuje informacje o użytkownikach, komputerach i innych urządzeniach w sieci, oraz że warto posiadać dwa kontrolery domeny, żeby uniknąć przestojów. Ostatnia informacja dosyć ważna mówi o potrzebie posiadania serwera DNS. W dalszej części konfiguracji zostaniemy zapytani o jego instalację. Klikamy „Next”.

Pokaże się podsumowanie pokazujące, które usługi zostaną zainstalowane. Jeśli wszystko się zgadza klikamy na „Install”.

po czym czekamy krótką chwilę, aż instalacja dobiegnie końca i klikamy na „Close”.

Kreator Konfiguracji Active Directory

Połowa drogi już za nami i czas zabrać się za konfigurację. Zróbmy najpierw coś o czym zapomniałem na samym początku, czyli zmieńmy sobie nazwę naszego serwera (hostname) na jakąś bardziej przystępną i łatwą do zapamiętania. W oknie File Explorer klikamy prawym przyciskiem myszy na “This PC” i wybieramy „Properties”.

Z sekcji “Computer name, domain, and workgroup settings” wybieramy “Change settings”.

Jak możemy zauważyć “Full computer name” pokazuje nam obecnie ustawiony hostname. Prawda, że zapamiętanie i posługiwanie się tą nazwą nie byłoby zbyt przyjemne? ???? Klikamy na “Change”

W polu “Computer Name” wpisujemy dowolną nazwę, która najlepiej opisuje serwer. Ja będę posługiwał się nazwą “ADServer1”. Klikamy “OK”.

Pokaże się komunikat, informujący o potrzebie uruchomienia ponownie serwera.

Klikamy “OK”, i “Close” w oknie “System Properties”. W kolejnym oknie wybieramy “Restart Now”

Wracamy do okna Server Manager dając mu chwilę, aby wczytał wszystkie informacje o zainstalowanych usługach. W górnym pasku koło chorągiewki pojawił się teraz żółty trójkąt z wykrzyknikiem. Klikamy na niego i przy komunikacie “Post-deployment Configuration” wybieramy “Promote this server to a domain controller”

W nowym oknie kreatora konfiguracji wybieramy “Add a new forest”, a w polu “Root domain name” podajemy nazwę domeny, którą będziemy się posługiwać. Może to być dowolna nazwa, ale tak jak domena internetowa musi mieć jakąś końcówkę jak .pl, .com, .local itp. Uprzedzając ewentualne pytanie, nazwa którą chcemy użyć nie musimy nigdzie rejestrować i opłacać, ponieważ będziemy jej używać tylko w sieci LAN (przynajmniej narazie). Jako przykład firmy podałem wcześniej XYZ więc wymyśliłem domenę xyzdomain.local. Klikamy “Next”

Jako “Forest functional level” i “Domain functional level” ustawmy sobie “Windows Server 2016”. W sekcji “Specify domain controller capabilities” powinny być zaznaczone opcje “Domain Name System (DNS) server” oraz “Global Catalog (GC)”. Pozostało jeszcze ustawić hasło dla DSRM, czyli trybu “Safe Mode” dzięki któremy w razie potrzeby będziemy mogli naprawić lub przywrócić bazę danych Active Directory. Klikamy na “Next”

Pojawi się nam teraz uwaga, że delegacja serwera DNS nie może zostać utworzona. Nie przejmując się tym klikamy “Next”.

Przy weryfikacji nazwy NetBIOS raczej nie powinno być błędów i w naszym przypadku powinna ona być ustawiona na “XYZDOMAIN”. Klikamy na “Next”

Pamiętasz może jak wcześniej wspominałem, że warto dla bazy danych AD posiadać osobną partycję? Teraz ją właśnie wykorzystamy. Ja przeznaczyłem na to partycje E:, która ma rozmiar prawie 10GB(to i tak za dużo jak na taki projekt). Microsoft twierdzi, że dla każdego 1000 użytkowników powinniśmy przeznaczyć 400MB miejsca na dysku. Po zmianie ścieżek klikamy na “Next”

Pokaże się nam podsumowanie konfiguracji. Po jej sprawdzeniu i nie wykryciu żadnych błędów klikamy “Next”

Kreator konfiguracji sprawdzi teraz wszystkie zależności. Jeśli zostaną jakieś problemy warto zobaczyć czego one dotyczą. Uwagami dotyczącymi kompatybilności algorytmów z Windows NT 4.0 i delegacją DNS nie musimy się zbytnio przejmować ale warto rozwiązać problem dotyczący braku statycznego adresu IP. Korzystając z serwera DHCP np. na routerze wystarczy, że użyjemy mapowania adresu IP lub ustawimy po prostu statyczny IP na karcie sieciowej. Jest to idealny moment, żeby zająć się tym teraz co pozwoli na uniknięcie niespodzianek w późniejszym czasie. (Zakładam, że już potrafisz robisz takie rzeczy skoro zabierasz się za temat AD). Po rozwiązaniu tego problemu klikamy “Install”.

Po skończonej instalacji nasz serwer uruchomi się ponownie informując o tym takim komunikatem:

Tym sposobem zainstalowaliśmy usługę Active Directory na Windows Server 2016 i możemy podłączyć do niej pierwszy komputer. Może się okazać, że ponowym uruchomieniu nie będziemy mieli dostępu do internetu. Jest to problem występujący po instalacji serwera DNS. Jeśli się z nim spotkałeś i szukasz rozwiązania przeglądnij kategorię “Windows Server 2016” na moim blogu lub użyj wyszukiwarki wpisów. Podałbym Ci link bezpośredni, ale wpis dotyczący problemu z DNS jest w trakcie tworzenia i planuję jego publikację na 9.02.2018

Podłączenie komputera do usługi Active Directory

Zacznijmy od tego, że każdy komputer, który będziemy chcieli dodać do domeny musi posiadać zainstalowaną wersję systemu Windows 10 Pro lub wyższą (to samo dotyczy wszystkich innych edycji Windowsa. Niezależnie czy jest to Windows Vista,7,8 do korzystania z domeny potrzebujemy co najmniej wersji PRO), oraz musi on mieć wpisany jako adres DNS, adres IP naszego serwera AD (przy obecnej strukturze sieci LAN proponowałbym umieścić ten adres w ustawieniach serwera DHCP, zamiast za każdym razem modyfikować wpisy DNS w ustawieniach karty sieciowej każdego komputera)
Klikamy prawym przyciskiem myszy na “This computer” i wybieramy “Properties”.

Upewniamy się, że w sekcji “Windows edition” widnieje informacja, że korzystamy z Windows 10 Pro, a następnie w sekcji “Computer name, domain and workgroup settings” klikamy na “Change settings”.

W oknie “System Properties” klikamy na “Change”.

Jako “Computer name” podajemy nazwę pod jaką znajdziemy ten komputer w katalogu AD. Ja wpisałem PC01. W sekcji “Member of” klikamy na “domain” i wpisujemy nazwę naszej domeny czyli “xyzdomain.local” i potwierdzamy klikając na “Ok”

Jeśli wszystko pójdzie dobrze to zobaczymy okno proszące o podanie nazwy użytkownika i hasło, który ma uprawnienia do dodawania komputerów do domeny. Po wykonaniu tej czynności klikamy “OK” i po chwili powinniśmy ujrzeć okno witające nas w domenie xyz

Klikamy “Ok” i uruchamiamy komputer ponownie.

Tym sposobem zainstalowaliśmy usługę Active Directory i skonfigurowaliśmy jeden z komputerów. W następnej części zajmiemy się zasadami grup, stworzymy użytkowników i zaplanujmy strukturę katalogu.