קורס ניהול רשתות בסרטונים

בס”ד

מאמר זה הינו מאמר הסבר לסרטוני ההדרכה היחודיים של מכללת PRACTICU ולכן אנו ממליצים לצפות בסרטון ההרצאה המקוון לפני קריאת המאמר

התקנת שרת DC חלק ראשון אז במעבדה שלפנינו יש לנו שרת windows server 2008 : בודד, שרת יחיד. כשאנחנו באים להקים את הדומיין אנחנו בעצם חייבים להתחיל עם שרת אחד לפחות. ברוב הארגונים הקטנים החברות small business שרת DC אחד בדרך כלל מספיק. אבל מומלץ לפחות 2 שרתי (Domain Controller) dc . הסיבה היא מאוד פשוטה ,במידה והשרת DC לא יהיה זמין , יפול , יקרוס מסיבה כלשהי נצטרך תחזוקה של כמה שעות. המשתמשים ברשת לא יוכלו לעבוד ללא השרת הזה ( apple runing ברשת ) . לכן לפחות 2 שרתי DC ישימו אותנו במצב מאוד טוב ,במידה ואחד השרתים יצטרך אזושהי תחזוקה או טיפול. אבל ברשת שלפנינו , במעבדה שלפנינו אנחנו נתחיל עם שרת אחד בודד , מה גם שכדי להתחיל להקים ACTIVE DIRECTORY , להקים DOMAIN אנחנו צריכים להתחיל עם שרת יחיד . אז אני נכנס לשרת הזה , והייתי רוצה להתחיל ממש מהבסיס בפעולות הראשוניות והבסיסיות שחייבים לעשות בשרת , להגדיר בשרת עוד לפני בכלל שנהפוך אותו ל DC . שוב פעם המטרה שלנו בתרגיל הזה , להקים דומיין ,להפעיל את מנגנון ACTIVE DIRCETORY על ידי הקמה של DC ראשון ברשת . (ראשון זה גם כרגע יחידי ) . הדבר הראשון שאנחנו נעשה , אנחנו נדאג לשם המחשב שלנו. אפשר לראות קליק ימני על המחשב שלי – מאפיינים – advance system settings , תחת computer name יש לנו אפשרות , שימו לב השם של המחשב הוא שם רינדומלי שנוצר בעת התקנה של window server 2008 . פשוט נחלץ על CHANGE ונשנה את השם של המחשב . DC1 ככה הייתי רוצה לקרוא לשרת הזה ברשת . דרך אגב בעתיד אפשר לשנות את שם המחשב ואפילו אחרי שנגדיר את השרת כ DC , אין שום בעיה לשנות את השם מחשב . אני מקבל הודעה שאומרת שמומלץ לעשות restart למחשב , אנחנו נדחה אתrestart לעוד מספר שניות. הדבר הבא שאני רוצה להראות לכם , זה הגדרת של כרטיס הרשת , הגדרה הרשת במחשב הזה , בשרת הזה . נלך ל network – קליק ימיני מאפיינים (properties)- manage network connection . ואז יש לנו את הכרטיס הרשת , קליק ימני – properties על הכרטיס הרשת . ומה שאני הולך להראות לכם עכשיו הוא בעצם חשוב ביותר!… אם אנחנו לא נגדיר את הגדרות הרשת כמו שצריך אז הדברים לא יעבדו לכם , וגם אם הם יעבדו , אז הם יפסיקו לעבוד מייד אחרי שתגדירו משהו . לכן מאוד חשוב לדייק ולעשות אפילו בדיקה פעמיים(double check) בנושא הרשת . properties על tcp\ipv4 , שימו לב שהמחשב שלי מוגדר לקבל IP באופן אוטומטי . ואנחנו מבינים שכאשר אנחנו מגדירים שרתים ברשת ,בארגון ,אנחנו אף פעם לא נגדיר אותם לקבל IP באופן אוטמטי מה- DHCP . אנחנו תמיד נגדיר שרתים עם כתובתIP ידנית , בטח ובטח שרת DC שלנו . – אז בוא נכניס את כתובת ה- IP . זו הרשת שלי כאן בסביבת LAN , class c , gateway . חשוב לציין שברשת , כשאני מקים DC ,אין חובה להגדיר gateway . אני לא חייב שלמחשב הזה יהיה גישה לאינטרנט או גישה החוצה לעולם , אבל ברוב המקרים הייתי רוצה בטח ובטח לטובת עידכונים ואו לטובת resolution של כתובות אינטרנט עבור המשתמשים בארגון. – מה שאמרתי עכשיו נדע ונבין בהמשך. פה מגיע החלק המאוד חשוב : שרת ה DC שלנו צריך לבצע resolving של שמות וכתובות IP מול מערכת , מול מנגנון שנקרא DNS . מי שכבר ראה את הסרטון הזה כבר למד על DNS ויודע מה התפקיד של DNS . מה שחשוב לומר זה , שבדרך כלל אנחנו נגדיר את שרת ה- DC שלנו ובטח ובטח את השרת DC הראשון שלנו ברשת , נגדיר אותו עצמו כ DNS . כלומר , עוד מעט אנחנו ניגש ונוסיף את תפקיד ה- DNS , אז כבר עכשיו אני אומר לו שהכתובת DNS שאליה הוא פונה ,היא הכתובת העצמית שלו . ושוב פעם חשוב מאוד לשים לב , שאם לא תגדירו כאן את הכתובת ה- DNS של השרת עצמו , דברים פשוט לא יעבדו לכם. אז הגדרנו את כתובת IP , והגדרנו DNS שזה מאוד חשוב ! – אני עכשיו אבצע reboot (הפעלה מחדש) לטובת שינוי “שם המחשב” שעשינו לפני כמה דקות. חזרנו אחרי reboot , השרת שלנו כרגע מוגדר עם כתובת IP . השרת שלנו מוגדר עם שם המחשב DC1. בוא נבדוק שהגדרות שלנו באמת ניכנסו לתוקף. נקיש start- run -cmd . ipconfig – כדי לוודא שהכתובות IP שהגדרנו באמת הוגדרו . אפשר לראות עכשיו גם את ההגדרות המלאות שכוללות גם את הגדרת DNS . אפשר לראות את ה- DNS server שזהו השרת עצמו וזו הכתובת של השרת עצמו. בוא נראה את השם המחשב שלנו , DC1 . וזהו בעצם השלב הראשוני, במאמר הסבר הסרטונים הבא ניכנס לעובי הקורה ולהגדרות יותר מתקדמות.

בס”ד

התקנת שרת DC חלק שני

במאמר הקודם הדגמנו בעזרת סרטון ההדרכה והמאמר המצורף התקנה והגדרות ראשוניות של “בקר הדומיין” Domain controller , בחלק זה של המאמר נצביע ונראה בליווי סרט ההדרכה על תיקינותן של ההגדרות שביצענו וכמו כן נבצע הגדרות נוספות. לאחר שביצענו התקנה והגדרה של תפקיד ה- DNS בואו ונבדוק אם באמת אנחנו יכולים לתקשר עם ה- DNS שלנו והאם הוא עובד בצורה תקינה ובכלל אם יש לנו ב DNS .

nslookup www.google.com נקיש

ונקבל את הודעת השגיאה הבאה: unknown cant find google

מה שקורה זה שבעצם אין לנו שרת DNS בכלל מותקן במחשב , והמחשב שלנו גם לאינטרנט לא יכול לצאת . מיכוון שאין לו DNS, לא מוגדר לו DNS . והשרת פונה לעצמו בכדי לבצע resolving לכתובת האתר שנזין. אפשר לראות שאנחנו לא נגישים לאינטרנט מהסיבה המאוד פשוטה, אין לנו תפקיד DNS מוגדר בשרת עצמו .

בוא ניגש למלאכת הגדרת הדומיין , הגדרת הדומיין הראשון שלנו . בעצם הפיכת השרת הזה ל DC, המהלך הוא באמת מאוד פשוט . יש לנו פקודה אחת שבעצם פותחת לנו את ה wizard שבעזרתו אנחנו נבצע את כל ההגדרות של הדומיין . אבל חשוב לציין שיש כמה דרכים לבצע זאת :

1 . דרך אחת דרך server manager , תחת server manager פשוט יכולים ללכת ולהוסיף את Active directory Role. את התפקיד שנקרא Active directory , ואז עם ה- wizard של role זה (active directory role) להתחיל להגדיר את הדומיין שלנו וזאת אופצייה אחת. יש לנו כאן את roles , ניגש ל add roles ונקיש next ואתם יכולים לראות שיש לנו כאן רשימה של roles שאנחנו יכולים להוסיף . ואכן אם הייתי רוצה ללכת בכיוון הזה, יכולתי להוסיף את active directory domain services . כמו כן הייתי גם מוסיף אם כבר אני כאן גם את תפקיד ה-dns server את dns role”” . אבל במקרה שלנו אנחנו לא נבצע את ההגדרה דרך ה- wizard הזה של roles .

אנחנו פשוט ניגש ונעשה את זה דרך שורת הפקודה ונקיש dcpromo . אז בכדי להקים את הדומיין הראשון שלנו , כל מה שצריך לעשות זה להגדיר הגדרות רשת נכונות , ולהפעיל את הפקודה DCPROMO . נפתח לנו עכשיו ה wizard שבעזרתו צעד אחרי צעד נגדיר את Active Directory , נגדיר את הדומיין (domain) הראשון שלנו.

דרך אגב לדומיין הראשון נהוג להתייחס כ -root domain . זה בעצם הדומיין הראשון שממנו אנחנו בעצם מתחילם ובונים את active directory ועליו אפשר להמשיך ולגדול עם עוד DC ים , ומתוכו כמו שאומרים עם עוד DC ים , אפילו עוד תתי דומיינים (domains) . בעצם הוא מחזיק את ההתחלה של forest (מושג נוסף שחשוב להתחיל להכיר) .

חשוב לציין שכל מה שהתהליך מבצע עכשיו זה שפקודת- dcpromo בעצם רואה שאין את תפקיד ה- DNS ואין את הרכיבים ה-” role” שמותקנים , כדי שהוא יוכל להפעיל את active directory . הוא מבצע עבורנו באופן אוטומטי את ההוספה של ה-roles הדרושים לשם ביצוע התהליך. לכן אני מאוד מעדיף ומציע לכם לעבוד עם dcpromo שעושה לנו את העבודה בצורה הטובה ביותר .

הנה נפתח לפנינו האשף הגרפי:

welcome to the active directory domain services installation wizard אם תרצו תוכלו לקרוא את ההקדמה המוצגת על ידי האשף הגרפי ואם לא פשוט הקישו

next – next -next

שמו לב שיש לנו מספר שאלות שאנחנו נשאלים לגבי ההגדרה של active directory . יכולתי גם לחזור אחורה ולבקש ולעבור על wizard הזה על ידי זה שאני יעבור על advance mode installation . כמובן שאין שום סיבה שלא לבחור ב- advance mode מיכוון שדרך מצב זה תוכלו להגדיר הגדרות נוספות.

ושוב יציג האשף אפשרות גרפית לבחירה שעליה נפרט בעוד מספר רגעים נקיש next – next , והנה הוא שואל אותי האם אני רוצה להתחבר ל – exiting forest קיים או שאני רוצה ליצור forest חדש . אז אם אתם זוכרים אחנו בונים דומיין חדש , דומיין ראשון (root domain) ואם אנחנו בונים דומיין ראשון , אנחנו בעצם צריכים להקים את ה- forest הראשון . אז כמובן שנבחר באפשרות הבאה – create a new domain in new forest .

השאלה שנשאלת כאן לאחר שבחרנו את האפשרות הנ“ל היא:

מה השם של root domain , מה השם של הודומיין שלנו ?

ראיתי לא מעט אנשים שמתבלבלים, לדוגמא אם השם של החברה שלנו הוא :

PrtacticU , ראיתי לא מעט אנשים שמגדירים practicu.com עבור domain name שלהם , או PrtacticU.co.il .

אני ממש לא ממליץ לעשות את זה , וזה גם ממש לא המלצה של Microsoft . המלצה היא לתת שם אחר לדומיין הפנימי שלנו , שם שונה מהדומיין העולמי שמייצג אותנו . נהוג בדרך כלל (שוב פעם , זה לא חובה ) להגדיר את השם של הדומיין של FQDN

לדוגמא :

practicu.local או שיש כאלה practicu.comp או כל מילה אחרת . רק לא practicu.com או practicu.co.il , הנקודה היא לא להכניס כאן את השם שאתם תשתמשו בו עבור אתרי האינטרנט שלכם . כי הדבר הזה יכול ליצור בלבול בהמשך להגדרות ברשת , זה יכול ליצור לא מעט בעיות שאומנם יש להם פתרונות אך מדוע שנכניס את עצמנו לבעיה מלכתחילה . מי שמכם עשה את זה והרים רשת production והתבלבל , והחליט לקרוא לה כמו בשם החיצוני , בשם האינטרנטי , זה לא אסון גדול , יש דרכים לפתור את זה . אבל עדיף שלא!

לכן אני ממליץ על לדוגמא : practicu.local אז כמובן המחשב שלנו בודק ברשת אם כבר קיים שם כזה . ועכשיו אנחנו גם נקבל את שם ה- netbios של הדומיין שלנו , שיהיה החלק הראשון לפני הנקודה practicu . כמובן אפשר לשנות את זה לכל שם אחר שאתם תרצו .

בהתאם למגבלות שמות Netbios אורכם המקסימלי הוא 15 תווים , ועוד מגבלות כאלה ואחרות . דרך אגב שאנשים יעשו browse ברשת , זה השם הייצוגי ברשת שהם יראו: “practicu” . ניתן לבצע – browse דרך ה- networking .

אם כך , אם שואלים באיזה פונקציונליות אנחנו רוצים ש ה forest שלנו יהיה , הפונקציונליות הבסיסית ביותר זה window 2000 , זה אומר שה- forest שלנו compatible , הוא תואם גם ל dc ים שהם מסוג window 2000 dc ישנים יותר שיוכלו להצטרף לדומיין .

אני ממליץ בשלב הראשון להשאיר את זה כ- default ולהשאיר את זה על רמת תיפקוד 2000-2003 ולא להגדיר רק 2008 ( window server 2008) , כי אתם לא יודעים שאם וכאשר אולי לאחר שתסיימו את ההתקנה או בשלב מאוחר יותר, תצטרכו להוסיף לרשת שלכם DC , מסיבות כאלה ואחרות שהם לא window server 2008 . אם אתם בטוחים שזה לא המצב ואתם עובדים אך ורק עם windows server 2008 , שוב פעם לא כשרתיי Member , אלא כשרתיי DC , אז אין שום בעיה לגשת ולהגדיר את זה כ Window server 2008 . אז כרגע נגדיר את זה על windows server 2003 , שאני מעריך שזה המינמום שתצטרכו להגדיר domain בימים האלו . אותה שאלה אבל לגבי הדומיין שלנו , מה- function level של domain , כלומר איזה שרתי DC נוכל להוסיף ל domain . גם פה אני אשאיר את זה window server 2003 , דרך אגב אין שום בעיה לשנות בעתיד את functional level הן של ה- domain והן של ה- forest .

בשלב זה תוכלו לראות שה-wizard שלנו זיהה שאין לנו שרת dns , והוא ממליץ לנו להתקין אותו בשרת ה DC הראשון . “we recommend that you install the dns server service on the first domain controller “

חובה עליכם , אומנם זו היא המלצה אבל האמינו לי , עליכם להתקין DNS על השרת הראשון , חובה.

נקיש next – וזו הודעה ידועה מאוד , שאנחנו מקבלים בעת התקנה של active directory ב-windows server 2008 , שאומרת : אם אנחנו מתחברים לרשת , לרשת DNS קיימת , אנחנו צריכים להשאיר את ה-DNS שלנו באותה רשת. אבל במקרה שלנו אנחנו מקימים רשת חדשה לחלוטין, forest חדש לחלוטין ו -zone חדש לחלוטין . לכן אפשר להתעלם מההודעה הזאת .

וזו הנקודה שבה הסתיימו הגדרות התשתית שלנו לביצוע ההתקנה, כמובן שישנם עוד הגדרות קריטיות כגון הגדרות המיקום שבו ישמרו כל ההגדרות השונות שביצענו עד כה וכל שאר הנתונים כגון קבצים, שמות משתמשים סיסמאות ועוד אך זאת במאמר הבא.