Windows 2008 Server Core: Active Directory
Korábban megismerkedtünk a Windows Server 2008 Server Core telepítésével, alapvető beállításaival, szerepkörök telepítésével, most itt az ideje, hogy szerverünkből egy tartományvezérlőt csináljunk.
Meglévő szerverünk öt féle képpen lehet tartományvezérlő:
- Még nincs semmink, most hozunk mindent létre. Új erdő, új fa, új tartomány
- Meglévő tartományba rakjuk be második (harmadik, sokadik) tartományvezérlőnek a szervert
- Read Only DC (RODC) egy meglévő tartományba (ehhez a tartományba már kell lennie Windows 2008 szervernek)
- Új tartomány (vagy gyerektartomány) meglévő fában és erdőben
- Új tartomány egy új fában egy meglévő erdőben
Jelen esetben az első és második esetet fogjuk megnézni.
Egy hagyományos Windows Serveren a dcpromo parancs kiadásával, majd a varázsló (Active Directory Domain Services Installation Wizard) végigkattogtatásával (és a szükséges adatok megadásával) tudnánk tartományt létrehozni. A dcpromo ekkor minden szükséges dolgot telepít és beállít (DNS szerver és bejegyzések).
A dcpromo Windows Server Coreban is megtalálható, azonban grafikus varázsló viszont nincs hozzá. Így a telepítés Core esetén a következőképpen néz ki:
- megfelelően konfiguráljuk a szervert (IP cím, hálózat, ilyesmik)
- elkészítjük a megfelelő válaszfájlt
- eljuttatjuk a válaszfájlt a szerverre
- lefuttatjuk a dcpromo parancsot, paraméterként megadva a válaszfájlt
- újraindítjuk a szervert
Tehát, akkor nézzük.
Előkészületek
A szerver megfelelő konfigurálásáról már korábban írtam. Most a példában a következő felállást fogom végigcsinálni:
Adott egy szerver, benne egy hálókártyával, mely csatlakozik a helyi hálózatra. A helyi hálózatot egy külön gép (router) látja el internettel. A szerver megfelelően be van konfigurálva fix ip címekkel (látja a netet, hálózatot), fel is van frissítve (Windows Update).
A hogyan.local nevű tartománnyal fogok dolgozni (fontos, hogy ne adjunk olyan domain nevet – hacsak nem tényleg tudjuk mit csinálunk – ami az interneten is létezik. A Microsoft a .local végződésű tartománynevet ajánlja).
Válaszfájl létrehozása
Bemutatok most pár példafájlt, a különböző opciók magyarázata lejjebb
Teljesen új AD
[DCINSTALL]
InstallDNS=yes
NewDomain=forest
NewDomainDNSName=hogyan.local
DomainNetBiosName=hogyan
SiteName=Alapertelmezett-elso-hely-neve
ReplicaOrNewDomain=domain
ForestLevel=2
DomainLevel=2
SafeModeAdminPassword=Nagyon-biztonságos-jelszó
RebootOnCompletion=no
Új tartományvezérlő meglévő tartományba
[DCINSTALL]
UserName=administrator
Password=UserName-nél megadott felhasználó jelszava
UserDomain=hogyan.local
SiteName=Alapertelmezett-elso-hely-neve
ReplicaOrNewDomain=replica
ReplicaDomainDNSName=hogyan.local
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
SYSVOLPath="%systemroot%\SYSVOL"
InstallDNS=yes
ConfirmGC=yes
SafeModeAdminPassword=Nagyon-biztonságos-jelszó
RebootOnCompletion=no
Tartományvezérlő lefokozása
Előfordulhat, hogy valamiért le kell fokoznunk a tartományvezérlőnket. A lefokozás jelenti azt, hogy megszűnik tartományvezérlő lenni a szerver (viszont a tartománynak továbbra is tagja lesz).
[DCINSTALL]
UserName=administrator
Password=adminjelszó
UserDomain=hogyan.local
AdministratorPassword=helyi rendszergazda jelszó
RemoveApplicationPartitions=yes
RemoveDNSDelegation=yes
RebootOnCompletion=no
Magyarázat
Nézzük mit is jelentenek a különböző kapcsolók (opciók):
- AdministratorPassword= a helyi rendszergazdai fiók jelszava, miután eltávolítottuk a tartományvezérlő szerepkört (tartományvezérlőn nincsen helyi rendszergazdai fiók, csak tartományi)
- ConfirmGC= A szerver legyen e globális katalógus is.
- DatabasePath= Hova mentse az AD adatbázisát (csak NTFS kötet)
- DomainLevel= Tartomány működési szintje (csak új tartomány esetén)
- 0 = Windows 2000 Server ? natív üzemmód
- 2 = Windows Server 2003
- 3 = Windows Server 2008
- DomainNetBiosName= tartomány NETBIOS neve. Egyedinek kell lennie. Ált. a tartománynév legelső tagja. kompatibilitási okokból van.
- ForestLevel= Erdő működési szintje, új tartomány, új erdője esetén. Meglévő erdőben létrehozandó tartomány esetén nem szabad megadni
- 0 = Windows 2000 Server
- 2 = Windows Server 2003
- 3 = Windows Server 2008
- InstallDNS= telepítsen (és konfiguráljon) DNS szervert is a varázsló
- LogPath= naplók helye (csak NTFS kötet)
- NewDomain= három értéke lehet:
- Tree = az új tartomány egy meglévő erdő új fájának a gyökere
- Child = az új tartomány egy meglévő tartomány gyermeke
- Forest = az új tartomány a tartományfák egy új erdejében az első tartomány (tehát még nincs semmi)
- NewDomainDNSName= tartomány teljes DNS neve.
- RebootOnCompletion= újrainduljon vagy sem a számítógép, ha lefut a varázsló. sikertelen művelet esetén is újraindul.
- ReplicaOrNewDomain= három értéke lehet
- Replica = a szever egy meglévő tartomány sokadik tartományvezérlője lesz
- ReadOnlyReplica= írásvédett tartományvezérlő lesz a szerver
- Domain = a kiszolgáló egy új tartomány első tartományvezérlője lesz
- ReplicaDomainDNSName= a tartomány teljes neve, amihez csatlakozni szeretnénk
- RemoveDNSDelegation= az erre a DNS-kiszolgálóra mutató DNS-delegálásokat el kell-e távolítani a DNS-szülőzónából
- SafeModeAdminPassword= Mikor a Windowst a Címtárszolgáltatás helyreállítási módjában indítjuk, akkor lesz erre szükség. Bonyolult (kis nagybetű, számokkal, de ékezetes karaktert ne) adjunk meg. Nem lehet üres.
- SiteName= Új erdő telepítése esetén a hely neve (alapértelmezetten magyar Windowsban: Alapertelmezett-elso-hely-neve). Más esetben itt kell megadni, hogy hol legyen a tartományvezérlő.
- SYSVOLPath=hova mentse a SYSVOL mappá. (csak NTFS kötet)
- UserDomain= amennyiben egy meglévő tartományhoz akarunk csatlakozni, a tartomány teljes DNS nevét kell megadni.
- UserName= a csatlakozni kívánt tartomány (UserDomain) egy rendszergazdai jogú fiókja, kinek joga van a műveletet végrehajtani
Telepítés
Juttassuk el a válaszfájl a szerverre, majd az alábbi parancs kiadásával hajtsuk végre a benne foglaltakat:
dcpromo /unattend:VALASZFAJL.TXT
Ha végrehajtódott a művelet, akkor amennyiben nem úgy állítottuk be indítsuk újra a gépet.