Kręgosłup Longhorna

Usługi katalogowe są centralą nowoczesnych systemów sieciowych.Najnowsza implementacja Active Directory w systemie Windows Server Code Name Longhorn nie wprowadza rewolucji, ale przynosi grupęinteresujących unowocześnień, zwiększających bezpieczeństwoi upraszczających administrację siecią.


Usługi katalogowe są centralą nowoczesnych systemów sieciowych.Najnowsza implementacja Active Directory w systemie Windows Server Code Name Longhorn nie wprowadza rewolucji, ale przynosi grupęinteresujących unowocześnień, zwiększających bezpieczeństwoi upraszczających administrację siecią.

Kręgosłup Longhorna

Wstępna konfiguracja systemu Windows Server Longhorn. Okno Initial Configuration Tasks to nowość. Wykonując po kolei sugerowane zadania, unikniesz typowych problemów z konfiguracją systemu.

Nowa wersja serwera Microsoftu zawiera sporo rozwiązań ulepszających działanie oraz zwiększających wydajność systemu. Zmiany obejmują także m.in. internetowe usługi informacyjne (IIS), usługi terminalowe i sieciowe. Sporo usprawnień wprowadzono w sposobach zarządzania serwerem oraz kontroli dostępu do sieci. Obserwując rozwój usług katalogowych w systemach operacyjnych Microsoftu, można zauważyć, że każda kolejna wersja serwera oferuje cenne dodatki, poszerzające możliwości bazy Active Directory.

System Windows 2000 Server wprowadzał najwięcej kluczowych zmian w sieciowych systemach operacyjnych Microsoftu. Jego główną zaletą było porzucenie ubogiego środowiska usług katalogowych Windows NT na korzyść Active Directory, czyli implementacji usług katalogowych LDAP (Light-weight Directory Access Protocol), przeznaczonej do gromadzenia i udostępniania informacji o usługach, aplikacjach i innych zasobach w sieci. Przechowywanie danych w katalogu pozwala na budowę nieograniczonych struktur sieciowych, uniwersalny dostęp do danych oraz logowanie użytkowników z każdej lokalizacji. W sieciach komputerowych baza Active Directory przechowuje konta użytkowników i grup. Użytkownicy uwierzytelnieni mogą sięgać do dowolnych zasobów przedsiębiorstwa, do których mają przyznane uprawnienia.

Kręgosłup Longhorna

Instalacja kontrolera domeny RODC. Utworzenie kontrolera pracującego tylko w trybie odczytu to jedna z ważniejszych nowości Longhorna. Podczas instalacji pierwszego kontrolera opcja RODC jest wyłączona.

Jedną z ważniejszych zalet Active Directory jest możliwość tworzenia rozbudowanych zagnieżdżonych struktur obiektów odpowiadających strukturze organizacyjnej przedsiębiorstwa. Struktury te można dzielić na mniejsze zbiory, co upraszcza zarządzanie zasobami i zwiększa jego elastyczność. Podstawowym elementem struktury Active Directory jest domena. W systemach Microsoftu domeną nazywamy zbiór zasobów sieci, których dane zapisane są we współdzielonej bazie. Baza danych jest umieszczona na serwerach wyznaczonych przez administratora sieci. Serwery z zainstalowaną usługą Active Directory to kontrolery domeny. W małych sieciach lokalnych wystarczy jeden kontroler domeny. Jeśli sieć obejmuje więcej lokalizacji lub łączy wielu użytkowników, należy zainstalować kilka serwerów Active Directory. Przy zastosowaniu wielu kontrolerów domeny każdy z serwerów przechowuje oddzielną kopię bazy usługi katalogowej. Duże przedsiębiorstwa mogą rozbudowywać Active Directory o kolejne domeny. W ten sposób powstaje grupa połączonych wzajemnie domen, nazywana drzewem Active Directory. Struktura złożona z kilku drzew to las.

Active Directoryw Longhornie

Nowa wersja serwera przynosi ważne usprawnienia w usłudze Active Directory. Jedną z ważniejszych zmian jest wprowadzenie nowego rodzaju kontrolerów domeny, nazywanych RODC (Read-Only Domain Controller). W Windows 2000 i Windows Server 2003 wszystkie kontrolery domeny są równorzędne. Są w nich także tzw. wzorce operacji, ale realizacja podstawowych zadań nie faworyzuje żadnego z serwerów. Jeśli sieć przedsiębiorstwa jest rozproszona na wiele oddziałów, każda lokalizacja może mieć co najmniej jeden kontroler domeny. Rozmieszczanie ich w filiach zapewnia lepszą obsługę klientów sieci, bo nie muszą sięgać do systemów dostępnych przez WAN. Jeśli serwer stoi blisko użytkowników sieci lokalnej, operacje związane z logowaniem, dystrybucją zasad grupy lub pobieraniem danych z Active Directory odbywają się szybciej. Kolejnym atutem utrzymywania wielu serwerów AD jest delegowanie uprawnień administracyjnych. Administrator każdego z oddziałów może zarządzać swoją grupą zasobów. Zakres powierzonych czynności może określać centrala IT. W wypadku awarii jednego z serwerów dostęp do usług katalogowych gwarantują pozostałe kontrolery domeny. Stawianie kontrolerów domeny blisko użytkowników sieci ma swoje wady. W niewielkich filiach dużych przedsiębiorstw nie zawsze jest utrzymywany dział informatyki. Powoduje to problemy z zapewnieniem należytej opieki nad serwerem.

Kręgosłup Longhorna

Okno kreatora instalacji AD. Kreator instalacji usługi Active Directory zada ci kilka prostych pytań. Po kilkunastu minutach otrzymasz gotowy do pracy kontroler domeny.

Brak skutecznego, fizycznego zabezpieczenia systemu może mieć dla firmy poważne skutki, obejmujące nie tylko lokalną sieć oddziału, ale także większy obszar sieci całej korporacji. Osoba, która uzyska niepowołany dostęp do ustawień domeny, może usunąć albo zmodyfikować obiekty przechowywane w Active Directory. Po replikacji zmian na pozostałe kontrolery domeny cała sieć może zostać sparaliżowana. Rozwiązaniem problemu są kontrolery domeny pracujące tylko w trybie odczytu. Tam, gdzie nie można zapewnić fizycznego bezpieczeństwa systemu, trzeba umieścić serwer, który może być uaktualniany wyłącznie metodą replikacji z kontrolerów domeny położonych w centrali firmy.

Serwery pracujące w trybie RODC charakteryzują się kilkoma ważnymi właściwościami związanymi z ochroną danych. Jeśli system komputerowy przechowuje lokalnie dowolne hasła, istnieje realne zagrożenie, że zostaną one odczytane, złamane lub zmienione. Kontrolery domeny są wyjątkowo "łakomym kąskiem", ponieważ gromadzą wszystkie hasła wykorzystywane na potrzeby usługi Active Directory. Problem ten został rozwiązany w wyjątkowo skuteczny sposób - kontrolery RODC po prostu nie przechowują haseł użytkowników, natomiast komputer RODC ma mechanizmy pozwalające na buforowanie uwierzytelnień użytkowników lokalnych. Jeśli kontroler dostanie się w niepowołane ręce, wystarczy zablokować konta klientów sieci z danej filii.

Kolejną istotną zmianą wprowadzaną do usług katalogowych w Windows Server Longhorn jest możliwość restartowania Active Directory bez restartowania całego systemu. W konsoli zarządzania usługami Windows znajduje się pozycja Domain Controller. Wprowadzając kluczowe zmiany w konfiguracji Active Directory, wystarczy zatrzymać tę usługę. Podobne czynności w Windows 2000 lub 2003 wymagały uruchomienia komputera w trybie odzyskiwania usług katalogowych.

Wstępna konfiguracja serwera

Kręgosłup Longhorna

Okno dodawania ról. Dodawanie ról do Longhorna to najprostszy sposób konfiguracji systemu. W wielu wypadkach przypisanie roli będzie powiązane z instalacją przydatnych konsoli do zarządzania usługą.

Po pierwszym uruchomieniu systemu Windows Server Longhorn wyświetlane jest okno Initial Configuration Tasks. Przypomina ono administratorowi najważniejsze zadania, jakie należy wykonać po instalacji serwera. Ekran został podzielony na trzy obszary: Provide Computer Information, Update This Server i Customize This Server. Poprzednie wersje Windows wyświetlały sugestie na temat zadań do wykonania po instalacji w kilku niezależnych oknach.

Sekcja Provide Computer Information obejmuje podstawowe ustawienia serwera. Pierwszą opcją jest określenie właściwości konta administratora systemu. Po naciśnięciu polecenia Set the Administrator Password możesz zmienić hasło oraz nazwę konta przeznaczonego do zarządzania systemem. Hasło powinno mieć kilkanaście znaków długości i zawierać liczby, wielkie i małe litery oraz znaki specjalne, np. ?, @, $, ! itp. Im bardziej skomplikowane hasło, tym mniejsze prawdopodobieństwo włamania do systemu za pomocą ataków słownikowych. Zmiana nazwy konta administratora zwiększa także poziom bezpieczeństwa systemu. Wielu atakujących za pomocą skryptów próbuje wejść do systemu, logując się na konto o nazwie Administrator. Jeśli zmienisz nazwę, ataki będą nieskuteczne. Pamiętaj, że przy codziennej pracy zalecane jest posługiwanie się w Windows kontem pozbawionym uprawnień administracyjnych. Wszystkie czynności związane z zarządzaniem siecią należy wykonywać za pomocą opcji Run As Administrator. Kolejnym etapem konfiguracji parametrów serwera jest określenie strefy czasowej komputera. Pierwszy kontroler domeny jest źródłem synchronizacji czasu dla komputerów-klientów sieci. Rozbieżności między serwerem a stacjami roboczymi mają wpływ na skuteczne uwierzytelnienie systemów za pomocą protokołu Kerberos.