Active Directory Domain Services (AD) er en katalogtjeneste som brukes for å registrere brukere og ulike ressurser i nettverket. Vi kan sammenligne Active Directory med en katalog vi kjenner godt fra før, nemlig telefonkatalogen. En telefonkatalog har en enkel, men viktig funksjon. Vi kan slå opp på navn på personer eller bedrifter og finne telefonnummer og adresse. Dette er også hovedfunksjonen til Active Directory. Alle brukere, servere, skrivere osv. i nettverket er registrert i Active Directory. Dermed er det enkelt å slå opp og finne informasjon om dem.
Den viktigste funksjonen til AD er at den inneholder en sentral base med brukernavn og passord. Det er nok å registrere brukere én gang selv om vi har mange maskiner og servere. AD er laget for å kunne brukes i store nettverk og har derfor noen funksjoner for å dele opp nettet.
Når vi tar i bruk AD, blir det opprettet et domene som er en måte å navngi og organisere en gruppe med brukere og maskiner på. I vårt eksempel i denne boka vil vi lage domenet mittdomene.no. Som vi ser, ligner dette domenenavnet på en internettadresse, og det er faktisk det samme. AD bruker navnetjenesten DNS som brukes for alle maskiner på Internett. Når vi lager et AD-domene, må vi ha minst en server (helst flere) som er domenekontroller.
Hvis vi har et stort nettverk, kan det være ønskelig å dele det opp i flere domener. En måte å gjøre det på er å lage underdomener til hoveddomenet, eller root-domenet, slik at vi får en trestruktur. I vårt eksempel kunne vi f.eks. laget underdomenene avdeling1.mittdomene.no og avdeling2.mittdomene.no
En skog består som kjent av flere trær, og slik er det også i AD. Hvis det er ønskelig å lage nye domener med forskjellige navn, kan vi lage flere AD-trær og plassere dem i samme skog. Vi kan f.eks. lage domenet nyttdomene.no og plassere dette i samme skog som mittdomene.no.
Så lenge domenene våre er i samme skog, kan vi dele ressurser på tvers av domenene. En bruker fra mittdomene.no kan få tilgang til dokumenter på en server som hører til nyttdomene.no.
Det er vanlig å ha minst to servere for et domene. Dette gir oss en sikkerhet mot feil. Hvis en server stopper opp, har vi fortsatt tilgang til hele brukerdatabasen fra den andre. AD sørger selv for at alle serverne i domenet blir oppdatert, vi sier gjerne at AD replikerer mellom domenekontrollerne.
I vårt eksempel skal vi bruke AD og lage et domene. I vårt testnett skal vi bruke ett domene, så vi trenger ikke å tenke på organisering av trær og skoger eller underdomener. Det gjelder også for de fleste aktuelle nettverk under norske forhold. Det er kun i store nettverk det er aktuelt å bruke flere domener.
Vi bruker Server Manager for å legge til rollen Active Directory Domain Services. Hvis Server Manager ikke er startet automatisk, finner vi den i Start- menyen, eller vi kan klikke på ikonet for Server Manager (til høyre for startknappen).
I Server Manager er det flere steder vi kan starte funksjonen Add Roles and features, f.eks. i på forsiden under Configure this local server eller Manage-menyen.
Vi får først opp et bilde som ber oss sjekke tre ting før vi legger til en rolle:Denne sjekklisten kommer fram hver gang vi legger til en rolle, så vi kan nå krysse av for Skip this page by default.
Deretter må vi velge Installation type. Role based er for å installere på en enkelt maskin og er det valget vi må gjøre. Remote Desktop Services Installation benyttes for å installere på virtuelle maskiner.
Når vi trykker på Next, får vi valget Server Selection. Vi velger vår server Server1.
Under Server Roles kan vi nå krysse av for den rollen vi ønsker. Når vi krysser av for Active Directory Domain Services, får vi beskjed om at vi må ta med noen Features som er nødvendig for Active Directory. Dette er nødvendige administrasjonsverktøy, så det er bare å trykke på Add features.
Vi får så mulighet for å velge flere features, men vi går bare videre nå. Vi får så opp en side med informasjon (Things to Note):Til slutt får vi beskjed om tjenester for DFS (Distributed File System) blir lagt inn. Dette er bare aktuelt å bruke hvis vi har flere servere.
Vi får så et bilde for å bekrefte valgene våre, og vi kan trykke på Install.
Vi kan lukke vinduet mens de tjenestene vi har valgt, installeres.
Når installasjonen av AD er ferdig, vil vi få et utropstegn på Notifications (Flagget) i Server Manager.
Vi må nå velge Promote this server to a domain controller for å gjøre ferdig installasjonen av AD.
Vi får så valg om vi vil koble oss til en eksisterende domene eller skog (forest). Vårt nett inneholder ingenting fra før, så vi må lage en ny skog (Add a new forest).
Vi må deretter skrive inn Root Domain name. I vårt eksempel velger vi «mittdomene.no». Les mer om valg av domenenavn i tekstboksen.
Vi må så velge Forest – og Domain Functional Level. I vårt nettverk skal vi ha Windows 2012 R2 server eller nyere, så vi velger dette nivået. Vi får da de nyeste funksjonene i nettet vårt.
Vi må passe på at Domain Name System (DNS) server er krysset av.
Global Catalog må også være med.
Directory Service Restore Mode password brukes kun hvis vi får feil i AD-databasen, slik at vi ikke får logget inn med noen annen bruker. Det er liten fare for at vi får en slik feil, men desto viktigere å skrive opp og ta vare på passordet hvis vi skulle få bruk for det.
Har vi andre servere med eldre Windows-versjoner, f.eks. Windows 2008, må vi velge Functional Level som passer til disse. Det er mulig å endre til et høyere nivå i etterkant, men det er ikke mulig å endre til et lavere nivå. Hvis det finnes servere i nettet fra før, er det bedre sette et lavt nivå hvis man er usikker.
Vi får beskjed om at systemet ikke klarer å kommunisere med parent zone, det vil si .no-domenet. Dette er naturlig i og med at dette er et offentlig domene som vi ikke har mulighet til å gjøre endringer i. Dette har ingen betydning så lenge vi holder oss til vårt lille lokalnett. Les mer om domener i tekstboksen valg av domenenavn.
På siden Additional Options vil vi få et forslag på Netbios navn. Dette er en kortversjon av det fulle domenenavnet mittdomene.no. Vi kan endre på Netbiosnavnet hvis vi ønsker, men normalt vil det foreslåttte navnet være greit.
Vi får så spørsmål om plassering av database, logfiler og SYSVOL. Vi kan endre plassering til en annen disk hvis det er behov.
Vi får så en oppsummering av de valgene vi har gjort, og kan så trykke på Next for starte selve installasjonen av domenet vårt.
Til slutt vil det bli kjørt en Prerequisites Check som sjekker at forutsetningen for å installere Active Directory er til stede. Vi vil i vårt tilfelle få to advarsler. Den første angående sequrity settings er bare aktuell hvis vi ønsker å koble maskiner med veldig gamle Windows-versjoner til serveren vår. Den andre advarselen er DNS-problemet som vi fikk beskjed om tidligere, men som altså ikke har betydning for oss.
Systemet vil så jobbe en stund. Det trengs en restart til slutt.
Ved den første oppstarten av maskinen som domenekontroller vil det foregå noen siste konfigurasjoner, så maskinen vil starte tregere enn normalt.
Vi har nå en fungerende nettverksserver og kan gå videre og lage brukere og koble andre PC-er (klienter) til serveren vår. Les om dette i et senere kapittel.
Første gang vi logger inn etter å ha installert Active Directory, er det mulig at vi må bytte bruker. Kontoen vi brukte tidligere, Server1\Administrator, vil ikke fungere nå. Vi må bytte til Mittdomene\Administrator og logge inn med samme passord.
Hvis vi nå ser på Server Manager etter at AD-rollen er installert, vil vi se at vi har fått to nye valg, AD DS og DNS. Hvis vi markerer AD DS, får vi informasjon om Active Directory.
Dette er et utdrag av loggen på serveren vår. Vi ser de nyeste meldingene (events) som har noe med AD-rollen å gjøre. Det er ikke uvanlig å få noen advarsler eller feilmeldinger i log-en rett etter at vi har lagt til en ny rolle. Ofte er dette feil som Windows selv ordner opp i, men vi bør følge med om det kommer feil som gjentar seg over tid. Les mer om Event Viewer i kapitlet om drift av Windows-server.
Her er en oversikt over systemtjenester (Services) som hører til rollen. Vi kan se hvilke tjenester som kjører, dvs. vi kan se om de er startet eller stoppet. Til vanlig trenger vi ikke gjøre noe her, men det kan være aktuelt å stoppe og starte tjenester i forbindelse med feilsøking.
Hvis vi velger TASKS og Start BPA Scan, vil vi få fram en del anbefalinger for rollen. I vårt eksempel får vi advarsel om at det bør være minst to domenekontrollere, og at det bør settes opp beskyttelse mot sletting. Vi får også en Error om at serveren ikke er satt opp til å synkronisere klokka fra en ekstern kilde. Vi vil se på dette senere i boka.
Her får vi et raskt overblikk over belastningen på serveren. Vi kan få mer detaljert informasjon ved å starte et eget Performance-program (se Tools- menyen). Vi kommer tilbake til dette senere i boka.