Deel 1 – Basiskennis en theorie
Dit artikel is bedoeld voor alle hobbybeheerders die een Windows Server 2003 hebben voor hun privé-netwerk en de mogelijkheden ervan ten volle willen benutten. Vanwege de overvloed aan mogelijkheden wordt het artikel opgedeeld in verschillende delen, waarbij het ene deel voortbouwt op het andere.
Inhoudsopgave
Basiskennis en een beetje theorie
Het is wenselijk een basiskennis te hebben van hoe een netwerk werkt en de technische terminologie te kennen. Als u sommige technische termen niet kent, kunt u ze opzoeken in de AT-Mix woordenlijst.
In overeenstemming hiermee zal ik in dit artikel niet alle technische details in detail (kunnen) behandelen en veel theorie weglaten – zodat ervaren beheerders een of twee dingen zullen missen. Niettemin zal de volledige weg naar een eigen domein met de voor een privé LAN nuttige functies zo gedetailleerd mogelijk worden beschreven.
De persoon
Mijn naam is Jörg Alexander Ott, ik ben geboren in 1976 en werk al bijna 20 jaar met computers. Sinds enkele jaren werk ik als systeem- en netwerkbeheerder en ben ik verantwoordelijk voor planning, installatie, onderhoud en probleemoplossing van systemen in een heterogene omgeving – ik zorg dus voor Windows- en Linux-servers en voor alle clientsystemen (W9x tot XP). Daarnaast volg ik momenteel een verdere opleiding tot MCSE2003, die in de herfst van 2004 afgerond moet zijn.
Deel 1 – Basiskennis en een beetje theorie
God heeft de theorie vóór de installatie geplaatst – dit is (helaas) de leidraad van dit artikel, hoewel ik zal proberen de theorie tot een minimum te beperken. Ik kan het echter niet helemaal weglaten…
Wat is eigenlijk een “domein” ?!?
De term “domein” is waarschijnlijk het meest bekend in verband met internetdomeinen. Het is vergelijkbaar met lokale domeinen; ook hier bestaat een domein uit minstens twee “delen”. In de praktijk ziet het er meestal zo uit: domaene.local of locatie.domaene.local. En net als bij internetdomeinen moeten ook hier de richtlijnen voor correcte DNS-resolutie in acht worden genomen (hoewel de 2003-server nog steeds NetBios-resolutie biedt, is vooral de DNS-resolutie van belang).
Het doel van een lokaal domein – sinds Windows 2000 bekend als Active Directory – is in feite om computers in een netwerk in te sluiten in een centraal te beheren omgeving en zo alle computers vanaf een centrale plaats te kunnen beheren. Tegelijkertijd kan een domein worden gebruikt om alle niet-domeinleden uit te sluiten van het gebruik van bronnen, wat bijvoorbeeld in een peer-to-peer netwerk zonder domein bijna hopeloos is.
De term “domein” stamt uit de tijd van NT4, inmiddels spreekt men van “Active Directory” (hierna AD genoemd), en daar is een reden voor:
De AD vertegenwoordigt een directory catalogus waarin objecten van de meest uiteenlopende aard kunnen worden opgeslagen. Objecten kunnen gebruikersaccounts, computeraccounts of zelfs printers zijn. Met behulp van de AD-functionaliteiten kunnen aan elk object bepaalde beveiligingsinstellingen worden toegewezen, zodat bijvoorbeeld Gebruiker1 wel documenten kan afdrukken op Printer1, maar Gebruiker2 niet, enzovoort. Hetzelfde geldt natuurlijk vooral voor de fileshares binnen de AD – hier komen de mogelijkheden van de beveiligingsinstellingen pas echt tot hun recht.
Elk object in de AD krijgt zijn eigen SID en is daardoor uniek en relatief gemakkelijk terug te vinden (hoewel het punt van “terugvinden” belangrijker is in grote netwerken; in een privénetwerk zou het terugvinden van objecten geen probleem moeten zijn).
Het is belangrijk op te merken dat elk AD-lid de toegang tot elk object in de AD kan worden toegestaan of geweigerd – hierover later meer.
De belangrijkste computer in de AD is de domeincontroller (hierna DC genoemd) – deze bevat alle informatie van de AD, de zogenaamde “globale catalogus”. Tegelijkertijd dient hij als inlogserver die authenticeert en dus toegang verleent of weigert. In een “één-server-omgeving” wordt de DC ook gebruikt als applicatie- en bestandsserver.
Waarop moet worden gelet voordat een Windows 2003-server wordt opgewaardeerd tot een domeincontroller?
Voor een succesvolle upgrade op basis van dit artikel is het belangrijk dat de server vers is geïnstalleerd en dat er geen instellingen zijn gewijzigd – een normale standaardinstallatie met de standaardwaarden die tijdens de setup zijn voorgesteld. Natuurlijk is het ook mogelijk om een server die al productief is en dienovereenkomstig is geconfigureerd te upgraden naar een DC – maar dit moet ruim van tevoren worden gepland en vereist vooral het terugzetten van enkele instellingen naar de standaardwaarden, waar ik hier begrijpelijkerwijs niet op in kan gaan.
De enige instelling die moet worden gewijzigd voor de upgrade is de toewijzing van een statisch IP-adres, waarover later meer.
Vereisten voor de werking van een domeincontroller
Om een AD op een LAN te laten werken, is een beetje planning vooraf nodig. Het moet van tevoren duidelijk zijn welk IP-segment je kiest – als de DC eenmaal een statisch IP-adres is toegewezen en geüpgraded, is het moeilijk om dit achteraf te veranderen. Vooral als later vanuit het LAN toegang moet worden verkregen tot externe netwerken, is de keuze van het IP-segment cruciaal: als bijvoorbeeld het bedrijfsnetwerk hetzelfde IP-segment gebruikt, dan worden VPN-verbindingen later een probleem, enzovoort. Hierover later meer. Het IP-segment van je DC (en dus van je LAN) kies je best buiten alle bestaande netwerken (in dit artikel zal het IP-segment 192.168.10.0/24 zijn), dus een privaat klasse C-netwerk.
Verder is het besturingssysteem van de clients in het netwerk van belang: Windows 2000 Professional of Windows XP Professional zijn de besturingssystemen die in een AD thuishoren, met oudere systemen zoals 9x, ME of NT kan niet veel gedaan worden in de AD. In dit artikel ga ik uit van Windows XP Professional als client-besturingssysteem, hoewel de meeste instellingen ook 1:1 voor Windows 2000 Professional kunnen worden overgenomen.
Last but not least moet het netwerk zelf natuurlijk goed draaien, dus moet er op zijn minst een switch of een router met geïntegreerde switch aanwezig zijn inclusief de juiste kabels om de clients aan te sluiten. Directe verbindingen via crossover-kabels raad ik op dit punt af, omdat dit onvermijdelijk tot problemen leidt als beide computers niet permanent actief zijn – elke DC moet permanent verbonden zijn met een actieve netwerkverbinding, anders krijgt u foutmeldingen. Bij een crossover-verbinding wordt de netwerkverbinding echter gedeactiveerd wanneer de client wordt uitgeschakeld, zodat de problemen voorgeprogrammeerd zijn. Afgezien daarvan rijst de vraag of een DC absoluut noodzakelijk is voor een computer…
Zo, dat moet genoeg theorie zijn voor nu – het tweede deel, dat voorzien zal worden van screenshots – zoals alle volgende delen – zal gaan over het upgraden van een Windows 2003 server naar een domain controller en de procedure en effecten beschrijven.
Deel 2: Instellen van de Active Directory
Deel 3: Configuratie van DNS/WINS en DHCP server service etc.
Deel 4: Aanmaken van de benodigde shares, aanmaken van gebruikers etc.
Deel 5: Aanmaken en koppelen van een login-script, instellen van lokale rechten enz.
Deel 6: Installatie en configuratie van de Software Update Services (SUS)