Active Directory bez serwera DHCP – Windows Server 2016 Instalacja,konfiguracja

ad wpis

Jest to drugi wpis dotyczący Windows Server 2016 i skupimy się w nim na zainstalowaniu oraz podstawowym skonfigurowaniu usługi Active Directory.  Przyjmiemy założenie, że będziemy ją wdrażać w małej firmie, którą sobie nazwiemy XYZ gdzie jest 10 użytkowników i tyle samo komputerów

Czym tak właściwie jest Active Directory?

Active Directory jest to usługa stworzona przez Microsoft jako implementacja protokołu LDAP czyli mówiąc prostszym językiem jest do katalog, baza danych(hierarchiczna) zawierająca informacje na temat użytkowników, komputerów czy też uprawnień dostępu do poszczególnych usług lub funkcji. Można ująć to w jeszcze krótszej definicji mówiącej, że Active Directory pozwala na zarządzanie tożsamościami.

Przygotowania i instalacja

Zobrazujmy sobie na początku jak wygląda sieć lan firmy XYZ. Posiada ona jeden router(który pełni rolę serwera DHCP i firewalla), switch 24 porty, jeden serwer, na którym znajduje się Windows Server 2016, 10 PC z Windowsem 10 Pro i trzy drukarki.  Całość wygląda mniej więcej tak jak na obrazku poniżej.

przykład małej sieci
Orientacyjna struktura sieci LAN

Tą strukturą będziemy posługiwać się w kolejnych wpisach, ale nie musisz jej pamiętać.
Załóżmy, że każde z trzech pomieszczeń (biuro 1, biuro2 biuro3) będzie musiało mieć dostęp do różnych udziałów sieciowych, oraz posiadać dostęp do odpowiedniego oprogramowania. Z drukarkami sobie nieco ułatwimy sprawę i powiedzmy, że tylko biuro 2 będzie mieć dostęp do wszystkich drukarek w sieci a pozostałe pomieszczenia tylko do tych, które się w nim znajdują. W między czasie coś pewnie wpadnie mi do głowy, żeby utrudnić całe zadanie ;). Wróćmy jednak do sedna i zainstalujmy wreszcie usługę Active Directory.

Zanim zaczniemy chciałbym tylko dodać, że dobrze jest przeznaczyć na pliki AD osobną partycję, tak samo jak i na pliki udostępnione. Nie jest to wymóg, jednak z doświadczenia mogę polecić takie rozwiązanie.

Otwórzmy sobie aplikację „Server Manager” i z górnego menu po prawej stronie wybieramy „Manage” a następnie „Add Roles” and „Features”.

Dodanie nowych funkcji

Uruchomi się kreator instalacji w którym klikamy na „Next”.

Kreator instalowania nowych funkcji

Zostawiamy domyślnie zaznaczoną opcję „Role-based-feature-based installation” i klikamy „Next”.

Kreator instalacji usług etap 2

Posiadamy tylko jeden serwer, więc możemy przejść dalej klikając „Next”.

Wybór dostępnego serwera

Z dostępnej listy zaznaczamy checbboxa przy Active Directory Domain Services. Pojawi się okno informujące o instalacji wymaganych funkcji. Klikamy na „Add Features” a następnie na „Next”.

Potwierdzenie dodania nowych funkcji

Tu również zostawiamy domyślne zaznaczenia i klikamy „Next”.

dodawanie funkcji

W następnej planszy wyświetlone zostaną informacje o tym, że usługa Ad DS przechowuje informacje o użytkownikach, komputerach i innych urządzeniach w sieci, oraz że warto posiadać dwa kontrolery domeny, żeby uniknąć przestojów. Ostatnia informacja dosyć ważna mówi o potrzebie posiadania serwera DNS. W dalszej części konfiguracji zostaniemy zapytani o jego instalację. Klikamy „Next”.

Zalecane  użycie AD

Pokaże się podsumowanie pokazujące, które usługi zostaną zainstalowane. Jeśli wszystko się zgadza klikamy na „Install”.

Podsumowanie instalacji AD

po czym czekamy krótką chwilę, aż instalacja dobiegnie końca i klikamy na „Close”.

Kreator Konfiguracji Active Directory

Połowa drogi już za nami i czas zabrać się za konfigurację. Zróbmy najpierw coś o czym zapomniałem na samym początku, czyli zmieńmy sobie nazwę naszego serwera (hostname) na jakąś bardziej przystępną i łatwą do zapamiętania. W oknie File Explorer klikamy prawym przyciskiem myszy na “This PC” i wybieramy „Properties”.

właściwości

Z sekcji “Computer name, domain, and workgroup settings” wybieramy “Change settings”.

Zmiana hostname

Jak możemy zauważyć “Full computer name” pokazuje nam obecnie ustawiony hostname. Prawda, że zapamiętanie i posługiwanie się tą nazwą nie byłoby zbyt przyjemne? ???? Klikamy na “Change”

Obecna nazwa komputera

W polu “Computer Name” wpisujemy dowolną nazwę, która najlepiej opisuje serwer. Ja będę posługiwał się nazwą “ADServer1”. Klikamy “OK”.

Przypisywanie nowej nazwy hostname

Pokaże się komunikat, informujący o potrzebie uruchomienia ponownie serwera.

komunikat o restarcie serwera

Klikamy “OK”, i “Close” w oknie “System Properties”. W kolejnym oknie wybieramy “Restart Now”

wymagany restart po zmianie hostname

Wracamy do okna Server Manager dając mu chwilę, aby wczytał wszystkie informacje o zainstalowanych usługach. W górnym pasku koło chorągiewki pojawił się teraz żółty trójkąt z wykrzyknikiem. Klikamy na niego i przy komunikacie “Post-deployment Configuration” wybieramy “Promote this server to a domain controller”

Konfiguracja kontrolera domeny

W nowym oknie kreatora konfiguracji wybieramy “Add a new forest”, a w polu “Root domain name” podajemy nazwę domeny, którą będziemy się posługiwać. Może to być dowolna nazwa, ale tak jak domena internetowa musi mieć jakąś końcówkę jak .pl, .com, .local itp. Uprzedzając ewentualne pytanie, nazwa którą chcemy użyć nie musimy nigdzie rejestrować i opłacać, ponieważ będziemy jej używać tylko w sieci LAN (przynajmniej narazie). Jako przykład firmy podałem wcześniej XYZ więc wymyśliłem domenę xyzdomain.local. Klikamy “Next”

utworzenie nowego "lasu"

Jako “Forest functional level” i “Domain functional level” ustawmy sobie “Windows Server 2016”. W sekcji “Specify domain controller capabilities” powinny być zaznaczone opcje “Domain Name System (DNS) server” oraz “Global Catalog (GC)”. Pozostało jeszcze ustawić hasło dla DSRM, czyli trybu “Safe Mode” dzięki któremy w razie potrzeby będziemy mogli naprawić lub przywrócić bazę danych Active Directory. Klikamy na “Next”

Konfiguracja funkcjonalności lasu

Pojawi się nam teraz uwaga, że delegacja serwera DNS nie może zostać utworzona. Nie przejmując się tym klikamy “Next”.

ustawienia delegacji dns

Przy weryfikacji nazwy NetBIOS raczej nie powinno być błędów i w naszym przypadku powinna ona być ustawiona na “XYZDOMAIN”. Klikamy na “Next”

podawanie nazwy netbios

Pamiętasz może jak wcześniej wspominałem, że warto dla bazy danych AD posiadać osobną partycję? Teraz ją właśnie wykorzystamy. Ja przeznaczyłem na to partycje E:, która ma rozmiar prawie 10GB(to i tak za dużo jak na taki projekt). Microsoft twierdzi, że dla każdego 1000 użytkowników powinniśmy przeznaczyć 400MB miejsca na dysku. Po zmianie ścieżek klikamy na “Next”

konfiguracja położenia plików Active Directory

Pokaże się nam podsumowanie konfiguracji. Po jej sprawdzeniu i nie wykryciu żadnych błędów klikamy “Next”

Podsumowanie konfiguracji active directory

Kreator konfiguracji sprawdzi teraz wszystkie zależności. Jeśli zostaną jakieś problemy warto zobaczyć czego one dotyczą. Uwagami dotyczącymi kompatybilności algorytmów z Windows NT 4.0 i delegacją DNS nie musimy się zbytnio przejmować ale warto rozwiązać problem dotyczący braku statycznego adresu IP. Korzystając z serwera DHCP np. na routerze wystarczy, że użyjemy mapowania adresu IP lub ustawimy po prostu statyczny IP na karcie sieciowej. Jest to idealny moment, żeby zająć się tym teraz co pozwoli na uniknięcie niespodzianek w późniejszym czasie. (Zakładam, że już potrafisz robisz takie rzeczy skoro zabierasz się za temat AD). Po rozwiązaniu tego problemu klikamy “Install”.

sprawdzanie zależności i poprawności konfiguracji

Po skończonej instalacji nasz serwer uruchomi się ponownie informując o tym takim komunikatem:

Wymagany reset po udanej instalacji active directory

Tym sposobem zainstalowaliśmy usługę Active Directory na Windows Server 2016 i możemy podłączyć do niej pierwszy komputer. Może się okazać, że ponowym uruchomieniu nie będziemy mieli dostępu do internetu. Jest to problem występujący po instalacji serwera DNS. Jeśli się z nim spotkałeś i szukasz rozwiązania przeglądnij kategorię “Windows Server 2016” na moim blogu lub użyj wyszukiwarki wpisów. Podałbym Ci link bezpośredni, ale wpis dotyczący problemu z DNS jest w trakcie tworzenia i planuję jego publikację na 9.02.2018

Podłączenie komputera do usługi Active Directory

Zacznijmy od tego, że każdy komputer, który będziemy chcieli dodać do domeny musi posiadać zainstalowaną wersję systemu Windows 10 Pro lub wyższą (to samo dotyczy wszystkich innych edycji Windowsa. Niezależnie czy jest to Windows Vista,7,8 do korzystania z domeny potrzebujemy co najmniej wersji PRO), oraz musi on mieć wpisany jako adres DNS, adres IP naszego serwera AD (przy obecnej strukturze sieci LAN proponowałbym umieścić ten adres w ustawieniach serwera DHCP, zamiast za każdym razem modyfikować wpisy DNS w ustawieniach karty sieciowej każdego komputera)
Klikamy prawym przyciskiem myszy na “This computer” i wybieramy “Properties”.

zmiana nazwy hosta cz1

Upewniamy się, że w sekcji “Windows edition” widnieje informacja, że korzystamy z Windows 10 Pro, a następnie w sekcji “Computer name, domain and workgroup settings” klikamy na “Change settings”.

zmiana nazwy hosta cz2

W oknie “System Properties” klikamy na “Change”.

zmiana nazwy hosta cz3

Jako “Computer name” podajemy nazwę pod jaką znajdziemy ten komputer w katalogu AD. Ja wpisałem PC01. W sekcji “Member of” klikamy na “domain” i wpisujemy nazwę naszej domeny czyli “xyzdomain.local” i potwierdzamy klikając na “Ok”

przylaczenie komputera do active directory

Jeśli wszystko pójdzie dobrze to zobaczymy okno proszące o podanie nazwy użytkownika i hasło, który ma uprawnienia do dodawania komputerów do domeny. Po wykonaniu tej czynności klikamy “OK” i po chwili powinniśmy ujrzeć okno witające nas w domenie xyz

podanie hasła administratora do przyłączenia pc do domeny
Poprawne przyłączenie do domeny komunikat

Klikamy “Ok” i uruchamiamy komputer ponownie.

Tym sposobem zainstalowaliśmy usługę Active Directory i skonfigurowaliśmy jeden z komputerów. W następnej części zajmiemy się zasadami grup, stworzymy użytkowników i zaplanujmy strukturę katalogu. 

11 Comments

  1. Daniel pisze:

    Witam,
    Kiedy następna część konfiguracji AD? ?

  2. kajtek pisze:

    Fajny opis. A co robić z drugą kartą sieciową która jest w serwerze

    • Bardzo się cieszę że spodobał Ci się ten wpis. Co do drugiej karty sieciowej to zależy co z serwerem chcesz robić. Można ją poświęcić na połączenie vpn z ad, możesz ja wyłączyć jeśli jej nie potrzebujesz, możesz również stworzyć z dwóch kart sieciowych jeden interfejs w celu zwiększenia przepustowości (bonding, NIC Teaming) lub określić które usługi mają korzystać z jakiego interfejsu. Opcji jest sporo. Wszystko zależy od tego co tak naprawdę potrzebujesz. W razie dodatkowych pytań pisz śmiało.

  3. Adamksi pisze:

    Hey.
    Posiadam siec w takiej samej konfiguracji jak Ty autorze.
    Moim poroblemem z ktorym sie borykam jest to ze nie mam internetu na komputerach klienckich.
    Uzywam proxmoxa do virtualizacji servera i klienta.
    Czy mialbys jakies rozwiazanie do tego problemu ?
    Pozdrawiam.

  4. Marian pisze:

    Hubert, a czy mógłbyś podać przykład co wpisujemy w routerze dostarczającym net a co na serwerze? Dla dowolnej adresacji IP LAN i WAN.

    Zmóżdżam się też czy dało by się zalogować do domeny lokalnej, tak by dostać się do zasobów serwera, ale po VPN, np. OpenVPN?
    Obecnie łączę się klientem Windowsowym OpenVPN przez DNS rzecz jasna publiczny, który leci od ISP. Widzę zasoby lokalne jak bym był na miejscu + mogę bezpiecznie korzystać z RDP, tyle, że to jest konfiguracja w grupie roboczej. Nie chciał bym tych funkcjonalności tracić ale jakoś nie widzę opcji łącznej.

    • Na routerze dostarczajacym neta w ustawieniach dhcp adres serwera dns musi wskazywac na ip serwera active directory. Natomiast jesli chcesz dostać się do zasobów serwera(np logowanie do domeny) przez VPN, to musisz go postawić na Windows Server tylko ten od Microsoftu nie OpenVPn (dokładniej rzecz biorąc to zainstalować usługę – będzie o tym wpis kiedyś). Jeśli mnie pamięć nie myli to trzeba to tego minimum dwóch kart sieciowych

  5. Arek pisze:

    Witam, posiadam sieć w takiej samej konfiguracji, ale… czy nie można by wskazać w Windows serwer adres DNS routera. Na chwilę obecną w routerze mam wpisany adres IP DNS serwera ale w tedy komputery nie widzą wszystkiego w sieci. Chciałbym aby głównym serwerem DHCP i DNS był router. Czy to w ogóle jest możliwe

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *