Vysoká škola ekonomická v Praze. Fakulta informatiky a statistiky. Vyšší odborná škola informačních služeb v Praze. Ondřej Fišer

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze Ondřej Fišer Možnosti využití operačního systému Windows Server 2003 v malé a střední organizaci Bakalářská práce 2008

2 Prohlašuji, že bakalářskou práci na téma Možnosti využití operačního systému Windows Serveru 2003 v malé a střední organizaci zpracoval samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury. V Praze dne Ondřej Fišer

3 Anotace Cílem této bakalářské práce teoretické vysvětlení vybraných technologií Windows Server 2003, jejich možnosti a technické řešení v malé organizaci. Toto užití je implementováno tak, aby systém efektivně splňoval dané požadavky na informační infrastrukturu aslužby, které uživatelé vyžadují. V neposlední řadě je kladen důraz na zajištění co nejmenších problémů se správou v budoucnosti. V teoretické části práce je nejprve analyzována organizace, do které budeme výše zmíněný systém implementovat. Byl zvolen typ soukromé vysoké školy a následně definovány požadavky na systém. Další kapitoly jsou věnovány výběru vhodného operačního systému pro tuto školu a zdůvodnění výběru Windows Serveru 2003 na základě uvedení jeho výhod a předností. Následuje popis technologie DNS, která je nedílnou součástí sítě pro překlad názvů počítačů a je nutná pro nasazení Active Directory. Část, věnující se popisu technologie DHCP, má za úkol vysvětlit výhody nasazení protokolu DHCP do sítě malé nebo střední organizace. V praktické části je uveden postup instalace Windows Server 2003, návrhy konfigurace základních služeb v síti a doporučené způsoby nastavení tak, aby služby v síti fungovaly co nejefektivněji. Na přiložené DVD jsem vypracoval názornou ukázku nastavení a konfigurace vybraných služeb Windows Server 2003, o kterých se domnívám, že jsou pro funkčnost sítě nezbytné. The goal of this bachelor work is to theoretically explain the Windows Server 2003 technology, their options and technical issues. Also explain the use of these technologies in small/medium organization for effective fulfillment of information infrastructure needs and services, that users demand and for ensuring the least administration problems in future. In theoretical part of this work the technical environment of an organization is analyzed, where the system, described below, is to be implemented. The type of private university in Czech Republic was chosen as a representative for our organization and its needs in the local network was identified. Next chapter is dedicated to explaining, why Windows Server 2003 operating system was chosen for this kind of school. Following chapter describes the DNS technology, which is used for computer name translation. Also the DNS service is essential in network, where Active Directory is to

4 be implemented. About Active Directory service is the next chapter. We cannot omit mention about DHCP technology, which is great advantage when managing bigger number of computers in network. Practical part of work is about process of implementing such technologies, design of configuration of essential services in network and recommended ways of settings for the effectiveness of services functionality. Integral part of this work is included DVD, where we can find the demonstrative example of typical implementation of Windows Server 2003 in productive environment.

5 Obsah Anotace... 3 Obsah Úvod Analýza prostředí organizace Výběr vhodného operačního systému Operační systém Windows Server 2003 ve středně velké organizaci Pokročilá správa účtů s pomocí řadiče domény Technologie DNS Active Directory Výhody zavedení uživatelů a jejich skupin Automatická konfigurace protokolu IP klientských počítačů Popis technologie DHCP Možnosti využití přístupu Server DHCP jako agent Specifika a možné problémy instalace služby DHCP Instalace operačního systému Windows Server Instalace řadiče domény Nastavení uživatelských profilů a jejich správa Využití vzdálené instalace software pro snížení nákladů na správu Instalace WDS Příprava image Síťová instalace PC Podpora častých činností v síti Implementace sdílení dokumentů Zálohování dat Konfigurace automatických aktualizací Aspekty vzájemného propojení vzdálených pracovišť vzdálený přístup do sítě... 50

6 13 Vlastní přínos Závěr Seznam použitých zdrojů... 57

7 1 Úvod Tato práce se zabývá tématikou technologie Windows Server 2003 z hlediska implementace v malé organizaci a je soustředěna na soukromou vysokou školu. Přesto, že tato organizace je fiktivní, práce je psána tak, aby poznatky zde uvedené mohly být aplikovány na podobnou, ale reálnou malou resp. střední organizaci či firmu. Práce je rozdělena na 2 části, teoretickou a praktickou. Teoretická část se věnuje popisu jednotlivých technologií systému Windows Server 2003, bez jejichž znalostí bychom se při implementaci a správě systému neobešli. Tyto teoretické poznatky jsou následně převedeny do praktické ukázky implementace systému Windows Server Praktická část se tedy již věnuje samotnému nasazení tohoto systému a postupné implementaci jednotlivých technologií v organizaci tak, aby při budoucí správě systému docházelo co k nejmenším problémům. Důraz je tedy hodně kladen na plánování a přípravě řešení. Vlastní praktický příklad implementace je popsán na DVD, kde je názorně ukázána instalace a konfigurace jednotlivých technologií na virtuální síti. Jsou zde také uvedeny návrhy konfigurace základních služeb v síti a doporučené způsoby nastavení tak, aby služby v síti fungovaly co nejefektivněji. Cílem bakalářské práce je nejen teoretické vysvětlení technologií Windows Server 2003, jejich možností a technického řešení, ale i její užití v malé organizaci tak, aby efektivně splňovala dané požadavky na informační infrastrukturu, na služby, které uživatelé vyžadují a na zajištění co nejmenších problémů se správou v budoucnosti. Hlavním cílem je však porozumění této technologii na takové úrovni, aby i méně zkušený správce sítě dokázal Windows Server 2003 implementovat a spravovat v malé organizaci bez větších obtíží. K tomu byla použita praktická ukázka nasazení systému Windows Server 2003 v malé organizaci. Byla tedy provedena simulace počítačové sítě v malé škole, analýza její funkčnosti a případných problémů s konfigurací služeb. Tato simulace je ještě podpořena přiloženým DVD, kde je názorně předvedeno doporučené nastavení a konfigurace systému Windows Server Nejedná se však o návod, jak používat tuto technologii, nýbrž o doporučení vycházející z praktických zkušeností s tímto systémem. 7

8 2 Analýza prostředí organizace V práci byla zvolena virtuální organizace typu soukromé vysoké školy, zaměřená na management a marketing. Tato organizace plánuje nasazení síťové infrastruktury a zavedení základního softwaru pro budoucí implementaci konkrétního aplikačního softwaru. V našem případě se soustředíme na implementaci serverového operačního systému a jeho konfiguraci tak, aby dokázal vyhovět základním požadavkům pro síťovou práci a komunikaci uživatelů. Tím je myšleno: připojení na internet nasazení adresáře pro správu uživatelů správa pracovních stanic, zdrojů a vyhledávacích služeb zajištění správného překládání názvů jak v místní síti, tak v Internetu automatické přidělování IP adres pracovním stanicím oprávněný přístup k sdílením síťovým dokumentům a prostředkům Dále jsou zde požadavky na nadstandardní úkoly, jako například: vzdálená hromadná instalace operačního systému na pracovní stanice vzdálené připojování uživatelů přes VPN tunel do místní sítě s pokročilejší ověřovací technikou nastavení automatického zálohování pro nečekané případy ztráty dat nastavení automatického aktualizování pracovních stanic a serverů Co se týká lidských zdrojů v organizaci, předpokládejme, že v naší fiktivní organizaci působí: 15 pedagogických pracovníků 10 interních zaměstnanců 10 externích zaměstnanců 150 posluchačů Každý z interních pracovníků, včetně pedagogů, má k dispozici vlastní počítač. Interní pracovníci pracují s desktopovými počítači a vyučující s laptopy. V této škole jsou 4 učebny vybavené počítači. V každé učebně je k dispozici 20 počítačů pro posluchače. Počítače v učebnách budou vybaveny operačním systémem Microsoft Windows XP a pracovní stanice určené pro pedagogy a interní personál operačním systémem Windows Vista Business. Oba operační systémy byly pořízeny v rámci multilicenční smlouvy. Organizace dále disponuje několika servery. 8

9 Ve škole je i umístěna jedna místnost, která slouží jako serverovna. Je vybavena 3 racky pro uložení serverů, switchů, patch panelů a telefonní ústředny. Dále je zde umístěn záložní zdroj pro případ výpadku napájení aktivních prvků. V celé budově, kde organizace sídlí, je již zabudována strukturovaná kabeláž tak, aby pokryla veškeré požadavky pro připojení pracovních stanic do počítačové sítě. 3 Výběr vhodného operačního systému Volba vhodného serverového operačního systému, tak aby splňoval veškeré požadavky organizace, není jednoduchá. Na výběr připadaly v úvahy technologie Windows Server a unixové systémy. V našem případě byla možnost výběru omezena především na systémy Windows Server 2003, Windows Server 2008 a Red Hat Linux. Výhoda linuxových distribucí, jakou je například Red Hat Linux, je především cena produktu, kdy se pouze platí za technickou podporu a nikoliv za samotný produkt. Dále je to také vysoká stabilita, tudíž je tento systém vhodný především pro kritické služby, jako jsou například služby webového serveru pro internetový obchod. Nevýhodou tohoto systému jsou však značně vysoké požadavky na odbornost správce takového systému a menší kompatibilita s produkty Microsoftu, které se prakticky uplatňují v drtivě většině všech desktopových počítačích uživatelů. Navíc ne vždy je vhodné používat linuxový systém pro jakékoliv síťové služby. Například dle testu společnosti Veritest, který je uveden ve zdroji [4], měl vyšší výkon systém Windows Server 2003 v roli souborového serveru než systém Red Hat Linux. Z hlediska jednodušší správy systému a kompatibility s ostatními produkty Microsoftu připadá tedy v úvahu serverový systém Windows Server. Nejnovější verze s označením Windows Server 2008 není vyhovující a to z několika důvodů. Jedním z nich je značně vysoká cena v porovnání s edicí pro školní instituce. Oproti systému Windows Server 2003 však nenabízí navíc téměř žádné služby, které by se daly v malé či střední organizaci využít. Další kritikou jsou vysoké hardwarové nároky. Windows Server 2003 Operační systém Windows Server 2003 patří do rodiny serverových operačních systémů. U tohoto typu operačních systémů je kladen vysoký důraz na stabilitu, škálovatelnost, bezpečnost a výkon. Je to zejména proto, že na těchto systémech běží kritické aplikace a služby, a jejich výpadek znamená pro společnost nemalé ztráty. 9

10 Windows Server 2003 byl uveden na trh 24. dubna 2003 jako produkt společnosti Microsoft. Tento systém je prakticky nástupcem předchozího operačního systému Windows Server 2000, a oproti tomuto systému měl přinést lepší výkon a škálovatelnost. Možnosti systému Windows Server 2003 jsou velmi rozsáhlé a může vykonávat jednu nebo více serverových rolí, mezi něž patří zejména, viz zdroj [1]: souborový a tiskový server webový server poštovní server terminálový server server pro vzdálené připojení a VPN server server adresářových služeb, DNS server, DHCP server a WINS server Streamovací server pro media Systém Windows Server 2003 existuje v několika edicích. Zdroj [1] j uvádí nejznámější z nich a jejich hlavní rozdíly takto: Windows Server 2003 Standard Systém navržen pro nasazení v běžném pracovním zatížení či odděleních. Hlavní výhody jsou: podpora pro sdílení souborů a tiskáren bezpečné připojení k internetu centralizované nasazení desktopových aplikací Windows Server 2003 Enterprise Tento systém je určen pro kritické aplikace a služby a v podmínkách vysokého pracovního zatížení. Kromě vysokého výkonu, spolehlivosti a obchodní hodnoty tento server přináší tyto výhody: podpora až 8 procesorů Tvorba clusterů o 8 uzlech a podpora až 64 GB operační paměti 10

11 Windows Server 2003 Datacenter Tato edice je určena pro nejvyšší úrovně škálovatelnosti a spolehlivosti. Nabízí speciální program pro vysokou dostupnost služeb a podpory a jeho uplatnění ocení zejména společnosti, které poskytují streamovaný obsah či kritické webové aplikace s vysokým zatížením. Dále nabízí: Podporu až 128cestného symetrického multiprocessingu až 64 procesorů 1 TB operační paměti 8uzlový clustering a load balancing Windows System Resource Manager pro posílení systémové správy Windows Server 2003 R2 Tento systém byl uveden na trh později než Windows Server Obsahuje značné změny oproti předchozí verzi. Podle zdroje *2+ se jedná zejména o následující: bezproblémová vzájemná funkční spolupráce systémů UNIX a Windows zjednodušená správa pobočkových serverů vylepšená správa identit a přístupu nové nástroje na správu úložišť Windows SharePoint Services, IIS 6.0,.NET 2.0 virtualizace serverů Ve zdroji *3+ lze nalézt přehled všech rozdílů mezi edicemi Standard, Enterprise, Datacenter a Web Edition a popis funkcí, které obsahují. Níže je uvedena tabulka s cenou tohoto systému, převzatého z internetových stránek společnosti Cybex (platné k datu ). Windows 2003 Server Standard R2 w/sp2 64Bit x64 EN pro 10 už. EDU ,00 Kč Windows 2003 Server 20 Device CAL EDU 8 732,00 Kč Windows 2003 Server 5 Device CAL EDU 2 183,00 Kč 11

12 4 Operační systém Windows Server 2003 ve středně velké organizaci Systém Windows Server 2003 byl zvolen kvůli svým vlastnostem, které budou snadno, jednoduše a spolehlivě splňovat každodenní úlohy při chodu organizace. Serverový operační systém Windows Server 2003 R2 je dále vybaven dostačujícími vlastnostmi souvisejícími se správou síťových zdrojů a uživatelských účtů. 10 hlavních důvodů, proč použít Windows Server 2003 je zde: 1) Snadné zavedení, správa a použití Díky známému rozhraní systému Windows je použití systému Windows Server 2003 velmi jednoduché. Noví zjednodušení průvodci usnadňují nastavení specifických rolí serveru a rutinní úlohy správy serveru. Díky tomu je snadné spravovat i servery bez vyhrazeného správce. Kromě toho mají správci k dispozici několik nových vylepšených funkcí, které usnadňují zavádění služby Active Directory. Rozsáhlé repliky Active Directory lze zavádět ze záložních médií a inovace z předchozích serverových operačních systémů, jako je Microsoft Windows NT, je jednodušší díky nástroji ADMT (Active Directory Migration Tool), který zajišťuje kopírování hesel a plnou podporu skriptů. Nové funkce, jako jsou možnosti přejmenovat domény nebo předefinovat schémata, usnadňují správu služby Active Directory, neboť správcům poskytují flexibilitu nezbytnou k ošetření případných organizačních změn. Kromě toho vztahy důvěryhodnosti mezi doménovými strukturami umožňují správcům připojit struktury Active Directory a poskytnout tak autonomii bez omezení integrace. A konečně je třeba zmínit také vylepšené nástroje zavádění, jako je například Služba vzdálené instalace (RIS), které správcům pomáhají v rychlém vytváření bitových kopií systému a v zavádění serverů. 2) Zabezpečená infrastruktura Výkonné a zabezpečené síťové prostředí je pro konkurenceschopnost podniků důležitější než kdykoli předtím. Systém Windows Server 2003 umožňuje využívat stávající investice do informačních technologií a zavedením klíčových funkcí, jako jsou vztahy důvěryhodnosti mezi doménovými strukturami služby Microsoft Active Directory nebo integrace služby Microsoft.NET Passport, rozšířit tyto výhody také na partnery, zákazníky a dodavatele. Správa identit služby Active Directory překlenuje celou síť a napomáhá zajistit zabezpečení v rámci rozlehlé sítě. Je proto jednoduché šifrovat důvěrná data a jako prevenci škod způsobovaných viry a dalším zákeřným kódem lze použít zásady omezení softwaru. Systém Windows Server 2003 je nejvhodnější volbou pro zavádění infrastruktury veřejných klíčů (PKI). Funkce automatického zápisu a automatického obnovení usnadňují zavádění karet Smart Card a certifikátů v rámci rozlehlé sítě. 12

13 3) Špičková spolehlivost, dostupnost, škálovatelnost a výkon pro podniková prostředí Spolehlivost byla zvýšena prostřednictvím celé řady nových a vylepšených funkcí, včetně zrcadlení paměti, paměti umožňující výměnu za provozu (Hot Add Memory) a detekce stavu v Internetové informační službě (IIS) 6.0. Pro zvýšení dostupnosti nyní Clusterová služba podporuje clustery až s osmi uzly a uzly na různých místech. Je poskytována větší škálovatelnost s možností škálování od systémů s jedním procesorem až po systémy s 32 procesory. Celkově lze říci, že systém Windows Server 2003 je rychlejší díky tomu, že výkon systému souborů je o 140 procent lepší a také výkon služby Active Directory, webových služeb XML, Terminálových služeb a síťových služeb je výrazně rychlejší. 4) Nižší celkové náklady díky konsolidaci a využití nejnovějších technologií Systém Windows Server 2003 poskytuje celou řadu technických vylepšení, které organizacím usnadňují snižování celkových nákladů (TCO). Například správce prostředků systému Windows umožňuje správcům nastavit využití prostředků (pro procesory a paměť) v serverových aplikacích a spravovat je prostřednictvím nastavení zásad skupiny. Konsolidaci souborových služeb napomáhají úložiště NAS. Mezi další vylepšení patří podpora architektury NUMA (Non-Uniform Memory Access), technologie Intel Hyper-Threading a vícecestný vstup a výstup (V/V) napomáhající škálovatelné rozšiřitelnosti serverů. 5) Jednoduché vytváření dynamických intranetových a internetových webových serverů Služba IIS 6.0, což je webový server zahrnutý v systému Windows Server 2003, poskytuje rozšířené zabezpečení a spolehlivou architekturu, která nabízí izolaci aplikací a výrazně zvýšený výkon. Výsledkem je vyšší celková spolehlivost a doba provozu. Služba Microsoft Windows Media usnadňuje vytváření řešení multimediálních datových proudů s programováním dynamického obsahu a nadto poskytuje i rychlejší a spolehlivější provoz. 6) Rychlý vývoj prostřednictvím integrovaného aplikačního serveru Nedílnou součástí operačního systému Windows Server 2003 je platforma Microsoft.NET Framework. Technologie Microsoft ASP.NET umožňuje použití výkonných webových aplikací. Díky technologii.net nemusí vývojáři psát zdlouhavé pomocné kódy a mohou se soustředit na programovací jazyky a nástroje, které již znají. Systém Windows Server 2003 poskytuje celou řadu funkcí, které zvyšují produktivitu vývojářů i hodnotu aplikací. Stávající aplikace lze snadno převést na webové služby XML. Aplikace systému UNIX lze snadno integrovat nebo přenést. Vývojáři mohou 13

14 navíc snadno vytvářet webové aplikace a služby podporující mobilní připojení prostřednictvím ovládacích prvků mobilních webových formulářů ASP.NET a dalších nástrojů. 7) Snadné vyhledání, sdílení a opakované použití webových služeb XML Díky známému rozhraní systému Windows je použití systému Windows Server 2003 velmi jednoduché. Noví zjednodušení průvodci usnadňují nastavení specifických rolí serveru a rutinní úlohy správy serveru. Díky tomu je snadné spravovat i servery bez vyhrazeného správce. Kromě toho mají správci k dispozici několik nových vylepšených funkcí, které usnadňují zavádění služby Active Directory. Rozsáhlé repliky Active Directory lze zavádět ze záložních médií a inovace z předchozích serverových operačních systémů, například ze systému Microsoft Windows NT, je jednodušší díky nástroji ADTM (Active Directory Migration Tool), který zajišťuje kopírování hesel a plnou podporu skriptů. Nové funkce, jako jsou možnosti přejmenovat domény nebo předefinovat schémata, usnadňují správu služby Active Directory, neboť správcům poskytují flexibilitu nezbytnou k ošetření případných organizačních změn. Kromě toho vztahy důvěryhodnosti mezi doménovými strukturami umožňují správcům připojit struktury Active Directory a poskytnout tak autonomii bez omezení integrace. A konečně je třeba zmínit také vylepšené nástroje zavádění, jako je například Služba vzdálené instalace (RIS), které správcům pomáhají v rychlém vytváření bitových kopií systému a v zavádění serverů. 8) Spolehlivé nástroje pro správu Nová konzola správy zásad skupiny (GPMC, Group Policy Management Console) umožňuje správcům lepší zavádění a správu zásad, které automatizují klíčové oblasti konfigurace, jako jsou plochy uživatelů, nastavení, zabezpečení a cestovní profily. Očekává se, že tato konzola bude k dispozici jako doplňková součást. Nová sada nástrojů příkazového řádku umožňuje správcům používat skripty a automatizovat funkce správy. Díky tomu lze v případě potřeby provádět většinu úloh správy z příkazového řádku. Podpora služeb aktualizace softwaru (SUS) usnadňuje automatizaci nejnovějších aktualizací systému. A služba Stínová kopie svazků zdokonaluje úlohy správy systémové sítě (SAN), zálohování a obnovy. 9) Posílení uživatelů a současné snížení nákladů na podporu Díky nové funkci stínové kopie mohou uživatelé okamžitě načítat předchozí verze souborů, aniž by potřebovali nákladnou pomoc odborných pracovníků. Zdokonalení systému souborů DFS a služby replikace souborů (FRS) poskytují uživatelům konzistentní způsob přístupu k souborům bez ohledu na umístění. Pro vzdálené uživatele, kteří vyžadují vysokou úroveň zabezpečení, lze Správce 14

15 vzdáleného přístupu konfigurovat tak, aby uživatelům poskytoval přístup k virtuální privátní síti (VPN), aniž by museli mít k dispozici technické informace o konfiguraci připojení. 10) Využití zkušeností celosvětové sítě partnerů a certifikovaných odborníků MCP Organizace mají přístup k mnoha řešením a technickým informacím, včetně partnerů dodávajících hardware, software a služby a certifikovaných odborníků MCP (Microsoft Certified Professionals). Viz zdroj [13]. Mezi výhody, které se využijí v mnou zvolené organizaci, patří zejména následující: 64bitový systém, který nabízí adresování více fyzické i virtuální paměti a umožňuje zpracování více dat v jednom procesorovém taktu Active Directory úložiště informací, co se týče uživatelských účtů a síťových zdrojů, hierarchicky uspořádané pro jednoduchou správu síťové služby DNS, DHCP souborové a síťové služby Kerberos protokol, díky kterému je ověřování uživatelů bezpečnější a snadnější 5 Pokročilá správa účtů s pomocí řadiče domény 5.1 Technologie DNS Počítače spolu komunikují prostřednictvím IP adresy, která ale nemusí být příliš vhodná, když do hry vstoupí požadavky uživatelů. DNS, neboli Domain Name System, řeší (ne)zapamatovatelnost IP adres a každému síťovému rozhraní přiřazuje snadněji zapamatovatelné jméno, se kterým se daleko snáze manipuluje nejen uživatelům, ale i správcům. DNS je vlastně systém, který určuje vazbu mezi IP adresou síťového rozhraní a jménem počítače, tyto vazby uchovává v DNS databázi v podobě jednotlivých záznamů. Tyto záznamy se nazývají DNS věty či RR (Resource Records) věty. Jednotlivé části takové databáze se pak nacházejí na jmenných serverech. 15

16 Obrázek 1: Příklad hierarchie DNS. Viz zdroj [5]. DNS je hierarchický systém, který je členěn na domény a subdomény. Je to právě kvůli snadné orientaci v DNS jménech a také kvůli tomu, že kdyby každý počítač či server měl mít v Internetu unikátní doménové jméno, došlo by k nepřehledné situaci. Pomocí hierarchie je jménům přidělen určitý řád. Jméno počítače v systému DNS je složeno z více jmen, resp. domén, do kterých počítač patří. Toto jméno se zkoumá zprava doleva. Nejvyšší doména je zcela vpravo a je to kořenová doména (root) značící se tečkou, v běžném používání se však tečka vynechává. Za ní následuje TLD (Top Level Domain). Kořenová doména má přehled o všech TLD, zatímco TLD má zase přehled o všech svých podřízených doménách (domény 3. úrovně). Takhle to jde dál až k doméně nejnižší úrovně, která již obsahuje názvy konkrétních počítačů. Použito zdroje *5+. Přeložení jména na IP-adresu zprostředkovává tzv. resolver. Resolver je klient, který se dotazuje name serveru. Jelikož je databáze celosvětově distribuována, nemusí nejbližší name server znát odpověď, proto může tento name server požádat o pomoc další name servery. Získaný překlad pak name server vrátí jako odpověu resolveru. Veškerá komunikace se skládá z dotazů a odpovědí. Name server po svém startu načte do paměti data pro zónu, kterou spravuje. Primární name server načte data z lokálního disku, sekundární name server dotazem zone transfer získá pro spravované zóny data z primárního name serveru a rovněž je uloží do paměti. Tato data primárního a sekundárního name serveru se označují jako autoritativní (nezvratná). Dále name server načte z lokálního disku do paměti data, která nejsou součástí dat jeho spravované zóny, ale umožní mu spojení s root name servery a případně s name servery, kterým delegoval pravomoc pro spravování subdomén. Tato data se označují jako neautoritativní. Name server i resolver společně sdílejí paměcache. Během práce do ní ukládají kladné odpovědi na dotazy, které provedly jiné name servery, tj. ke kterým jsou jiné name servery autority. Ale z hlediska našeho name serveru jsou tato data opět neautoritativní pouze šetří čas při opětovných dotazech. Představme si, že přijde dotaz (např. požadavek na překlad jména na IP-adresu) na name server. Je-li server pro 16

17 daný dotaz autoritou (autoritativní name server) a nemá požadované jméno v databázi, odpoví negativně (jméno nelze přeložit na IP-adresu). Není-li name server pro daný dotaz autoritou, pak odpoví, že neví a doporučí name server, který by autoritou mohl být. Viz literatura [6]. Názorný příklad, převzatý ze zdroje [5], při překladu jmen je uveden zde: Lokální DNS server se zeptá na jméno některého z kořenových serverů. 1. Ten odpověď nezná, ale jelikož zná alespoň kam je delegována doména.cz, pošle seznam jmenných serverů pro doménu.cz. 2. Lokální DNS použije informaci od kořenového serveru a zeptá se jednoho těchto serverů na jméno 3. Server opět odpověď nezná, ale jelikož obsahuje informaci o všech subdoménách.cz, pošle nazpět informaci o tom, který další server obsahuje doménu nic.cz. 4. Lokální server postupuje dále a zeptá se jednoho ze serverů, které poskytují doménu nic.cz, na jméno 5. Dotázaný server obsahuje informaci o všech subdoménách nic.cz, takže zná a pošle zpět odpověď, že jménu odpovídá IP adresa Obrázek 2: Postup při překladu jmen. Viz zdroj [5]. 17

18 DNS používá jak protokol UDP, tak i protokol TCP. Pro oba protokoly používají port 53 (tj. porty 53/udp a 53/tcp). Běžné dotazy, jako je překlad jména na IP-adresu a naopak, se provádějí přes protokol UDP. Délka přenášených dat protokolem UDP je implicitně omezena na 512 B (příznakem truncation může být signalizováno, že se odpověď nevešla do 512 B a pro přidanou kompletní odpověď je nutné použít protokol TCP). Délka UDP paketu je omezena na 512 B, protože u větších IP-datagramů by mohlo dojít k fragmentaci. Fragmentaci UDP datagramu DNS nepovažuje za rozumnou. Dotazy, kterými se přenášejí data o zóně (zone transfer) např. mezi primárním a sekundárním name serverem, se přenáší protokolem TCP. Běžné dotazy (např. překlad jména na IP-adresu a naopak) se provádí pomocí datagramů protokolu UDP. Překlad požaduje klient (resolver) na name serveru. Neví-li si name server rady, může požádat o překlad (o pomoc) jiný name server prostřednictvím root name serveru. V Internetu platí pravidlo, že databáze s daty nutnými pro překlad, jsou vždy uloženy alespoň na dvou nezávislých počítačích (nezávislých name serverech). Je-li jeden nedostupný, pak se překlad může provést na druhém počítači. Obecně se nepředpokládá, že by byly všechny name servery dostupné. V případě, že by se pro překlad použil protokol TCP, pak by navazování spojení na nedostupný počítač znamenalo přečkat časové intervaly protokolu TCP pro navázání spojení a teprve poté by bylo možno se pokusit navázat spojení s dalším name serverem. Řešení pomocí protokolu UDP je elegantnější: Datagramem se vyšle žádost prvnímu serveru, nepřijde-li odpověď do krátkého časového intervalu, pak se pošle datagramem žádost dalšímu (záložnímu name serveru), nepřijde-li opět odpověď, pak se pošle dalšímu atd. V případě, že se vyčerpají všechny možné name servery, pak se opět začne prvním a celý postup se zopakuje, dokud nepřijde odpověď nebo nevyprší stanovený časový interval. Viz literatura [6]. 5.2 Active Directory Podle zdroje [7] je Active Directory distribuovaná adresářová služba, která umožňuje centralizovanou a bezpečnou správu celé sítě a která může pokrývat budovu, město či více lokací po celém světě. Ve své databázi Active Directory shromažďuje informace o síťových zařízeních a službách a zároveň o uživatelích, kteří tyto služby využívají a pomocí Active Directory jsou jim zpřístupněny. Active Directory je tedy databáze a zároveň sada služeb, která umožňuje bezpečné přidávání, mazání, modifikace či vyhledávání dat v databázi. Její hlavní využití spočívá v poskytování informací o uživatelích a zdrojích ve firmě či organizaci. Tyto informace jsou přístupny zaměstnancům a to i mimo firemní síť přes zabezpečené připojení jako VPN. Jiným osobám zpřístupněna není. následující : Active Directory je centrální informační kořen v prostředí Windows Server Poskytuje 18

19 centrální místo pro správu a delegaci administrativních činností možnost přistupovat k objektům, které reprezentují všechny síťové uživatele, zařízení a zdroje a dále možnost umisťovat tyto objekty do skupin pro přehlednost, snadnější správu a aplikaci zásad skupin podpora protokolu LDAPv2 a LDAPv3, které jsou standardem pro přístup k adresáři a díky nimž je možné poměrně široce Active Directory spravovat flexibilní a globální vyhledávání systematické synchronizace mezi řadiči domény vzdálená správa z jakéhokoliv počítače v doméně s nainstalovanými nástroji pro správu integrace jmen objektů s DNS, díky němuž jsou služby Active Directory a řadiče domény dostupné přes IP protokol v intranetu i v Internetu Obrázek 3: Propojení distribuovaných zdrojů přes Active Directory. Viz zdroj [7]. Hlavním prvkem v Active Directory je doména, což je vlastně logické uskupení objektů v síti. V databázi může existovat více domén, mezi kterými mohou být hierarchické vazby. Pokud tomu tak je, sdílejí tyto domény souvislý obor názvů. Název domény nejvyšší úrovně (kořenová doména) se pak 19

20 vyskytuje na konci každé podřízené domény. Tyto domény pak mají mezi sebou vztah důvěryhodnosti, což v praxi znamená, že uživatelé, mající účet v nadřízené doméně mohou přistupovat ke sdíleným zdrojům v podřízené doméně, tedy za předpokladu, že mají patřičné oprávnění udělené správcem podřízené domény. Takové uspořádání domén představuje tzv. doménový strom, ve kterém může samozřejmě být více domén. Vždy ale podřízená doména obsahuje v názvu názvy všech domén nadřízených. V Active Directory může ale existovat více takových strukturovaných doménových stromů, pak se takové struktuře říká doménový les. Ten se může vyskytovat například, když společnost koupí jinou společnost s již zavedenou doménovou strukturou a připojí ji do své adresářové struktury. Pak obě kořenové domény mají samozřejmě odlišné názvy, ale patří do jednoho adresáře, kde existují obousměrné vztahy důvěryhodnosti. Proto se toto prostředí dá spravovat daleko efektivněji,než kdyby tyto doménové stromy zůstaly oddělené. V prostředí malé a střední organizace, což je i náš případ, však bude 1 doména. Veškeré logické uspořádání objektů (uživatelů, počítačů, skupin, ) lze pak seskupovat do organizačních jednotek. V rámci organizačních jednotek lze například aplikovat různé firemní politiky, omezující práva uživatelů či počítačů. Doménová databáze se ukládá na doménovém řadiči. To je server, který vyřizuje všechny požadavky na informace uložené v doméně. Role řadiče domény je v síti velmi důležitá. Při výpadku tohoto serveru prakticky přestává fungovat síť. V tom případě je v síti zřízen ještě další, sekundární, řadič domény a databáze mezi nimi se pravidelně replikují tak, aby v případě výpadku primárního řadiče jeho pozici nahradil sekundární řadič. Služba Active Directory úzce spolupracuje se službou DNS. DNS využívá pro vyhledávání informací v síti a také ji využívají klientské počítače při vyhledávání služeb v síti. Dalšími předpoklady pro nasazení technologie Active Directory je již zmíněny operačním systém Windows Server 2003, dále potřebná oprávnění místního správce systému, název DNS domény (při nasazení Active Directory v síti, kde ještě DNS služba neběží, je možné ji nasadit zároveň při instalaci), heslo pro obnovu adresářové služby a výkonný hardware serveru, na kterém služba poběží. 5.3 Výhody zavedení uživatelů a jejich skupin Podle ŠETKY *8+ je pro přístup všech uživatelů k síti nutné, aby každý uživatel měl v doméně svůj uživatelský účet. Díky tomu je možné každému uživateli určit práva, která mu umožní přístup ke konkrétním síťovým zdrojům, zatímco k ostatním mu je přístup odepřen. Účet uživatele se vytváří v databázi Active Directory jako objekt, který mimo definice oprávnění pro daného uživatele nese další informace o uživateli, včetně například přihlašovacích hodin, kdy je uživateli povoleno přihlásit 20

21 se k síti pouze v určitém časovém intervalu či datum expirace účtu, pomocí kterého se účet automaticky zakáže v určitý den. Uživatelské účty v databázi jsou replikovány mezi všemi doménovými řadiči. Přihlašování uživatele do sítě je poměrně komplikovaný proces. Je to vlastně první krok k autentifikaci a autorizaci uživatele v síti. Uživatelé se při přihlášení musejí prokázat svým uživatelským jménem a heslem. Jsou možné i alternativní metody přístupu, například pomocí smart karty, ale ty se standardně nevyužívají. Předpokladem pro přihlášení uživatele do domény je, aby počítač měl vytvořen v Active Directory účet a byl připojen do domény. Po zadání uživatelského jména a hesla je poté uživatelský účet ověřen na doménovém řadiči. Systém Windows Server 2003 standardně ověřuje uživatele pomocí protokolu Kerberos verze 5. Jakmile je uživatel ověřen a přihlášen, je mu přidělen tzv. access token, který obsahuje uživatelův bezpečnostní identifikátor neboli tzv. SID (security identificator) a zároveň tzv. skupinový SID, který je mu přidělen na základě příslušnosti uživatele ke skupinám. Pomocí těchto jedinečných identifikátorů, které jsou uživateli přiřazeny při tvorbě účtu a při přiřazování členství ve skupinách, je možné přistupovat k síťovým zdrojům. Ty mají v databázi nadefinován seznam (ACE access control entries), který obsahuje pravidla pro přístup uživatelů či skupin a specifikuje jaká konkrétní práva daný uživatel k objektu (zdroji) má. Při pokusu uživatele o přístup k nějakému objektu je porovnán ACL s přiděleným access tokenem a na základě výsledku porovnání je uživateli přístup povolen či zamítnut. Díky principu přiřazení access tokenu uživateli po počátečním přihlášení je usnadněn přístup k síťovým zdrojům, jelikož se uživatel pro přístup znovu přihlašovat a ověřovat nemusí. Pro zjednodušení udělování oprávnění k síťovým prostředkům se používají skupiny. V Active Directory existuje několik druhů skupin. Jsou to: Globální skupiny ty mohou obsahovat uživatelské účty, účty počítačů či skupiny ze stejné domény jako je ona sama. Tomuto typu skupin je možné udělovat oprávnění k prostředkům v jakékoliv doméně lesa Active Directory (i když to není doporučeno). Místní doménové skupiny tyto skupiny mohou obsahovat uživatelské účty, účty počítačů, globální skupiny a univerzální skupiny z jakékoliv domény lesa Active Directory a dále místní doménové skupiny z vlastní domény. Může jim být uděleno oprávnění k prostředkům pouze v doméně, ve které byla vytvořena. Univerzální skupiny tyto skupiny mohou obsahovat uživatelské účty, počítačové účty, globální a univerzální skupiny z jakékoliv domény lesa Active Directory. Dále je možné jim udělit oprávnění pro přístup k prostředkům ve všech doménách lesa. 21

22 Z výše uvedeného lze vyvodit několik závěru a strategií pro použití těchto skupin. V organizaci či společnosti, kde existuje pouze 1 doména, univerzální skupiny nemají význam. V úvahu tedy připadají globální skupiny a místní doménové skupiny. Hlavním účelem globálních skupin je seskupení uživatelů s podobnými zájmy v síti, případně dle oddělení či pracovní pozice. Není vhodné těmto skupin udělovat oprávnění pro přístup k prostředkům v síti přímo vzhledem k tomu, že jsou viditelné v jakékoliv doméně lesa Active Directory. Místo toho je doporučeno udělovat tato práva místním doménovým skupinám, kterým můžeme práva k síťovým prostředkům ušít na míru a posléze do nich vložit požadované globální skupiny. Toto je tedy nejvhodnější a zároveň doporučená strategie pro malé a střední organizace, která klade minimální nároky na budoucí správu, a zároveň dokáže nastolit určitou přehlednost. Další strategie pro používání skupin může být ta, že práva k síťovým prostředkům budou udělena přímo globálním skupinám. Tato strategie má vhodné použití ve velmi malých prostředích, kdy je naprosto jasné, že již v lese Active Directory nebude více jak 1 doména. V opačném případě by tato varianta kladla větší nároky na administraci. V dobách Windows NT 4.0 byla k vidění strategie, kdy globální skupiny byly vkládány do skupin místních a těm pak byly přiřazeny práva k daným zdrojům. Nevýhoda této strategie je zřejmá, a to, že místní skupiny se nedají spravovat centrálně, tudíž nelze takovou skupinu používat pro přístup k prostředkům v jiném počítači. Alternativou je pak možná strategie, která je modifikací výše zmíněné doporučené strategie. Modifikací je míněno to, že globální skupiny se stanou členy skupin univerzálních a teprve až tyto univerzální skupiny jsou přiřazeny do místních doménových skupin. Toto řešení, jak již bylo řečeno dříve, však v organizaci o 1 doméně nemá smysl, a to kvůli použití univerzálních skupin. Další nevýhoda skýtá to, že univerzální skupiny nejsou uloženy na všech řadičích domény, ale pouze na serverech globálního katalogu to pak může ovlivnit zatížení linek při replikacích, jelikož je zvykem, že v každé doméně by měl být alespoň jeden globální katalog. Výhodou tohoto řešení je v případě velkého množství domén v lese Active Directory zpřehlednění a zjednodušení prostředí. 6 Automatická konfigurace protokolu IP klientských počítačů Komunikace počítačů a serverů v síti je možná díky IP adresám. Ty můžeme nakonfigurovat staticky nebo dynamicky. V doménovém prostředí, kde je několik desítek či stovek počítačů však statické přidělování prakticky nemá význam. Takové řešení by pro správce bylo značně neúnosné, jelikož by se každý počítač musel konfigurovat ručně a čas strávený správou každého počítače by byl 22

23 velice neefektivní. Z tohoto důvodu se v síťovém prostředí používá dynamické přidělování IP adres pomocí protokolu DHCP. 6.1 Popis technologie DHCP DHCP (Dynamic Host Configuration Protocol) je protokol, určený pro prostředí klient/server, který automaticky poskytuje IP (Internet Protocol) adresu klientům a další konfigurace, jako například síťovou masku či výchozí bránu. Tento protokol je popsán v dokumentech RFC 2131 a 2132 jako standard, založený na BOOTP (Bootstrap Protocol) protokolu. DHCP umožňuje klientům získat potřebnou TCP/IP konfiguraci z DCHP serveru. Operační systém Windows Server 2003 zahrnuje služby DHCP serveru a zároveň všechny desktopové operační systémy, založené na platformě Windows, obsahují DHCP klienta. Výhody pro nasazení protokolu DHCP do sítě malé či střední společnosti jsou zejména: DHCP minimalizuje chyby, které se mohou vyskytnout při manuální konfiguraci IP adresy, jako například typografické chyby nebo konflikty stejných IP adres, přiřazených několika různým počítačům. DHCP zjednodušuje síťovou správu díky centralizované a automatické TCP/IP konfiguraci, možnosti konfigurovat plný rozsah doplňkových nastavení protokolu TCP/IP, efektivní změnu IP adresy klientům, která musí být často aktualizována, například u laptopů, které často mění připojení k síti apod. DHCP protokol obsahuje fond IP adres, které lze dynamicky přiřadit jakémukoliv síťovému zařízení, obsahujícímu DHCP klienta, při připojení do sítě. Adresy se přiřazují formou zapůjčení na určitou dobu, pokud po této době zařízení již v síti nebude, automaticky se tato adresa uvolní zpět do fondu zapůjčitelných adres. DHCP server má informace o konfiguraci jednotlivých klientů v databázi. Tyto informace zahrnují platnou TCP/IP konfiguraci všech klientů v síti, fond platných IP adres k zapůjčení klientům, rozsah IP adres, vyřazených z fondu, rezervované IP adresy, které mohou být přiřazeny pouze určitým DHCP klientům na základě MAC adresy síťového rozhraní. DHCP klienti obdrží po akceptování nabídky k zapůjčení IP adresy platnou IP adresu v síti, do které se připojuje a další nastavení, která jsou součástí konfigurace parametrů DCHP serveru. Nejčastěji to jsou IP adresa výchozí brány, DNS serverů a DNS přípona domény. Kapitola je upravena podle zdroje [11]. 23

24 DHCP klient využívá následující průběh pro automatickou konfiguraci, viz zdroj [12]: Obrázek 4: Průběh automatické konfigurace IP adresy. Viz zdroj [12]. 1. DHCP klient zažádá o IP adresu vysláním zprávy DHCPDiscover broadcastem na všechny síťová zařízení v síti. 2. Klientovi je poté nabídnuta adresa od DHCP serveru pomocí zprávy DHCPOffer, která obsahuje IP adresu a konfigurační informace. Pokud žádný DHCP server klientovi neodpoví, odešle klient DHCPDiscover zprávu znovu v intervalech 0, 4, 8, 16 a 32 sekund plus náhodný interval mezi -1 a 1 sekundou. Pokud ani pak žádný DHCP server neodpoví, pak klient použije adresu z nastavení alternativní adresy, případně použije APIPA (Automatic Private IP Addressing). Po 5 minutách však opakuje cyklus odeslání zprávy DHCPDiscover, dokud klient nedostane odpověď od DHCP serveru. 3. Klient oznámí přijmutí nabídky k zapůjčení IP adresy a konfigurace od serveru zasláním zprávy DHCPRequest opět broadcastem. 4. Klientovi je přiřazena IP adresa a server DHCP broadcastem rozešle zprávu DHCPAck, která ukončuje tento proces a stvrzuje podmínky zapůjčení. Když klient obdrží potvrzení od DHCP serveru, nakonfiguruje vlastnosti TCP/IP dle DHCP informací, obsažených v odpovědi a ukončí inicializaci protokolu TCP/IP. Ve výjimečných případech se může stát, že DCHP server zašle klientovi negativní potvrzení. Místo zprávy DHCPAck zašle DHCPNack. To se stává v případě, že klient žádá neplatnou nebo již použitou IP adresu. Pokud se tak stane, celý proces přidělování IP adresy musí začít znovu. Když se v 2. kroku klientovi nepodaří kontaktovat DHCP server, pak se klient podívá po nastavení alternativní konfigurace ve vlastnostech TCP/IP protokolu. Pokud je zvolena možnost APIPA (viz výše) je klient automaticky nakonfigurován tak, že mu je přiřazena náhodná IP adresa ze sítě 24

25 a síťová maska Pokud je již tato adresa v síti použita, zvolí klient jinou adresu z rozsahu. 6.2 Možnosti využití přístupu Server DHCP jako agent Jak uvádí zdroj [12], DHCP Relay Agent je hardwarové zařízení nebo softwarový program, který umožňuje předávání DHCP či BOOTP zpráv mezi DHCP klienty a servery dle specifikací RFC 2131 pro DCHP. DHCP relay agenti fungují jako proxy, přeposílají zprávy ze subsítě jednomu či více DHCP serverům. Některé DHCP zprávy jsou odeslány jako broadcasty, takže bez relay agentů a jejich schopnosti předávat tyto DHCP a BOOTP zprávy přes routery by každá síť musela mít svůj vlastní DHCP server. Většina routerů může být nakonfigurována jako DHCP relay agent. Pokud to možné není, musí být v každé subsíti, ve které je router připojen, počítač nakonfigurovaný jako DHCP relay agent. Tam, kde není možné nakonfigurovat routery jako DHCP relay agenty nebo je to nežádoucí, je možné nastavit server, na kterém běží Windows Server 2003, jako relay agent povolením služby Směrování a Vzdálený Přístup a nainstalováním směrovacího protokolu DHCP relay agenta. Jak pracuje Relay Agent na subsíti 2. Následující schéma ukazuje, jak klient C na subsíti 2 obdrží zapůjčení adresy z DHCP serveru 1 Obrázek 5: Schéma sítí s Relay agentem. Zdroj [12]. 1. DHCP klient C odešle broadcastem DCHPDiscover zprávu na síti 2 jako UDP datagram přes port 67, což je port reservovaný pro DHCP komunikaci. 25

26 2. Relay agent, v tomto případě router, fungující jako relay agent, prozkoumá v hlavičce zprávy pole Gateway IP Address (známe také jako giaddr pole). Pokud pole obsahuje adresu , potom agent vyplní toto pole IP adresou, přiřazenou k rozhraní, na kterém byl DHCPDiscover datagram přijat a dále zprávu přepošle přímo DHCP serveru na síti DHCP server 1 obdrží zprávu DHCPDiscover, prozkoumá giaddr pole, aby zjistil, jestli byl paket přeposlán z jiné sítě. Poté server rozhodne, zda může přiřadit ze svého fondu volnou IP adresu klientům v síti, ze které pochází IP adresa z giaddr pole. Například giaddr pole obsahuje IP adresu , DHCP server prozkoumá fond adres pro rozsah, který zahrnuje adresu Aby nalezl shodu, porovná DHCP server IP adresu s adresami uložených sítí. Aby zjistil adresu sítě, logicky sečte jakoukoliv IP adresu ve fondu s její korespondující síťovou maskou. V tomto případě DHCP server zjišťuje, který z fondů zahrnuje adresy pro síť 2. Pokud je takový fond, který splňuje daná kritéria, nalezen, DHCP server zvolí volnou IP adresu ze souhlasícího fondu a nabídka ji klientovi. 4. DCHP server 1 odešle zprávu DHCPOffer přímo relay agentovi, jehož IP adresa je nalezena v giaddr poli. 5. Relay agent poté zprávu předá DHCP klientovi. Na základě hodnoty v poli Broadcast v DCHPOffer zprávě (která byla zkopírována z DHCPDiscover zprávy), relay agent buď zprávu předá přímo, nebo pošle broadcastem. 6. Použitím podobného procesu, DHCPRequest zpráva je předána od klienta serveru a poté DHCPAck zpráva od serveru klientovi. Kapitola 12 pojednává více o instalaci a konfiguraci DHCP Relay Agenta. 6.3 Specifika a možné problémy instalace služby DHCP Jak už bylo zmíněno výše, bez služby DHCP v síti, kde existuje několik desítek či stovek počítačů, se prakticky neobejdeme. Bohužel ale může dojít i k nečekaným problémům, a to většinou v případě nedostupnosti DHCP serveru. Důsledky výpadku DHCP serveru však můžeme minimalizovat tím, že serverům budeme vždy přiřazovat IP adresy staticky, takže jejich vzájemná síťová komunikace nebude záviset na DHCP serveru. V rámci nastavení služby DHCP pak můžeme udělit výjimku rozsahu adres, které nebudeme chtít přiřazovat pomocí protokolu DHCP. 26

27 Co se týče DHCP klientů, kterým je adresa IP přiřazována dynamicky, tak jejich komunikace bude zasažena pouze v případě vypršení platnosti IP adresy či při zažádání nové adresy od DHCP serveru. V takovém případě nebude moci žádosti o přidělení IP adresy DHCP server vyhovět. Další problémy se mohou vyskytovat u dynamického přidělování IP adres zařízením, jako jsou například tiskárny či tiskové servery. Při vypršení zapůjčení IP adresy není jisté, že takové zařízení dostane přidělenu stejnou IP adresu. Tento problém vyřešíme rezervací IP adresy. K tomu stačí znát pouze MAC adresu síťového zařízení. Použitím rezervací je tak zaručeno, že dané zařízení bude mít vždy přidělenu konkrétní IP adresu. 7 Instalace operačního systému Windows Server 2003 Instalaci systému Windows Server 2003 je možné provést 5 způsoby: Ruční instalace z disku CD-ROM nebo sdílené síťové složky. Bezobslužná instalace pomocí souboru odpovědí v kombinaci s diskem CD-ROM či nebo sdílenou síťovou složkou. Použití programu Sysprep a programu pro vytvoření bitových kopií disku (například Norton Ghost nebo služby WDS v kombinaci s instalačním diskem systému Windows Vista), program Sysprep umožní již nainstalovanému a nakonfigurovanému systému jeho klonování a nasazení na jiném serveru díky odebrání všech unikátních identifikátorů systému (například název počítače apod.). Automatická instalace ze sítě s pomocí služby Vzdálené instalace (RIS) nebo WDS (Windows Deployment Services). Inovace systému pomocí zásad skupiny či serveru SMS (Systems Management Server). Výše zmíněný způsob inovace v naší síti nevyužijeme, jelikož předpokládáme, že všechny servery nemají nainstalovaný operační systém, resp. využijeme možnost čisté instalace systému, aniž bychom zachovávali stávající. Na rozdíl od desktopových instalací, kterých může být v sítí stovky, není instalace serverového operačního systému častá, jelikož jich je v síti pouze několik. V tom případě ani nebude nutné používat službu vzdálené instalace, která je více vhodná pro hromadné instalace několika desítek či stovek počítačů. Také možnost klonování s pomocí aplikace Sysprep již nainstalovaného a 27

28 nakonfigurovaného systému vynecháme, jelikož každý server bude mít na starosti jiné služby a bude poskytovat jiné funkce klientům. V úvahu tedy připadá ruční nebo bezobslužná instalace systému. Jelikož předpokladem je, že zatím nemáme v síti fungující server, který by sdílel distribuční složku, a soubor s odpověďmi nemáme připraven, provedeme instalaci prvního serveru pomocí ruční instalace z disku CD-ROM. Nejprve je ale třeba instalaci důkladně naplánovat a zodpovědět si několik otázek, než se pustíme do samotné instalace. Zabezpečení serveru: Abychom zabezpečení našeho serveru maximalizovali co nejvíce, je třeba myslet na několik faktorů, které zabezpečení ovlivňují. Zejména je dobré dbát na následující doporučení: během instalace mít server odpojený od sítě Internet (to i v případě, že server bude využíván jako webový server) na discích serveru používat oddíly zformátované systémem NTFS heslo místního správce používat co nejsložitější servery fyzicky umisťovat do klimatizované místnosti, ke které má přístup pouze autorizovaný personál (správce sítě) Kontrola systémových požadavků: Níže uvedená tabulka zobrazuje minimální požadavky na hardware, na kterém je možné systém Windows Server 2003 Standard edition nainstalovat. Požadavky jsou pro systém Windows Server 2003 R2 Standard, který bude použit ve zvolené organizaci. Je nutno podotknout, že požadavky zde uvedené jsou skutečně minimální pro nainstalování systému a pro reálný běh v ostrém prostředí organizace nejsou ani zdaleka vhodné. Komponenta Požadavky Počítač a procesor Paměť PC s procesorem o minimální frekvenci 133 MHz; doporučen procesor o frekvenci 550 MHz a vyšší; podpora až 4 procesorů pro 1 server Minimálně 128 MB RAM; doporučeno 256 MB a více; 4 GB 28

29 Komponenta Požadavky Hard disk Mechanika Displej maximum 1.2 GB pro síťovou instalaci; 2.9 GB pro instalaci z CD CD-ROM nebo DVD-ROM Alespoň VGA nebo hardware, který podporuje přesměrování konzole; doporučeno Super VGA monitor, podporující rozlišení 800 x 600 nebo vyšší Tabulka 1: Minimální systémové požadavky. Viz zdroj [14]. Z vlastní zkušenosti mohu říci, že výkon a kapacita serveru by neměla být podceněna, proto pro reálné nasazení serveru doporučuji následující požadavky na hardware: Komponenta Požadavky Počítač a procesor Paměť Hard disk Mechanika Displej Server osazený alespoň 2 procesory Intel Xeon či AMD Opteron (2 či 4 jádra) o frekvenci 3 GHz či vyšší Minimálně 4 GB ECC DDR2, pro souborové či databázové servery alespoň 8 GB 80 GB pro systémový disk, dále pole RAID 5 SAS či SATA disků o kapacitě záležející na roli serveru (pro souborový či databázový server alespoň 1 TB, pro řadič domény alespoň 250 GB) CD-ROM nebo DVD-ROM SVGA adaptér, podporující rozlišení alespoň 1024x768 kvůli přehlednosti při správě Tabulka 2: Přehled doporučených parametrů serveru Tabulka č. 2 je pouze orientační, server by měl být co nejvýkonnější, omezení na hardware by mělo být dáno pouze ekonomickými důvody. Další důvod pro co nejvyšší výkonnost serverů, kromě rychle poskytujících služeb uživatelům, může být v dnešní době i moderní virtualizace. Díky virtulizačním technologiím se tak může redukovat počet serverů a tím i zatížení odběru elektrické energie, prostor pro fyzické umístění apod. Dále je třeba před samotnou instalací shromáždit informace o síti, jako je název domény DNS, název domény k připojení (v našem případě stejná jako doména DNS). Budeme potřebovat určit IP 29

30 adresu serveru, jelikož pro servery je vhodné určovat IP adresu a TCP/IP konfiguraci staticky, aby případný výpadek DHCP serveru měl co nejmenší dopad na servery. Kritické je toto nastavení například u DNS serveru či řadiče domény. Možný problém při instalaci systému Windows Server 2003 se může naskytnout, pokud se systém instaluje na disk v poli RAID (SCSI či SAS disky) nebo je tento disk připojen přes řadič SATA. V tom případě je nutné od výrobce řadiče stáhnout patřičný ovladač a při instalaci systému tento ovladač poskytnout na disketě, viz obrázek 6. Další možností, jak poskytnout potřebný ovladač při instalaci, je zaintegrovat ho přímo do instalačního média systému Windows Server To lze například provést pomocí známé aplikace NLite. S touto aplikací také doporučuji zaintegrovat do instalačního média rovněž opravné baličky a nejnovější service pack, případně potřebné ovladače pro ostatní hardwarové zařízení. Tím je možné ušetřit čas při post-instalační konfiguraci systému. Obrázek 6: Instalace ovladače řadiče pro SCSI či SAS disk Při instalaci se nás instalační program zeptá, jakým způsobem chceme licencovat náš produkt Windows Server Máme na výběr z možnosti licencování vázaného na server a licencování vázaného na počítač, resp. uživatele. První možnost je vhodná, pokud máme v síti pouze 1 server. Tím pádem zadáme počet souběžných zařízení, která se budou k serveru připojovat. Pokud je v síti více než jeden server (což je příklad zvolené organizace), poté je lepší řešení zvolit licencování, vázané na počítač nebo uživatele. Kterou z možností zvolíme, záleží na počtu uživatelů či počítačů v síti. 30

31 Pokud je v síti více uživatelů než počítačů (náš případ), poté zvolíme licencování na počítač, jelikož jejich počtem je omezen počet souběžných připojení k serverům. 8 Instalace řadiče domény Instalaci řadiče domény provedeme přes příkaz dcpromo. Tím se spustí průvodce, který nám pomůže s vytvořením nové domény. Jméno DNS domény můžeme zvolit například vsmm.cz. Při instalaci se nás průvodce zeptá na umístění databáze a protokolu služby Active Directory. Pro umístění transakčního protokolu doporučuji zvolit jiný fyzický disk, než je disk systémový v rámci optimalizace a výkonu řadiče domény. Dále při instalaci řadiče domény volíme heslo pro případnou obnovu služby Active Directory. Toto heslo je dobré pečlivě uschovat na bezpečném místě, protože jenom pomocí tohoto hesla je pak možné adresářovou službu obnovit. Při instalaci řadiče domény systém vyhledá, zda je již v síti spuštěna služba DNS. Pokud tomu tak není, je možné nainstalovat službu DNS společně s databází Active Directory a daný řadič domény pak bude zároveň sloužit i jako DNS server. To má pak tu výhodu, že konfigurace a data všech zón jsou ukládány do společné databáze Active Directory. Navíc se takto automaticky nakonfiguruje služba DNS tak, že veškeré aktualizace DNS záznamů mohou být prováděny pouze od autorizovaných objektů v databázi Active Directory, viz obrázek 7. 31

32 Obrázek 7: Vlastnosti DNS služby, integrované do Active Directory Po nainstalování primárního řadiče domény doporučuji, aby roli sekundárního doménového řadiče převzal další server. Díky tomuto řešení bude databáze Active Directory dostupná i v případě výpadku primárního řadiče domény. Instalaci sekundárního řadiče domény provedeme totožně jako při instalaci primárního doménového řadiče, tj. spustíme příkaz dcpromo. Jediná odlišnost tkví v tom, že v nabídce typu doménového řadiče zvolíme druhou možnost, tedy, že chceme nainstalovat další doménový řadič v již existující doméně, viz obrázek 8. 32

33 Obrázek 8: Instalace sekundárního řadiče domény Stejně jako jsme nakonfigurovali v síti sekundární doménový řadič, je vhodné nainstalovat na stejném serveru roli sekundárního DNS serveru. To provedeme tak, že po nainstalování služby DNS a otevření snap-in modulu DNS v konzoli MMC, vytvoříme novou forward, případně reverse zónu a jako typ zvolíme sekundární, viz obrázek 9. 33

34 Obrázek 9: Instalace sekundárního DNS serveru Dále nesmíme zapomenout na povolení funkce Zone transfers, kde nastavíme DNS servery, mezi kterými bude docházet k replikaci záznamů. 11 Nastavení uživatelských profilů a jejich správa Pro uživatele je vhodné vytvořit zvláštní organizační jednotky v databázi Active Directory. Počet těchto organizačních jednotek (OU - organizational unit) bude záležet na typu uživatelů. V našem případě bychom mohli vytvořit OU Uživatelé a pod ní další dvě Posluchači a Zaměstnanci. Počet uživatelských účtů v OU Posluchači bude celkem vysoký, je dobré si vytvořit šablonu pro jednodušší přidávání uživatelů. Tato šablona bude obsahovat společné nastavení pro všechny uživatelské účty v této organizační jednotce. Jelikož posluchači nebudou mít vlastní PC, budou se pro práci přihlašovat na jakýkoliv počítač v učebně. Pro tento účel tedy bude vhodné zřídit všem cestovní profil tak, aby uživatelské nastavení, plocha a složka s dokumenty vždy byli k dispozici při přihlášení k jakémukoliv počítači. Všechny cestovní profily uživatelů budou uloženy na souborovém serveru ve speciálně k tomu určené sdílené 34

35 složce, např. složka Users. V této složce bude mít každý uživatel vytvořen svoji soukromou složku s názvem jeho přihlašovacího profilu. K této složce bude mít oprávnění pouze daný uživatel. Je však vhodné, aby k tomuto profilu měl přístup i správce sítě. To je možné provést přes zásady skupiny, pak bude mít ke složkám cestovních profilů přístup i skupina Administrators. Toto nastavení je nutno provést před konfigurací účtů. Cestu k profilu zadáváme pomocí cesty UNC, příklad je uveden v obrázku 10, kde se sdílená složka pro ukládání cestovních profilů jmenuje Profily a je uložená na serveru DC1. Další možností, kterou lze nakonfigurovat v rámci profilu uživatele, je nastavení domovské složky. Tato složka bývá umístěna na serveru a není tedy kopírována spolu s profilem, což zaručuje rychlejší přihlašování uživatele. Tuto složku lze uživateli namapovat pod konkrétní diskové písmeno pro snazší přístup, příklad je uveden opět v obrázku 10. Obrázek 10: Vlastnosti uživatelského profilu 35

36 Takto nakonfigurovaný účet slouží jako šablona pro další uživatelské účty. Při zkopírování tohoto účtu se musí zadat pouze uživatelské jméno, přihlašovací jméno a heslo. Všechny ostatní nastavení zůstávají neměnné. Správa uživatelských účtu se provádí přes MMC konzoli a modul Active Directory Users and Computers. Je také možné využít příkazové řádky a příkazů jako je dsadd, dsmod. Takový přístup je výhodný při psaní skriptů. Přehled všech příkazů, které lze použít je uveden v [16]. Jelikož uživatelé budou data a dokumenty ukládat především na server, je vhodné na disku se sdílenými složkami zavést diskové kvóty a uživatele omezit v objemu dat, která na disk mohou zapsat. Toto nastavení můžeme provést pomocí uživatelského zobrazení ve vlastnostech disku nebo pomocí příkazové řádky a příkazu fsutil quota. Tento příkaz je opět užitečný při nastavování diskových kvót pomocí skriptu. U uživatelů, kteří budou mít své vlastní počítače, není třeba nastavovat cestovní profily. Vhodnost použití domovské složky je však zřejmá. 10 Využití vzdálené instalace software pro snížení nákladů na správu Pokud v síti existuje několik desítek či stovek počítačů, které se prakticky neliší v konfiguraci hardware či software, lze si zjednodušit instalaci všech těchto počítačů pomocí služby WDS (Windows Deployment Services). Tato služba, dostupná ve verzi Windows Server 2003 R2, nahrazuje službu vzdálené instalace Remote Installation Service (RIS) v předchozích verzích operačního systému. Windows Deployment Services (WDS) je nástupcem služby Remote Installation Services (RIS). WDS poskytuje úložiště pro images (obrazy), jejich správu a nasazování. Pro instalaci operačního systému používá Preboot Execution Environment (PXE) boot proces. WDS je vyžadovanou službou k nasazení Windows Vista, umožňuje zároveň delegaci administrace a vylepšenou správu. Viz literatura [14]. Služba RIS pro nasazování systému na koncové počítače používala pracovní prostřední MS- DOS, nazvané OSChooser. Přes RIS také bylo možné instalovat pouze obrazy systémů, závislých na vrstvě HAL, tudíž pro systémy značně hardwarově odlišných bylo třeba vytvořit nový obraz systému. Stejně tak i nebylo možné jednou uložený obraz systému modifikovat. Pokud by se jednalo například o přidání aplikace či změnu nastavení v systému, musel by se obraz systému vytvořit opětovně. I přes tyto nedostatky však RIS služba značně šetřila práci i čas při hromadných instalacích systému a prakticky to byla jediná možnost v případě, že počet počítačů k instalaci systému se pohyboval 36

37 řádově ve stovkách. V těchto případech by instalace pomocí CD-ROM či síťová instalace s pomocí spouštěcí diskety byla nemyslitelná. Po uvedení systému Windows Vista se možnosti vzdálené síťové instalace dost změnily. Systém Windows Vista přišel se zcela odlišným konceptem instalace. Instalace již není závislá na vrstvě HAL, tudíž nasazení tohoto systému na nestejný hardware je o mnoho jednodušší. Při instalaci se prakticky zkopíruje obraz systému a na cílovém počítači se poté systém zkonfiguruje podle hardwarového vybavení konkrétního stroje. Díky tomuto odlišnému přístupu k instalaci systému již není nutné pokaždé vytvářet nový obraz při změně hardware cílového počítače či při změně konfigurace. Pro nasazení obrazu systému na koncový počítač se používá prostředí Windows PE, které nahradilo starší OSChooser. Toto prostředí umožňuje více možností při nasazování systému. Windows PE (Windows Preinstallation Environment 2.0) tvoří základní součást pro nasazení systému Windows Vista. Dále je možno přizpůsobit a rozšířit prostředí Windows PE tak, aby splňovalo vaše jedinečné požadavky na nasazení. Windows PE je navržen tak, aby nahradil systém MS-DOS jako předinstalační prostředí. Prostředí Windows PE je vytvořeno ze součástí systému Windows Vista, a zajišťuje tak robustní, flexibilní a známé prostředí. V prostředí Windows PE může ve skutečnosti běžet řada aplikací systému Windows Vista. Toto prostředí dokáže detekovat nejnovější hardware a umožňuje s ním pracovat a komunikovat v rámci sítí přes protokol IP (Internet Protocol). Prostředí Windows PE obvykle potřebuje méně než 100 MB místa na disku a může běžet zcela výhradně z paměti RAMDISK, můžete proto do optické jednotky vložit druhý disk CD-ROM obsahující ovladače nebo software. Tyto funkce umožňují spustit prostředí Windows PE v počítačích, ve kterých není momentálně naformátovaný pevný disk nebo nainstalovaný operační systém. Prostředí Windows PE není operační systém obsahující všechny funkce jako systém Windows Vista. Mezi základní vlastnosti Windows PE patří: Vložení ovladačů třetích stran. Nativní podpora NTFS 5.x souborového systému, odpadá nutnost použít konzoly zotavení nebo systémovou disketu s programy s podporou NTFS. Podpora sítě na úrovni Windows (síťové ovladače, nastavení sítě je složitější). Nejsou podporovány bezdrátové sítě 802.1x. 32bit nebo 64bit Windows ovladače zařízení. 37

38 Schopnost startování (bootování) spuštění z různých médií (CD, DVD, USB), ze sítě pomocí PXE s využitím RIS (Remote Installation Service) nebo WDS (Windows Deployment Services). Možnost volitelné instalace podpory pro WMI, VBScript, VSH. Viz zdroj [14] 10.1 Instalace WDS Požadavky pro nasazení služby Windows Deployment Services Pro instalaci služby WDS je třeba, aby síťové prostředí splňovalo následující požadavky: Active Directory. Server, na kterém bude běžet Windows Deployment Services musí být buď členským serverem domény Active Directory, nebo musí být doménovým řadičem pro doménu Active Directory. Co se týče verze domény či lesa Active Directory, to není podstatné, jelikož všechny konfigurace domén a lesů podporují služby WDS. DHCP. Funkční server se službou DHCP a aktivním rozsahem IP přidělování IP adres musí být v síti k dispozici, jelikož služba WDS používá PXE, které závisí právě na DHCP pro přidělování IP adres. DNS. Služba DNS v síti musí být také k dispozici pro instalaci služby WDS. NTFS oddíl. Server, na kterém bude běžet služba WDS vyžaduje, aby oddíl, na kterém se budou ukládat obrazy systémů, byl naformátován systémem NTFS. Práva. Pro instalaci role serveru pro službu WDS je nutné být členem lokální skupiny Administrators. Pro nasazení obrazů systémů na cílovém počítači je nutné být členem skupiny Domain Users. Windows Server 2003 SP1 nebo SP2 s instalací RIS. RIS na těchto systémech nemusí být nakonfigurován, ale musí být nainstalován. Na systém Windows Server 2003 R2 se tento požadavek nevztahuje. Použito zdroje [15]. Funkční režimy WDS serveru Služba WDS může být nakonfigurována ve třech režimech v systému Windows Server Tyto režimy určují možnosti pro správu a nasazení obrazů systémů, formát obrazů, se kterými služba 38

39 WDS umí pracovat a prostředí při bootování a nasazování systému. Použití těchto režimů zajišťuje zpětnou kompatibilitu se službou RIS a snadný přechod od staršího způsobu nasazování systému stávající. Pro zjištění režimu, v kterém se služba WDS právě nachází, slouží příkaz WDSUTIL /getserver /show:config. Režim serveru WDS Vysvětlení Tento režim je ekvivalentní službě RIS; jedná se o službu WDS s funkcí služby RIS. Pro použití tohoto režimu je nutné mít před instalací služby WDS nainstalovanou službu RIS. Tento režim je vhodný pro prostředí bez systému Windows Vista, jelikož služba WDS je navržena právě pro Legacy režim nasazování tohoto nového systému a když je zpětně kompatibilní se staršími operačními systémy, pro nasazování obrazů je třeba instalačního media systému Windows Vista. Bootovací prostředí: OSChooser Formát obrazů: RISETUP a RIPREP Správa obrazů: sada nástrojů služby RIS V tomto režimu je možné nasazovat na cílové počítače image systému typu RISETUP a RISPREP pomocí OSChooser, a zároveň je možné nasazovat image ve formátu.wim pomocí nástrojů služby WDS. Z cílového počítače je tak možné zvolit bootování do služby RIS nebo do jednoho Smíšený režim z bootovacích image, které obsahují prostředí Windows PE. Pro běh služby WDS v tomto režimu, je nutné, aby na serveru již byla nainstalována a nakonfigurována služba RIS, včetně uložených obrazů. Bootovací prostředí: OSChooser a Windows PE Formát obrazů:.wim, RISETUP a RIPREP Správa obrazů: sada nástrojů služby RIS pro správu obrazů RISETUP a RIPREP a sada nástrojů služby WDS pro správu obrazů.wim 39

40 V tomto režimu je služba WDS schopna nasazovat pouze image ve formátu.wim. Abychom službu WDS nakonfigurovali v nativním režimu, je nutné tuto službu nainstalovat na serveru, kde služba RIS je již nainstalována, ale není nakonfigurována. V opačném případě je třeba službu Nativní režim RIS odebrat a poté znovu nainstalovat před instalací služby WDS. Bootovací prostředí: Windows PE Formát obrazů:.wim Správa obrazů: sada nástrojů služby WDS pro správu obrazů.wim Tabulka 3: Přehled režímů služby WDS [15] Instalaci služby WDS spustíme přes přidání komponent systému Windows, viz obrázek 11. Po instalaci je nutné restartovat server. Obrázek 11: Instalace WDS 40

41 Pokud již na serveru, kde instalujeme službu WDS, běží služba DHCP, je nutné službu WDS nakonfigurovat, aby nenaslouchala portu 67. Dále je třeba přidat do DHCP služby možnost 60 - PXEClient, jak je uvedeno na obrázku 12. Obrázek 12: Instalace WDS na server se službou DHCP Další nastavení služby WDS spočívá v určení, zda se image systému bude moci instalovat pouze na počítače, které již mají účet v Active Directory a jsou identifikovatelné pomocí GUID nebo zda se image bude moci instalovat na kterýkoliv počítač. Pokud je třeba nasadit v síti systém, založený na 64bitové architektuře, je třeba zadat tento příkaz: WDSUTIL /set-server /architecturediscovery:yes. Toto nastavení řeší problém, kdy některé počítače, schopné pracovat v 64bitovém režimu sami sebe dostatečně neidentifikují jako 64bitové Příprava image Všechny obrazy systému se přidávají do složky Install Images, kde je dále můžeme rozdělovat do skupin. Při instalaci služby WDS máme možnost prvotního importu obrazů přímo z instalačního média Windows Vista. Další image je možné přidávat přes nabídku Add image. Všechny takto 41

42 vytvořené image musejí být ve formátu.wim. Obrazy systému je dále možné upravovat v aplikacích jako je Windows Automated Installation Kit (WAIK) nebo Microsoft Solution Accelerator for Business Desktop Deployment (BDD). Pro nasazení jakékoliv image do koncového počítače je nutné, aby služba WDS obsahovala tzv. boot image. Základní boot image je dodáván na instalačním médiu Windows Vista ve složce sources. Ta plně dostačuje pro většinu úloh spojených s nasazováním systému. Pro přípravu image systému Windows XP je třeba vytvořit tzv. capture image, která se snadno vytvoří z boot image. Pomocí této capture image je možné ukládat image systému s Windows XP a zároveň je uploadovat na WDS server. Před tímto krokem je ale nutné systém Windows XP připravit pomocí nástroje Sysprep, který odstraní veškeré jedinečné identifikátory počítače. Nástroj Sysprep je k dispozici na instalačním médiu systému Windows XP. Obrázek 13: Průběh tvorby Install image systému Windows XP pomocí capture image 42

43 12.3 Síťová instalace PC Při nasazování image systému do čistých počítačů je nutné, aby každý počítač, který podporuje funkci PXE bootování, měl tento typ bootování nastaven na prvním místě v seznamu bootovacích zařízení. Pokud počítač nepodporuje bootování PXE, je nutné před nasazení image vytvořit tzv. discovery image. Tu je opět, stejně jako Capture Image, možné vytvořit z výchozí Boot Image. Poté je možné tento obraz uložit na USB disk nebo vypálit na disk CD-ROM a nabootovat z tohoto zařízení. Avšak abychom mohli image ve formátu.wim konvertovat na bootovalený.iso obraz, je nutné nainstalovat sadu WAIK. Více informací lze nalézt ve zdroji [15]. Pomocí discovery image je pak možné lokalizovat WDS server a nasadit obraz systému do počítače. Dále je nutné rozhodnout, zda je instalace systému ze serveru WDS povolena pro všechny počítače, které o to požádají nebo jen pro ty, které již mají účet v databázi Active Directory. Pokud je server WDS nastaven tak, že nedovolí instalaci systému z WDS serveru pro neznámé počítače, musíme nejprve vytvořit účet počítače v Active Directory a přiřadit mu GUID tohoto počítače. GUID je jedinečný identifikátor počítače, který lze získat z BIOSU nebo je napsaný na štítku, přilepeném na počítače. Další možností, jak získat GUID počítače je při PXE bootování, kde se tato informace zobrazí, viz obrázek 14. Obrázek 14: zobrazení GUID informace při PXE bootování 43

44 Pokud jsou všechny předpoklady pro nasazení obrazu systému do PC splněny, instalaci je možné zahájit po obdržení IP adresy stiskem klávesy F12. Pokud máme více bootovacích obrazů k dispozici, nabídne se nám možnost výběru. Po zvolení požadované image již systém bootuje do prostředí Windows PE, kde je již možné vybrat z požadovaných instalačních obrazů vhodnou pro náš konkrétní počítač. Obrázek 15: Výběr instalačního obrazu Pokud jsme na cílový počítač nasadily systém Windows XP připravený pomocí Sysprep, po instalaci se spustí mini setup, ve kterém nás průvodce vyzve k zadání jedinečných informací o systému v počítači, například jazykové a místní nastavení, klíč produktu, název počítače, apod. 11 Podpora častých činností v síti Během správy uživatelů, počítačů a zdrojů v síti se neobejdeme bez běžných činností jakou je konfigurace přístupu ke sdíleným složkám, zálohování dat nebo automatické aktualizace systémů. 44

45 13.1 Implementace sdílení dokumentů Při běžné práci v síťovém prostředí je velkou výhodou možnost ukládat data a dokumenty místo na lokální pevný disk na disk síťový. Tento síťový disk je uložen přímo na souborovém serveru a poskytuje tyto hlavní výhody oproti lokálnímu disku: Sdílení. Díky síťovým diskům lze poskytnout data pro jiné uživatele. Oproti klasickému sdílení na lokálním disku, kde je sdílení omezeno počtem 10 připojených uživatelů, je na serveru výhoda, že počet připojených uživatelů je neomezen. Dostupnost. Souborové servery jsou stále online, takže zajišťují nepřetržitý přístup k datům. Rychlost. Serverové disky, na kterých jsou uložená data, jsou na rozdíl od lokálních disků o mnoho rychlejší (také o mnoho dražší). Používají se technologie SAS či SCSI. Bezpečnost. Data se na serveru většinou ukládají na disková pole (většinou RAID 5 nebo RAID 10), díky kterým je zajištěna dostupnost i při selhání některého z disků. Navíc jsou servery uzamčeny v místnosti s omezeným přístup, takže se minimalizuje riziko fyzického zcizení dat. Možností, jak nastavit v síti sdílení dat, je několik. Zde je přehled hlavních 3 metod, které se používají v praxi nejčastěji: Klasické sdílení složek na serveru, připojení síťových disků uživatelům. Tento druh sdílení je nejčastější. Na souborovém serveru se vytvoří několik sdílených složek, ke kterým se nastaví přístupová práva určitým skupinám uživatelů. Tyto složky se pak mapují pomocí příkazu net use. Uživatelům se pak tyto složky jeví jako síťové a mohou s nimi pracovat jako s lokálními. DFS (Distributed File System). Tato metoda sdílení se používá v prostředích, kde se vyskytuje více souborových serverů. Díky této metodě se vytvoří virtuální logický adresář se všemi sdílenými složkami, ke kterému uživatelé přistupují. Je zde tedy výhoda oproti klasickému sdílení, že uživatelé si nemusejí pamatovat název serveru, na kterém jsou data fyzicky umístěna. Dále tato metoda umožňuje vyšší spolehlivost dostupnosti dat díky replikaci mezi servery. Služba SharePoint. Tato metoda sdílená dat je velmi přehledná pro uživatele, jelikož je založena na webovém prostředí. Zde se všechna sdílená data ukládají přímo do databáze. Pro běh služby je třeba mít nainstalovanou službu IIS a Microsoft SQL Server. Jelikož je třeba mít pro přístup k SQL serveru licence pro každého uživatele, je tato metoda relativně drahá. Místo SQL Serveru lze však použít i Microsoft SQL Express, ale ten má bohužel oproti klasickému SQL Serveru velká omezení. 45

46 Pro naše účely bude postačovat klasické sdílení složek na souborovém serveru. Důležitým faktorem pro bezpečnost dat je však nastavení oprávnění pro přístup k jednotlivým složkám. Tato práva jsou dvojího druhu práva pro sdílení a práva NTFS. Oba druhy oprávnění se při pokusu o přístup aplikují a vždy má přednost to, které je pro daného uživatele přísnější. Způsob přidělování oprávnění se doporučuje přidělovat na skupiny, speciálně pro tento účel vytvořených, označme je jako funkční skupiny. Jako členy těchto skupin pak zvolíme týmové skupiny, ve kterých jsou již začleněni jednotliví uživatelé např. dle oddělení. Přidělování práv přímo uživatelům či týmovým skupinám se nedoporučuje kvůli přehlednosti a nárokům na správu do budoucna, jak již bylo poznamenáno v kapitole 5.3. Pro namapování síťového disku uživateli je možné použít příkaz net use, který sdílené složce na serveru přiřadí písmeno disku a uživatel s ní bude moci pracovat jako s lokální složkou. Aby se mapování disků nemuselo provádět vždy při přihlášení uživatele, je vhodné vytvořit skript, který se bude vždy po přihlášení uživatele spouštět. Skript uložíme do C:\WINDOWS\SYSVOL\sysvol\ jméno domény \scripts, případně můžeme vytvořit podadresář v této složce, kam skript umístíme. Ve vlastnostech profilu uživatele pak zvolíme název skript. souboru i s relativní cestou ke složce (pokud byla vytvořena). Příklad je uveden na obrázku 16. Obrázek 16: Použití přihlašovacího skriptu Další možností, jak přihlašovací skript aplikovat je přes zásady skupiny. Tato možnost je efektivní, pokud chceme ten samý skript použít pro celou organizační jednotku. 46

47 13.2 Zálohování dat Zálohování je jedna z možností, jak zabránit ztrátě dat. I když jsou data na serveru často ukládána na disková pole, která používají technologii pro zabránění ztráty dat při výpadku disku, je možné, že data jsou ztracena lidským přičiněním. Data mohou být z disku smazána uživatelem nechtěně či například naštvaným uživatelem, který právě dostal výpověď a takto se snaží pomstít. Dalším důvodem je třeba možnost navrácení se k předchozí verzi souboru, který byl uživatelem přepsán. Každopádně důvodů, proč data zálohovat může být mnoho. Systém Windows Server 2003 umožňuje zálohování dat pomocí aplikace Ntbackup. Obrázek 17: Aplikace NTBackup pro zálohování dat Typy zálohování Zálohování dat lze rozdělit do několika typů, které se liší zejména délkou a objemem zálohy a náročností na obnovu. V praxi se tyto typy kombinují, aby se dosáhlo co nejlepší efektivity jak při zálohování, tak i při případné obnově. Normální zálohování. Nebo také úplná záloha. Tento typ představuje klasickou zálohu všech vybraných dat. Při zálohování souborů se smaže atribut archivace. 47

48 Přírůstkové zálohování. Tento typ zálohování prozkoumá, zda je u vybraných souborů atribut archivace. Pokud ano, tento soubor zálohuje. Dochází tedy k záloze pouze těch dat, která byla od poslední zálohy změněna. Atribut archivace je pak opět po záloze smazán. Tato metoda je relativně rychlá a zabírá pouze omezené množství místa. Nevýhodou je pracná případná obnova dat, kdy je třeba soubory, zálohované touto metodou, obnovovat v daném pořadí. Rozdílové zálohování. Při tomto typu dochází k zálohování pouze změněných dat, tak jako je tomu u přírůstkového, avšak atribut archivace zůstává nezměněn. Zálohují se tak pouze změněná data od posledního úplného zálohování. Oproti přírůstkovému zálohování tak dochází k delšímu času zálohování, ale případná obnova dat je pak jednodušší. Denní zálohování. Zálohují se pouze data, která byla v daný den vytvořena či změněna. Kopírování. Tento typ je stejný jako normální zálohování, akorát nevymaže po záloze archivní atribut. Je to tedy stejné jako obyčejné kopírování dat. Viz zdroj [17]. Strategie zálohování Většinou se používá osvědčená strategie děd-otec-syn, která využívá zálohování měsíční, týdenní a denní. V tomto schématu se každý měsíc vytváří úplná záloha (děd), která se uchovává po dobu, například, jednoho roku. Další úplná záloha se provádí jednou týdně (otec), která se uchovává pro nejbližší měsíc. Denní zálohy (syn) se uchovávají po dobu jednoho týdne a většinou jsou přírůstkového nebo rozdílového typu.použito zdroje [17]. Důležité je tedy naplánování zálohovacích úloh tak, aby zálohování bylo prováděno automaticky. Zálohování je vhodné provádět v době, kdy se soubory na serveru nepracuje, tudíž nejlépe po pracovní době či v noci. Každý všední den tedy budeme zálohovat přírůstkově resp. rozdílově a každý víkend se provede plná záloha dat. Jeden víkend v měsíci se provede roční záloha, která se poté bude archivovat po dobu jednoho roku. Nastavení plánu zálohování provedeme opět v aplikaci NTBackup, naplánované zálohování pak můžeme upravovat v Naplánovaných úlohách. Zde zvolíme účet, pod kterým bude zálohování probíhat. Doporučuji zvolit nějaký servisní účet k tomuto účelu vytvořený. Nesmíme zapomenout, aby tento účet byl členem alespoň skupiny Backup Operators kvůli čtení dat a změně archivního atributu u souborů. Typy médií pro zálohování Data je možné zálohovat na optické disky CD-ROM či DVD-ROM a disky Blue Ray. Další možností je také záloha na magnetické pásky DLT, LTO či DDS nebo na externí pevný disk. Z hlediska přepisovatelnosti, trvanlivosti a spolehlivosti však lze doporučit zálohu na pásky. K tomuto účelu je 48

49 nutné pořídit páskovou jednotku či robotické zařízení. Jednotlivé typy pásek se liší kapacitou, přepisovací rychlostí a dalšími faktory, jako je například šifrování dat. Při pořízení robotického zařízení je však lepší použít zálohovací software jiných výrobců (např. Symantec Backup Exec), který umožňuje použití automatické rotační strategie výměny médií, sledování zálohovaných souborů na páskách a jiné pokročilé vlastnosti. Tyto funkce nástroj NTBackup neposkytuje Konfigurace automatických aktualizací Pokud máme v síti desítky či stovky počítačů, které vyžadují pravidelné aktualizace systému, není již vhodné použít službu Microsoft Update. Zatížení sítě v průběhu stahování aktualizací by bylo vysoké, jelikož by se každá aktualizace musela stahovat z webu Microsoft Update několikrát. Daleko lepší řešení je, aby daná aktualizace byla stažena pouze jednou a v rámci sítě rozdistribuovaná počítačům, které tuto aktualizaci vyžadují. Tuto funkci nám umožní řešení Microsoft Windows Server Update Service, neboli WSUS. Služba WSUS je v systémech Windows Server 2003 k dispozici po stáhnutí instalačního balíčku z webu Microsoft Download Center a jeho instalaci. Po instalaci služby je třeba nastavit produkty, pro které se budou automaticky stahovat aktualizace. Nejčastěji to budou produkty rodiny Windows, dále je možné stáhnout produkty rodiny Office či SQL Server. Důležitou věcí, před schválením aktualizace pro počítače v síti, je otestování funkčnosti všech kritických aplikací, které na počítači běží. To se týká hlavně serverů. Z tohoto důvodu bychom měli mít několik systémů, ať již fyzických nebo virtuálních, připravených k účelu testování nových aktualizací. Po řádném otestování funkčnosti všech aplikací, používaných v síti, je možné dané aktualizace schválit pro nasazení do všech počítačů v síti. Největší důraz klademe na souhrnné aktualizace Service Pack nebo aktualizace zabezpečení serverů. Při instalaci služby WSUS volíme, zda se aktualizace vybraných produktů budou stahovat rovnou na disk serveru či se stáhnout až po potvrzení. První možnost šetří čas instalace aktualizací, jelikož aktualizace se již nemusí stahovat ze serveru Windows Update, druhá možnost šetří místo na disku. Další možností je umístění databáze služby WSUS. Buď si může vytvořit vlastní databázi, nebo lze použít SQL server v síti. Druhá možnost je efektivnější. Aby počítače v síti automaticky vyhledávaly aktualizace ze serveru WSUS, je třeba nakonfigurovat zásady skupiny, příklad uveden na obrázku 18. Tuto zásadu skupiny je třeba aplikovat na všechny počítače v doméně, tudíž ji aplikujeme na úrovni domény. 49

50 Obrázek 18: Nastavení serveru WSUS jako primárního zdroje automatických aktualizací pro počítače v síti Dále je pomocí zásad skupiny nutné zvolit, aby se schválené aktualizace automaticky instalovaly na počítače v určitý čas a případně možnost, aby instalovat aktualizace mohli i uživatelé, nepatřící do lokální skupiny Administrators. 12 Aspekty vzájemného propojení vzdálených pracovišť vzdálený přístup do sítě V naší síti se vyskytují kromě desktopových počítačů také laptopy, které mají k dispozici všichni pedagogové a někteří zaměstnanci. Pokud tito uživatelé budou doma, nebudou mít přístup k síťovým zdrojům, nacházejícím se ve školní síti. Pro tento případ je vhodné zavést vzdálené připojení do školní sítě tak, aby toto připojení bylo bezpečné, rychlé a spolehlivé. Tyto požadavky splňuje VPN připojení. Tento typ vzdáleného připojení je transparentní, takže uživatelé připojení ke školní síti přes VPN mají pocit, jako kdyby se jejich počítač fyzicky nacházel přímo ve školní síti. 50

51 VPN neboli Virtual Private Network je rozšířením privátní místní sítě, které využívá připojení přes sdílené nebo veřejné sítě, jako například Internet. VPN nám umožní přijímat a odesílat data mezi 2 počítači přes tyto veřejné sítě tak, že se nám připojení jako kdyby tyto 2 počítače byly připojeny vyhrazenou soukromou linkou. Pro emulaci této vyhrazené linky se používá metoda, kdy pakety dat jsou zapouzdřeny s hlavičkou, která obsahuje směrovací informace. Díky těmto informacím pak pakety mohou putovat přes veřejné sítě do svého cíle. Pro emulaci soukromé linky, data jsou navíc šifrována tak, že v průběhu přenosu přes veřejné sítě je nelze rozluštit bez šifrovacích klíčů. Část spojení, ve které jsou data zapouzdřena, se nazývá tunel, další část spojení, kde jsou data šifrována, se nazývá připojení VPN. Obrázek 19: Způsob vzdáleného připojení uživatele do vnitřní sítě pomocí VPN [18] Pro nastavení služby VPN je třeba, abychom měli server, který je připojen do sítě Internet i do místní školní sítě. Dále je nutné, aby IP adresa připojení k Internetu byla veřejná. Pro nastavení VPN serveru nejprve musíme nainstalovat roli serveru pro vzdálený přístup. Dále je třeba zvolit nastavení serveru tak, aby podporovala funkce VPN serveru, viz obrázek 20. Poté se nám nainstaluje standardně 5 portů pro použití protokolu PPTP a 5 portů pro použití protokolu L2TP. 51

52 Obrázek 20: Nastavení serveru pro VPN služby Nyní musíme zvážit, který tunelovací protokol bude naše síť preferovat pro vzdálené připojování uživatelů. Přehled vlastností každého z nich je uveden níže. Point-to-Point Tunneling Protocol (PPTP) Tento protokol je vhodný pro vzdálený přístup i pro tvorbu VPN připojení typu site-to-site. Tento protokol používá tunelové připojení přes protokol TCP. PPTP podporuje šifrování a kompresi dat. Layer Two Tunneling Protocol (L2TP) L2TP protokol je kombinací PPTP a protokolu Layer 2 Forwarding (L2F), což je protokol vyvinutý firmou Cisco Systems, Inc. L2TP podporuje, aby data mohli být odesílána nejen v sítích TCP/IP (Internet), ale i v sítích typu ATM, X.25 a Frame Relay. Jako tunelovací protokol v sítích TCP/IP, používá L2TP protokol UDP pro přenos dat. Stejně jako PPTP podporuje šifrování a kompresi, avšak implementace společnosti Microsoft používá jiný typ šifrování, než je standardem, konkrétně IPSec. V podání Microsoftu je tento protokol znám jako L2TP/IPSec. 52

53 Hlavními rozdíly mezi těmito 2 protokoly je v typu šifrování dat, PPTP využívá šifrování, založené na algoritmu RSA, zatímco L2TP používá šifrování DES, resp. 3-DES. Další rozdíl je v tom, že protokol L2TP při autentifikaci uživatele navíc vyžaduje šifrovací certifikát počítače. Výhodou protokolu L2TP je oproti PPTP lepší zabezpečení díky šifrování a odkazováním na platný certifikát. Zároveň je těžší odhadnout šifrovací heslo pomocí slovníkových útoků. Výhodou protokolu PPTP může být právě absence certifikační infrastruktury, tedy starosti, spojené s vydáváním certifikátů pro VPN server a VPN klienty. Pro naši sít zvolíme protokol PPTP z důvodu, že v naší síti neexistuje certifikační autorita, která by certifikáty vydávala (tato možnost je pouze v Enterprise edici). Aby byla služba VPN funkční, je nutné nastavit vlastnosti PPTP portů a zároveň jejich počet, jako je uvedeno na obrázku 21. Obrázek 21: Nastavení PPTP portů Je důležité zvolit takový počet portů, aby nemohl být odepřen přístup některému z uživatelů v případě současného připojení více uživatelů. Zvolíme tedy počet, který pokryje všechny uživatele, kteří se mohou vzdáleně připojovat. V našem případě 25 portů bude dostatečné množství. Toto nastavení umožní současné připojení pro 24 uživatelů (1 port je vyhrazen pro VPN server). Dále je nutné nakonfigurovat zásady pro vzdálené připojování uživatelů. Zde nastavíme, kteří uživatelé či skupiny uživatelů mají vzdálený přístup do sítě povolen. Při výběru skupin je možné zvolit pouze globální skupiny. Dále zde nastavíme způsob vynuceného ověřování uživatelů (doporučuji zvolit MS- CHAPv2, který umožňuje dostatečně bezpečný způsob ověřování) a sílu šifrovacího klíče (zde doporučuji alespoň 56bitové šifrování). 53

54 Každý uživatelský profil musí mít ve vlastnostech vzdáleného připojení nastaveno, aby se vzdálené připojení řídilo dle zásad vzdáleného připojení. Toto nastavení je automaticky zvoleno při tvorbě nového uživatelského účtu. Příklad je na obrázku 22. Obrázek 22: Vlastnosti vzdáleného připojení do sítě Při konfiguraci VPN serveru nesmíme zapomenout na nastavení DHCP Relay Agent. Zde uvedeme IP adresu DHCP serveru ve vnitřní síti. Pokud bychom toto neučinili, vzdáleně připojení klienti by nezískali platnou IP adresu. Dalším krokem je nastavení připojení VPN klienta přímo v uživatelském počítači. Zde nám pomůže jednoduchý průvodce, kde stačí zadat pouze adresu VPN serveru a nastavit přihlašovací informace do vnitřní sítě. Tento způsob nám zajistí bezpečnou a jednoduchou možnost využití technologie VPN. Pokud bychom rádi implementovali pokročilejší funkce, jako je například pokročilejší firewall, je možné využít produkt Microsoft ISA Server. Pro naše účely však toto řešení je dostačující. 13 Vlastní přínos Za vlastní přínos v této práci považuji zpracování praktických poznatků a zkušeností během práce se systémem Windows Server Teoretické poznatky jsem čerpal z literatury, zabývající se touto tematikou, internetových článků a interaktivních kurzů. Tyto poznatky jsem si mohl prakticky 54