Inhoud 8 Werkgroepen en domeinen...96 8.1 Werkgroepen...96 8.1.1 Labo 29: Werken in een Windows 98 peer-to-peer-netwerk...97 8.1.2 Labo 30: Commando s voor controle van het netwerkverkeer...97 8.1.3 Labo 31: Microsoft Family...99 8.2 Domeinen...100 8.2.1 Accounts...100 8.2.2 Verschillen tussen werken in een domein en in een werkgroep...100 8.2.3 Het aanmeldingsproces...101 8.3 Vertrouwensrelaties tussen domeinen...102 8.3.1 Domeinen zonder vertrouwensrelaties...102 8.3.2 Eenrichtingsvertrouwensrelaties...103 8.3.3 Tweerichtingsvertrouwensrelaties...104 8.4 Een Windows 2000 Server-domeincontroller opzetten...105 8.4.1 Naamgeving van de server...105 8.4.2 Trees en forests...106 8.4.3 Domain Name Server (DNS)...107 8.4.4 Labo 32: Netwerkinstellingen van de Windows 2000 Server...108 8.4.5 Labo 33: Opzetten van een domeincontroller...109 8.4.6 Dcpromo...117
8 Werkgroepen en domeinen Het hart van Windows 2000 Server wordt gevormd door Active Directory. Om zo goed mogelijk gebruik te maken van Active Directory gaan we eerst naar de ontwikkeling van werkgroepen en domeinen. Met die achtergrond kunnen we dan goed inschatten welke kant Active Directory op wil. Elke Windows NT of Windows 2000-computer die zich in een netwerk bevindt, moet deel uitmaken van een domein of een werkgroep. In een peer-to-peer netwerk zijn alle computers in principe gelijkwaardig. Uit de vorige hoofdstukken blijkt dat bepaalde toestellen wel als server voor speciale diensten kunnen fungeren, maar de beveiliging blijft rudimentair. In een servergestuurd netwerk wordt het beheer van het netwerk hoofdzakelijk toebedeeld aan één bepaalde PC, de server. Voor de structurering in een peer-to-peer netwerk wordt met werkgroepen gewerkt. Een werkgroep bestaat uit gebruikers die overwegend elkaars bronnen gebruiken en heeft niets te maken met beveiliging. Windows NT en Windows 2000 is gebaseerd op domeinen. Een domein is een verzameling werkstations die hun beveiliging aan één of meer pc s toevertrouwen: de domeinbeheerder (domain-controller). 8.1 Werkgroepen Een werkgroep is een verzameling computers waarin elke computer een eigen beveiligingsbeleid voert en eigen accounts beheert. Elke Windows NT of Windows 2000-computer die deel uitmaakt van een werkgroep moet dus voor elke gebruiker die ooit van dit werkstation gebruik wil maken een afzonderlijke gebruikersaccount bezitten. Een Windows 2000-server kan alleen deelnemen in een werkgroep wanneer die als stand-alone server is geconfigureerd. Je moet immers lokale gebruikers kunnen aanmaken, en je kunt dit niet voor een lid- en rolserver en voor een domeincontroller (zie verder). Computer A gebruiker 1 gebruiker 2 gebruiker 3 Computer B gebruiker1 gebruiker 2 gebruiker 3 gebruiker 4 Computer C gebruiker 1 gebruiker 2 Computer D gebruiker 1 gebruiker 2 gebruiker 3 gebruiker 4 gebruiker 5 netwerk VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-96
8.1.1 Labo 29: Werken in een Windows 98 peer-to-peer-netwerk Een Windows 98 peer-to-peer-netwerk is een typische werkgroep. Je hebt dus reeds een pak ervaring met het werken in een werkgroep. Formuleer een antwoord op de onderstaande vragen. Waar worden de instellingen van een gebruiker die zich aanmeldt bijgehouden? Wat als de gebruiker de knop Annuleren kiest? Welke gebruiker komt er dan aan bod? Waar staan die instellingen? Hoe kun je een wachtwoord van een gebruiker wijzigen? Hoe kun je een netwerkboodschap versturen en lezen? Hoe kun je serverdiensten gebruiken? Als je gebruik wilt maakt van een netwerkprinter, moeten de stuurprogramma's op elke computer geïnstalleerd worden? 8.1.2 Labo 30: Commando s voor controle van het netwerkverkeer Indien er zich problemen voordoen bij de communicatie over het netwerk dan kun je in een MS DOS-venster met volgende commando s enkele controles uitvoeren: Net help Dit is het helpbestand dat een overzicht geeft van alle net xx x commando s. Net config Dit commando geeft de netwerkconfiguratie van die pc in het netwerk. C:\WINDOWS>net config Computernaam Gebruikersnaam Werkgroep Hoofdmap werkstation \\MARLEEN MARLEEN THUIS C:\WINDOWS Softwareversie 4.10.1998 Redirectorversie 4.00 De opdracht is met succes uitgevoerd. Net diag Dit is een commando om na te gaan of gegevens op de juiste wijze verzonden en ontvangen worden. Je moet op 1 pc het commando geven en laten functioneren als een diagnostische server. C:\WINDOWS>net diag Microsoft Network Diagnostics gebruikt een NetBIOS-bron. Bezig met zoeken naar diagnostische server... VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-97
Er zijn geen diagnostische servers aangetroffen op het netwerk. Is Microsoft Network Diagnostics momenteel actief op een andere computer in het netwerk? (J/N) Deze computer gaat nu functioneren als diagnostische server. Druk op een willekeurige toets als u deze functie wilt beëindigen. Het programma zoekt dus of er een diagnostische server is geïnstalleerd op het netwerk en vraagt of er ergens op dat netwerk een diagnostische server actief is. Hierop moet je dus Neen (N) antwoorden. Daarmee wordt die PC een diagnostische server. Geef nu op een andere PC eveneens het commando. Nu zal de diagnostische server gevonden worden en kan de test beginnen. Wordt de diagnostische server niet gevonden en krijg je terug de vraag of er op het netwerk een diagnostische server geïnstalleerd is dan is er zeker iets mis met de communicatie. Je moet wel in een vroeger stadium zoeken om dit op te lossen, zoals bij de installatie van de netwerkkaart of de protocollen, C:\WINDOWS>net diag Microsoft Network Diagnostics gebruikt een NetBIOS-bron. Bezig met zoeken naar diagnostische server... De diagnostische server is aangetroffen op het netwerk. Bezig met communiceren met de diagnostische server. Dit kan een aantal seconden in beslag nemen. Bezig met valideren van antwoord van diagnostische server. Het antwoord van de diagnostische server is juist. Dit betekent dat netwerkgegevens op de juiste wijze worden verzonden en ontvangen. De opdracht is met succes uitgevoerd. Net view Dit geeft de lijst van alle gedeelde bronnen op de verschillende computers. Eigenlijk verschijnt de zogenaamde browserlijst. Telkens als een computer opstart of afsluit wordt die lijst aangepast. C:\WINDOWS>net view Servers beschikbaar in werkgroep THUIS. Servernaam Opmerking ---------------------------------------- \\JOHAN Joserv \\MARLEEN computer VVKSO \\PORTA Portable 210CT De opdracht is met succes uitgevoerd. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-98
Net time Dit is een nuttig commando waarmee je de klok van een computer kan gelijkstellen met die van een andere computer. Indien je bijvoorbeeld de klok wilt gelijkzetten met PC01 geeft je volgend commando. Net time \\PC01 /set /yes Als je PC01 altijd als eerste aanzet en bij alle andere computers bij het opstarten in een batch dat commando opneemt dat zullen alle klokken gelijk blijven. Probeer deze commando's uit. Zoek op in de Help van Windows 98 of er nog andere commando's of mogelijkheden zijn. Je kunt hetzelfde bereiken door Tools te gebruiken die gratis te downloaden zijn van het Internet. Zoek er een aantal uit, test ze uit en rapporteer aan elkaar. Je neemt best de gekende startadressen als www.tucows.com en www.zdnet.be. 8.1.3 Labo 31: Microsoft Family Onder Windows 98 is er nog een andere primaire aanmelding mogelijk: Microsoft Family. Wijzig de primaire netwerkaanmelding in Microsoft Family en je krijgt een aanmeldingsscherm zoals hieronder afgebeeld. Welke gebruikers komen hierin voor? Op welke manier kun je gebruikers toevoegen? Probeer dit uit! Wat betekent hier de knop Annuleren? VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-99
Wat is er veranderd aan de netwerkomgeving waarin je werkt? Wat stel je vast? Zoek het op in de Help wat eigenlijk de bedoeling is van het Microsoft Familyomgeving. 8.2 Domeinen Als een computer deel uitmaakt van een domein wordt het beveiligingsbeleid centraal gevoerd en moet elk knooppunt het aanmeldingsverzoek valideren bij een domeincontroller. Op deze domeincontroller staat de centrale database met de gegevens van alle accounts voor het gehele domein. netwerk 8.2.1 Accounts DC- Domain Controller domein A gebruiker 1 gebruiker 2 gebruiker 3 gebruiker 4 gebruiker 5 Gebruikers die toegang wensen tot een servergestuurd netwerk, moeten een account krijgen van de netwerkbeheerder. Accounts beschermen de informatie op de computers van het netwerk en zorgen ervoor dat de gebruiker telkens in zijn eigen vertrouwde omgeving kan werken. De gebruikersaccount bevat informatie over de gebruiker, zoals de naam, het wachtwoord en verschillende optionele vermeldingen die bepalen wanneer en op welke manier gebruikers zich kunnen aanmelden en hoe bureaubladinstellingen worden opgeslagen. De beheerder geeft iedere gebruiker een unieke gebruikersnaam waarmee hij/zij toegang krijgt tot het netwerk. Voor elke gebruiker of gebruikersgroep bepaalt hij eveneens de instellingen voor de omgeving en de beveiliging die nodig zijn. Zo wordt onder Windows NT een beveiligingsdatabase SAM (Security Access Manager) gecreëerd. Onder Windows 2000 wordt deze informatie opgeslagen in de Active Directory. Voordat Windows NT of Windows 2000 toegang tot de server geeft, moet een gebruiker een geldige gebruikersnaam en wachtwoord invoeren in het aanmeldingsvenster dat opent nadat hij/zij Ctrl-Alt-Del heeft gedrukt. Deze aanmeldingsgegevens worden opgezocht in de SAM of Active Directory voor de validering van de gebruiker. 8.2.2 Verschillen tussen werken in een domein en in een werkgroep Het werken in een domein geeft volgende verschillen met een werkgroep: VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-100
Dankzij deze gecentraliseerde database hoeft een wachtwoord slechts één keer gewijzigd worden. Elke wijziging in de account is automatisch geldig en bruikbaar op alle computers die lid zijn van het domein. Een gebruiker heeft slechts één account nodig om toegang te krijgen tot bronnen van het domein. In een Windows 2000-netwerk kunnen enkel Windows NT-servers en Windows 2000-servers als domeincontrollers fungeren. 8.2.3 Het aanmeldingsproces In een domein is het aanmeldingsproces iets ingewikkelder dan in een werkgroep. Dit komt doordat de aanmeldingsgegevens vanaf de lokale machine naar de domeincontroller moeten worden gestuurd en terug. Voor de aanmelding via een netwerk is op der server de service NetLogon vereist. Deze service wordt geïnstalleerd bij de installatie van Active Directory. De procedure gaat als volgt in zijn werk: WinLogon stuurt de gebruikersnaam en het wachtwoord naar de Local Security Authority (LSA). De LSA stuurt het verzoek door naar de service NetLogon. De lokale NetLogonservice stuurt de aanmeldingsgegevens naar de service NetLogon op de domeincontroller. De service NetLogon op de domeincontroller geeft de informatie door aan de Security Accounts Manager (SAM) van de domeincontroller. De SAM geeft deze vraag door aan Active Directory. De Active Directory onderzoekt de geldigheid van de gebruikersnaam en wachtwoord. Daarna geeft de SAM het antwoord door aan de NetLogon van de domeincontroller. Daarna gaat het antwoord terug naar de client via de omgekeerde weg naar NetLogon en WinLogon van de client. Zodra een gebruiker zich met succes heeft aangemeld bij Windows NT, wordt er een toegangsteken (access token) aangemaakt waarin de beveiligings-id van de gebruiker en de groep opgeslagen is. Daarin zitten ook de gebruikersrechten die expliciet zijn toegekend. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-101
Met het toegangsteken worden de gebruiker en alle processen die deze gebruiker veroorzaakt aangeduid. In een Windows 2000-systeem kan geen enkele actie plaatsvinden zonder dat er een toegangsteken van een gebruiker aan verbonden is. 8.3 Vertrouwensrelaties tussen domeinen In een netwerk dat uit meer dan één domein bestaat, fungeert elk domein als een afzonderlijk netwerk met een eigen beveiligingsdatabase. Zelfs in de meest strikt georganiseerde netwerkomgeving komt het voor dat een gebruiker van één domein bronnen nodig heeft uit een ander domein. De meest gangbare oplossing voor het instellen van toegangniveaus tussen domeinen wordt vertrouwensrelaties genoemd. Windows NT 4-server biedt alle hulpmiddelen om een netwerk met meerdere domeinen met vertrouwensrelaties tussen domeincontrollers te maken. Windows 2000 heeft binnen Active Directory de mogelijkheid om te werken met trees en forests. Vóór het opzetten van een Active Directory moet je wel inzicht hebben in vertrouwensrelaties, trees en forests. Je moet immers van bij de start belangrijke keuzes maken bij de installatie en het opstarten van een Active Directory. 8.3.1 Domeinen zonder vertrouwensrelaties Het is mogelijk om meerdere domeinen te hebben zonder vertrouwen. Een individuele gebruiker kan bijvoorbeeld een gescheiden account hebben voor elk domein op een netwerk met meerdere domeinen. Voorbeeld Het bedrijfsnetwerk van de firma Steeds in orde bestaat uit twee domeinen (Support en Facturatie). De heer Koen Koentjens werkt bij de supportafdeling, maar is ook verantwoordelijk voor het nakijken van de klachten op de facturen. Hij moet dus in sommige gevallen ook bronnen kunnen raadplegen van het domein Facturatie. Koen heeft een account in beide domeinen, met accountnaam Koen in het domein Support en Koentjens bij het domein Facturatie. domein Support domein Facturatie gebruikersnaam = Koen gebruikersnaam = Koentjens Koen Koentjens VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-102
De accountnamen zijn hier willekeurig gekozen, maar aangezien het gaat over twee domeinen zonder vertrouwen, kan een gebruiker dezelfde gebruikersnaam hebben voor elk domein. Als Koen zich aanmeldt bij Support heeft hij toegang tot de bronnen in dit domein, maar geen toegang tot de bronnen in het domein Facturatie. Indien Koen dus bronnen van het domein Facturatie wenst te gebruiken moet hij zich afmelden bij het domein Support en zich aanmelden bij Facturatie. Als hij dit doet, verliest hij echter de toegang tot de bronnen van het domein Support! Het probleem hiervan is dat de gebruiker die toegang nodig heeft tot meer dan één domein, gewoonlijk gelijktijdige toegang nodig heeft tot deze verschillende domeinen. Het af- en aanmelden is weinig efficiënt en tijdrovend. Voor de beheerder van dit netwerk is ook geen lachertje om alle wachtwoorden en machtigingen in alle domeinen bij te houden en op meerdere plaatsen in te voeren. 8.3.2 Eenrichtingsvertrouwensrelaties Als een gebruiker toegang nodig heeft tot zowel Support als Facturatie, kan een eenrichtingsvertrouwensrelatie tussen twee domeinen tot stand worden gebracht. In het hieronder uitgewerkt voorbeeld is Facturatie het vertrouwende domein en Support het vertrouwde domein. Indien een gebruiker zich met succes bij het domein Support heeft aangemeld, vertrouwt het domein Facturatie dat de gebruiker op de juiste manier is geverifieerd. Dit betekent niet dat de gebruiker automatisch toegang heeft tot de bronnen van Facturatie. Deze toestemming moet verleend worden door de beheerder van Facturatie. Dit betekent evenmin dat gebruikers die zich bij Facturatie hebben aangemeld, direct toegang krijgen bij Support. Hiervoor moet een afzonderlijke eenrichtingsvertrouwensrelatie ingesteld worden. Hierbij moet Support het vertrouwende domein zijn en Facturatie het vertrouwde domein. vertrouwen domein Support domein Facturatie Je kunt zeker een situatie bedenken waarbij een vertrouwensrelatie van deze vorm onvoldoende is? VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-103
8.3.3 Tweerichtingsvertrouwensrelaties In een tweerichtingsvertrouwensrelatie wordt een gebruiker die zich met succes aangemeld heeft bij één van de domeinen als geverifieerd beschouwd. De gebruiker heeft dan toegang tot de bronnen op beide domeinen voor zover toegestaan door de beheerder. Een tweerichtingsvertrouwensrelatie wordt opgezet door twee eenrichtingsrelaties op te zetten. Hieronder vind je het voorbeeld waarbij er een tweerichtingsvertrouwensrelatie bestaat tussen de domeinen Support en Facturatie. vertrouwen domein Support domein Facturatie Men moet zich er steeds van bewust blijven dat het om twee verschillende eenrichtingsrelaties gaat! Dit heeft vooral belang indien men wijzigingen aan het vertrouwen wil aanbrengen. Een belangrijk voordeel van een tweerichtingsvertrouwensrelatie is dat je als beheerder slechts één keer een gebruikersaccount moet aanmaken, bij voorkeur in het home - domein. Deze gegevens worden in alle vertrouwende domeinen van het gehele netwerk herkend. Het beheer wordt op deze manier een stuk eenvoudiger, aangezien er gedecentraliseerd beheer mogelijk is. Elke afdeling kan haar eigen zaken beheren zonder wijzigingen in een gebruikersaccount te moeten doorgeven aan een andere afdeling. In het bovenstaande voorbeeld is het zo dat de account van Koen Koentjens aangemaakt is bij het domein Support aangezien hij deel uitmaakt van deze afdeling. domein Support domein Facturatie Koen Koentjens Sofie Stoffens VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-104
Er bestaat ook een account voor de secretaresse Sofie Stoffens van de Facturatieafdeling. Sofie staat in voor het opvolgen van onbetaalde facturen en kijkt bij klachten eerst na welke acties de mensen van de Support-afdeling uitgevoerd hebben. Daarvoor heeft Sofie toegang nodig op het domein Support. 8.4 Een Windows 2000 Server-domeincontroller opzetten Zoals reeds in vorige hoofdstukken vermeld werd, kan een server in een Windows 2000-domein meerdere rollen vervullen. Stand-alone Server Lidserver Rolserver Domeincontroller Het is echter enkel de domeincontroller die een account van een gebruiker kan valideren en toegang geven tot een domein. Je hebt de installatie van jouw Windows 2000 server reeds gedaan, maar deze is op dit moment nog steeds geen domeincontroller. Je moet een stand-alone-server promoveren tot een Domeincontroller waarop zich dan een Active Directory bevindt. Als je geen NTFS 5 hebt geïnstalleerd op de schijf of partitie waarop je de Windows 2000 server hebt geïnstalleerd, kun je geen domeincontroller maken van de geïnstalleerde server. Je kunt echter nog steeds de partitie omzetten door de instructie convert.exe in te geven na de prompt. 8.4.1 Naamgeving van de server Je moet tijdens de installatie een keuze maken voor de naamgeving van jouw domein. Aangezien alles steeds meer op het Internet toegespitst is, zal er in de naamgeving van het domein ook een verwijzing zijn naar de algemene domeinen. Wij maken deel uit van het algemene Internetdomein.be, zodat de naam van het domein dat je nu creëert steeds een extensie.be hebben. Binnen het gebruikte domein, kun je deeldomeinen hebben, die een heel eigen structuur hebben. Als je bijvoorbeeld een bedrijf zou hebben met domeinnaam Bedrijf.be, dan heeft deze zeker een afdeling verkoop, en binnen deze afdeling verkoop een deel dat zich met de verzending van de orders bezig houdt. De volgende naamgeving en hiërarchie duidt deze afdelingen aan binnen het bedrijf, vertaald in de naamgeving van de Windows 2000 Server. Het betekent niet dat je een domein dient aan te vragen op het Internet, je kunt je domein ook gewoon lokaal laten bestaan. Je kunt er natuurlijk voor kiezen om dit wel te doen! De pijlen die je hier ziet staan verwijzen naar wederzijds transitieve vertrouwensrelaties. Transitief betekent hier dat het vertrouwen doorgegeven wordt. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-105
8.4.2 Trees en forests In het geval van Windows NT 4 koppel je de verschillende domeinen die naast elkaar liggen via vertrouwensrelaties. In Windows 2000 Server koppel je de domeinen met trees en forests. Dit houdt ook een beslissing in met vertrouwensrelaties! Het is steeds handig om de vertaling van deze twee woorden in het achterhoofd te houden om het verband en het verschil te begrijpen tussen de beide begrippen. Een boom is één ding dat verschillende takken en bladeren heeft. Een bos is een verzameling van meerdere bomen die allemaal iets gemeen hebben met elkaar, maar eigenlijk afzonderlijke dingen zijn. Tree Een tree bestaat uit domeinen die hiërarchisch gekoppeld zijn. Je hebt een root of wortel van de tree. In het onderstaande voorbeeld is dit school.be. Je ziet dat elk child-domein in zijn naam ook de naam van zijn parent opgenomen heeft. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-106
Forest Een forest is een combinatie van trees waarin de root-domeinen elkaar wederzijds vertrouwen. De naamgeving staat echter volledig los van elkaar. Zelfs een alleenstaand domein maakt een deel uit van een tree wat op zijn beurt deel uitmaakt van een forest. Bij de promotie van een Windows 2000 Server naar een domeincontroller, moet je de keuze maken bij welke tree en welk forest de domeincontroller zal behoren. 8.4.3 Domain Name Server (DNS) DNS moet in de organisatie draaien om Active Directory correct te laten werken. Om op het Internet een locatie te bereiken die gekend is via een url zoals www.vsko.be moet je gebruik maken een DNS-server. Jouw browser maakt via de technologie van de ISP een verbinding met een DNS-server, meestal die van de ISP zelf. Deze server zet de gevraagde url om in een IP-nummer waarop deze website te vinden is. De browser van jouw computer maakt dan een verbinding met de server met het bekomen IP-nummer. Ook in een lokaal netwerk kun je zo binnen een tree, een forest of een domein de juiste computer of locatie van een gebruiker of groep vinden. Het principe werkt op dezelfde manier, maar nu is het de Windows 2000 Server zelf die de verzoeken in de juiste richting stuurt. Bij de installatie van de eerste domeincontroller in een nieuwe omgeving zal er gevraagd worden om DNS te installeren. DNS nestelt zich heel goed binnen de Active Directory en wordt er perfect in opgenomen. Dit betekent dat je de service moet installeren, maar er verder geen onderhoud aan dient te doen om deze actief te maken of te houden. Zoals reeds vermeld betekent het kiezen van een domeinnaam en het installeren van DNS niet dat de server steeds op het Internet dient gedeclareerd of kenbaar gemaakt te worden. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-107
8.4.4 Labo 32: Netwerkinstellingen van de Windows 2000 Server Bij de promotie van Windows 2000 Server tot domeincontroller wordt er gebruik gemaakt van het netwerk. Werkt het netwerk niet naar behoren, dan zal de installatie van Active Directory niet lukken en kun je van de Windows 2000 Server geen domeincontroller maken! Als de installatie van de server goed gelukt is, is er automatisch een netwerkverbinding ter beschikking. Je vindt deze terug via Start, Instellingen, Netwerk- en inbelverbindingen. De instellingen van het netwerk moeten de status Verbonden weergeven, zoals te zien is in het onderstaande scherm. Configureer deze netwerkverbinding zodat de server toegang heeft tot het netwerk. Bekijk de eigenschappen van de verbinding. Welke analogie zie je met de netwerkinstellingen op een Windows 98-computer? VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-108
8.4.5 Labo 33: Opzetten van een domeincontroller In het dialoogvenster Deze server configureren, kun je lezen dat er nog geen Active Directory geïnstalleerd is op deze server, en wat er moet gebeuren om dit te doen. Voor de installatie van Active Directory is het zeker interessant om er nog wat informatie hierover na te lezen in de Help. Scrol in het bovenstaande venster naar beneden en bekijk en doorzoek de meegeleverde Help. Je klikt op Start, Uitvoeren en je typt dcpromo en je klikt op Enter. Je krijgt het onderstaande startscherm, waar je bevestigt. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-109
Hetzelfde startscherm kun je bereiken door in het eerste scherm de wizard te starten in verband met Active Directory. In het volgende scherm kies je het feit dat je Domeincontroller voor een nieuw domein wenst te installeren. Indien je een domeincontroller wenst toe te voegen aan een bestaand domein, kies je de tweede optie. Dit betekent dan dat de Active Directory op twee servers bijgehouden en gesynchroniseerd wordt. Je kiest voor het feit dat je een nieuw domein-tree wenst te maken. Je wenst immers geen deel uit te maken van een bestaande tree, maar een geheel nieuwe tree op te zetten, onafhankelijk van anderen. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-110
Als je bijvoorbeeld het child-domein verkoop.bedrijf.be wenst te maken in bedrijf.be, kies je de onderste optie. In het volgende scherm kies je er voor om een nieuw forest te maken. Als je bijvoorbeeld de server garage.be wenst op te zetten in hetzelfde forest als bedrijf.be, dan kies je de tweede optie. Je maakt voor garage.be een nieuwe tree, maar je plaatst die in een bestaand forest van bedrijf.be. In het volgende scherm geef je de naam van het nieuwe domein in. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-111
Als je dit uittest in een klasomgeving met meerdere servers, heb je geen last van elkaar als je allemaal een eigen forest, tree en domein aanmaakt met allemaal verschillende namen. Laat in het volgende scherm de NETBIOS-naam van de server ongewijzigd. Het is deze naam die je ziet staan in netwerkomgeving. Je behoudt best een duidelijke relatie tussen de echte domeinnaam en de NETBIOS-naam. Je zult de andere domeinen wel zien staan in Netwerkomgeving, maar je krijgt geen toegang tot de bronnen van het andere domein, tree, forest als je geen geldige account hebt. Laat in het volgende scherm de plaats van de database en het logboek ongewijzigd. Standaard wordt er in dezelfde map van Windows 2000 Server geïnstalleerd. Dit is niet 100% veilig, maar aangezien het hier slechts over een testserver gaat en we geen RAID gebruiken, is dit de beste manier om de eerste server te installeren. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-112
In het volgende scherm wordt gevraagd op welke locatie het gedeelde volume bijgehouden zal worden. Deze bestanden en map zijn noodzakelijk bereikbaar voor alle gebruikers en computers in het domein. Men noemt deze locatie ook het Shared System Volume. Bij deze geldt het ook dat om beveiligingsredenen beter een ander volume gekozen wordt, maar hier testen we alles op één volume. Microsoft raadt trouwens ook aan om steeds eerst een aantal testservers en configuraties op te zetten vooraleer de gehele organisatie overgezet wordt naar Windows 2000. Het volgende venster geeft een foutmelding omdat de DNS-installatie nog niet gebeurd is. Het is logisch dat deze mededeling verschijnt, want DNS moet geïnstalleerd zijn omdat we er voor gekozen hebben een nieuw domein in een nieuwe tree in een nieuw forest te installeren met een nieuwe Active Directory. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-113
Klik op OK om verder te gaan. Het scherm voor het configureren van DNS verschijnt. De installatie is immers noodzakelijk. Klik op OK. Later wordt over DNS nog meer duidelijk. Het gaat er hier alleen om dat de service geïnstalleerd is. Het scherm voor het toekennen van de machtigingen verschijnt. Je moet hier de keuze maken of je met een gemengd domein werkt (ook nog oudere versie van Microsoft Servers zoals Windows NT 4) of niet. In heel wat bedrijven is dit immers een noodzaak omdat met niet van vandaag op morgen een volledige overgang kan maken naar een nieuw besturingssysteem. Kies er hier voor om enkel toestellen met Windows 2000-besturingssystemen op te nemen in het domein. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-114
In het volgende scherm wordt er gevraagd naar een noodwachtwoord, als je in de Herstelmodus de optie Active Directory terugzetten zou kiezen. Je hebt dit nodig als de Active Directory corrupt geraakt is, en ook de account van de Beheerder niet meer beschikbaar is. Voer hiervoor een gemakkelijk te onthouden wachtwoord in. Je zult het hopelijk niet zo veel nodig hebben, maar je moet het wel goed archiveren. Het volgende scherm geeft een overzicht van de verschillende instellingen die je gekozen hebt tijdens de installatie van de Active Directory op jouw Windows 2000 Server. Je kunt nog terug indien je niet akkoord bent met bepaalde instellingen. Klik op Volgende en start het proces van de eigenlijke installatie. Dit duurt enige tijd, zelfs op een snelle computer. Uiteindelijk krijg je een scherm dat je meldt dat de installatie van Active Directory een feit is. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-115
Vervolgens krijg je de melding dat je de computer opnieuw moet opstarten. Beëindig de installatie, start de computer opnieuw op en bekijk in het dialoogvenster deze server configureren de installatie en instellingen van Active Directory en DNS. Eens de installatie voltooid is, kun je gebruikers, groepen en andere objecten aanmaken in het pas geïnstalleerde domein. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-116
8.4.6 Dcpromo De instructie dcpromo heeft de installatie van een Active Directory en DNS gestart op de Windows 2000 Server. Indien je een bepaalde server een andere rol wenst te geven dan Domeincontroller, kun je door gebruik van deze instructie ook het omgekeerde proces starten. In de onderstaande figuur kun je duidelijk zien tot welke acties dcpromo in staat is. Met Last DC wordt bedoeld de laatste domeincontroller uit een bepaald domein. Werk je in een gemengde omgeving, dan kan de instructie dcpromo nog heel wat andere acties uitvoeren. Er bestaat ook de mogelijkheid om een Windows NT 4 Primaire Domeincontroller een Windows 2000 Server DC te maken. Een aantal mogelijkheden zijn opgesomd in de onderstaande figuur. VVKSO Ondersteuning Informaticabeheer Beheer van een servergestuurd netwerk met Windows 2000-117