spis treści
zamknij
BHPEX Logo

Blog bezpieczeństwa w pracy

Poradnik administratora – podstawowe usługi Windows Server 2019

15 stycznia 2020 0

Poniżej przedstawiam mój kolejny artykuł z cyklu podstawowe usługi Windows Server 2019, w którym pokaże wybrane usługi, przeznaczenie i ich konfigurację. Naszą przygodę z Windows Server 2019 rozpoczniemy od poznania takich usług jak: DNS, DHCP oraz Active Directory. Seria poradników ma służyć osobom, które nie mają dużego doświadczenia w konfiguracji tego typu systemów (choć myślę, że bardziej doświadczeni użytkownicy też kilka ciekawostek znajdą).

Windows Server 2019 - podstawowe usługi

Instalacje systemu została omówiona w artykule Instalacja systemu Windows Server 2019 a my rozpoczynamy od zainstalowanego, czystego systemu.

Profesjonalne usługi informatyczne dla firm. W swojej ofercie posiadamy Outsourcing IT, certyfikaty SSL, szkolenia informatyczne oraz audyty bezpieczeństwa.

Zadzwoń i dowiedz się więcej, tel. 68 411 40 00.

System Windows Server 2019 działa, zanim jednak przejdziemy do konfiguracji usług wykonamy parę kosmetycznych zmian.

Każdy z nas preferuje jeden ustalony język interfejsu. Jedni wolą pozostać przy angielskim a drudzy wybiorą język ojczysty. Aby dokonać zmiany języka interfejsu systemu Windows należy udać się do Ustawień systemu Windows i wybrać Czas i język

panel ustawień systemu windows

Po wyborze skrótu wybieramy Język.

panel ustawień język

W kolejnym oknie klikamy na Dodaj język i z listy języków do instalacji wybieramy ten pożądany.

instalacja systemu wybór języka

Po wskazaniu języka należy wybrać funkcje językowe (mogą się one różnić w zależności od języka).

opcjonalne funkcje językowe

Po przeprowadzonym procesie język pojawi się na liście preferowanych języków zaś w tle system będzie prowadził instalację wybranych funkcji.

opcjonalne funkcje językowe

Opisane czynności to nie koniec, zmiana wyświetlanego języka wymaga jeszcze kilku dodatkowych zabiegów. Rozpoczynamy od wywołania okna Uruchom (Windows +R) i wpisaniu lpksetup. Wydanie polecenia uruchomi kreator Instalowania i odinstalowania języków wyświetlania.

Klikamy na Zainstaluj języki wyświetlania.

kreator instalowania języków wyświetlania

Aby móc język doinstalować musimy pobrać pakiet języków. Plik rozpakowujemy bądź nagrywamy na płycie – ISO for Windows 2019 Wskazanie języka następuje po kliknięciu na przycisk Przeglądaj.

pakiet języków - windows serwer language

Wybranie Dalej rozpocznie proces instalacji.

proces instalacji

proces instalacji

 

Ostatnią czynnością jest wybór języka z rozwijanej listy,

proces instalacji

po ponownym zalogowaniu się, możemy cieszyć się zmienionym interfejsem.

nowy interfejs

Jedną z ciekawszych sztuczek jest stworzenie sobie specjalnego odnośnika pod, którym będą dostępne skróty do najważniejszych ustawień w systemie. W Internecie często jest to określane jako GodMode. By utworzyć  odnośnik wystarczy, że np. na Pulpicie wybierzemy PPM i z menu kontekstowego wybierzemy Nowy a następnie Skrót. W polu Wpisz lokalizację elementu należy wkleić: %windir%\explorer.exe shell:::{ED7BA470-8E54-465E-825C-99712043E01C}

GodMode odnośnik

Po wyborze Dalej i podaniu nazwy skrótu zostanie utworzony odnośnik po kliknięciu, którego będziemy mieli dostęp do typowych ustawień systemu.

GodMode odnośnik

Użycie jako nazwy folderu ciągu: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} również utworzy skrót lecz bez nazwy – sama ikona.

Bardzo jestem przyzwyczajony (i pewnie jeszcze parę osób się znajdzie) aby na Pulpicie mieć ikony Komputer, Sieć, Panel Sterowania. Domyślnie skróty te nie są uaktywnione aby to zmienić wystarczy, że odszukamy sekcję Kompozycje i skrót Ustawienia ikon pulpitu. Po wyborze odnośnika w nowo otwartym oknie uaktywniamy te ikony, które chcemy aby pojawiły się na Pulpicie (gdy mamy taką potrzebę możemy również zmienić wygląd ikon).

Ustawienia ikon pulpitu

Jedną z czynności, które po instalacji systemu musimy sprawdzić jest stan zainstalowanych urządzeń, oczywiście w przypadku wykrycia urządzenia z którym wystąpił problem (najczęściej brak sterownika) należy pobrać z strony producenta odpowiedni sterownik i zainstalować go. Bardzo często okazuje się, że system Windows Server 2019 nie jest uwzględniany jako wspierany przez dane urządzenie. Wtedy pozostaje nam jedynie próba instalacji sterownika przeznaczonego dla innego systemu operacyjnego – najczęściej jest to Windows 10. Gdy i takowego brakuje pozostaje próba instalacji sterowników z Windows 8 bądź Windows 7 – pamiętamy o doborze odpowiedniej wersji.

Kolejnym krokiem jest sprawdzenie stanu aktualizacji.

Z aktualizacjami z mojego doświadczenia mogę powiedzieć, że naprawdę może być różnie. Dlatego ja preferuję podejście, które polega najpierw na przetestowaniu aktualizacji w testowym, wirtualnym środowisku. Gdy aktualizacje są dostępne instaluje je na wirtualnym serwerze, który odzwierciedla stan serwera fizycznego i dopiero po sprawdzeniu aplikacji, które są krytyczne z punktu działania firmy wykonuję aktualizacje serwera fizycznego. Ktoś by mógł zapytać – Po co taka ostrożność i czemu godzić się na dodatkową robotę? Pozornie wygląda to na dodatkowe obowiązki ale nie raz takie podejście uratowało mi skórę gdyż zdarzyły mi się sytuacje w których to aplikacja odmówiła posłuszeństwa po wykonaniu aktualizacji Windows. A niestety sytuację w której to pochopnie wykonaną aktualizację systemu wraz z konsekwencjami przerabiałem i wierz mi Czytelniku nie było to miłe doświadczenie. Zastosowanie wirtualizacji jest naprawdę dobrym sposobem by uniknąć nieprzewidzianych problemów lub przynajmniej zmniejszyć ich ilość. Oprócz testu zgodności aktualizacji, wirtualny system możesz również wykorzystać do testowania wszelkich ustawień i konfiguracji, przeprowadzając je w bezpieczny sposób bez narażania środowiska produkcyjnego na przestoje. Dlatego też, obowiązkowo zaznaczam opcję Wstrzymaj aktualizacje, która tymczasowo wstrzymuje instalowanie aktualizacji (maksymalnie 35 dni).

opcja wstrzymaj aktualizacje

Menadżer Serwera

Zanim omówimy usługi Windows Server 2019 wypadałoby jeszcze kilka słów napomknąć o Menadżerze Serwera. Menedżer serwera jest centralną konsolą, która uruchamia się wraz z startem systemu to poprzez opcje tu zawarte możemy konfigurować nasz serwer bądź inne serwery. To tu odczytamy stan uruchomionych usług, błędy oraz uzyskamy dostęp do narzędzi pozwalających na konfigurację maszyny.

Pierwszym ekranem jest Pulpit nawigacyjny, na ekranie tym mamy zamieszczoną zbiorczą informację o zainstalowanych rolach i funkcjach. Z pulpitu możemy przejść do bardziej szczegółowych informacji a dodatkowo możemy dodać nowe role i funkcje (wybranie Zarządzaj) oraz uruchomić narzędzia systemu takie jak np. Usługi, Konfiguracja systemu czy Zarządzanie komputerem (wybranie Narzędzia)

Pulpit nawigacyjny - menadżer serwera

Na kolejnym ekranie Serwer lokalny mamy zgrupowane opcje dotyczące m.in.: nazwy komputera, zapory Windows, zdalnego zarządzania, aktywacji czy interfejsów sieciowych (i wielu innych). Dodatkowo znajdziesz tu informację o zaistniałych zdarzeniach, uruchomionych usługach, wydajności czy uruchomionych rolach i funkcjach.

Serwer lokalny -menedżer serwera

Następny ekran Wszystkie serwery dotyczy informacji o serwerach, którymi zarządzamy. Gdy w firmie mamy kilka serwerów za pomocą tej przystawki możemy dokonywać ich konfiguracji oraz kontrolować ich stan.

pulpit wszystkie serwery - konfiguracja

Ekran Usługi plików i magazynowania jest ekranem usługi Windows Server 2019 za pomocą którego możemy dokonywać zmian odnoszących się do dysku twardego – tworzyć i zarządzać woluminami, dodawać nowe dyski czy tworzyć pule magazynu i udziały.

Ekran Usługi plików i magazynowania

Zanim przejdziemy do instalacji usługi Active Directory należałoby by wykonać jeszcze dwie ważne czynności. Pierwszą z nich jest zmiana adresu sieciowego z przypisanego dynamicznie poprzez serwer DHCP zaimplementowany w routerze na adres statyczny. Za pomocą tego kroku eliminujemy problem z niedostępnością serwera i usług świadczonych przez ten serwer spowodowanych zmianą adresu IP serwera. Serwery i inne urządzenia sieciowe takie jak np. drukarki, routery konfigurujemy za pomocą adresacji statycznej ponieważ muszą być one dostępne pod jednym stałym zdefiniowanym adresem IP.

Serwerowi został przypisany adres IP 192.168.0.2, maska sieci: 255.255.255.0 oraz adres bramy: 192.168.0.1 Konfigurację DNS opuszczamy gdyż po instalacji usługi Active Directory wraz z serwerem DNS odpowiedni adres IP pojawi się sam.

serwer lokalny - menedżer

Po przypisaniu statycznego adresu IP serwerowi warto przypisać jakąś bardzie przyjazną nazwę, decydujemy się na SerwAD01 Zmianę nazwy komputera dokonujemy poprzez kliknięcie na nazwie bieżącej w oknie Serwer lokalny. Po zmianie nazwy należy komputer zrestartować.

zmiana nazwy komputera

Po wprowadzeniu tych dwóch zmian możemy przystąpić do instalacji roli Active Directory czyniąc tym samym nasz komputer kontrolerem domeny. Instalację roli rozpoczynamy od wybrania Zarządzaj a następnie Dodaj role i funkcje

Po wybraniu opcji zostanie uruchomiony Kreator dodawania ról i funkcji.

instalacja roli Active Directory

Jako typ instalacji wybieramy: Instalacja oparta na rolach lub oparta na funkcjach

Kreator dodawania ról i funkcji

Kolejnym krokiem jest wybór serwera, nie mamy dodanych żadnych innych serwerów ten jest pierwszym serwerem więc z puli wybieramy jedyny dostępny serwer czyli SerwAD01.

wybór serwera docelowego

Przyszła pora na zdecydowanie ról jakie będzie pełnił nasz serwer. Serwer będzie kontrolerem domeny więc z listy wybieramy Usługi domenowe Active Directory. Po wyborze roli zostanie wyświetlony monit o dodaniu dodatkowych funkcji, które są niezbędne do poprawnego działania kontrolera domeny. Dodatkowo zaznaczamy rolę Serwer DNS (tak naprawdę nie musimy tego robić, gdyż ta rola jest też niezbędna do działania usługi AD i zostanie wybrana automatycznie) oraz Serwer DHCP (by nowo podłączanym hostom móc przypisywać adresy niezbędne do komunikacji z innymi urządzeniami w naszej sieci)

wybór roli serwera

Po określeniu ról możemy dodatkowo określić funkcje. Decydujemy się na funkcję Kopia zapasowa systemu Windows Server tak by po przeprowadzonej konfiguracji móc wykonać kopię zapasową serwera.

Kopia zapasowa systemu Windows Server

Na kolejnych ekranach mamy umieszczone informację na temat wybranych ról. Pierwszy ekran dotyczy Usługi domenowe Active Directory.

Usługi domenowe Active Directory

Drugi jest poświęcony serwerowi DNS.

serwer DNS

Trzeci zaś serwerowi DHCP

serwer dhcp

Ostatnim krokiem jest ekran podsumowujący wybrane opcje. Gdy wszystko jest po naszej myśli wybieramy Zainstaluj

potwierdzenie opcji instalacji

Następuje proces instalacji wszystkich wybranych ról i funkcji.

instalacja funkcji

Po procesie kopiowania nowych plików przyszedł czas by zainstalowane role skonfigurować. Konfigurację serwera DHCP na razie pomijamy by powrócić do niej za chwilę. Zajmiemy się teraz określeniem opcji związanych z domeną. By otworzyć kolejny kreator, który pomoże nam na zdefiniowanie opcji kontrolera domeny klikamy na: Podnieś poziom tego serwera do poziomu kontrolera domeny.

opcje domeny

Ponieważ jest to pierwszy kontroler domeny w naszej organizacji wybieramy opcję: Dodaj nowy las Dwie pozostałe opcje używamy gdy chcemy dodać nowy kontroler do już istniejącej domeny np. celem zapewnienia redundancji na skutek awarii serwera głównego bądź gdy chcemy utworzyć nową domenę, która będzie powiązana z domeną główną np. posiadając firmę w dwóch lokacjach geograficznych możemy zdecydować się na utworzenie domeny firma.local a dla oddziałów domeny: oddzial1.firma.local i oddzial2.firma.local

kontroler domeny- konfiguracja wdrażania

W kolejnym kroku określamy poziomy funkcjonalności lasu i domeny. Jest to bardzo ważna opcja gdyż poziomów tych nie można bez konsekwencji zmieniać. Każda nowa wersja systemu Windows Server zawiera nowe opcje i mechanizmy, które nie są obsługiwane przez starsze wersje systemu. By zachować kompatybilność wsteczną nowych systemów możemy określić na jakim poziomie funkcjonalności ma pracować serwer. Gdy w naszej organizacji wszystkie serwery mają zainstalowane systemy Windows Server 2019 pozostawienie opcji domyślnych jest dobrym rozwiązanie. Natomiast gdy np. do już zainstalowanego kontrolera będziemy chcieli podłączyć np. Serwer 2008 R2 poziom funkcjonalności musi być ustawiony na poziom tej wersji systemu. Mówiąc inaczej poziom funkcjonalności określamy wybierając najstarszą wersję systemu Windows Server z której będziemy korzystać. Poziomy funkcjonalności możemy zawsze podnieść lecz operacja w drugą stronę jest już niemożliwa. My będziemy bazować na systemie Windows Server 2019 tak więc pozostawiamy zaproponowane opcje domyślne.

opcje kontrolera domeny

Kolejne opcje są związane z serwerem DNS. Błędy, które się pojawią w przypadku konfiguracji pierwszego serwera są jak najbardziej naturalne, gdyż nasz serwer DNS jeszcze nie został uruchomiony tak więc komunikatem: Nie mona utworzyć delegowania … się nie przejmujemy

opcje DNS

Przy wyborze nazwy NetBIOS decydujemy się na tą zaproponowaną przez kreator. Nie ma jakiś szczególnych powodów by ta nazwę zmieniać.

nazwa NetBIOS

W kolejnym kroku możemy zmienić domyślne ścieżki baz danych i plików dziennika.

ścieżki baz danych i plików dziennika

Po przeprowadzonej konfiguracji na ekranie Przeglądu opcji możemy sprawdzić podsumowanie opcji, które zostaną zastosowane.

Przegląd opcji Active Directory

Ostatnim ekranem jest Sprawdzenie wymagań wstępnych, na ekranie tym odnajdziemy wykryte błędy i problemy.

Sprawdzenie wymagań wstępnych

Klikamy Zainstaluj. Po kliknięciu nastąpi konfigurowanie nowych usług i ról.

konfiguracja nowych usług

…………………………..

konfiguracja nowych usług

Po ponownym restarcie systemu, będziemy mogli zauważyć nowe zakładki dostępne w Menedżerze serwera. Zakładki odpowiadają nowo zainstalowanym rolom.

manager systemu

Powróćmy teraz do konfiguracji serwera DHCP.

Aby wywołać okno Kreatora konfiguracji funkcji DHCP należy kliknąć na ikonkę powiadomień (prawy górny róg, ikona chorągiewki) a następnie wybrać Dokończ konfigurację funkcji DHCP.

konfiguracja serwera DHCP

Po wybraniu linku naszym oczom ukaże się okno kreatora. Informacje zawarte w oknie informują nas o fakcie utworzenia dwóch dodatkowych grup zabezpieczeń (Administratorzy DHCP oraz Użytkownicy DHCP) na potrzeby zarządzania serwerem DHCP.

okno kreatora - opis

Nasz serwer DHCP jest zainstalowany na kontrolerze domeny tak więc aby mógł on obsługiwać klientów musi zostać autoryzowany w usługach Active Directory. Do autoryzacji serwera wykorzystujemy poświadczenia administratora domeny.

autoryzacja, poświadczenia

Na ostatnim ekranie mamy umieszczone podsumowanie wykonanych czynności tj. utworzenie grup i autoryzacja serwera.

podsumowanie kreator konfiguracji

Nasz serwer DHCP działa ale aby mógł on spełnić swoje zadanie dodatkowo trzeba określić informację jakie mają być przekazywane podłączającym się klientom. W tym celu należy wywołać konsolę DHCP za pomocą której określimy rodzaj przekazywanych danych. Aby wywołać konsolę DHCP wybieramy Narzędzia a następnie DHCP W oknie konsoli po rozwinięciu nazwy serwera DHCP wybieramy rodzaj adresacji jaką ma obsługiwać serwer (wybieramy IPv4) a następnie z menu kontekstowego opcję Nowy zakres (ang. New Scope)

konsola DHCP zakres adres

Po wybraniu opcji Nowy zakres zostanie uruchomiony Kreator nowych zakresów. Klikamy Dalej

Kreator nowych zakresów

Pierwszym krokiem jest nadanie tworzonemu zakresowi nazwy oraz ewentualnego opisu.

Kreator nowych zakresów opcje

Na karcie Zakres adresów IP decydujemy się na przyznanie zakresu adresów IP, które będzie przydzielał serwer podłączającym się klientom. Definicja zakresu odbywa się poprzez podanie pierwszego i ostatniego adresu IP. Na karcie tej definiujemy również maskę rozgłaszanej podsieci.

zakres adresów IP

Na karcie Dodaj wykluczenia i opóźnienie możemy z wcześniej zdefiniowanej puli wykluczyć te adresy IP, które serwer DHCP ma nie przydzielać.

Dodaj wykluczenia i opóźnienie IP

Kolejnym krokiem jest zdefiniowanie czasu dzierżawy uzyskanego przez klienta adresu IP. Domyślnie okres ten jest ustawiony na 8 dni. Czas dzierżawy adresu jest powiązany z specyfiką naszej sieci jeżeli do sieci nie jest przyłączanych wielu, różnych klientów możemy go pozostawić na domyślnym poziomie. Jeżeli zaś sieć nasza podlega ciągłym zmianom poprzez częste pojawianie się nowych hostów warto rozważyć skrócenie tego czasu. Ustawienie długiego czasu dzierżawy dla takiej sieci spowoduje szybkie wyczerpanie się dostępnych do przydziału, adresów IP. Adres IP będzie zbyt długo dzierżawiony przez klienta co powoduje niemożność jego zwolnienia i przypisania kolejnemu hostowi.

Proces dzierżawy i odnawiania konfiguracji sieciowej odbywa się według schematu przedstawionego poniżej:

  • Po połowie okresu od uzyskania adresu IP klient ponawia próbę jego przedłużenia w tym celu host wysyła pakiet typu DHCPREQUEST serwer zaś odsyła pakiet DHCPACK,
  • Jeżeli wystąpi np. problem z dostępnością serwera DHCP i klientowi nie uda się uzyskać odpowiedzi od serwera, kolejna próba przedłużenia dzierżawy następuje po upływie 87,5 czasu dzierżawy,
  • W przypadku kolejnego niepowodzenia przedłużenia dzierżawy, po upływie ustalonego czasu proces uzyskania adresu IP zostaje wykonany od nowa poprzez rozesłanie pakietu DHCPDISCOVER.

dzierżawa adresu IP

Karta Konfiguruj opcje DHCP pozwala nam na konfigurację dodatkowych parametrów sieci, które będą wysyłane w ogłoszeniach DHCP. Decydujemy się na konfigurację opcji dodatkowych, wybieramy – Tak, chcę teraz skonfigurować te opcje.

Konfiguracja i opcje DHCP

Opcją dodatkową, którą możemy zdefiniować jest opcja routera czyli bramy domyślnej. Określamy adres IP default gateway.

adres IP default gateway

Kolejny ekran odpowiada definicji nazwy domeny oraz adresów IP rozpowszechnianych serwerów DNS. Pole te są uzupełnione gdyż serwer DHCP znajduje się na kontrolerze domeny z zainstalowanym serwerem DNS. Dodany został dodatkowy adres serwera DNS należący do ISP.

kreator zakresów - domeny

Jeżeli w naszej sieci dostępny jest serwer WINS jego adres również możemy umieścić w komunikatach DHCP.

serwery WINS

Po określeniu opcji dodatkowych kreator zada nam ostatnie pytanie o aktywację zakresu. Odpowiadając Tak zdefiniowana pula staje się dostępna dla klientów, serwer DHCP zaczyna przyznawać adresy IP. Wybierając Nie serwer nie będzie korzystał z adresów IP zdefiniowanych w zakresie, póki nie dokonamy ręcznej aktywacji zakresu.

aktywacja zakresów

Ostatnia karta jest ekranem końca kreatora.

ekran końcowy kreatora

Nasz serwer DHCP zaczął działać, tak więc sprawdźmy czy przydziela on zdefiniowaną konfigurację sieciowa podłączającym się klientom. Do sieci został podłączony nowy host, po sprawdzeniu stanu konfiguracji karty sieciowej dochodzimy do wniosku, że jest ona zgodna z tą zdefiniowaną na serwerze DHCP. Serwer działa poprawnie.

działanie serweraSerwer DHCP w systemie Windows Server 2019

Co należałoby jeszcze wiedzieć o serwerze DHCP w systemie Windows Server 2019? Poniżej kilka uwag odnośnie konfiguracji i zarządzania tego typu serwerem.

Autoryzację bądź dezautoryzację serwera można wykonać ręcznie. Po wywołaniu konsoli DHCP klikamy na nazwę serwera i z menu kontekstowego wybieramy: Autoryzuj bądź Dezautoryzuj

Autoryzacja dezautoryzacja serwera

Dodatkowo serwer DHCP wcale nie musi odnosić się do przydzielania adresów w ramach jednej domeny ponieważ można za pomocą jednego serwera DHCP przydzielać adresy dla różnych podsieci w środowisku wielodomenowym. Ważne jest, że aby serwer mógł spełniać swoją rolę użytkownik wykonujący autoryzację musi należeć do grupy Enterprise Admins.

Inną ważną kwestią w przypadku przydziału adresów pomiędzy różnymi podsieciami jest skonfigurowanie przesyłania pakietów odpowiedzialnych za sprawne działanie serwera DHCP pomiędzy tymi sieciami. Funkcja ta nosi nazwę DHCP Relay Agent (RFC 1542). Pakiety DHCP są typu broadcast tak więc są blokowane przez routery aby pakiet DHCP mógł trafić do serwera musi być przez router przekazany. Przekazanie realizuje się poprzez odpowiednią konfigurację urządzeń sieciowych.

Serwer DHCP jest wyposażony w funkcję DHCP Reservation. Funkcja ta umożliwia zarezerwowanie adresu IP, który zawsze będzie przypisywany jednemu wyznaczonemu urządzeniu (nawet w sytuacji wyczerpania puli dostępnych adresów IP). Niektóre urządzenia sieciowe takie jak np. serwery plików, drukarki, skanery nie powinny zmieniać swojego adresu IP gdyż wpłynie to na dostępność usług realizowanych przez te urządzenia. Tak więc aby mieć pewność, że dane urządzenie zawsze po wygaśnięciu dzierżawy otrzyma ten sam zdefiniowany adres IP można wykorzystać funkcję rezerwacji adresów IP. Rezerwacja adresu IP jest realizowana dzięki adresowi MAC urządzenia. Tak więc konfiguracja serwera DHCP sprowadza się do skojarzenia danego adresu MAC z adresem IP, który urządzeniu zgłaszającemu się z zdefiniowanym adresem MAC przypisze ustalony adres IP.

Rezerwację możemy wykonać na dwa sposoby:

Pierwszy sposób przydatny, gdy urządzenie już zostało podłączone do naszej sieci. Przypuśćmy, że komputerowi Stacio chcemy przypisać stały adres IP 192.168.0.100. Wystarczy, że w węźle Dzierżawy adresów wybierzemy, komputer Stacio i po kliknięciu PPM wybierzemy Dodaj do zastrzeżenia.

rezerwacja adresu IP

Od tej pory w węźle Zastrzeżenia serwera DHCP odnajdziemy wpis kojarzący adres MAC komputera z Zdefiniowanym adresem IP

węzeł zastrzeżenia serwera DHCP

Drugim sposobem jest wybranie węzła Zastrzeżenia i wybrania z menu kontekstowego opcji Nowe zastrzeżenie. Po uzupełnieniu pól Nazwa zastrzeżenia, przypisywanego adresu IP, adresu MAC urządzenia oraz opcjonalnego opisu rezerwacja zostanie wykonana. Opcję na, którą jeszcze mamy wpływ to rodzaj wykorzystywanego protokołu dynamicznej adresacji – protokół DHCP, protokół BOOTP (młodszy brat protokołu DHCP, już nie używany ze względu na ograniczenia), bądź oba.

węzeł zastrzeżenia serwera DHCP

Pewnym utrudnieniem może być zdobycie adresu MAC lecz tu możemy poradzić sobie np. poprzez:

  • Spisanie adresu MAC bezpośrednio z urządzenia, na urządzeniach sieciowych często zostają naklejone stosowne nalepki na których można znaleźć podstawowe informację m.in. adres MAC urządzenia,
  • Odnośnie komputera skorzystanie z polecenia: ipconfig /all

pozyskanie adresu mac

  • Na serwerze skorzystanie z polecenia: arp -a

polecenie arp -a

Skorzystanie z tego sposobu niż z tradycyjnego ręcznego przypisywania adresów IP ma tą zaletę, że w jednym miejscu zarządzamy wszystkimi „statycznymi” adresami IP. Oczywiście statyczne przypisanie adresów IP również można wykonać tylko trzeba pamiętać by adresy te wykluczyć z puli adresów przyznawanych przez serwer DHCP. Pominięcie tego kroku doprowadzi do sytuacji w które w sieci będą urządzenia o jednakowych adresach IP – jeden będzie miał adres IP przypisany statycznie drugi zaś dynamicznie.

Serwer DHCP dodatkowo posiada opcję filtru, którego ustawienie pozwala zdefiniować czy danemu urządzeniu o określonym adresie MAC można przypisać adres IP czy nie. Podobnie jak w przypadku rezerwacji można to wykonać na dwa sposoby:

Bezpośrednio z węzła Dzierżawy adresu po wybraniu hosta i dalej z menu kontekstowego Filtruj – możemy ustalić dwa stany Zezwalaj bądź Odmów.

Serwer DHCP - filtry

Bądź po wybraniu węzła Filtry a następnie stanu Zezwala/Odmów. Urządzenie dodaje się poprzez wybranie z menu kontekstowego opcji Nowy filtr. W nowo otwartym oknie podajemy adres MAC co do którego wybrany filtr ma mieć zastosowanie.

Serwer DHCP - filtr

Aby filtrowanie działało należy je jawnie włączyć. Domyślnie np. po dodaniu hosta XXX do filtru Odmów urządzeniu nadal będzie przyznawany adres IP ponieważ filtr nie jest włączony. Włączenie filtrowania odbywa się poprzez wybranie danej restrykcji (Zezwalaj lub Odmów) i po kliknięciu PPM wybraniu Włącz.

włączenie filtra DHCP

Po włączeniu odmowy zgłaszającemu się hostowi o zdefiniowanym adresie MAC (w naszym przypadku host XXX) nie zostanie przyznany adres IP.

wyłączenie filtra DHCP

Wszystkie informacje dotyczące serwer DHCP są zapisywane w bazie serwera. Baza danych serwera zawiera informację m.in. o: zdefiniowanych zakresach, dzierżawie adresów IP oraz zastrzeżeniach. Baza ta jest przechowywana w lokalizacji: %Systemroot%\System32\Dhcp

Pliki tworzące bazę to: dhcp.mdb, temp.mdb, j50.chk, j50.log, j50*.log oraz seria plików j50res*****.jrs

baza danych serwera

Warto regularnie tworzyć kopię zapasową bazy danych serwera DHCP. Pliki tworzące bazę możemy skopiować ręcznie (najlepiej poprzez skopiowanie całego folderu) lub posłużyć się narzędziem zawartym w konsoli DHCP. Wystarczy, że określimy serwer, którego kopię zapasową chcemy wykonać i z menu kontekstowego wybierzemy Kopia zapasowa. Przywracanie odbywa się poprzez wybranie opcji Przywróć.

konsola DHCP kopia zapasowa

Katalog serwera DHCP zawiera jeszcze pliki tworzące log. Jak można zauważyć na zdjęciu powyżej w katalogu są zapisane pliki: Dhcp******-Pon.log, Dhcp******-Wt.log itd. Pliki te są tworzone codziennie a po otwarciu dowolnego pliku uzyskamy bardzo dokładne informacje o całej aktywności serwera. Na początku pliku mamy podaną legendę w postaci rozpiski ID zdarzeń, przeglądając dalsze informację możemy określić jakie operacje serwer wykonywał.

operacje serwera

Serwer DHCP jest wyposażony również w mechanizm zasad (ang. DHCP Policies). Funkcja ta pozwala nam na określenie zasad przydziału adresu IP dla konkretnego urządzenia w sieci. Politykę przydziału adresu IP ustala się za pomocą zdefiniowania kryterium. Możliwe jest również zdefiniowanie kilku kryteriów, które są ze sobą łączone za pomocą operatorów logicznych AND (i) lub OR (lub). Zastrzeżenia możemy definiować na poziomie serwera bądź konkretnego zakresu.

Wykonajmy mały przykład i spróbujmy zdefiniować zasadę na podstawie, której zgłaszający się host YYY otrzyma inny adres bramy. Zasadę utworzymy na poziomie zakresu. Zaczynamy od kliknięcia PPM na węźle Zasady i z menu kontekstowego wybieramy: Nowe zasady

mechanizm zasad

Po wyborze opcji zostanie otwarty Kreator konfiguracji zasad DHCP, nazywamy nowo tworzoną zasadę i również możemy zdecydować się na krótki opis.

kreator konfiguracji zasad DHCP

W kolejnym kroku musimy ustalić kryterium na podstawie którego zasada ma działać. W tym celu wybieramy test logiczny AND („i”) i klikamy Dodaj. Nasza zasada będzie działać na podstawie sprawdzenia adresu MAC urządzenia. W polu Kryteria wybieramy Adres MAC a operator porównania ustalamy na Równa się W polu Wartość wpisujemy adres MAC hosta YYY i wybieramy Dodaj.

edytor warunków zasad

W kolejnym kroku możemy zdecydować się na podział określonego zakresu. Opcja ta ma nam umożliwić zgrupowanie adresów IP, do których definiowana zasada będzie miała zastosowanie. Decydujemy się na pozostawienie zakresu bez zmian, wybieramy Nie.

konfiguracja podzakresów adresów IP

Następnie określamy ustawienia, które zostaną przekazane klientowi, który spełni zdefiniowany przez nas warunek. Host YYY ma mieć przydzielony inny adres bramy, tak więc z dostępnych pól wybieramy opcję 03 czyli Router i w polu Adres IP definiujemy adres interfejsu bramy domyślnej.

dhcp kreator

Po kliknięciu Dalej, zostanie wyświetlone podsumowanie wprowadzonych ustawień. Jeśli wszystko jest w porządku wybieramy Zakończ

podsumowanie ustawień zasady dhcp

Dodatkowo po zdefiniowaniu zasady z menu kontekstowego gałęzi Zasady wybieramy Włącz

menu kontekstowe

Zasada została zdefiniowana sprawdźmy czy ma ona zastosowanie. Do serwera DHCP zgłosiły się dwa hosty: XXX oraz YYY Jak można zauważyć po sprawdzeniu konfiguracji sieciowej hostów różnica występuje w adresach bram domyślnych. Hostowi XXX została dostarczona konfiguracja zdefiniowana w ustawieniach zakresu natomiast host YYY spełnia ustalony przez nas warunek dlatego opcje sieciowe są mu przypisywane zgodnie z definicją warunku.

konfiguracja ip systemu windows

Istnieje jeszcze jedna opcja, która pozwala nam na przydział różnych parametrów konfiguracyjnych, mowa tu o klasach. Istnieją dwie typy klas a mianowicie: klasy użytkowników (ang. user classes ) oraz klasy dostawców (ang. vendor classes).

Klasy dostawcy są używane przez klientów w czasie otrzymywania dzierżawy do identyfikacji typu dostawcy i konfiguracji klienta przez serwer DHCP. Aby klient mógł zidentyfikować swoją klasę dostawcy, w momencie żądania lub uzyskiwania dzierżawy musi podać opcję ID klasy dostawcy.

Klasy użytkownika pozwalają na rozróżnianie klientów DHCP, poprzez definicję ich opisu. Można zdefiniować np. czy komputer uzyskujący dzierżawę należy do komputerów zdalnych czy stacjonarnych ale także parametrem tym może być np. fizyczna lokalizacja hosta.  Przykładowo, identyfikator może przyjąć postać: komp01A. Na podstawie tak otrzymanego identyfikatora serwer DHCP może przydzielić adresy IP specyficzne dla danej lokacji.

Definicja klas jest dostępna po rozwinięciu węzła serwera DHCP określające rodzaj użytej adresacji IP.

rozwinięcie węzła serwera DHCP

Pozostańmy przy przykładzie z budynkiem A i spróbujmy komputerze o identyfikatorze: komp01A przydzielić odrębny adres bramy.

Zaczynamy od definicji nowej klasy użytkownika na serwerze DHCP w tym celu z menu kontekstowego wybieramy Definiuj klasy użytkowników i w oknie Klasy użytkowników DHCP dodajemy nową klasę o nazwie Budynek A W części ASCII określamy identyfikator – ustawiamy opis: komp01A

definicja nowej klasy

Po zdefiniowaniu klasy przechodzimy do definicji nowej Zasady. Tu dla użytkowników systemu Windows Server 2008 jedna uwaga iż definicja klasy użytkownika i opcji sieciowych, które zostaną dostarczone hostowi z zgłaszającym się identyfikatorem komp01A znajdują się w właściwościach gałęzi Opcje zakresu na karcie Zaawansowane W przypadku Windows Server 2019 opcja ta została przeniesiona do gałęzi Zasady. W oknie Kreatora konfiguracji zasad DHCP określamy test logiczny (tak naprawdę przy tego typu warunku czy wybierzemy test AND czy OR jest be znaczenia). Po dodaniu warunku w polu Kryteria należy wybrać Klasa użytkownika i następnie w polu Wartość wybieramy utworzona klasę Budynek A.

opcje zakresu na karcie zaawansowane

Na ekranie podsumowującym sprawdzamy ustawienia tworzonej zasady. Gdy wszystko jest po naszej myśli wybieramy Zakończ. Zasada została utworzona.

podsumowanie konfiguracja zasady dhcp

Przechodzimy na komputer na którym należy ustawić wcześniej zdefiniowany identyfikator klasy użytkownika. Identyfikator ten ustala się za pomocą polecenia: ipconfig /setclassid <nazwa_połączenia> <parametr_klasy> Tak więc wydajemy polecenie: ipconfig /setclassid „Połączenie lokalne” komp01A Jako nazwę połączenia oczywiście wskazujemy ten interfejs, który łączy się z serwerem DHCP.

identyfikator klasy użytkownika

Po ustawieniu klasy użytkownika czas by sprawdzić poprawność konfiguracji. Zwalniamy dotychczasowy adres IP i ponawiamy jego dzierżawę. Jak widać po poniższym zrzucie adres bramy domyślnej został ustawiony na ten zdefiniowany za pomocą reguł przypisanych do klasy użytkownika.

reguły klasy użytkownika

Usługa Active Directory

Konfiguracja serwera DHCP dobiegła końca, zajmijmy się usługą Active Directory. Przyjmijmy w naszym scenariuszu, że serwer AD jest serwerem umiejscowionym w szkole a jego zadaniem jest dostarczanie konfiguracji komputerom użytkowanym przez uczniów i nauczycieli. W pierwszym kroku aby zapewnić odpowiedni porządek w strukturze użytkowników utworzymy odpowiednie jednostki organizacyjne, do których będą przypisane konta uczniów i nauczycieli. Naszym pierwszym zadaniem jest utworzenie dwóch jednostek organizacyjnych o nazwach: Nauczyciele oraz Uczniowie

Aby utworzyć jednostkę w konsoli Użytkownicy i komputer usługi Active Directory (wywołanie poprzez Narzędzia) klikamy na nazwie domeny i z menu kontekstowego wybieramy Nowy a następnie Jednostka organizacyjna

Użytkownicy i komputer usługi Active Directory

W nowo otwartym oknie podajemy nazwę tworzonej jednostki. Dodatkowo możemy zaznaczyć opcję uniemożliwiającą przypadkowe skasowanie kontenera – Chroń kontener przed przypadkowym usunięciem. Nasza jednostka nazywa się: Uczniowie

nowy obiekt jednostka

Analogicznie tworzymy kontener: Nauczyciele Stan utworzonych jednostek organizacyjnych możemy sprawdzić w drzewie konsoli: Użytkownicy i komputer usługi Active Directory

drzewo konsoli

Aby móc przypisać do jednostek odpowiednie konta w pierwszej kolejności musimy je utworzyć. Konta nowych użytkowników tworzymy podobnie jak jednostki organizacyjne z tą różnicą, że z gałęzi Nowy wybieramy Użytkownik. W nowo otwartym oknie wpisujemy dane tworzonego użytkownika tj. Imię, Inicjały, Nazwisko oraz określamy nazwę logowania – w scenariuszu przyjęto przyjmować nazwy logowania jako skrót: trzy litery imienia plus trzy litery nazwiska, bez polskich znaków, pisane małymi literami

nowy obiekt konto

Po kliknięciu Dalej określamy dodatkowo opcje tj. hasło (hasło spełnia wymogi zabezpieczeń tj. przynajmniej osiem liter z jedną literą dużą, cyfrą i znakiem specjalnym) oraz opcje związane z hasłem:

  • Użytkownik musi zmienić hasło przy następnym logowaniu – włączamy wymuszenie zmiany hasła podczas procesu następnego logowania,
  • Użytkownik nie może zmienić hasła – zablokowanie możliwości zmiany hasła z poziomu zalogowanego użytkownika,
  • Hasło nigdy nie wygasa – do konta użytkownika nie są stosowane reguły wygasania haseł (domyślnie co 30 dni użytkownik musi zmienić hasło na nowe),
  • Konto jest wyłączone – konto jest utworzone ale nie aktywne, brak możliwości zalogowania się do konta

hasło użytkownik

Po zdefiniowaniu opcji konto użytkownika zostaje utworzone, konto użytkownika tadnow znajduje się w kontenerze Nauczyciele.

konto użytkownika

Po utworzeniu pierwszego konta spróbujmy nasz kontroler przetestować i spróbować zalogować się z poświadczeniami użytkownika tadnow. Ale zanim  to zrobimy musimy komputer podłączyć do domeny. Podłączenie realizujemy po wybraniu okna System i kliknięciu na Zaawansowane ustawienia systemu w oknie Właściwości systemu przechodzimy na kartę Nazwa komputera i wybieramy opcję Zmień. W nowo otwartym oknie w sekcji Członkostwo wybieramy Domena i podajemy jej nazwę.

zaawansowane ustawienia systemu

Po kliknięciu na OK będziemy musieli podać login i hasło administratora domeny, gdyż to on ma prawo przyłączania do domeny nowych maszyn. Po pomyślnym uwierzytelnieniu i restarcie komputera, host staje się członkiem domeny.

host członek domeney

Po uruchomieniu maszyny celem zalogowania się podajemy poświadczenia użytkownika tadnow. W procesie tworzenia konta była aktywna opcja: Użytkownik musi zmienić hasło przy następnym logowaniu tak więc po podaniu prawidłowego hasła jesteśmy proszeni o jego zmianę.

opcje logowania

Gdy wszystko wykonamy poprawnie host uzyskuje dostęp do Pulpitu komputera. Klikając Start możemy sprawdzić nazwę zalogowanego użytkownika. Udało nam się uzyskać dostęp do konta użytkownika tadnow.

dostęp do konta użytkownika

Po przejściu na serwer konto komputera dołączonego do domeny możemy odnaleźć w kontenerze Computers.

konto kontener

Standardowo aby móc włączyć dany komputer w strukturę domeny niezbędna jest komunikacja z kontrolerem domeny. Ale istnieje pewien mechanizm, który pozwala nam ominąć to ograniczenie. Mechanizm ten nazywa się Offline Domain Join i przydatny jest gdy chcemy z automatu podłączać komputery, które są np. włączane pierwszy raz. Tak więc możemy podłączyć dany komputer, który nie ma dostępu do naszej domeny. Mechanizm ten obecny jest w systemach:

  • klienci: Windows 7, Windows 8, Windows 8.1, Windows 10
  • serwery: Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 oraz Windows Server 2019

Aby móc podłączyć dany host w pierwszej kolejności musimy na serwerze utworzyć konto komputera, który po włączeniu i zgłoszeniu się do kontrolera, będzie mógł stać się częścią domeny. Konto komputera tworzymy przy pomocy polecenia: djoin

Aby utworzyć konto komputera ZZZ należy wydać polecenie: djoin /provision /domain <nazwa_domeny> /machine <nazwa_komputera> /savefile <ścieżka_do_pliku>

tworzenie konta

Po wydaniu komendy zostanie wygenerowany plik, który posłuży nam do podłączenia komputera z domeną. Jak widać poniżej plik po otwarciu jest nie czytelny.

plik połączenie komputera z domeną

Fakt utworzenia konta komputera możemy sprawdzić w konsoli Użytkownicy i komputery usługi Active Directory.

Użytkownicy i komputery usługi Active Directory

Kolejne czynności przeprowadzamy już na hoście, który ma zostać członkiem domeny. Jak można zauważyć na rysunku poniżej host ten nie jest członkiem, żadnej domeny.

host członek domeny

Wygenerowany plik został przekopiowany do katalogu c:\windows (choć oczywiście może to być każda dowolna lokalizacja).

Gdy plik znajduje się na hoście docelowym i by komputer mógł stać się członkiem domeny należy go użyć. Wydajemy polecenie: djoin /requestodj /loadfile <ścieżka_do_pliku> /windowspath <ścieżka_do_katalogu_windows> /localos Po wykonaniu komendy komputer zostanie dołączony do domeny.

dołączenie do domeny

Aby sprawdzić poprawność wykonanych operacji, wykonajmy próbę logowania, do tego celu użyjemy danych konta administratora domeny. Na rysunku poniżej efekt działań, jak widać proces logowania przebiegł pomyślnie.

proces logowania pomyślny

Udało się nam podłączyć komputer do domeny w trybie offline.

Na tym etapie wpis kończymy w kolejnej części zajmiemy się grupami oraz zasadami GPO.

Nazywam się Rafał Wielgus, jestem informatykiem oraz międzynarodowym audytorem wiodącym ISO 27001. Świadczę kompleksowe usługi z zakresu bezpieczeństwa teleinformatycznego, wdrażam systemy z rodziny „IT security”, skutecznie nadzoruję RODO, prowadzę szkolenia oraz audyty.

Posiadam prawie 20 lat doświadczenia w bezpieczeństwie systemów i sieci komputerowych. Jako jeden z nielicznych w Polsce dysponuję wiedzą praktyczną w zakresie Certified Information Systems Security Professional (CISSP). Szkolony również przez ABW i SKW.

 

Komentarze (0)

Dodaj komentarz