ROUTER SWITCH
Windows Server 2008
Adresacja IP
Adresacja stanowi niezwykle ważny element w działaniu sieci komputerowych ponieważ na jej podstawie odbywa się dostarczanie informacji. Kiedy listonosz dostarcza nam list, dokonuje tego na podstawie naszego adresu zamieszania, w sieciach komputerowych natomiast, aby dostarczyć pakiety do odpowiedniego hosta potrzebny jest inny adres, nazywamy adresem IP. Stanowi on kluczowy element w funkcjonowaniu protokołów warstwy sieciowej. W tym artykule omówimy sobie, w jaki sposób działa adresowanie IP w wersji 4.
Adres IP jest adresem logicznym interfejsu sieciowego (hosta) to znaczy, że nie musi to być tylko adres konkretnego komputera, może to być również adres interfejsu (interfejsów) rutera czy access pointa.
Każdy adres IPv4 składa się z 32-bitowego ciągu zer i jedynek. Wynika to z faktu, że działanie urządzeń w sieciach komputerowych oparte jest na logice cyfrowej, co oznacza, że adresy te interpretowane są jako liczby binarne. Dla prostszego stosowania adresacji i zapamiętywania adresów, na co dzień stosuje się jednak zapis dziesiętny. Zapis ten składa się z 4 części (każda z nich to 1 bajt czyli 8 bitów), zwanych oktetami.
Dla lepszego zrozumienia posłużę się przykładem:
adres IP w zapisie dziesiętnym 192.112.20.101 będzie miał postać binarną równą 11000000.01110000.00010100.01100101
W każdym adresie IP, pewna część bitów (liczona od lewej strony), reprezentuje adres sieci, reszta natomiast stanowi adres konkretnego hosta. Jest to logiczne ponieważ pakiet najpierw musi trafić do właściwej sieci, dopiero potem trafia do konkretnego hosta. Jak w życiu, list najpierw trafia do miasta, dopiero potem pod wskazany numer domu na konkretnej ulicy. Jaka część bitów przeznaczona jest na adres sieci, a jaka na adres hosta określone jest przez tzw. maskę podsieci, która to określaja wielkość sieci oraz liczbę hostów w niej funkcjonujących.
Zanim przejdziemy do omówienia maski, musimy jeszcze określić typy adresów, które związane są z każdą siecią, są nimi:
- adres sieciowy (ang. network address) -adres, który określa całą sieć,
- adres rozgłoszeniowy (ang. broadcast address) – specjalny adres używany w celu wysyłania danych do wszystkich hostów w określonej sieci,
- adres hosta (interfejsu urządzenia końcowego) – adres przyporządkowany urządzeniu końcowemu pracującemu w sieci.
Podział ten będzie nam potrzebny aby we właściwy sposób móc obliczać adresy IP.
Wróćmy teraz do naszej maski podsieci, która to określa, jaka część adresu IP określa sieć, a jaka hosty. Podobnie jak sam adres IP, również maska zapisana jest w postaci 32-bitowej i przez urządzenia sieciowe interpretowana jest jako liczba binarna, natomiast w zapisie oraz konfiguracji urządzeń stosuje się zapis dziesiętny, podzielony na 4 oktety. Przykładowa maska podsieci może mieć postać 255.255.255.0 dziesiętne czyli 11111111111111111111111100000000 binarnie. Czasami też możemy spotkać się z tzw. skróconym zapisem maski (np. /24), określającym, ile jest jedynek w binarnym zapisie maski. My będziemy stosować oba te zapisy.
W jaki sposób interpretować zapis binarny, a co za tym idzie jak określić, która część adresu jest adresem sieci, a która hosta? Bardzo prosto: jedynki określają sieć, a zera hosty należące do tej sieci.
Teraz omówimy sobie, w jaki sposób należy obliczać adresy IP. Jest to przydatne w momencie kiedy będziemy chcieli na podstawie podanego adresu i maski określić adres sieci, do której należy host, maksymalną liczbę hostów należących do tej sieci oraz adres rozgłoszeniowy. Aby wykonać tego typu zadanie potrzebna będzie umiejętność konwersji liczb dziesiętnych na binarne (i odwrotnie) oraz wiedza z zakresu wykonywania operacji logicznych, a konkretnie operacji AND i NOT. Zaczynamy!
Podany jest adres ip w postaci: 192.168.1.145 oraz maska 255.255.255.128. Na podstawie tych danych należy obliczyć:
- adres sieci,
- adres rozgłoszeniowy,
- maksymalną liczbę hostów,
oraz wskazać adres pierwszego i ostatniego hosta w sieci.
Rozwiązanie:
1. Obliczamy adres sieci
Zamieniamy adres IP oraz maskę na postać binarną
Na otrzymanych liczbach binarnych wykonujemy operację AND (czyli mnożymy liczby w kolumnach)
Otrzymaną postać binarną konwertujemy na liczbę dziesiętną
2. Obliczamy adres rozgłoszeniowy
Na postaci binarnej maski wykonujemy operację logiczną NOT (jedynki zamieniamy na zera, a zera na jedynki)
Zamieniamy otrzymaną liczbę binarną na postać dziesiętną
Otrzymaną liczbę dziesiętną dodajemy do adresu sieci
3. Obliczamy maksymalną liczbę hostów w sieci
Obliczając maksymalną liczbę hostów w sieci korzystamy ze wzoru
przypominam, że skrócony zapis maski to liczba jedynek w jej postaci binarnej
Co w naszym przypadku daje
Na koniec wskazujemy adres pierwszego i ostatniego hosta w sieci
Jeśli adres sieci ma postać 192.168.1.128 to adres pierwszego hosta będzie miał postać
Jeśli natomiast adres rozgłoszeniowy ma postać 192.168.1.255 to adres ostatniego hosta będzie miał postać
Podsumowując:
Adres sieci: 192.168.1.128.
Adres rozgłoszeniowy: 192.168.1.255.
Liczba hostów: 126.
Pierwszy host: 192.168.1.129.
Ostatni host: 192.168.1.254.
Powyższy sposób przeliczania sprawdzi przy adresie z każdej klasy adresowej. Zwróćcie uwagę na to, że wszelkie operacje (AND, NOT, dodawanie czy odejmowanie) wykonywaliśmy w kolumnach, oktet pod oktetem. Jeśli obliczalibyśmy adres z innej klasy, np 153.15.102.120 /18 i przykładowo, wykonując operację NOT na postaci binarnej maski i konwertując ją na liczbę dziesiętną otrzymalibyśmy postać 0.0.63.255, to aby uzyskać adres rozgłoszeniowy 63 dodajemy do trzeciego oktetu, natomiast 255 do czwartego oktetu adresu sieci. Stosując te zasady, będziecie w stanie przeliczać każdy adres IP.
Instalacja usługi Active Directory na przykładzie Windows Server 2008 R2
Instalacje usługi Active Directory na naszym serwerze powinniśmy zacząć od dokonania dwóch podstawowych zmian w ustawieniach systemu:
Po pierwsze: należy zmienić domyślną nazwę komputera (łatwiej będzie w przyszłości odwoływać się do serwera jeśli uprościmy jego nazwę).
Po drugie: należy określić hasło dostępu dla konta Administrator (jeśli zrobiliście to wcześniej, krok ten należy pominąć, natomiast jeśli nie, to należy go wykonać ponieważ instalacja AD bez nadania hasła dla tego konta nie powiedzie się).
Zmiana nazwy komputera
Aby wykonać tą czynność klikamy w ikonę serwera znajdującą się na pasku zadań obok przycisku START i wybieramy opcję Change System Properities
W kolejnym kroku wybieramy Change
Następnie nadajemy nazwę komputera – w moim przypadku jest to sever_ad i potwierdzamy zmiany kilkając w przycisk OK
WAŻNE: W tym momencie system „zaprotestuje” ponieważ w nazwie pojawił się symbol podkreślnika (_), jednak nie musimy się tym nadto przejmować i możemy potwierdzić zamiany w komunikacie, który się pojawił. Aby system zapisał zmiany w konfiguracji niezbędne jest jego ponowne uruchomienie.
Określenie hasła dla konta Administrator
Aby wykonać tą czynność ponownie klikamy w ikonę serwera znajdującą się na pasku zadań obok przycisku START i tym razem rozwijamy element Configuration -> Local Users i wybieramy folder Users
Następnie klikamy prawym przyciskiem myszy na konto Administrator, wybieramy opcję Set Password i potwierdzamy chęć nadania hasła dla konta klikając Proceed
Wpisujemy hasło – w moim przypadku będzie to !QAZ2wsx i potwierdzamy przyciskiem OK
Jeśli nasze hasło spełnia wymagania określone w Password Policy (Zasadach haseł – o tym szerzej w kolejnych wpisach) pojawi się komunikat identyczny z poniższym
Kolejnym ważnym krokiem przy instalacji AD jest przypisanie odpowiednich adresów IP dla poszczególnych interfejsów sieciowych. Przypominam, że nasz serwer posiada dwa interfejsu sieciowe:
Pierwszy – łączący serwer z siecią zewnętrzną (dalej będziemy określać go jako WAN), którego postać zależy od tego do jakiej sieci podłączony jest nasz serwer i tak:
Jeśli nasz serwer pracować będzie w sieci o adresie 10.0.0.0/24 to adres interfejsu WAN musi zawierać się w przedziale od 10.0.0.1 do 10.0.0.254. Pamiętać jednak należny o tym, że w tej sieci pracują już zapewne urządzenia i należy wiedzieć, które z adresów z w/w puli są już zajęte, a które wolne. Z dużą dozą prawdopodobieństwa można stwierdzić, że adres 10.0.0.1 jest już zajęty, ponieważ jest to pierwszy adres w sieci i zawsze rezerwowany jest przez bramę domyślną (inny serwer lub ruter), dodatkowo jeśli jest na nim uruchomia usługa DHCP to pewnie zakres adresów jest przydzielany automatycznie, zatem aby uniknąć problemów wybieramy adres inny niż te określone w zakresie DHCP. Aby dowiedzieć się jakie to adresy, należy sprawdzić konfiguracje usługi DHCP na naszym urządzeniu.
Przykład: Mój serwer pracować będzie w sieci o adresie 10.0.0.0/24, usługa DHCP mojego routera przydziela adresy z zakresu od 10.0.0.100 do 10.0.0.200, a zatem mamy sporą swobodę w dobrze adresu i wybieram adres 10.0.0.10 dla interfejsu WAN mojego serwera.
Drugi – tworzący naszą wewnętrzną sieć (dalej będziemy określać go jako LAN), dla niego ustawiamy inny adres, który będzie adresem sieci wewnętrznej, w której będzie pracował nasz serwer Active Directory. W moim przypadku będzie to adres 172.16.0.1.
Przypisanie adresacji interfejsu WAN
Aby zmienić nazwę interfejsu oraz przypisać mu adres IP ponownie klikamy w ikonę serwera znajdującą się obok przycisku START i wybieramy opcję View Network Connections
WAŻNE: przed zmianą nazwy należny sprawdzić, który z interfejsów łączy nasz z siecią zewnętrzną, a który będzie tworzył sieć wewnętrzną, dopiero potem dokonywać zmian nazwy!
Następnie klikamy prawym przyciskiem myszy ikonę interfejsu, wybieramy opcje Rename i zmieniamy nazwę interfejsu na WAN
W kolejnym kroku klikamy prawym przyciskiem myszy na interfejs WAN i wybieramy Properites
Zaznaczamy Internet Protocol Version 4 i ponownie klikamy Properties
Nadajmy adresację, którą wybraliśmy wcześniej, uzupełniając o dane takie jak: maska podsieci: 255.255.255.0, adres bramy domyślnej (urządzenia łączącego nas z Internetem): 10.0.0.1 (jeśli nasza sieć ma adres 10.0.0.0 to brama jest zawsze pierwszym adresem następującym po adresie sieci, czyli 10.0.0.1), adres serwera DNS: taki sam jak bramy, czyli 10.0.0.1. Zmiany zatwierdzamy przyciskiem OK.
Przypisanie adresacji interfejsu LAN
Zmianę nazwy interfejsu oraz nadanie adresu dokonujemy w analogiczny sposób jak w przypadku interfejsu WAN. Nadajemy adres wybrany wcześniej, uzupełniamy pozostałe dane takie jak: maska podsieci: 255.255.255.0 oraz adres serwera DNS: 172.16.0.1 Zmiany zatwierdzamy przyciskiem OK.
Po wykonaniu (i sprawdzeniu poprawności!) powyższych czynności możemy przystąpić do właściwej instalacji usługi Active Directory, która składać się będzie z dwóch części:
Pierwsza: dodanie usługi serwera i instalacja .NET Framework
Druga: instalacja usługi Active Directory
Dodanie usługi serwera i instalacja .NET Framework
Ponownie klikamy w ikonę serwera i wybieramy opcję Add Roles
W pierwszym kroku instalacji system poinformuje nas o czynnościach jakie powinny zostać przez nas wykonane przed dodaniem roli serwera, my już wszystkie z nich wykonaliśmy poprzednio, zatem aby ten krok nie pojawiał się już więcej przy dodawaniu kolejnych ról, zaznaczamy opcję Skip this page by default i wybieramy Next
W kolejnym kroku pojawia się lista usług, które możemy zainstalować, wybieramy Active Directory Domain Services
W tym momencie pojawi się komunikat systemowy o konieczności instalacji wtyczki .NET Framework, zatwierdzamy operację klikając Add Required Feathure, następnie klikamy Next
Kolejne okno to informacje systemowe związane z samą usługą Active Directory, potwierdzamy zapoznanie się z nimi klikając Next
W ostatnim kroku kreatora widzimy podsumowanie zawierające m.in. informacje o tym jakie czynności należny wykonać po instalacji, potwierdzamy klikając Install
Jeśli wszystkie czynności wykonaliśmy poprawnie, wówczas pojawi się komunikat podobny do tego poniżej. Widać tutaj, że system wykrył, iż automatyczne aktualizacje są wyłączone więc mile widziane jest ich włączenie w celu wyeliminowania podobnych komunikatów. Klikamy Close celu zakończenia instalacji
Instalacja usługi Active Directory
Klikamy przycisk START, w polu Search programs and files wpisujemy dcpromo.exe potwierdzamy przyciskiem Enter na klawiaturze
Ponownie pojawi się komunikat o nazwie zawierającej znak specjalny, ale i tym razem go ignorujemy i wybieramy opcję Continue
W pierwszym kroku kreatora instalacji nie dokonujemy żadnych modyfikacji i klikamy Next
Kolejny krok instalatora to ostrzeżenie o tym, iż system Windows Server 2008 oraz Windows Server 2008 R2 nie wspierają już rozwiązań bezpieczeństwa stosowanych w starszych wersjach systemu, w naszym przypadku nie ma to znaczenia więc ponownie klikamy Next
Tworzymy całkiem nowy las oraz domenę więc w następnym kroku wybieramy opcję Create a new domain in a new forest i klikamy Next
Następnie nadajemy nazwę domeny (domowa), będzie to domena lokalna więc po nazwie wpisujemy .local i klikamy Next
Teraz system sprawdzi czy nazwa, która podaliśmy już istnieje, jeśli nie, wówczas pojawi się kolejne okno kreatora, w którym określimy z jakimi serwerami wstecznymi nasz serwer (a właściwie las domen, który stworzyliśmy wcześniej) będzie kompatybilny. Zostajemy przy opcji domyślnej i klikamy Next
W kolejnym kroku nie dokonujemy żadnych zmian i klikamy Next
Ponownie nie dokonujemy żadnych zmian i klikamy Next
Następnie pojawia się okno z informacją o ścieżkach do katalogów Active Directory, również nie dokonujemy w nim żadnych modyfikacji i klikamy Next
Kolejny krok to nadanie hasła do odzyskiwania usług katalogowych, w moim przypadku jest to takie samo hasło jak dla konta Administrator, czyli !QAZ2wsx. Po wpisaniu hasła klikamy Next
Kolejny krok to podsumowanie, jeśli wszystkie informacje tam zawarte pokrywają się z tym co zamierzaliśmy wybieramy Next
Następuje instalacja usługi, która może potrwać od kilku do kilkunastu minut
Po instalacji usługi pojawi się komunikat widoczny poniżej, aby zakończyć proces instalacji klikamy Finish, następnie restartujemy nasz serwer.
W tym momencie zakończyliśmy instalację usługi Active Directory. Kiedy serwer uruchomi się na nowo, wówczas będziemy mogli korzystać z niego logując się na konto Administrator podając hasło ustawione na początku, zauważyć należy, iż przed nazwą użytkownika pojawiła się nazwa naszej domeny, oznacza to, iż cały proces instalacji przebiegł poprawnie.
Korzystanie z usługi Active Directory
Korzystanie z usługi Active Directory należy rozpocząć od stworzenia nowego konta z uprawnieniami administratora oraz od wyłączenia konta Administrator – wynika to ze względów bezpieczeństwa, nie powinno korzystać się z domyślnego konta do zarządzania systemem.
Aby dokonać zmian konfiguracyjnych użytkowników klikamy w ikonę serwera znajdującą się obok przycisku START, rozwijamy element Roles -> Active Directory Domain Services ->Active Directory Users and Computers -> domowa.local i klikamy w Users
Następnie klikami prawym przyciskiem myszy na konto Administrator i wybieramy Copy (jest to najprostszy sposób stworzenia konta z uprawnieniami administratora)
Uzupełniamy formularz tworzenia nowego konta (nie trzeba wypełniać wszystkich pół, wystarczy podać First name oraz User logon name, w moim przypadku są takie same, pole Full name wypełni się automatycznie) i klikamy Next
Wpisujemy hasło, w moim przypadku !QAZ2wsx, pozostałe opcje pozostawiamy bez zmian i klikamy Next
Zatwierdzamy zmiany klikając Finish
Jak widzimy konto konserwator zostało utworzone
Na koniec wyłączamy konto Administrator, klikając prawym przyciskiem myszy i wybierając Disable Account
Po prawidłowym wykonaniu operacji ukaże się komunikat taki jak poniżej
Kolejnym krokiem, który musimy wykonać aby móc korzystać z usługi Active Directory jest dodanie komputera klienckiego (w tym przypadku będzie to komputer z systemem Windows 7) do domeny stworzonej wcześniej. Można to zrobić na kilka sposobów, ja zademonstruje jeden, z którego sam korzystam. Zanim wykonamy to zadanie, musimy ustawić adresację IP dla naszego komputera, zgodna z adresacją określą podczas instalacji usługi Active Directory.
Aby zmienić adres IP komputera należy zalogować się na lokalne konto a uprawnieniami administratora, kliknąć w ikonę sieci znajdującą się w prawej, dolnej części ekranu i wybrać Otwórz Centrum sieci i udostępniania
Następnie klikamy w Zmień ustawienia karty sieciowej
Klikamy prawym przyciskiem myszy na połączenie sieciowe i wybieramy Właściwości
Wybieramy Protokół internetowy w wersji 4 i klikamy Właściwości
Uzupełniamy adresację, i tak: adres IP: 172.16.0.2 (kolejny po adresie naszego serwera), maskę podsieci: 255.255.255.0 oraz bramę domyślną i adres serwera DNS: 172.16.0.1 (czyli adres naszego serwera) i zatwierdzamy zmiany klikając OK
Przed właściwym procesem dodawanie komputera do domeny zaleca się sprawdzenie komunikacji pomiędzy serwerem a klientem, jak widzicie poniżej w moim przypadku zadziałało polecenie ping wysłane do bramy co oznacza właściwą konfigurację sieci
Aby dodać komputer do domeny klikamy w przycisk START, prawym przyciskiem myszy klikamy w Komputer i wybieramy Właściwości
Klikamy w Zmień ustawienia obok nazwy naszego komputera
Wybieramy Zmień
W polu domena wprowadzamy nazwę utworzonej poprzednio domeny i klikamy OK
Wprowadzamy login i hasło konta z uprawnieniami administratora i klikamy OK
Od teraz masz komputer jest członkiem domeny domowa.local
Instalacja i konfiguracja serwera DHCP na przykładzie Windows Server 2008 R2
Usługa DHCP pozwala na automatyczne uzyskiwanie przez komputery klienckie adresów IP, co upraszcza zadanie administratorowi ponieważ nie musi on przypisywać kolejnym komputerom adresów ręcznie. Poza kilkoma sytuacjami kiedy adres powinien być przypisany „na sztywno” (statycznie) takie rozwiązanie jest wygodniejsze.
Aby zainstalować usługę DHCP w naszym systemie klikamy w ikonę serwera znajdującą się obok przycisku START, klikamy element Roles i wybieramy Add roles
Z listy dostępnych ról zaznaczamy DHCP Server i klikamy Next
Zapoznajemy się z informacjami przekazanymi przez system (jest tu mowa m.in. o tym, że komputer, którym będziemy instalować naszą usługę powinien mieć statycznie przypisany adres IP, my zrobiliśmy już to wcześniej) i klikamy Next
Wybieramy interfejs, na którym usługa DHCP ma działać (DHCP ma przydzielać adres komputerom w naszej sieci wewnętrznej więc zaznaczamy tylko interfejs o adresie 172.16.0.1 czyli LAN) i klikamy Next
Sprawdzamy poprawność danych, czyli nazwę domeny oraz adres serwera DNS (jest on taki sam sam jak adres naszego interfejsu LAN), klikamy Validate obok adresu serwera DNS i jeśli pojawi się zielona ikona klikamy Next
W następnym kroku zaznaczamy opcję Wins is not required for applications on this network i klikamy Next
Następnie klikamy Add… aby określić zakres adresów IP przydzielanych przez DHCP
Wprowadzamy potrzebne dane, takie jak: opis, zakres adresów, maskę podsieci oraz adres bramy (są to dane, które również będą przydzielana dla klientów automatycznie przez serwer), zaznaczamy opcję Activate this scope i klikamy OK
Rzutem oka sprawdzamy czy nazwa i zakres adresów się zgadzają i klikamy Next
Następnie zaznaczamy opcję Disable DHCPv6… (można zaznaczyć Enable… jednak na ten moment przydzielanie adresów IPv6 nie będzie potrzebne) i klikamy Next
Kolejny krok to zaznaczenie opcji Use current credentails, które pozwoli dokonać autoryzacji usługi DHCP (jest to niezbędne do tego, aby DHCP współdziałało z Active Directory), następnie i klikamy Next
Sprawdzamy w podsumowaniu czy wszystko się zgadza i klikamy Install
Serwer został zainstalowany poprawnie
[wp_ad_camp_3]
Po zakończeniu instalacji usługi DHCP uruchamiamy komputer kliencki i dokonujemy zamian w konfiguracji sieci
Logujemy się na konto konserwator (przypominam, że jest to konto stworzone po instalacji usługi Active Directory), klikamy w ikonę sieci znajdującą się w prawej, dolnej części ekranu i wybieramy Otwórz Centrum sieci i udostępniania
Następnie klikamy w Zmień ustawienia karty sieciowej
Klikamy prawym przyciskiem myszy na połączenie sieciowe i wybieramy Właściwości
Wybieramy Protokół internetowy w wersji 4 i klikamy Właściwości
Wybieramy opcję Uzyskaj adres IP automatycznie oraz Uzyskaj adres serwera DNS automatycznie i klikamy OK
Sprawdzamy teraz konfigurację sieciową naszego komputera wykonując polecenie ipconfig w wierszu poleceń, jak widać komputer uzyskał pierwszy adres z puli ustawionej wcześniej na serwerze
Instalacja i konfiguracja routingu na przykładzie Windows Server 2008 R2
Kolejnym etapem przy wdrażaniu usług serwerowych Windows jest instalacja i konfiguracja usługi, która pozwoli użytkownikom końcowym na korzystanie z sieci internet, trudno bowiem obecnie wyobrazić sobie prace użytkowników, bez dostępu do Internetu. Za dostęp ten w systemach Windows odpowiada usługa Routingu.
Aby zainstalować usługę Routingu w naszym systemie klikamy w ikonę serwera znajdującą się obok przycisku START, klikamy element Roles i wybieramy Add roles
Z listy dostępnych ról zaznaczamy Network Policy i and Access Services i klikamy Next
Zapoznajemy się z informacjami przekazanymi przez system i klikamy Next
Z dostępnej listy usług wybiera Routing and Remote Access Services (usługi poniżej zostaną znaczone automatycznie) i klikamy Next
Ponownie zapoznajemy się z informacjami przekazanymi przez system i klikamy Install
Jeśli proces instalacji przebiegnie właściwie ukaże nam się komunikat jak poniżej
To dopiero pierwsza część w procesie instalacji usługi Routingu na naszym serwerze, teraz nastąpi właściwa jej część, która pozwoli nam na jej konfigurację oraz uruchomienie. Pomoże nam w tym prosty konfigurator.
Aby uruchomić konfigurator usługi Routingu rozwijamy z listy ról Network Policy and Access Services, prawym przyciskiem myszy klikamy w Routing and Remote Access Services i wybieramy Configure and Enable Routing and Remote Access
Po uruchomieniu kreatora klikamy Next
Wybieramy usługę, którą chcemy skonfigurować – w naszym przypadku jest NAT (Network Address Translation), usługa zamieniająca adresy prywatne na publiczne, co jest niezbędne do tego aby komputery w sieci wewnętrznej mogły korzystać z sieci Internet, następnie klikamy Next
Określamy interfejs, na którym usługa ma być włączona (i tak w przypadku tej usługi musi być to interfejs WAN, inaczej niż w przypadku DHCP, gdzie wybieraliśmy LAN – przyp.) i klikamy Next
Klikamy Finish i następuje konfiguracja usługi
Aby sprawdzić poprawność instalacji i konfiguracji usługi, najlepiej uruchomić komputer kliencki, włączyć przeglądarkę internetową i sprawdzić czy wyświetla strony WWW.
Jak widać na poniższym zrzucie wszystko działa i komputer kliencki ma już dostęp do sieci Internet
Profil mobilny użytkownika na przykładzie Windows Server 2008 R2
Profil użytkownika systemu Windows zawiera zbiór plików (pliki zapisane na pulpicie, w folderze Dokumenty czy Obrazy) oraz ustawień zapisywanych na lokalnym komputerze w folderze Users (w przypadku systemu Windows 7). Przy każdorazowym logowaniu się do komputera, użytkownik ma dostęp do tych plików, jak również swoich ustawień, takich jak tło pulpitu czy kompozycja. Wszystko jest dobrze kiedy użytkowników korzysta tylko z jednej maszyny w swojej pracy, problem pojawia się kiedy korzysta w wielu komputerów, ponieważ każdorazowo musi dokonywać zmian ustawień czy kopiować swoje pliki, co jest dość uciążliwe. Czy tak musi być? Otóż nie, istnieje rozwiązanie, które pozwala na przenoszenie plików i ustawień razem z użytkownikiem, bez względu na to z jakiego komputera korzysta. Rozwiązanie to nazywa się mobilnym profilem użytkownika, zwanym czasem „profilem wędrującym”. Zmiana profilu użytkownika z lokalnego na mobilny jest dość prosta, wyjaśnię ją w kilku krokach. Na początek stworzymy na dysku C naszego serwera folder o nazwie profile , który będzie zawierał profile użytkowników i udostępnimy go w sieci lokalnej, oczywiście możemy przeznaczyć na ten cel całą partycję lub dysk, nam dziś wystarczy tylko folder.
Aby udostępnić folder w sieci klikamy na niego prawym przyciskiem myszy i wybieramy Properties
Następnie wybieramy zakładkę Sharing i klikamy Advanced Sharing
Zaznaczamy opcję Share this folder następnie klikamy Permissions aby nadać uprawnienia do udostępnionego zasobu
Nadajemy pełne uprawnienia dla wszystkich użytkowników (pod warunkiem, że wszyscy będą mieli profile mobilne) zazaczając Allow na uprawnienie Full Control i potwierdzamy klikając OK
Przechodzimy teraz do zarządzania usługą Acrive Directory, prawym przyciskiem myszy klikamy w nazwę użytkownika, któremu chcemy zmienić profil (ja zrobię to na przykładzie użytkownika, którego stworzyłem już wcześniej) i klikamy Properties
Przechodzimy do zakładki Profile, w polu Profile path podajemy ścieżkę sieciową do zasoby, który będzie przechowywał profil, w moim przypadku jest to \\server_ad\profile\%username% (zmienna systemowa %username% zwraca nazwę użytkownika więc ścieżka będzie taka sama dla wszystkich użytkowników) i potwierdzamy klikając OK
Od tej pory, wszelkie ustawienia użytkownika i pliki przechowywane na pulpicie oraz w folderach Dokumenty czy Obrazy będą przechowywane na serwerze, a użytkownik logując się do dowolnego komputera będzie takie same ustawienia oraz dostęp do swoich plików.
Zasady grupy (GPO) na przykładzie Windows Server 2008 R2
Zasady grupy to potężne narzędzie udostępnione administratorom systemów Windows w celu łatwiejszego zarządzania ustawieniami stacji roboczych. Wyobraźmy sobie sytuację, w której musimy skonfigurować komputery w taki sposób, aby użytkownicy nie mogli dokonywać zmian konfiguracyjnych, w taki sposób, aby mogli uruchamiać tylko konkretne aplikacje lub też tak, aby mieli dostęp do tylko niezbędnych im do pracy składników systemu.
Jesteśmy w stanie wykonać te czynności konfigurując każdy komputer z osobna, jest to jednak czynność bardzo czasochłonna i niewygodna, a stopień tej „niewygody” wzrasta wraz z liczbą komputerów, którymi zarządzamy. Można również napisać skrypt, który wykona te zadania i uruchomić go na wszystkich komputerach, ale i to nie jest zbyt wygodne rozwiązanie, a czasem wręcz niemożliwe ponieważ nie wszystkie nasze pomysły możemy w skrypcie zapisać. I tutaj z pomocą przychodzą nam zasady grupy, o których mowa będzie w tym artykule.
Zasady grupy wykorzystują scentralizowany system zarządzania, co oznacza, że konfiguracja tych zasad odbywa się na serwerze i poprzez odpowiednie mechanizmy rozsyłana jest na komputery klienckie. Wszystkie ustawienia przez nas zdefiniowane przechowywane są w obiektach zasad grupy (ang. Group Policy Objects), a do zarządzania tymi obiektami służy konsola zarządzania zasadami grupy (ang. Group Policy Management Console).
Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:
- ustawienia komputera (ang. computer configuration) – ustawienia, które stosowane są dla komputerów bez względu na to, który użytkownik jest zalogowany i wprowadzane są podczas uruchamiania systemu operacyjnego (później są odświeżane co 90-120 minut)
- ustawienia użytkownika (ang. user configuration) – ustawienia, które wprowadzane są podczas logowania użytkownika, bez względu na to na jaki komputer się loguje (również są one później odświeżane są co 90-120 minut)
W ramach tych dwóch grup, możemy stosować setki różnych ustawień (np. zabronić dostępu do rejestru, pozwolić na uruchamianie tylko konkretnych aplikacji oraz wiele innych), niektóre z nich są dostępne zarówno dla konfiguracji komputera i użytkownika, inne zaś tylko dla jednej grupy, np. przekierowanie folderu dostępne jest tylko do konfiguracji użytkownika, a np. automatyczna instalacja oprogramowania tylko dla konfiguracji komputera.
Przejdziemy teraz do omówienie konsoli zarządzania zasadami grupy, pokażę jak poruszać się w konsoli oraz w jaki sposób przypisywać zasady dla poszczególnych użytkowników.
Aby uruchomić konsolę GPO klikamy w START, wybieramy Administrative Tools i klikamy w Group Policy Management (możemy również kliknąć START, wybrać Run… i wpisać gpedit.msc)
Rozwijamy element Forest, następnie Domains i domowa.local
Znajdziemy tutaj elementy, takie jak:
- Default Domain Policy – jest to link do domyślnych zasad przypisanych do całej domeny (zwróćcie uwagę, że znajduje się on bezpośrednio pod nazwą domeny, co oznacza, że jest stosowany właśnie do całej domeny).
- Domain Controllers – jest jednostka organizacyjna, w której możemy umieszczać linki do zasad stosowanych dla kontrolera domeny (czyli naszego serwera), domyślnie znajduję się tutaj link do zasady Default Domain Controllers Policy.
- Group Policy Objects – jest to folder, w którym znajdują się wszystkie zasady, które będziemy tworzyć i stosować, po instalacji serwera znajdują się tam zasady Default Domain Policy oraz Default Domain Controllers Policy.
- WMI Filters – jest to folder, w którym możemy umieszczać filtry WMI, pozwalające określać zakres stosowania zasad na podstawie właściwości komputera, takich jak np. rodzaj zainstalowanego systemu operacyjnego.
- Starter GPOs – jest to folder zawierający zdefiniowane zasady stosowane dla komputerów z systemami Windows XP oraz Windows Vista (domyślnie są one wyłączone, aby je uruchomić klikamy w Starter GPOs i klikami w Create starter GPOs).
Pozostałe elementy to: Site (zawiera zasady dla różnych lokacji w domenie), Group Policy Modeling (pozwala na projektowanie zasad) oraz Group Policy Result (pozwala na sprawdzenie wyników działania zasad przed ich wdrożeniem). Prawa strona okna to właściwości omówionych wyżej elementów oraz ich konfiguracja.
Aby pokazać Wam, w jaki sposób tworzyć i zarządzać zasadami, przygotuję taką, która zabroni konkretnemu użytkownikowi dostępu do panelu sterowania. Zanim to zrobię, utworzę najpierw jednostkę organizacyjną userzy i dodam do niej użytkownika user1. Uruchamiamy zatem konsolę Active Directory, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.
Prawym przyciskiem myszy klikamy w nazwę domeny (domowa.local), wybieramy New, następnie Organization Unit
Nadajemy nazwę naszej jednostce organizacyjnej i klikamy OK
Rozwijamy element domowa.local, prawym przyciskiem myszy klikamy w jednostkę organizacyjną, którą stworzyliśmy w poprzednim kroku, wybieramy New, następnie User
Tworzymy użytkownika o nazwie user1 z hasłem !QAZ2wsx, ustawiamy opcję The password never expires i klikamy Finish po wyświetleniu podsumowania
Uruchamiamy ponownie konsolę Group Policy Management, jak widać pojawił się stworzony w AD kontener userzy (na tym etapie nie będzie jeszcze potrzebny)
Klikamy prawym przyciskiem myszy w folder Group Policy Objects (tutaj tworzymy wszystkie zasady) i wybieramy New
Nadajemy nazwę dla naszej zasady (proponuję panel, aby łatwo można było ją odróżnić od innych) i klikamy OK
Rozwijamy folder Group Policy Objects i klikamy w zasadę panel
Stworzenie kontenera userzy nie spowodowało, że domyślnie nasza zasada będzie działać dla użytkowników w nim się znajdujących, działanie to ma na celu utrzymanie porządku w zasadach, to dla kogo zasady będą stosowane określimy w następnych krokach.
Klikamy w element Authenticated Users i wybieramy Remove (usuwamy w tym momencie wszystkich użytkowników spod działania zasady, nie chcemy, aby nasza zasada działała dla wszystkich użytkowników lecz dla konkretnych)
Potwierdzamy chęć usunięcie klikając OK
Klikamy Add, w celu dodania użytkowników, dla których zasada będzie działać
Wpisujemy nazwę użytkownika (user1) i klikamy OK
Klikamy zakładkę Settings, gdzie znajduje się podsumowanie naszej zasady (na razie jest pusto)
Klikamy prawym przyciskiem myszy na białe pole i wybieramy Edit
Rozwijamy element User Configuration, Policies, Admnistrative Templates następnie klikamy w Control Panel i odnajdujemy opcję Prohibit access to the Control Panel
Klikamy dwa razy w element Prohibit access to the Control Panel, zaznaczamy opcję Enable i klikamy OK
Jak widać w podsumowaniu opcja zaznaczona została właściwie
Podpinamy naszą zasadę do kontenera userzy, klikając prawym przyciskiem myszy na jego nazwę i wybierając Link an Existing GPO…
Wybieramy zasadę panel i klikamy OK
Jak widać stworzyliśmy link do zasady panel, który podpięty został do kontenera userzy
Logujemy się do stacji roboczej korzystając z konta user1 i próbujemy uruchomić panel sterowania
Jak widać jest to niemożliwe, tak więc zasada działa poprawnie
Jeśli zasady wprowadzamy kiedy już użytkownik jest zalogowany wówczas zaczną one działać dopiero po określonym czasie lub przy następnym zalogowaniu. Możemy również zasady odświeżyć stosując polecenie konsoli Windows na stacji roboczej o składni gpupdate /force, wówczas zasada zacznie działać od razu.
W tym przykładzie stworzyliśmy obiekt zasad grupy działający dla jednego użytkownika, istnieje również możliwość przypisywania zasad dla wielu użytkowników, grupy lub też konkretnych komputerów. W kolejnym artykule przestawię więcej możliwości konfiguracyjnych w zasadach grupy.
W poprzednim artykule dowiedzieliście się czym są zasady grupy oraz poznaliście mechanizm tworzenia i przypisywania zasad poszczególnym użytkownikom. W tym artykule omówię kolejne elementy konsoli zarządzania zasadami grupy oraz wdrożę przykładowy scenariusz konfiguracji zasad grupy.
Zacznijmy jednak od omówienia elementów konsoli służących do zarządzania pojedynczym obiektem. Obiekt to zbiór zasad przez nas zdefiniowanych, zapisanych w folderze Group Polisy Object. Pojedynczym obiektem zasad grupy jest obiekt panel, który stworzyłem i omówiłem w poprzednim artykule (blokował on dostęp użytkownikowi do panelu sterowania – szczegółowy opis tej konfiguracji znajdziesz tutaj). Aby dostać się do elementów zarządzania tym obiektem (i każdym innym), klikamy prawym przyciskiem myszy na jego nazwę, znajdziemy tam m.in.:
- Copy (kopiuj) – polecenie służące do kopiowania obiektu, przydatne wówczas, kiedy chcemy stworzyć obiekt, którego ustawienia mają bazować na ustawieniach innych obiektów
- Back up (kopia zapasowa) – polecenie służące do tworzenia kopii zapasowej obiektu, kopiujące nie tylko sam obiekt, ale również łącza do niego, uprawnienia oraz dodatkowe pliki
- Restore From Backup (przywróć z kopii zapasowej) – polecenie służące do przywracania obiektu z stworzonej uprzednio kopii zapasowej
- Import Settings (importuj ustawienia) – polecenie służące do kopiowania samych ustawień zapisanych w obiekcie, bez łącz i uprawnień
- Save Report (zapisz raport) – polecenie służące do zapisywania raportu do pliku HTML
- Delete (usuń) – polecenie służące do usunięcia obiektu wraz z łączami i uprawnieniami
- Rename (zmień nazwę) – polecenie służące do zmiany nazwy obiektu
Polecenia wyżej wymienione, pozwalają w łatwy sposób organizować i zabezpieczać nasze zasady w domenie, jednak, aby właściwie je wdrażać i kontrolować, należy zwrócić uwagę jeszcze na dwa bardzo ważne elementy, jakimi są pierwszeństwo przetwarzania zasad oraz dziedziczenie.
Pierwszeństwo przetwarzania zasad
Często zdarza się taka sytuacja, że do danej jednostki organizacyjnej mamy przypisanych kilka obiektów zasada. Domyśle ich przetwarzanie odbywa się w kolejności ich tworzenia, obiekt stworzony jako ostatni, jako ostatni jest przetwarzany. Zdarzają się jednak sytuacje, kiedy chcemy, aby zasady wykonywały się one w innej kolejności. Aby pokazać Wam, w jaki sposób zmienić ową kolejność, stworzyłem obiekt o nazwie rejestr (bez ustawień) i połączyłem go z naszym kontenerem userzy.
Jak widać po prawej stronie ekranu, zasada panel stworzona wcześniej, znajduje się na górze i oznaczona jest nr 1 (Link Order), natomiast zasada rejestr ma przypisany nr 2
Zmienimy teraz kolejność przetwarzania, zaznaczając obiekt rejestr i klikając w strzałkę Move link up
Jak widać kolejność przetwarzania została zmieniona
Tutaj może pojawić się pytanie o sens zmiany kolejności, skoro jeden obiekt, ma inne ustawienia niż drugi. W tym akurat przypadku oczywiście nie ma potrzeby zmiany tej kolejności (zasady nie wykluczają się), ale czasem zasady stosowane w obiektach są ze sobą w konflikcie (w pierwszym zasada, jest włączona, w drugim nie), a wówczas, to który obiekt będzie przetwarzany jako pierwszy jest bardzo ważne.
Dziedziczenie
Zasady grup przetwarzane są w kolejności: lokacja, domena, jednostka organizacyjna. Oznacza to tyle, że zasady przypisane dla lokacji czy domeny, będą również działały dla jednostek organizacyjnych – jednostka dziedziczy po domenie, domena po lokacji. Przykładowo, jeśli zastosujemy dla domeny blokowanie ekranu komputera po 60 sekundach, to zasada ta będzie działać dla wszystkich użytkowników tej domeny. Oczywiście mamy możliwość wyłączenia dziedziczenia, odbywa się ono na poziomie domeny lub jednostki organizacyjnej. W naszym przykładzie, dla kontenera (jednostki organizacyjnej) userzy mam przypisane 3 obiekty: rejestr, panel oraz Default Domain Policy. Aby to sprawdzić klikamy w konsoli zarządzania obiektami zasad grup kontener userzy, następnie klikamy w zakładkę Group Policy Inheritance.
Jak widać obiekt Default Domain Policy jest dziedziczony z domeny, co oznacza, że wszystkie ustawienia w nim zapisane wykonywane są również dla kontenera userzy
Wyłączymy teraz to dziedziczenie
Aby to zrobić, klikamy prawym przyciskiem myszy na kontener userzy i wybieramy opcję Block Inheritance
Jak widać obiekt Default Domain Policy zniknął ze zbioru dla naszego kontenera, w przy jego nazwie pojawiła się ikona świadcząca o wyłączeniu dziedziczenia
Opcja blokowania dziedziczenia powinna być używana bardzo rzadko lub też wcale. Powoduje ona zmianę kolejności przetwarzania zasad, co przy dużej liczbie obiektów może przyczynić się do sporego w nich bałaganu, a w konsekwencji do niezamierzonego ich działania.
Przejdźmy teraz do realizacji konkretnego zadania, który przygotowałem, polegającego na wprowadzeniu kilku zasad, w celu ograniczenia możliwości zarzadzania komputerem przez użytkowników. Scenariusz zakłada, że użytkownik komputera ma:
- Zabronioną możliwość zmiany tapety
- Zabroniony dostęp do menadżera zadań
- Wyłączoną możliwość korzystania z dysków USB
- Zabroniony dostęp do edytora rejestru
- Zabroniony dostęp do przeglądarki internetowej (w naszym przypadku Internet Explorer)
Zmiany konfiguracyjne zapiszemy w obiekcie, który nazwiemy ust_user, a działanie obiektu ustawimy na grupę użytkowników pracownicy, którą stworzymy i „uzbroimy” w użytkowników korzystając z konsoli Active Directory. Uruchamianym zatem konsolę AD, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.
Rozwijamy element domowa.local, prawym przyciskiem myszy klikamy w kontener userzy wybieramy New, następnie Group
Nadajemy nazwę nowej grupie i klikamy OK (pozostałe opcje pozostawiamy bez zmian)
Przenosimy teraz użytkownika user1 do grupy pracownicy, klikając prawym przyciskiem myszy w jego nazwę i wybierając Add to a group…
Podajemy nazwę grupy i klikamy OK
Pojawi się komunikat potwierdzający dodanie użytkownika do grupy
Utworzyłem jeszcze jednego użytkownika, tym razem o nazwie user2 i dodałem go do grupy pracownicy, tak aby pokazać Wam, że zasady stosować można dla grup użytkowników.
Aby potwierdzić, że nasi użytkownicy należą do grupy pracownicy, klikam prawym przyciskiem myszy na nazwę grupy i wybieram Properties
Klikamy zakładkę Members, jak widać grupa ma przypisanych dwóch członków, pomimo, że ich ikony nadal są widoczne w kontenerze userzy
Zapamiętajcie! Kontener to nie to samo co grupa. Kontenery czyli jednostki organizacyjne tworzymy dla uporządkowania użytkowników i obiektów zasad grup, grupy użytkowników natomiast, tworzymy aby nadawać im odpowiednie uprawnienia i stosować zasady dla większej liczby użytkowników jednocześnie.
Przejdźmy teraz do wdrażania przygotowanych wcześniej zasad. Uruchamiamy konsolę GPO klikając w START, wybieramy Administrative Tools i klikamy w Group Policy Management (dla porządku usunąłem wcześniej poprzednie obiekty: panel i rejestr, gdyż nie są one nam już potrzebne).
Rozwijamy element Forest, następnie Domains i domowa.local, prawym przyciskiem myszy klikamy w kontener Group Policy Objects i wybieramy New
Nadajemy nazwę obiektowi zasady i klikamy OK
Zmieniamy użytkowników, na których działać będą ustawienia, najpierw usuwamy Authenticated Users, zaznaczając ich i wybierając Remove
Dodajemy grupę pracownicy, klikając Add, wpisujemy nazwę grupy i potwierdzamy OK
Edytujemy ustawienia klikając w Settings, następnie prawym przyciskiem myszy na białe pole i wybieramy Edit…
Wszystkie nasze ustawienia znajdziemy w węźle Administrative Templates, aby się do niego dostać rozwijamy element User Configuration -> Polices -> Administrative Templates
Dokonujemy zmian konfiguracyjnych
Zabroniona możliwość zmiany tapety – Control Panel -> Personalization -> Prevent changing desktop background -> Enable
Zabroniony dostęp do menadżera zadań – System -> Ctrl+Alt+Del Options -> Remove Task Manager -> Enable
Wyłączoną możliwość korzystania z dysków USB – System -> Removable Storage Access -> All Removable Storage classes: Deny all access -> Enable
Zabroniony dostęp do edytora rejestru – System -> Prevent access to registry editing tools -> Enable
Zabroniony dostęp do przeglądarki internetowej (Internet Explorer) – System -> Don’t run specified Windows applications -> Enable -> Show -> iexplore.exe
Jak widać w podsumowaniu wszystkie zasady zostały skonfigurowane
Podpinamy jeszcze nasz obiekt do kontenera userzy, klikając w jego nazwę prawym przyciskiem mszy i wybierając Link an Existing GPO…
Wybieramy obiekt ust_user i klikamy OK
Logujemy się do stacji roboczej korzystając z konta user1 i user2 i testujemy ustawienia, próby dostępu do elementów, które skonfigurowaliśmy w ramach GPO widać poniższej:
User1:
Próba zmiany tapety (opcja wygaszona, czyli niedostępna)
Próba dostępu do rejestru
User2:
Próba dostępu do menadżera zadań (opcja wygaszona, czyli niedostępna)
Próba uruchomienia przeglądarki Internet Explorer
Zbiór ustawień, które Wam przedstawiłem to tylko niewielka część dostępnych. Jest ich tak dużo, że trudno omówić wszystkie, ale w kolejnych artykułach przedstawię jeszcze kilka, moim zdaniem ciekawszych i przydatnych.