• aaa
    Maďarsko

    Poznávačka krás Maďarska - toulání po severu 

  • CAT700
    CAT700

    Non-stop adventure závod přes Katalánsko - z Pyrenejí až k moři

  • Toulání Šumavou
    Toulání Šumavou

    Extrémní non-stop MTB závod

  • 1000 miles
    1000 miles

    Non-stop extrémní adventure závod napříč Československem by Jan Kopka

  • Bohemia Divide 2019
    Bohemia Divide 2019

    Non-stop bike packing závod 700km dlouhý z nejjižnějšího do nejsevernějšího místa ČR 

A A A

 

Postup popisuje instalaci a připojení sekundárního řadiče domény Windows Server 2016 v pobočce firmy a převedení stávajících uživatelů na doménové vč.nastavení politik a práv pro jednotlivé lokality.

Scénář vychází ze stavu, kdy v centrále firmy je doménový řadič a všichni uživatelé v centrále se v síti ověřují doménovými účty.

V pobočce jsou uživatelé v pracovní skupině a ověřují se lokálními účty na jednotlivých PC. 

Obě pobočky jsou propojeny VPN tunely.

Pro připojení z pobočky do centrály se v současné době využívá terminálové připojení, takže i uživatele v pobočce nyní mají doménové účty, ale využívají se pouze pro připojení k terminálovému serveru.

Cílem je instalovat druhý doménový řadič v pobočce firmy a všechny počítače a uživatele v pobočce připojit k doméně.

Výhodou bude centrální správa uživatelů, nasazení politik Group Policy, využití doménového řadiče zároveň jako souborový server a DHCP server.

 

 

V popisu budu používat termín stávající server tj.primární doménový řadič a nový server tj.druhý sekundární řadič

 

Celý proces bude mít tyto fáze:

1) Připojení nového serveru jako člena domény 

2) Doinstalování role Active Directory Domain Services

3) Konfigurace serveru a připojení jako dalšího řadiče domény

4) Vytvoření lokalit (sites) a konfigurace

5) Nastaveni DHCP serveru na novém serveru

6) Nastavení sdílených a uživatelských složek a konfigurace služby FSRM

7) Vytvoření LogonScritpu pro novou lokalitu

8) Připojení jednotlivých počítačů do domény (migrace se zachováním dat)

 

 

1) Připojení nového serveru jako člena domény

Na novém serveru, tj.počítači který bude sekundárním řadičem domény nejprve nastavíme pevnou IP adresu a DNS servery (adresy řadičů domény)

 

 Poté jej připojíme do domény

 

Na primárním doménovém řadiči zkontrolujeme, že se nový server stal doménovým počítačem.
Nástroje -> Uživatelé a počítače služby AD

 

2) Doinstalování role Active Directory Domain Services

 

Zkontrolujte, že roli instalujete na správný server :-)

 

 

 

 

Přidáme roli Active Directory Domain Services

 

V dalším kroku nás systém upozorní, že pro tuto roli přidá další potřebné funkce

Vyberte roli ADDS

 

 V dalším kroku pouze odklikneme další (žádné funkce nebudeme přidávat)

 

Průvodce dokončíme volbou Nainstalovat

Průběh instalace

 

3) Konfigurace serveru a připojení jako dalšího řadiče domény

Na konci průvodce spustíme odkaz Promote this server to a domain controller popř. tuto volbu najdeme i v server managmentu

 

Vybereme možnost přidat doménový řadič do stávající domény

DSRM password slouží k ověření uživatele při obnově AD

RODC - toto je funkce, kdy sekundární řadič slouží pouze pro čtení (Read Only Domain Controller). Má to své výhody i nevýhody. Každopádně důkladně zvažte zda tuto variantu využít.

Pokud by DC sloužil pouze pro vyrovnání zátěže hlavního DC např.v pobočce kde by mohl být server zranitelný, má to význam. 
RODC funguje tak, že má u sebe kopie HASHe hesel vydefinovaných účtů (která hesla to jsou musí být definováno v politikách, např.admin a systémové učty má  defaultně zakázané kešovat) a na ostatní hesla se dotazuje DC. Tyto hesla si kešuje a pamatuje si je do restartu !!! Pokud tedy vypadne konektivita k DC tak se na nenakešované účty nedostanete. Proto je dobré vytvořit i lokaního uživatele, který je admin RODC. RODC nemá žádná oprávnění měnit cokoliv v AD.

V dalším kroku je možné změnit cesty k databázovým souborům AD.

 

 Po dokončení instalace je možné ověřit, zda se nový server v AD přiřadil do kontejneru doménových řadičů.

 

 

 

4) Vytvoření lokalit (sites) a konfigurace

Doménová struktura slouží v logickému rozdělení sítě. Naproti tomu Sites (lokality) slouží k nastavení určení fyzického rozmístění serverů. 
Pokud jsou servery v odlišných budovách, sítích, městech nebo dokonce státech, je dobré definovat lokality a přiřadit do ní příslušné servery. Počítače tak mají definováno, ke kterému serveru se mají primárně hlásit, lze dle toho definovat politiky i parametry replikace AD mezi servery v závislosti na linkách.

 

Spusťte nástroj konfigurace Sites

 

Vytvořte jednotlivé lokality

 

 

Stejným způsobem vytvořte všechny lokality

 

Pak vytvořte subnety tak, jaké jsou v jednotlivých lokalitách

 

Subnetu přiřaďte lokalitu.

 

Takto vytvořte subnety pro všechny lokality

 

Pak je nutné vytvořit propojení lokalit 

 

Propojení pojmenujte a přiřaďte do něj příslušné lokality

 

Po vytvoření propojení nastavte jeho parametry

 

Můžete nastavit interval replikace a náklady (využívá se u složitějších síti popř.méně kvalitních linkách)

 

V případě nutnosti je možné replikaci v určitých časech vypnout

 

Na závěr konfigurace přesuneme jednotlivé servery do lokalit.

 

Výsledek by měl vypadat takto

 

 

 

 

 

 

5) Nastavení DHCP serveru na novém serveru

Toto téma je v samostatném článku: Instalace a nastavení DHCP serveru na Windows Server 2019

 

6) Nastavení sdílených a uživatelských složek a konfigurace služby DFS

fda  

7) Vytvoření LogonScritpu pro novou lokalitu

fda

 

8) Připojení jednotlivých počítačů do domény (migrace se zachováním dat)

V případě, že v nové lokalitě vytváříte nové lokální uživatelské účty (čisté počítače popř.nechcete zachovat stávající profily uživatelů) pak počítače pouze přiřadíte do domény (viz.bod 1)

Pokud chcete převést stávající uživatelské účty na doménové, lze to provést dvěma způsoby:

a) Ruční převod dat

Počítač připojte do domény, přihlaste uživatele (doménového), tím se vytvoří profil pro jeho doménový účet a potom zkopírujete všechna data z původního účtu (některá data a nastavení však nelze zkopírovat)

b) Migrace účtu

Migraci lze provést nástrojem Profile Wizard. Lze s ním migrovat jak lokální účet na doménový tak doménový účet na jiný doménový.
Při této migraci zůstanou zachována veškerá data a nastavení vč. nastavení programů, data a účty Outlooku, historie prohlížečů atd.

 

Nejprve připojte počítač do domény

 

Zadejte doménu, do které má být počítač připojen (zadejte vč.koncovky, jinak připojení trvá déle)

Je nutné se autorizovat účtem s oprávněním Domain Admin

 

Proveďte restart PC.

Přihlašte se (doporučuji jako doménový administrátor popř.lokální admin na daném PC).

Spusťte nástroj Profile Wizard

Vyberte účet, který budete převádět (zdrojová data).


Vyberte doménu a poté login nového doménového účtu (cílového). Tento účet musí v AD existovat.
Zaškrtávátko Set as default logon provede, že po restartu PC se pro přihlášení nabídne tento nový účet.

Průběh migrace

Rekapitulace na konci převodu.

Pokud chcete převést více lokálních účtů, průvodce spusťte znovu a postup opakujte pro další účet.

Po migraci posledního účtu proveďte restart a přihlašte se již doménově.

 

Pokračování zítra

Podrobnosti
Kategorie: IT

Nejnovější fotky

Search