Windows 2008 Server Core: Active Directory

Korábban megismerkedtünk a Windows Server 2008 Server Core telepítésével, alapvető beállításaival, szerepkörök telepítésével, most itt az ideje, hogy szerverünkből egy tartományvezérlőt csináljunk.

Meglévő szerverünk öt féle képpen lehet tartományvezérlő:

Még nincs semmink, most hozunk mindent létre. Új erdő, új fa, új tartomány
Meglévő tartományba rakjuk be második (harmadik, sokadik) tartományvezérlőnek a szervert
Read Only DC (RODC) egy meglévő tartományba (ehhez a tartományba már kell lennie Windows 2008 szervernek)
Új tartomány (vagy gyerektartomány) meglévő fában és erdőben
Új tartomány egy új fában egy meglévő erdőben

Jelen esetben az első és második esetet fogjuk megnézni.
Egy hagyományos Windows Serveren a dcpromo parancs kiadásával, majd a varázsló (Active Directory Domain Services Installation Wizard) végigkattogtatásával (és a szükséges adatok megadásával) tudnánk tartományt létrehozni. A dcpromo ekkor minden szükséges dolgot telepít és beállít (DNS szerver és bejegyzések).
A dcpromo Windows Server Coreban is megtalálható, azonban grafikus varázsló viszont nincs hozzá. Így a telepítés Core esetén a következőképpen néz ki:

megfelelően konfiguráljuk a szervert (IP cím, hálózat, ilyesmik)
elkészítjük a megfelelő válaszfájlt
eljuttatjuk a válaszfájlt a szerverre
lefuttatjuk a dcpromo parancsot, paraméterként megadva a válaszfájlt
újraindítjuk a szervert

Tehát, akkor nézzük.

Előkészületek

A szerver megfelelő konfigurálásáról már korábban írtam. Most a példában a következő felállást fogom végigcsinálni:
Adott egy szerver, benne egy hálókártyával, mely csatlakozik a helyi hálózatra. A helyi hálózatot egy külön gép (router) látja el internettel. A szerver megfelelően be van konfigurálva fix ip címekkel (látja a netet, hálózatot), fel is van frissítve (Windows Update).
A hogyan.local nevű tartománnyal fogok dolgozni (fontos, hogy ne adjunk olyan domain nevet – hacsak nem tényleg tudjuk mit csinálunk – ami az interneten is létezik. A Microsoft a .local végződésű tartománynevet ajánlja).

Válaszfájl létrehozása

Bemutatok most pár példafájlt, a különböző opciók magyarázata lejjebb

Teljesen új AD

[DCINSTALL]
InstallDNS=yes
NewDomain=forest
NewDomainDNSName=hogyan.local
DomainNetBiosName=hogyan
SiteName=Alapertelmezett-elso-hely-neve
ReplicaOrNewDomain=domain
ForestLevel=2
DomainLevel=2
SafeModeAdminPassword=Nagyon-biztonságos-jelszó
RebootOnCompletion=no

Új tartományvezérlő meglévő tartományba

[DCINSTALL]
UserName=administrator
Password=UserName-nél megadott felhasználó jelszava
UserDomain=hogyan.local
SiteName=Alapertelmezett-elso-hely-neve
ReplicaOrNewDomain=replica
ReplicaDomainDNSName=hogyan.local
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
SYSVOLPath="%systemroot%\SYSVOL"
InstallDNS=yes
ConfirmGC=yes
SafeModeAdminPassword=Nagyon-biztonságos-jelszó
RebootOnCompletion=no

Tartományvezérlő lefokozása

Előfordulhat, hogy valamiért le kell fokoznunk a tartományvezérlőnket. A lefokozás jelenti azt, hogy megszűnik tartományvezérlő lenni a szerver (viszont a tartománynak továbbra is tagja lesz).

[DCINSTALL]
UserName=administrator
Password=adminjelszó
UserDomain=hogyan.local
AdministratorPassword=helyi rendszergazda jelszó
RemoveApplicationPartitions=yes
RemoveDNSDelegation=yes
RebootOnCompletion=no

Magyarázat

Nézzük mit is jelentenek a különböző kapcsolók (opciók):

AdministratorPassword= a helyi rendszergazdai fiók jelszava, miután eltávolítottuk a tartományvezérlő szerepkört (tartományvezérlőn nincsen helyi rendszergazdai fiók, csak tartományi)
ConfirmGC= A szerver legyen e globális katalógus is.
DatabasePath= Hova mentse az AD adatbázisát (csak NTFS kötet)
DomainLevel= Tartomány működési szintje (csak új tartomány esetén)
- 0 = Windows 2000 Server ? natív üzemmód
- 2 = Windows Server 2003
- 3 = Windows Server 2008
DomainNetBiosName= tartomány NETBIOS neve. Egyedinek kell lennie. Ált. a tartománynév legelső tagja. kompatibilitási okokból van.
ForestLevel= Erdő működési szintje, új tartomány, új erdője esetén. Meglévő erdőben létrehozandó tartomány esetén nem szabad megadni
- 0 = Windows 2000 Server
- 2 = Windows Server 2003
- 3 = Windows Server 2008
InstallDNS= telepítsen (és konfiguráljon) DNS szervert is a varázsló
LogPath= naplók helye (csak NTFS kötet)
NewDomain= három értéke lehet:
- Tree = az új tartomány egy meglévő erdő új fájának a gyökere
- Child = az új tartomány egy meglévő tartomány gyermeke
- Forest = az új tartomány a tartományfák egy új erdejében az első tartomány (tehát még nincs semmi)
NewDomainDNSName= tartomány teljes DNS neve.
RebootOnCompletion= újrainduljon vagy sem a számítógép, ha lefut a varázsló. sikertelen művelet esetén is újraindul.
ReplicaOrNewDomain= három értéke lehet
- Replica = a szever egy meglévő tartomány sokadik tartományvezérlője lesz
- ReadOnlyReplica= írásvédett tartományvezérlő lesz a szerver
- Domain = a kiszolgáló egy új tartomány első tartományvezérlője lesz
ReplicaDomainDNSName= a tartomány teljes neve, amihez csatlakozni szeretnénk
RemoveDNSDelegation= az erre a DNS-kiszolgálóra mutató DNS-delegálásokat el kell-e távolítani a DNS-szülőzónából
SafeModeAdminPassword= Mikor a Windowst a Címtárszolgáltatás helyreállítási módjában indítjuk, akkor lesz erre szükség. Bonyolult (kis nagybetű, számokkal, de ékezetes karaktert ne) adjunk meg. Nem lehet üres.
SiteName= Új erdő telepítése esetén a hely neve (alapértelmezetten magyar Windowsban: Alapertelmezett-elso-hely-neve). Más esetben itt kell megadni, hogy hol legyen a tartományvezérlő.
SYSVOLPath=hova mentse a SYSVOL mappá. (csak NTFS kötet)
UserDomain= amennyiben egy meglévő tartományhoz akarunk csatlakozni, a tartomány teljes DNS nevét kell megadni.
UserName= a csatlakozni kívánt tartomány (UserDomain) egy rendszergazdai jogú fiókja, kinek joga van a műveletet végrehajtani

Telepítés

Juttassuk el a válaszfájl a szerverre, majd az alábbi parancs kiadásával hajtsuk végre a benne foglaltakat:

dcpromo /unattend:VALASZFAJL.TXT

Ha végrehajtódott a művelet, akkor amennyiben nem úgy állítottuk be indítsuk újra a gépet.