מבוא

מסמך זה מפרט את דרישות קדם ההתקנה ותהליך ההתקנה של ה- Active Directory Domain Services, או AD DS בקצרה, על-גבי Windows Server 2008 ו- Windows Server 2008 R2 באמצעות GUI (בתצורת Full installation).

הערה: מסמך זה מספק הסבר מפורט של התקנה של ה- Domain Controller (DC) הראשון ב- Domain חדש שב- Tree חדש השוכן ב- Forest חדש. צילומי המסך וההגדרות שבמסמך זה נעשו תחת Windows Server 2008 R2 אך זהים לתהליך הקיים ב- Windows Server 2008, ודומים בצורה מלאה לתהליך המצוי בקרב גרסאות Windows Server 2003.

דרישות קדם התקנה

טרם נוכל להתקין את AD DS על Windows Server 2008 יש לבצע תכנון מסודר של תשתית ה- AD DS שברצוננו לפרוס בארגון.

מעבר לתכנון נכון של תשתית ה- AD DS יש לבדוק כי דרישות החומרה והתוכנה תואמות את הציוד הקיים ברשותנו. יש לבדוק כי הדרישות תואמות את המפרט הבא, שימו לב כי הדרישות הללו אינן הדרישות המינימאליות אלא הדרישות המומלצות של הכותב:

• התקנה תקינה של Windows Server 2008 או Windows Server 2008 R2, מומלץ לעבוד עם מערכת x64
  
• תשתית DNS מותקנת, במידה ומדובר בתשתית DNS חדשה עבור Domain חדש כמו בדוגמה המצוינת במסמך זה, ניתן להתקין את שירות ה- DNS במהלך תהליך ההתקנה של AD DS.
  
• כתובת IP סטטית עבור כרטיס הרשת של השרת אשר ישמש כ- DC, כולל הגדרות DNS תקינות.
  
• מחיצת NTFS עם 1GB פנוי על-גבי הדיסק הקשיח
  

חשוב שהשרת אשר ישמש כ- DC יהא שרת יציב וחזק, עקב תפקידו החשוב ברשת הארגונית. דוגמה למפרט מומלץ עבור ה- DC מצוין מטה:

• מעבד Intel Xeon או מעבד תואם בעל יכולת 64-bit (EM64T במעבדי Intel) במהירות 2.4GHz, מומלץ מעבד בעל זוג ליבות ומעלה
  
• זיכרון פנימי 4GB של RAM
  
• זוג דיסקים קשיחים במערך RAID-1 (Mirroring) בממשק SAS/SATA 2 הפועלים במקביל לבקר RAID מבוסס חומרה, נפח הדיסקים יהא לפחות 74GB
  
• כרטיס רשת 1Gbps בעל תשתית תקשורת מתאימה ומעלה
  

הגדרות TCP/IP

יש לעשות שימוש בכתובת IP סטטית ולא דינאמית עבור ה- DC, למרות שניתן לעשות שימוש בכתובת דינאמית עבור DC – המצב הנ"ל אינו מומלץ כלל מסיבות רבות כאשר העיקריות שבהן מסתמכות על בעיות ב- DNS שנוצרות בעת קבלת כתובת IP חדשה משרת ה- DHCP.

בכדי להגדיר כתובת IP סטטית פעל לפי הצעדים הבאים:

1. היכנס ל- Start, סמן באמצעות מקש עכבר ימני את Network, ובתפריט שיוצג בחר ב- Properties.
   

   
   

2. בחלון שיפתח לחץ על Change adapter settings.
   

   
   

3. כעת, בחלון ה- Network Connections שנפתח מולנו, לחץ עם מקש עכבר ימני על כרטיס הרשת המתאים, ובחר בתפריט שיפתח ב- Properties.
   

   
   

4. תחת מאפייני כרטיס הרשת המתאים סמן את האפשרות Internet Protocol Version 4 (TCP/IPv4) ולחץ על Properties.
   

   
   

   הערה: שים לב כי מצוין תחת חלון זה גם נושא ה- TCP/IPv6, במידה והינך עושה שימוש ברשת הארגונית שלך ב- IPv6 תוכל להגדיר כתובת IP עבור הפרוטוקול הנ"ל במקום ל- IPv4, כמו כן, במידה ואינך עושה שימוש ב- IPv6 תוכל להסיר את הסימון מן ה- TCP/IPv6 וכך למנוע את הפעלת התמיכה ב- IPv6.
   

5. הזן כתובת IP ידנית באמצעות לחיצה על הכפתור Use the following IP address, שים לב שתחת ה- Preferred DNS server עלייך להזין את הכתובת 127.0.0.1, מכיוון שהשרת שלך ישמש בנוסף כשרת ה- DNS. לחץ על OK בתום תהליך ההזנה.
   

   
   

תהליך ההתקנה של Active Directory Domain Services

לאחר שהגדרנו כתובת IP סטטית עבור כרטיס הרשת שבשרת אשר יתפקד כ- DC נוכל להתחיל בתהליך ההתקנה של AD DS, ניתן לבצע את תהליך ההתקנה בכמה וכמה שיטות, השיטה אשר מוצגת במאמר זה היא אחת מיני רבות ומיועדת לפשט את התהליך ולהציג לקורא מה מתרחש בכל שלב.

בכדי להתחיל בתהליך ההתקנה של AD DS יש לבצע את הצעדים הבאים:

1. גש ל- Start, בחר ב- Administrative Tools ולחץ על Server Manager.
   

   
   

2. בחלון ה- Server Manager לחץ על Roles.
   

   
   

3. לחץ על הכפתור Add Roles.
   

   
   

4. בחלון שיפתח לחץ על Next. כמו כן, תוכל לסמן את התיבה של Skip this page by default בכדי למנוע מדף זה להיות מוצג בפעם הבאה שתפתח את אשף הוספת ה- Roles של ה- Server Manager.
   

   
   

5. בחלון המוצג לפנייך סמן ב- V את התיבה של Active Directory Domain Services.
   
6. שים לב כי לעיתים יכול לצוץ החלון הבא המורה על התקנת רכיב נוסף, ה- .NET Framework 3.5 טרם תוכל להתקין את AD DS, במקרה בו מופיע בפנייך החלון המוצג בתמונה לחץ על הכפתור Add Required Features על-מנת להוסיף את הרכיבים והתכונות הדרושים.
   

   
   

7. וודא כי התיבה Active Directory Domain Services מסומנת ולחץ בחלון על Next.
   

   
   

8. לחץ בחלון המציג סקירה קצרה אודות AD DS על כפתור ה- Next.
   

   
   

9. בחלון הסיכום לחץ על כפתור Install על-מנת להתחיל בתהליך ההתקנה.
   

   
   

10. תהליך ההתקנה מתבצע, יש להמתין לסיומו.
    

    
    

11. בחלון תוצאות ההתקנה נלחץ על Close the wizard and launch the Active Directory Installation Wizard (dcpromo.exe).
    

    
    

12. כעת יופיע בפנינו חלון ההתקנה של AD DS, נסמן את האפשרות Use advanced mode installation על-מנת לבצע התקנה מתקדמת של AD DS ונלחץ על Next.
    

    
    

13. קרא בקפידה את החלון הדן בתאימות מערכות הפעלה ולחץ על Next.
    

    
    

14. בחר באפשרות Create a new domain in a new forest ולחץ על Next.
    

    
    

15. הזן את שם ה- Domain של הארגון בחלון הנ"ל ולחץ על Next. וודא היטב ששם ה- Domain שברצונך להזין הינו תקין וללא הסימן "_" (קו תחתון) ואינו Single Label Domain Name, דוגמה לכך היא "ben-shushan". במקרה שכזה יש להזין FQDN תקני ונכון דוגמת "ben-shushan.local".
    

    
    

16. בחלון המציג את השם ב- NetBIOS לחץ Next.
    

    
    

17. בחר את ה- Forest functional level, ה- Forest functional level מגדיר בעצם אילו יכולות קיימות בסביבת ה- Forest – ככל שהרמה גבוהה יותר, כך מגוון היכולות שניתן לעשות עימן שימוש ברמת ה- Forest גדולה ורחבה יותר. ברירת המחדל היא Windows Server 2003, לאחר בחירת ה- Forest functional level המתאים לחץ על Next.
    

    
    

18. בחר כעת את ה- Domain functional level, ה- Domain functional level מגדיר בעצם אילו יכולות קיימות בסביבת ה- Domain – ככל שהרמה גבוהה יותר, כך מגוון היכולות שניתן לעשות עימן שימוש ברמת ה- Domain גדולה ורחבה יותר.שים לב שאף כאן, Windows Server 2003 הינו ערך ברירת המחדל. לאחר מכן לחץ על Next.
    

    
    

19. כעת, אשף ההתקנה יבדוק באם קיים DNS ברשת, בתסריט המצוין במאמר הזה – אין תשתית DNS קיימת, ולכן, האשף יציע בפנינו להתקין בצורה אוטומטית עבורנו את ה- DNS. מלבד זאת, מכיוון וזהו ה- DC הראשון ב- Forest עליו להיות Global Catalog, ואינו יכול להיות RODC (DC לקריאה בלבד, Read-only DC), נקבל את ההגדרות הללו ונלחץ על Next.
    

    
    

20. ההודעה בנושא ה- DNS נובעת מחיפוש של תשתית DNS קיימת, היות ואין ברשת תשתית קיימת שכזו וברצוננו להקים אחת שכזו כעת, נרצה להמשיך בתהליך ההתקנה ונלחץ על Yes.
    

    
    

21. בחלון הבא יוצגו בפנינו מיקומי קובץ ה- Database, הלוגים ותיקיית ה- SYSVOL, במידה וברצוננו להגדיר מיקומים אחרים מטעמי ביצועים יש לבצע זאת כעת. לאחר מכן, לחץ על Next.
    

    
    

22. הזן סיסמא עבור ה- Directory Services Restore Mode (DSRM) Administrator, ה- DSRM הוא מצב מיוחד המאפשר בעת מצוקה לבצע ממנו Boot ודרכו ניתן לשחזר או לתקן את ה- AD DS Database, ולחץ על Next.
    

    
    

23. כעת חלון הסיכום יוצג בפנינו, כל מה שעלייך לעשות בכדי להתחיל בתהליך ההתקנה של AD DS הוא ללחוץ על Next. שים לב שבאם הינך מעוניין לייצא את ההגדרות לקובץ תשובות מסודר עבור התקנות עתידיות של DCs תוכל לבצע זאת ע"י לחיצה על כפתור ה- Export settings אשר ייצור קובץ TXT מסודר אשר ינפק "תשובות" עבור תהליכי התקנה עתידיים.
    

    
    

24. תהליך ההתקנה יתחיל, יש להיעזר בסבלנות עד תום תהליך ההתקנה. תוכל לסמן את התיבה Reboot on completion על-מנת שתוכנית ההתקנה של AD DS תבצע הפעלה מחדש בצורה אוטומטית בתום ההתקנה.
    

    
    

25. בתום תהליך ההתקנה יוצג בפנינו מסך הסיכום, יש ללחוץ על Finish.
    

    
    

26. בחלון שיוצג בפנינו נלחץ על Reboot now על-מנת להפעיל מחדש את השרת מחדש, זאת בכדי לקבל את השינויים שערכנו בתהליך ההתקנה של AD DS.
    

    
    

27. זהו זה! תהליך ההתקנה של AD DS הסתיים בהצלחה! שים לב שמעתה השרת עליו התקנת את AD DS יתפקד כ- DC.
    

פעולות מומלצות לאחר תהליך ההתקנה

לאחר שהתקנו את AD DS על גבי השרת שלנו אשר משמש כ- DC עבור הרשת הארגונית, מומלץ לבצע מספר פעולות חשובות:

• בדיקת השרת באמצעותDCDiag ו- NSLookup
  
• יצירת Reverse Lookup Zone
  

בדיקת השרת באמצעותDCDiag ו- NSLookup

לאחר שה- DC הותקן בהצלחה מומלץ לבצע בדיקות באמצעות כלי Command line (שורת פקודה) – DCDiag בכדי לאבחן את תצורת ה- DC, כלי ה- DCDiag עורך מספר בדיקות ל- DC לבדוק את תקינותו.

בתום האבחון מוצג פלט מפורט המדווח על תוצאות הבדיקות.

על-מנת להריץ את הפקודה הקלד dcdiag בשורת הפקודה שלך, במידה וברצונך לקבל מידע נוסף אודות יכולות הכלי הנ"ל הקלד dcdiag /?.

מלבד כלי ה- DCDiag קיים כלי מבוסס שורת פקודה נוסף בשם NSLookup, מטרתו של NSLookup היא בדיקה ואבחון תקלות בשרתי DNS – ניתן לבצע מספר פעולות באמצעות NSLookup, מידע נוסף ניתן לקבל אודות הכלי על-ידי הקלדת הפקודה help ב- NSLookup וכמו כן, עיון ב-Q200525.

יצירת Reverse Lookup Zone

על-מנת שתשתית ה- DNS תפעל במלואה חשוב ליצור Reverse Lookup Zone, המשמעות העיקרית של שימוש ב- Reverse Lookup היא המרה מכתובות IP ל- FQDN (לדוג' גישה כ- 172.16.0.1 לשרת בשם w2k8r2dc01.ben-shushan.local). יצירת Reverse Lookup Zone תוכל להיווצר על-ידי מילוי אחר הצעדים הבאים:

1. גש ל- Start, בחר ב- Administrative Tools ולחץ על DNS
   

   
   

2. בחלון שיפתח הרחב את שם שרת ה- DNS ולחץ באמצעות מקש עכבר ימני על התיקייה Reverse Lookup Zones.
   

   
   

3. באשף שיוצג בפנייך לחץ על Next.
   

   
   

4. בחר בסוג ה- Zone שברצונך ליצור, במקרה הנ"ל ניצור Active Directory integrated Primary Zone, זהו בעצם Zone המוטמע ב- AD DS Database ולחץ על Next.
   

   
   

5. בחר את טווח ה- Replication של ה- Zone שהינך יוצר ולחץ על Next, שים לב שעלייך לבחור בהגדרה העונה לדרישות הארגון שלך.
   

   
   

6. בחר את תשתית ה- IP שתהווה בסיס ל- Zone – IPv4 או IPv6 ולחץ על Next.
   

   
   

7. ציין את כתובת ה- Network ID של הרשת הארגונית שלך ולחץ על Next.
   

   
   

8. הגדר כיצד ניתן לבצע עדכונים דינאמיים במקביל ל- DNS Zone ולחץ על Next.
   

   
   

9. לחץ על Finish לסיום התהליך.
   

   
   

10. זהו זה! יצרת בהצלחה Reverse Lookup Zone מסוג Active Directory Integrated Primary Zone.
    

לסיכום

המאמר מציג מידע מפורט אודות פעולות טרום התקנה, תהליך ההתקנה של AD DS ובפעולות לאחר התקנה דוגמת יצירת Reverse Lookup Zone, חשוב לנהל את ה- DC בצורה נכונה (ביצוע גיבויים שוטפים ל- AD DS Database, לתכנן ולנהל את ה- Domain היטב על כל כליו) וכך להניב פירות מן AD DS ובכלל מן הרשת הארגונית.