Projekt szkolnego laboratorium komputerowego cz. 1

Witajcie

Dziś korzystając z wiedzy jaką nabyliście podczas lektury pierwszego odcinka przewodnika po funkcjach klienckich i serwerowych systemów Windows postaram się przybliżyć projekt szkolnego laboratorium komputerowego.

Pełen opis projektu zostanie podzielę na dwie części. Pierwszą zaprezentuję dziś, zaś drugą w kolejnym odcinku.

Dziś postaram się Wam przybliżyć korzyści płynące z zastosowania domen Active Directory, powiedzieć kilka słów o tej technologii oraz pokazać pewne zalety (i wady) wirtualizacji.

Zadanie projektowe z jakim spotkamy się dziś to zaprojektowanie systemu kontroli szkolnej pracowni komputerowej. Pracownia składa się typowo z 16 jednakowych stanowisk komputerowych. Żaden z zastosowanych komputerów nie jest komputerem klasy serwerowej. Najistotniejszą kwestią jest to, że żaden z nich nie jest wyposażony w macierz RAID. Są to jednak komputery dobrej klasy (4GB RAM, procesory Core 2 Duo i dyski twarde 500GB wyposażone w system Windows Vista Business). Wszystkie komputery podłączone są do przełącznika (switch), który podłączony jest do routera DSL. Sieć jest w pełni funkcjonalna. Komputery widzą się w grupe roboczej, a uczniowie mogą korzystać z Internetu. Problemem w tym przypadku jest to, że nauczyciel jest tak naprawdę pozbawiony kontroli nad całą infrastrukturą zainstalowaną w pracowni i aby mieć nadzór np. nad kontami uczniów musi zajmować się nadzorem nad każdym komputerem z osobna. Koszty systemu kontroli muszą być w tym przypadku minimalne – zakup komputera pełniącego funkcję serwera nie wchodzi w tym przypadku w grę.

Rozsądnym wyborem będzie w tym wypadku zastosowanie wirtualnego serwera zarządzającego pracownią. Jako mechanizm zarządzania wykorzystamy technologię Active Directory. Dodatkowo na serwerze wirtualnym umieścimy serwer plików. Jeśli wspominam o wirtualizacji to pewnie wszystkim Wam nasuwa się od razu technologia Hyper-V lecz w tym przypadku mamy do czynienia z maszynami na których nie będziemy instalować systemu Windows Server 2008. Jako oprogramowanie do wirtualizacji posłuży Nam Virtual PC 2007. Mimo, że jest to bardzo proste środowisko wirtualizacji to ma bardzo istotną (poza barkiem kosztów) zaletę – umożliwia systemowi wirtualnemu komunikację za pomocą wielu kart sieciowych co sprawia, że możliwa jest np. realizacja routera czy zapory ogniowej. Na temat samego Virtual PC napisano bardzo wiele artykułów łącznie ze szczegółowymi przewodnikami po tym programie tak więc poproszę Was w tym wypadku o samodzielne przeszukanie zasobów sieci jeśli jakiekolwiek informacje o tym programie są konieczne.

Wykorzystanie Virtual PC umożliwia szybkie przeniesienie serwera w przypadku awarii komputera, którym posługuje się nauczyciel. Oczywiście przeniesienie takie jest możliwe jeśli nauczyciel pamięta o wykonywaniu kopii zapasowej pliku zawierającego dysk wirtualny serwera lub wykonanie automatyczne kopii zapasowej do określonej lokalizacji w sieci (np. na dysk innego komputera w tej samej pracowni). W przypadku instalacji serwerowego systemu operacyjnego na jednym z komputerów fizycznych pracowni awaria tego komputera uniemożliwiłaby efektywną pracę. Oczywiście możliwe jest cykliczne wykonywanie obrazu serwera i przenoszenie go do innej lokalizacji lecz w tym przypadku po awarii konieczny byłby dodatkowy czas poświęcony na naprawę maszyny.

Z tych powodów wirtualizacja serwera jest najlepszym wyjściem jeśli nie dysponujemy maszyną wyposażoną w nadmiarowe dyski abyśmy w przypadku awarii nie utracili wszystkich danych (co wcale nie jest rzadkością).

Aby umożliwić pełną kontrolę nad pracownią wykorzystamy domenę Active Directory.Usługa katalogowa Active Directory jest w istocie hierarchiczną bazą danych odzwierciedlającą w swej strukturze logicznej i fizycznej strukturę organizacji, w której została zaimplementowana. Głównym zadaniem tej technologii jest scentralizowane przechowywanie informacji o urządzeniach w systemie teleinformatycznym danej organizacji i użytkownikach mających prawo do użytkowania zasobów tej organizacji. Active Directory może być więc wdrożone dla pojedynczej pracowni komputerowej (pojedyncza domena najwyższego poziomu) jak i dla firmy (domena najwyższego poziomu jest zazwyczaj domeną pustą a do niej dołączane są domeny przechowujące dane o obiektach i użytkownikach z różnych działów) Możliwe jest również wdrożenie Active Directory np. w skali całego Państwa. Active Directory (w skrócie AD) do funkcjonowania potrzebuje serwerów pracujących w oparciu o Windows Server, które muszą być skonfigurowanie w specyficzny sposób. Serwery takie zwane są kontrolerami domeny. Techniczne do uruchomienia pojedynczej domeny wystarcza jeden serwer – kontroler domeny. W praktyce dla każdej tworzonej domeny powinien być skonfigurowany przynajmniej jeden zapasowy kontroler domeny. Muszę jednak zaznaczyć że iloć kontrolerów zależy od ilości użytkowników i obiektów (komputerów, drukarek) w domenie. Jest tak dlatego, że konta użytkowników są w przypadku tej technologii przechowywane właśnie na kontrolerach domeny i od ilości przesyłanych danych (np. żądań logowania) zależy to ile maszyn należy zastosować. To właśnie na każdej z tych maszyn w specjalnym pliku ntds.dit przechowywana jest baza danych o obiektach znajdujących się w domenie. Wszystkie maszyny podłączone do domeny AD komunikują się ze sobą za pomocą protokołu DNS. Z tego powodu każdy kontroler domeny powinien być jednocześnie serwerem DNS, żeby każda maszyna podłączona do domeny mogła skomunikować się z kontrolerem za pomocą pełnej nazwy kwalifikowanej (FQDN). Serwer DNS jest instalowany automatycznie podczas instalacji usług domenowych AD. Instalacja serwera DNS nie jest wymogiem bezwzględnym ale jest zalecana. Znacznie łatwiej jest skonfigurować delegację do istniejącego serwera DNS aby nazwy spoza Naszej domeny były rozwiązywane poprawnie niż dobrze zintegrować z domeną AD istniejący serwer DNS. Jest tak dlatego, że wszystkie rekordy AD są przechowywane w specjalnej strefie zintegrowanej z baza danych AD. Jeśli chodzi o nazwy domen to mogą być stosowane dowolne nazwy i dowolne rozszerzenia np. laboratorium.lab lub pracownia.local. Należy jednak pamiętać o takiej konfiguracji systemu DNS aby nazwy spoza Naszej domeny AD (np. onet.pl) były również rozwiązywane poprawnie.

Wiem, że zarzuciłem Was wszystkich straszną teorią ale obiecuję, że w tym i kolejnych odcinkach będę wyjaśniał po kolei wszystkie wspomniane tutaj opcje wraz z opisem jak to zrobić w praktyce.

Jest jednak jeszcze jedna sprawa o której muszę wspomnieć. Są to drzewa i lasy domen. Możliwość tworzenia takiej hierarchii jest wielką siłą tej technologii. Wyobraźmy sobie domeną główną uczelni o nazwie uczelnia.org. Jeślibyśmy do jednej domeny wrzucili wszystkie osoby (nauczycieli, studentów, administrację) korzystające z sieci tej uczelni wrzucili do jednej domeny to po jakimś czasie stracilibyśmy orientację w tej strukturze i utracili nad nią kontrolę. Z tego powodu w takim przypadku lepiej zaprojektować i utworzyć drzewo domen. Hipotetycznie można tutaj zaproponować rozwiązanie pokazane na rys. 1.

Rys.1. Schemat logiczny przykładowej struktury domenowej AD.

Są one połączone ze sobą relacjami zaufania i funkcjami administracyjnymi. Oznacza to że użytkownicy tych domen mogą logować się i uzyskiwać dostęp do zasobów zgromadzonych w innych domenach w drzewie. Kolejnym bardzo ważnym aspektem funkcjonowania domen są lasy. Stworzenie lasu oznacza, że do naszej domeny np. uczelnia.org dodajemy domenę nie związaną z nią jawnie nazwą np. dzialbadan.org powiązaną z nią relacjami zaufania podobnie jak było to w przypadku drzewa. Należy zaznaczyć, że relacje zaufania mogą także być tworzone ręcznie np. przy integracji systemów teleinformatycznych dwóch łączących się organizacji.

Myślę że po tym bardzo ciężkostrawnym wstępie teoretycznym możemy przejść do instalacji i konfiguracji naszego wirtualnego kontrolera domeny. Tutaj założę, że na podstawie samodzielnie zdobytych informacji Wszyscy poradzicie sobie z instalacją Windows Server na wirtualnej maszynie. Jeśli chodzi o wersję systemu to minimum konieczne do instalacji usługi Active Directory do Windows 2003 standard lub Windows 2008 standard. Oczywiście musimy pamiętać o poprawnej konfiguracji połączenia sieciowego. W tym przypadku najlepiej wybrać dla serwera statyczny adres IP. Warto też pamiętać o tym, żeby stacje klienckie jako jednego z adresów serwerów DNS używały adresu serwera. Przykładowa konfiguracja połączeń sieciowych klienta i serwera przedstawiona została na rys. 2 i 3 Konfiguracja ta uwzględnia w tym przypadku tylko elementy niezbędne do poprawnego zadziałania usługi Active Directory.

Rys. 2. Konfiguracja karty sieciowej serwera.

Rys. 3. Konfiguracja karty sieciowej klienta.

Kolejnym krokiem jaki musimy wykonać jest instalacja usługi Active Directory. W tym celu musimy w konsoli zarządzania serwerem (server manager) wybrać dodanie nowej roli (rys. 4). Muszę tutaj zaznaczyć, że taka procedura instalacji obowiązuje począwszy od wersji 2008 systemu wzwyż gdyż dokonał się tutaj znaczny postęp jeśli chodzi o technologię AD. Usługa jest instalowana niezależnie i może zostać wyłączona bez zaburzenia konfiguracji innych usług serwera. W systemie Windows 2003 instalacja AD musiała być przeprowadzana na czystym systemie ponieważ usuwała ona wszystkie konta lokalne komputera i informacje użytkowników.

Rys. 4. Kreator Instalacji ról serwera.

Po zakończeniu instalacji dostaniemy kilka komunikatów o błędach informujących o tym, że poszczególne składniki usługi składowe AD są zatrzymane. Jest tak ponieważ zostały składniki AD zostały tylko zainstalowane. Aby kontroler domeny zaczął działać należy go teraz skonfigurować i uruchomić. Aby wywołać kreator konfiguracji AD używamy polecenia dcpromo.exe uruchom w menu start. Należy pamiętać że podanie tego polecenia w systemie Windows 2003 ma inne działanie niż w przypadku systemu Windows 2008. W systemie Windows 2003 po podaniu tego polecenia następu je konfiguracja i instalacja kontrolera domeny. Jak już wspominałem wcześniej w systemie Windows 2008 mamy do czynienia tylko z konfiguracją i inicjalizacją usługi. Po wywołaniu kreatora usługi AD (rys. 5).

Rys. 5. Ekran powitalny kreatora konfiguracji usługi AD.

Musimy skonfigurować szereg parametrów w oparciu o które Nasz kontroler domeny będzie funkcjonował. Konfigurację rozpoczynamy od zdefiniowania czy Nasz kontroler domeny będzie kontrolerem w nowej domenie w nowym lesie, dodatkowym kontrolerem w istniejącej domenie, kontrolerem nowej domeny w istniejącym lesie czy też kontrolerem domeny podrzędnej w istniejącym drzewie (rys. 6). W naszym przypadku wybieramy oczywiście nową domenę w nowym lesie.

Rys. 6. Wybór trybu pracy kontrolera domeny.

Kolejnym krokiem jest wybór nazwy FQDN domeny (rys. 7).

  

Rys. 7. Wybór nazwy FQDN domeny.

Jak już wspominałem wcześniej mamy pełną swobodę wyboru nazwy domeny. W celu demonstracji wybrałem nazwę contoso.local. Możemy oczywiście wybrać inną nazwę (org, net, com) zależnie od wymagań projektu. Jednak jeśli mamy do czynienia z domeną oddzieloną od sieci zewnętrznej nazwa local jest korzystna ze względu na to, że Windows przez podanie takiej nazwy traktuje domenę jako izolowaną i automatycznie konfiguruje serwer DNS na potrzeby np. dołączania kolejnych kontrolerów w danej domenie, tworzenia drzewa, lasu itd. W prapadku zastosowania nazw np. z rozrzeszeniem org system pomija automatyczną konfigurację serwera DNS ze względu na to, że domena org może być częścią większej struktury domenowej i przez konfigurację domyślną system mógłby zaburzyć działanie innych serwerów DNS pracujących w sieci. Z tego powodu w tym przypadku to użytkownik musi prawidłowo skonfigurować serwer DNS bo w innym przypadku nie będzie możliwe dodawanie kolejnych kontrolerów i poprawne rozwiązywanie nazw. Kolejnym krokiem jest wybór nazwy NetBIOS domeny (rys. 8) W tym przypadku pozostawimy ją niezmienioną (jest to dobra praktyka).

Rys. 8. Wybór nazwy NetBIOS domeny.

Kolejnym krokiem jest wybór poziomu funkcjonalności lasu i poziomu funkcjonalności domeny (rys. 9, 10). Tutaj wspomnę tylko że w systemie Windows 2008 mamy do wyboru trzy poziomy funkcjonalności lasu i trzy poziomy funkcjonalności domeny dokładnie przyjrzymy im się w dalszych częściach naszego cyklu, kiedy będziemy tworzyć bardziej skomplikowane hierarchie domen. Warto jednak zaznaczyć, że wybór funkcjonalności ma dość istotny wpływ na możliwości funkcjonalne i administracyjne, zarówno lasu jak i domen go tworzących.

Rys. 9. Wybór poziomu funkcjonalności lasu.

  

Rys. 10. Wybór poziomu funkcjonalności domeny.

W tym przypadku pozostawimy poziom funkcjonalności na domyślnym Windows 2000 gdyż nie będzie to miało znaczącego wpływu na funkcje administracyjne, które będziemy implementować w Naszej pracowni. W następnym kroku (rys. 11) potwierdzamy instalację serwera DNS (jak już wspomniałem można zrezygnować z instalacji DNS ale nie jest to najlepsza praktyka). Jak widać na rys. 11 jest jeszcze kilka innych (tutaj niedostępnych opcji), o których będę mówił w dalszych częściach cyklu.

Rys. 11. Potwierdzenie instalacji serwera DNS.

Dalej możemy wybrać lokalizację pliku bazy danych AD, pliku w którym przechowywane są logi i folderu SYSVOL, w którym przechowywane są polityki zdefiniowane w domenie. W przypadku instalacji kontrolerów domen na urządzeniach fizycznych lepiej umiesić te pliki w lokalizacjach gdzie dane są zabezpieczone za pomocą macierzy RAID lub w pamięciach masowych NAS. Wtedy w przypadku awarii systemu operacyjnego baza danych AD i polityki pozostają nienaruszone. W przypadku projektu Naszej pracowni ich lokalizację lepiej pozostawić niezmieniona. Będą wtedy przechowywane w pliku Naszej wirtualnej maszyny. Następnie po potwierdzeniu wszystkich wyborów przechodzimy do fazy inicjalizacji AD (rys. 12) po, której będzie wymagane powtórne uruchomienie systemu operacyjnego.

Rys. 12. Inicjalizacja usługi AD.

Następnym krokiem, który musimy wykonać jest dołączenie komputerów klienckich do domeny. Na rysunku 13 i 14 przedstawiono czynności jakie należy wykonać by to osiągnąć.

Rys. 13. Dołączanie systemu klienckiego do domeny AD.

Rys. 14. Dołączanie systemu klienckiego do domeny AD.

Po wykonaniu po tych czynności musimy zrestartować maszynę którą dołączaliśmy do domeny. W bazie danych kontrolera domeny zostaje utworzone konto komputera dołączonego właśnie komputera dające logiczne powiązanie tych dwóch komputera z kontrolerem domeny.

Teraz przechodzimy do tego co jest jednym z największych plusów zastosowania domen AD. Jest to scentralizowane zarządzanie wszystkimi obiektami domeny. Na sprawne zarządzanie pozwala Nam konsola Użytkownicy i komputery usługi Active Directory wywoływana za pomocą użycia polecenia dsa.msc z w konsoli. Za pomocą tej konsoli możemy tworzyć hierarchię tzw. Jednostek organizacyjnych (rys. 15) odzwierciedlających np. strukturę użytkowników w Naszej pracowni.

Rys. 15. Tworzenie hierarchii jednostek organizacyjnych

W odpowiednich jednostkach organizacyjnych możemy założyć konta użytkowników (rys. 16, 17).

  

Rys. 16. Zakładanie nowych użytkowników w usłudze AD.

Rys. 17. Zakładanie nowych użytkowników w usłudze AD.

a także gromadzić użytkowników w grupy ułatwiające administrację i przyznawanie dostępu do zasobów. I właśnie tutaj ujawnia się siła AD. Na komputerach podłączonych do domeny nie musimy tworzyć żadnych kont lokalnych. Co więcej można lokalne konta administratora i gościa wyłączyć. Użytkownik niezależnie od lokalizacji w której przebywa i niezależnie od tego jakiej maszyny używa loguje się zawsze za pomocą tych samych poświadczeń. Oznacza to, że w przypadku naszej pracowni użytkownicy, których konta utworzyliśmy na kontrolerze domeny mogą logować się do dowolnej maszyny w pracowni i nie istnieje konieczność tworzenia całego zestawu kont na danej maszynie. Proces uwierzytelniania użytkowników odbywa się za pomocą kontrolera domeny. Teraz pewnie zadajecie sobie pytanie czy np. logujący się użytkownik mógłby mieć wszędzie taki sam pulpit lub ograniczony niezależnie od maszyny dostęp do pewnych aplikacji ? Otóż tak – jest to Możliwe. Jednak aby te bardziej zaawansowane funkcjonalności AD poprawnie skonfigurować będziemy musieli zapoznać się szczegółowo z obiektami takimi jak konta i grupy w Active Directory, politykami AD i wieloma innymi aspektami funkcjonowania domen AD o czym już w następnym i kolejnych odcinkach.

Na koniec jak zwykle parę przydatnych odnośników do zasobów sieciowych.

http://en.wikipedia.org/wiki/Active_Directory – fajny i prosty opis Active Directory (język angielski)

http://support.microsoft.com/kb/310996/PL – opis usługi Active Directory w dwóch częściach (język polski)

http://technet.microsoft.com/pl-pl/library/cc775736(WS.10).aspx – artykuł o typach relacji zaufania w domenach AD (język polski).

http://www.microsoft.com/learning/en/us/book.aspx?ID=9552&locale=en-us – świetna książka, którą mogę z czystym sercem polecić.

Bartosz Pawłowicz