-
Αφού τελειώσαμε με την εγκατάσταση του ρόλου θα δούμε μερικές από τις επιλογές που έχουμε πριν βάλουμε κάποιες πραγματικές εικόνες και τις απαραίτητες ρυθμίσεις στον DHCP.
Στο ανανεωμένο μενού βρίσκουμε αρκετές νέες επιλογές.Σημαντική προσθήκη είναι η υποστήριξη για Drivers μέσα από την κονσόλα του WDS.
Επιτέλους μέσα από την κονσόλα του WDS μπορώ να προσθέσω Out-of-the-box Drivers οι οποιοί θα χρησιμοποιηθούν κατά την εγκατάσταση του λειτουργικού συστήματος!
Αν και δεν είχα την ευκαρία να δοκιμάσω τη νέα λειτουργία ,αφού χρησιμοποιώ Virtual Machines,αν κρίνω από την κατάσταση λειτουργίας του Server από την Beta έκδοση ,φαντάζομαι πως είναι έτοιμη. Μάλιστα απο ότι φαίνεται είναι και μια απλή διαδικασία μερικών κλικ.
Στις επιλογές του Server εντύπωση προκαλεί η υποστήριξη για αρχιτεκτονική Arm στο Boot και στο Client
Στις επιλογές του Active Directory Prestaged Devices πρόσθεσα και έναν υπολογιστή για να δούμε τι επιλογές έχουμε και σε αυτό το κομμάτι.Χρησιμοποίησα ένα Mac Address φανταστικό ,όμως αν χρησιμοποιήσετε το πραγματικό του υπολογιστή που θέλετε να εγκαταστήσετε τότε θα εγκατασταθεί σύμφωνα με αυτές τις πληροφορίες.Στην αρχική σελίδα μπορείτε να δείτε και το CN του υπολογιστή το οποίο φανερώνει και τη θέση που θα το βρούμε στο Active Directory.
Στην ταμπέλα Boot μπορούμε να ορίσουμε τον Server από τον οποίο θα κατεβάζει ο υπολογιστής το αρχείο Boot για την εκκίνηση καθώς και ποια πολιτική θα ακολουθήσει.
Στην ταμπέλα Client Unattend βρίσκουμε μια πολύ σημαντική επιλογή , το Unattend αρχείο που θέλουμε να χρησιμοποιήσει ο συγκεκριμένος υπολογιστής! Με αυτόν τον τρόπο μπορούμε να έχουμε διαφορετικά αποτελέσματα εγκατάστασης σύμφωνα με τον υπολογιστή!
Τέλος στο Join Rights μπορούμε να επιλέξουμε τη συμπεριφορά της σύνδεσης του υπολογιστή στο Domain όταν τελειώσει η εγκατάσταση.
Το μόνο που απομένει είναι να προσθέσουμε τις ρυθμίσεις στο DHCP Server μας ,αφού ο συγκεκριμένος δεν έχει το ρόλο εγκατεστημένο.Εδώ ανακάλυψα και κάτι ακόμη σημαντικό.
Στο Demo για το DHCP είχα προσθέσει τη δυνατότητα Failover. Από ότι φαίνεται δεν υποστηρίζεται η εκτέλεση του BootP και του DHCP ταυτόχρονα όταν έχω Failover στο DHCP. Για αυτό το λόγο το απενεργοποίησα προσωρινά.
Οι δύο επιλογές που πρέπει να προσθέσω στο DHCP μου για να εκκινήσει το PXE Boot και να αρχίσει η εγκατάσταση είναι η επιλογή 066 και η 067. Η διεύθυνση του Server και το αρχείο Boot.sdi που διαβάζει τη σωστή πλατφόρμα (Χ64 ή Χ32) και επιλέγει το κατάλληλο αρχείο για την εκκίνηση.
Το μόνο που έχει απομείνει είναι να προσθέσω εικόνες και θα είμαι έτοιμος για την εγκατάσταση από το δίκτυο.
-
Μετά από την
εγκατάσταση των File
Services θα εξετάσουμε άλλον ένα ρόλο που είναι αρκετά σημαντικός στην
καθημερινή ενασχόληση των διαχειριστών, το Windows Deployment Services.
To Windows Deployment Services χρησιμοποιείται για την εγκατάσταση λειτουργικών συστημάτων σε υπολογιστές ή εξυπηρετητές μέσα από το δίκτυο.
Φυσικά ο WDS ήταν ήδη σχεδόν τέλειος από την έκδοση 2008,του
έλειπαν όμως κάποια πράγματα για να γίνει πραγματικά ένα εξαίσιο εργαλείο. Ας
περάσουμε απευθείας στην εγκατάσταση του ρόλου.
Διαλέγουμε στην εγκατάσταση του ρόλου τον WDS και ο Server Manager θα μας ενημερώσει για τα απαραίτητα εργαλεία.
Στα Features δεν έχουμε να επιλέξουμε κάτι και απλά πατάμε Next
Η επόμενη σελίδα του "μάγου" μας ενημερώνει για το ρόλο του WDS
Στις επιλογές του ρόλου θα επιλέξουμε και το Deployment Services και το Transport Server τα οποία είναι απαραίτητα για τον WDS ρόλο . Ο Transport Server χρησιμοποιείται και μόνος του ώς Cache με απλά λόγια του πρώτου Server αν έχουμε μεγάλο φόρτο στον WDS Server μας.
Οι επόμενες δύο σελίδες είναι η επιβεβαίωση και η πορεία της εγκατάστασης.
Μετά την εγκατάσταση του ρόλου θα περάσουμε στην παραμετροποίηση του ρόλου. Για να ανοίξουμε την κονσόλα του WDS επιλέγουμε από τον Server Manager το Tools και έπειτα το Windows Deployment Services.
Μόλις ανοίξει η κονσόλα βλέπουμε στα αριστερά τον Server μας με το κίτρινο θαυμαστικό που δείχνει πως δεν έχουμε προχωρήσει σε παραμετροποίηση.
Ενδιαφέρον παρουσιάζει το μενού "Active Directory Prestaged Devices" , το οποίο μας επιτρέπει να παραμετροποιήσουμε τις επιλογές εγκατάστασης σε υπολογιστές που έχουμε προκαθορίσει μέσα από το Active Directory.
Για να ξεκινήσουμε τη διαδικασία κάνουμε δεξί κλικ πάνω στο Server και διαλέγουμε Configure . Η πρώτη μεγάλη έκπληξη έρχεται στο Welcome Screen το οποίο μας ενημερώνει πως ο WDS μπορεί πλέον να δουλέψει και χωρίς Active Directory υποδομή! Μέχρι και τον Server 2008 R2 το Active Directory ήταν προυπόθεση ,όμως με το νέο Server μπορούμε να τρέξουμε το WDS και σε έναν απλό Server.
Η επόμενη σελίδα του μάγου απλά επιβεβαιώνει την υποστήριξη Standalone Server, για το Demo μας όμως θα χρήσιμοποιήσουμε το Active Directory Integration.
Στην επόμενη σελίδα θα ερωτηθούμε για το που θέλουμε να αποθηκεύουμε τις εικόνες εγκατάστασης. Αφού είμαστε σε δοκιμαστικό περιβάλλον απλά θα αφήσω το c:\remoteinstall , σε πραγματικό περιβάλλον θα προτιμούσα ξεχωριστούς δίσκους για να αποθηκεύσω τα δεδομένα. Ο μάγος θα μας ενημερώσει πως αυτή η θέση περιέχει και την εγκατάσταση των Windows κάτι που δεν προτείνεται.
Στις επιλογές τις λειτουργίας του PXE θα επιλέξω να απαντάει ο Server σε όλους τους υπολογιστές που ζητούν εγκατάσταση από το δίκτυο αλλά να μην προχωράει σε εγκατάσταση μέχρι ο διαχειριστής να το επιλέξει.
Και το μόνο που θα μείνει είναι να πατήσω Finish για να περάσω στις επιλογές του Server.
-
Οι νέες δυνατότητες του SMB είναι τόσες πολλές με αποτέλεσμα η Microsoft να αποφασίσει να το ονομάσει SMB 3.0 αντί για SMB 2.2 Ας δούμε τα χαρακτηριστικά του.
SMB για εφαρμογές Server
Το SMB πλέον μπορεί να χρησιμοποιηθεί για εφαρμογές Server όπως ο SQL Server και ο Hyper-V. Μέχρι σήμερα θα έπρεπε να είχαμε κάποιο ξεχωριστό Storage για να φιλοξενούμε τα δεδομένα των εφαρμογών αυτών. Με το SMB 3.0 έχουμε τη δυνατότητα να φιλοξενήσουμε μια βάση δεδομένων για παράδειγμα σε ένα απλό κοινόχρηστο φάκελλο.
SMB Scale Out
Με το SMB Scale Out μπορούμε να προσθέσουμε Cluster Nodes για να αυξήσουμε την ταχύτητα διαμοιρασμού των αρχείων. Με τη νέα τεχνική χρησιμοποιούμε την ταχύτητα του δικτύου από όλους τους Server σε σχέση με την προηγούμενη γενιά που μπορούσαμε να χρησιμοποιήσουμε μόνο ενός. Επιπλέον οι διαχειριστές μπορούν να ελέγχουν την κίνηση στους File Servers και να μεταφέρουν τους χρήστες σε διαφορετικά Cluster Nodes.
SMB Direct
Με το SMB Direct μπορούμε να μειώσουμε την χρήση του επεξεργαστή στη διαχείριση των αρχείων και να εκμεταλευτούμε την επιπλέον επεξεργαστική ισχύ σε μια άλλη εφαρμογή. Το SMB Direct επιτρέπει τους File Servers να ανταλλάσουν αρχέια απευθείας απο τη μνήμη απελευθερώνοντας τον επεξεργαστή.
SMB Multichannel
Το SMB Multichannel μας επιτρέπει να χρησιμοποιήσουμε όλες τις κάρτες δικτύου Server και να επιτύχουμε μεγαλύτερο Bandwidth αλλά και προστασία από σφάλματα με τη χρήση πολλαπλών διαδρομών από και προς το Server.
Transparent Failover
Με το νέο SMB η μεταφορά των συνδέσεων μεταξύ των Clustered File Servers είναι διαφανής και δεν διακόπονται οι συνδέσεις των χρηστών ή των εφαρμογών.
VSS για SMB Shares
Αφού πλέον μπορούμε να τρέξουμε εφαρμογές Server σε απλά File Shares θα πρέπει κάπως να μπορούμε να πάρουμε ένα αντίγραφο ή να κάνουμε μια επαναφορά. Έτσι το Volume Shadow Copy Service αναβαθμίστηκε για να υποστηρίζει το SMB 3.0 και μας επιτρέπει πλεόν να πάρουμε ένα αντίγραφο ασφαλείας από ένα κοινόχρηστο φάκελλο με τη χρήση του.
SMB Encryption
Το SMB πλεόν έχει κρυπτογράφηση. Η ενεργοποίηση του είναι απλή και επιτρέπει την κρυπτογράφηση των δεδομένων από και προς τον File Server.
SMB Directory Leasing
Με το SMB Directory Leasing οι υπολογιστές σε απομακρυσμένα δίκτυα μπορούν να αποθηκεύουν πληροφορίες για έναν κατάλογο ή πληροφορίες metadata για κάποιο αρχείο, μειώνοντας τις συνεχείς ανανεώσεις. Αυτό έχει ως αποτέλεσμα τη γρηγορότερη απόκριση κατά την πλοήγηση στο δίκτυο από απομακρυσμένα σημεία.
-
Τριγυρίζοντας στην κονσόλα του Group Policy Management έπεσα πάνω σε δύο νέα πάρα πολύ ωραία Feature που θα με βοηθήσουν στην καθημερινή μου ενασχόληση.
Σαν να είσαι εκεί!
Η πρώτη νέα δυνατότητα που είδα είναι το GpUpdate. Ναι καλά διαβάσατε μέσα από την κονσόλα πλέον μπορώ να κάνω αυτόματα στους υπολογιστές Gpupdate σαν να ήμουν εκεί και να πατούσα gpupdate /force. Το μόνο που έχετε να κάνετε είναι να διαλέξετε το OU και με δεξί κλικ Group Policy Update. Η κονσόλα θα σας ενημερώσει για το πόσοι υπολογιστές θα κάνουν Update και στο τέλος θα σας δείξει την πρόοδο και την κατάσταση.
Η δεύτερη δυνατότητα είναι ο έλεγχος της κατάστασης του Replication του Active Directory. Μέχρι σήμερα θα έπρεπε να τρέξω το repadmin για να δω τι γίνεται στο Replication.
Σε μεγάλα Domains με πολλούς Domain Controller ο χρόνος που χρειάζεται για να φτάσουν οι αλλαγές σε όλους τους Domain Controllers είναι σημαντικός (ονομάζεται Convergence Time) και οι διαχειριστές παρακολουθούν την πορεία μέχρι όλοι οι Domain Controllers να είναι ενημερωμένοι.
Πλέον από την κονσόλα του GPMC μπορώ να δω την κατάσταση απλά πατώντας πάνω στο Domain. Η κονσόλα θα μου εμφανίσει τον τρέχοντα Baseline Domain Controller.
Αν επιλέξω να αλλάξω τον Baseline Domain Controller αποκαλύπτεται και μια ακόμη πληροφορία: πόσα GPO έχω!
Μόλις πατήσω το Detect now κάτω δεξιά μπορώ να δω πληροφορίες για την κατάσταση του Replication του Domain μου!
-
Με την προσθήκη του VM-Generation ID που επιτρέπει την ασφαλή χρήση των Domain Controller μέσα σε εικονικές μηχανές , γεννήθηκε και η ιδέα της δημιουργίας κλώνων.
Χωρίς το φόβο του USN Rollback μπορούμε να φτιάξουμε ένα κλώνο από έναν ήδη υπάρχον Domain Controller. Μέχρι σήμερα θα έπρεπε να περάσουμε τη διαδικασία αναβάθμισης σε Domain Controller του κάθε Server και φυσικά να τον παραμετροποιήσουμε όπως θέλαμε.
Με τον Windows Server 8 και τη χρήση του Hyper-V 3 που αναγνωρίζει το VM-Generation ID μπορούμε να κάνουμε κλώνους του Domain Controller άμεσα.
Τα πλεονεκτήματα μιας τέτοιας τεχνικής για παράδειγμα:
Μπορούμε να έχουμε πρόσθετους Domain Controllers πάρα πολύ γρήγορα.
Μπορούμε να έχουμε επαναφορά ενός ολόκληρου Active Directory Domain με τη χρήση μόνο μιας τέτοιας κλωνοποιημένης μηχανής.
Μπορούμε να έχουμε ένα πλήρες αντίγραφο της υποδομής μας διαθέσιμο για δοκιμές.
Και φυσικά πάρα πολλά ακόμη.
Πως δουλεύει η κλωνοποίηση:
Με τη χρήση του VM-Generation ID και την παρουσία ενός αρχέιου του DCCloneConfig.xml στην ίδια θέση που βρίσκεται η βάση δεδομένων του Active Directory.
Μόλις ξεκινήσει ο αντιγραμμένος Domain Controller και αντιληφθεί πως το VM-Generation ID είναι διαφορετικό και το συγκεκριμένο αρχείο υπάρχει , επικοινωνεί με τον Primary Domain Controller του Domain για να ξεκινήσει η διαδικασία. Για την επικοινωνία αυτή χρησιμοποιεί τον ίδιο λογαριασμό του Server από τον οποίο έγινε αντίγραφο.
Ο Primary Domain Controller ελέγχει αν ο συγκεκριμένος έχει δικαίωμα να γίνει αντίγραφο. Για να έχει το δικαίωμα αυτό πρέπει να βρίσκεται σε μια νέα ομάδα που έχει δημιουργηθεί με το όνομα Cloneable Domain Controllers. Σε αυτή την ομάδα μπορεί να προσθέσει τους Servers από τους οποίους μπορούμε να κάνουμε αντίγραφα ένας διαχειριστής του Active Directory έτσι ώστε να μην μπορεί να γίνει αντίγραφο χωρίς την έγκρισή του.
Αν η διαδικασία είναι επιτυχής τότε ο Primary Domain Controller δημιουργεί ένα νέο λογαριασμό, ένα νέο SID και ένα νέο κωδικό για τον κλώνο και του στέλνει αυτές τις πληροφορίες μαζί με τα χαρακτηριστικά που περιγράφονται στο αρχείο DCCloneConfig.xml. Αν δεν υπάρχουν χαρακτηριστικά όπως το Site ή η διεύθυνση Ip στο αρχείο , η διαδικασία τα δημιουργεί αυτόματα.
Ο κλώνος ετοιμάζει τη βάση δεδομένων με τη χρήση των νέων χαρακτηριστικών και καθαρίζει την κατάστασή του με τη βοήθεια του sysprep .
Έτσι σε χρόνο μηδέν έχουμε ένα ακριβές αντίγραφο του Domain με τη χρήση μόνο του VM-Generation ID !
-
Έφτασε η ώρα να το ζήσουμε. Εικονικοί Domain Controllers! Ξέρω θα μου πείτε τόσο καιρό δε με σταματούσε κάτι από το να έχω Domain Controllers σε εικονικό περιβάλλον.
Σίγουρα όχι , όμως υπήρχε το USN Rollback ,ο φόβος και ο τρόμος του κάθε Administrator.
Για να καταλάβουμε το πώς δουλεύει το AD DS Virtualization θα πρέπει να καταλάβουμε πως δουλεύει το ίδιο το Active Directory σήμερα.
Για να μεταφέρει πληροφορίες το Active Directory χρησιμοποιεί δύο attributes. Το πρώτο attribute ονομάζεται USN ή Update Sequence Number. Στην ουσία είναι ένας αριθμός ο οποίος δίνει έναν μοναδικό σειριακό αριθμό σε κάθε συναλλαγή που εκτελεί ο Domain Controller. Το δεύτερο Attribute ονομάζεται Invocation ID και βρίσκεται στην βάση δεδομένων του Domain Controller. Τα δύο αυτά μαζί δημιουργούν ένα μοναδικό κλειδί στο Active Directory το οποίο βοηθά τους Domain Controllers να καταλάβουν τι χρειάζεται να αντιγράψουν ή να δώσουν στους άλλους Domain Controllers για να έχουν όλοι τα ίδια δεδομένα.
Αν για κάποιο λόγο ένα USN χρησιμοποιηθεί ξανά για μια συναλλαγή φτάνουμε στο USN Rollback , την κατάσταση στην οποία ένας Domain Controller πιστεύει πως έχει τις σωστές πληροφορίες για τα αντικείμενα παρόλο που είναι λανθασμένες . Τι μπορεί να είναι λάθος;
Μπορεί να υπάρχουν αντικείμενα που έχουν σβηστεί σε άλλους Domain Controllers τα γνωστά Lingering Objects.
Μπορεί να υπάρχουν λάθος κωδικοί χρηστών ή υπολογιστών.
Μπορεί να υπάρχουν λάθος πληροφορίες για τους χρήστες ή και λάθος πληροφορίες για το σχήμα της βάσης.
Κάπου εδώ έρχεται ο Windows Server 8 να απαντήσει σε όλα αυτά. Στο Active Directory περιβάλλον του Windows Server 8 προστέθηκε μια νέα πληροφορία το VM-Generation ID.
Το VM-Generation ID είναι μια πληροφορία που προστίθεται όταν δημιουργείται ο Domain Controller και αποθηκεύεται στη βάση δεδομένων ή Directory Information Tree ( DIT) στην ιδιότητα msDS-GenerationID .
Ο hypervisor του Windows Server 8 έχει και αυτός μια έκδοση του VM-Generation ID για κάθε εικονικό Domain Controller .
Όταν εκτελεί μια συναλλαγή στο Active Directory ο Domain Controller ελέγχει το VM-Generation ID στη βάση δεδομένων με αυτό που έχει ο Hypervisor. Αν οι δύο αριθμοί συμφωνούν τότε η συναλλαγή πραγματοποιείται κανονικά.
Αν για κάποιο λόγο οι αριθμοί δεν ταιριάζουν , για παράδειγμα κάποιος Administrator βάλει πίσω ένα Snapshot του VM , τότε το Invocation ID γίνεται επαναφορά και οι διαθέσιμοι αριθμοί του RID (Relative Identification) αδειάζουν έτσι ώστε μην μπορεί να δημιουργηθούν διπλοί λογαριασμοί. Η ίδια διαδικασία επαναλαμβάνεται και κάθε φορά που ένας Domain Controller ξεκινά έτσι ώστε να μην μπορεί να συμβεί το αντίστοιχο αν για παράδειγμα βάλουμε ένα παλαιότερο VHD αρχείο στο Domain Controller.
Ευρηματικό, το λιγότερο που μπορεί να πει κανείς.
-
Αφού τελείωσα και τη βασική υποδομή με το Domain και το DNS/DHCP μπορώ πλέον να προχωρήσω στην εγκατάσταση και ενός File Server.
Στον Windows Server 8 υπάρχουν αρκετές αλλαγές στο κομμάτι του File Sharing. Εκτός από το Dynamic Access Control που έγραψα στο άρθρο που θα βρείτε σε αυτό το σύνδεσμο υπάρχει και το Storage Spaces καθώς και μερικές άλλες νέες δυνατότητες.
Ας ξεκινήσουμε λοιπόν! Έχω φτιάξει μια μηχανή με τα γνωστά χαρακτηριστικά όπως και στους υπόλοιπους Servers απλά πρόσθεσα 3 δίσκους. Ο DHCP μου έχει δώσει IP και μπορώ να βάλω τον Server στο Domain. Θα επιλέξω το όνομα FS8 για αυτόν.
Με την εκκίνηση του Add Roles απλά διαλέγουμε το ρόλο του File Server και εκεί τις ανάλογες ρυθμίσεις.
Μόλις τελειώσει η εγκατάσταση και μπούμε στο File Services θα παρατηρήσουμε την επιλογή Storage Pools. Το Storage Pools είναι μια νέα τεχνική διαχείρισης δίσκων στον Windows Server 8. Μέσα από αυτή τη δυνατότητα μπορούμε να διαχειριστούμε τους δίσκους μας σαν να είχαμε κάποιο Storage. Μπορούμε να φτιάξουμε ένα Storage Pool με δύο δίσκους ή και παραπάνω .Μέχρι και Hot Spare μπορούμε να έχουμε .
Θα διαλέξω λοιπόν το New Storage Pool με δεξί κλικ και θα πατήσω Next στο μάγο
Πρέπει να διαλέξουμε ένα νέο όνομα για το Storage Pool
Και τους δίσκους που θα συμμετέχουν. Εδώ διαλέγω τους 2 πρώτους δίσκους και αφήνω τον τρίτο για άλλη χρήση. Θα παρατηρήσετε στις επιλογές Data Store για να συμμετέχει ο δίσκος, Manual για χειροκίνητες προσθήκη και Hot Spare αν θέλουμε να υπάρχει δίσκος για αντικατάσταση καποιου χαλασμένου.
Στη σύνοψη των επιλογών θα ενημερωθώ για το όνομα και το συνολικό μέγεθος ακριβώς σαν να είχα Storage.
Η δημιουργία του Pool όμως δεν αρκεί . Πρέπει να δημιουργήσουμε ένα Storage Space. Τι είναι το Storage Space ; Το Storage Space είναι μια περιοχή στους δίσκους η οποία μπορεί να φιλοξενήσει δεδομένα. Μπορεί να χρησιμοποιηθούν τα γνωστά Raid μοντέλα. Raid0 ,Raid1,Raid5.
Διαλέγουμε λοιπόν το Storage Space και με δεξί κλικ New Virtual Disk
Ο μάγος μας ενημερώνει για το τι είναι ακριβώς το Virtual Disk και πατάμε Next.
Διαλέγουμε το Server και το Storage Pool
Δίνουμε ένα όνομα για αυτό το Virtual Disk
Και φτάνουμε στις επιλογές του τύπου του Virtual Disk. Εδώ μπορούμε να διαλέξουμε το Raid. Θα διαλέξω Raid1 γιατί θέλω ασφάλεια.
Στην επόμενη επιλογή διαλέγουμε το μέγεθος. Εδώ υπάρχει ένα Bug καθώς είμαστε ακόμη στη Beta και δεν απεικονίζεται σωστά το μέγεθος. Ξέρω όμως πως συνολικά μπορώ να έχω 127 Gigabyte και το συμπληρώνω.
Στο Confimation απλά πατάτε Create.
Με το Virtual Disk στη θέση του πρέπει να περάσω ένα Partition ένα Volume στο Server για να μπορέσω να χρησιμοποιήσω τον δίσκο.Περνάω στην επόμενη επιλογή, το Volumes.
Πατάω δεξί κλικ πάνω στο κενό και New Volume
Ο μάγος μας ενημερώνει για το τι πρόκειται να συμβεί.
Στην επόμενη σελίδα διαλέγουμε που θέλουμε να δημιουργήσουμε το νέο Volume. Θα διαλέξω το Disk4 το οποίο περιλαμβάνεται στο υποσύστημα Storage Spaces και το Virtual Disk που έχω ονομάσει UserDataDisk.
Το γνωστό θέμα με την ένδειξη της χωρητικότητας. Απλά θα διαλέξω όλο το χώρο.
Θα χρειαστώ και ένα γράμμα για το νέο δίσκο.
Καθώς και τον τύπο αρχείων. Θα τα αφήσω όπως τα προτείνει ο μάγος.
Και θα πέσω πάνω σε μια πολύ ενδιαφέρουσα επιλογή. Data Deduplication. Με το Data Deduplication μπορώ να αποθηκεύσω τεράστιες ποσότητες δεδομένων χρησιμοποιώντας μόνο ένα μικρό κομμάτι στο δίσκο. Πώς γίνετε αυτό; Ο Server ελέγχει τα κομμάτια του αρχείου για ομοιότητες και δημιουργεί συνδέσμους έτσι ώστε να κρατιούνται μόνο οι αλλαγές στο κάθε ένα από αυτά. Κοιτάξτε την εικόνα για να καταλάβετε καλύτερα πως ακριβώς δουλεύει. Θα το επιλέξω και θα βάλω μια τιμή 0 ημέρες για τα αρχεία έτσι ώστε να βελτιστοποιεί όλα τα αρχεία από σήμερα κιόλλας.
Το μόνο που απομένει είναι να πατήσω Create.
Αυτό ήταν μέσα σε 20 λεπτά έχω όλες τις λειτουργίες ενός πανάκριβου Storage χωρίς να έχω καν Raid Controller. Έστησα ένα Raid1 Volume με Data Deduplication χωρίς να δώσω Cent!!!!
Μερικές χρήσιμες εντολές Powershell για το Deduplication:
Import-Module Deduplication για να φορτώσετε το Module του Deduplication
Enable-DedupVolume <vol: Or Mount path> για να ενεργοποιήσετε το Deduplication σε ένα Volume. Δεν μπορείτε να το ενεργοποιήσετε στο System Volume εκει που έχετε κάνει εγκατάσταση τα Windows.
Set-DedupVolume <vol: Or Mount path> -MinimumFileAgeDays 0 Για να δώσετε ορισμό ημερών. Δηλαδή πόσο πίσω θα κοιτάει ο Server στα αρχεία. Αν θέλετε να τα ελέγχει όλα διαλέγετε 0.
Start-DedupJob <vol: Or Mount path> –Type Optimization Για να ξεκινήσει η διαδικασία
Get-DedupJob Για να δείτε πόσο απομένει για να ολοκληρωθεί η βελτιστοποίηση
Get-DedupStatus Για να δείτε πόσο βελτιστοποίηση έχει γίνει στο Volume
Start-DedupJob -Volume <vol: Or Mount path> -Type Unoptimization Για να επαναφέρετε τα αρχεία στην αρχική τους μορφή.
Πρέπει όμως και οι χρήστες να έχουν πρόσβαση στο φάκελο. Και επειδή συνήθως οι κοινόχρηστοι φάκελοι καταλήγουν με πολλά αρχειά που είναι παλιά και δε χρησιμοποιούνται θα ενεργοποιήσω και μια νέα δυνατότητα. Το File Management Tasks. Με το File Management Tasks μπορώ να διαχειρίστώ τα παλιά αρχεία και να τα μεταφέρω αυτόματα σε κάποιον άλλο φάκελο προς αρχειοθέτηση.
Καταρχήν θα κάνω κοινή χρήση το Volume που έφτιαξα για τους χρήστες απο το Shares
Εκει θα διαλέξω το New Share Wizard και το SMB Advanced για προχωρημένες επιλογές.
Στην επόμενη επιλογή θα διαλέξω το δίσκο U:
Θα δώσω ένα όνομα για το κοινόχρηστο στοιχείο. Προσέξτε πως δεν θα μου κάνει κοινή χρήση όλο το δίσκο αλλά θα φτιάξει ένα νέο φάκελο Shares και θα το προσθέσει μέσα εκει.
Στην επόμενη σελίδα συναντάμε ενδιαφέροντα πράγματα. Access Based Enumeration ,έτσι ώστε αν ο χρήστης δεν έχει δικαίωμα να ανοίξει κάποιο αρχείο να μην του το δείξει καν. To allow caching of share για να μπορούν οι χρήστες να αποθηκεύουν τοπικά αντίγραφα στο Offline Files και η επιλογή BranchCache για πιο γρήγορη πρόσβαση. Αν κάποιος χρήστης ανοίξει αυτό το αρχείο ,το BranchCache θα το αποθηκεύσει οπότε ο δεύτερος χρήστης θα το πάρει απο την Cache. Και το Encrypt Data Access , που θα κρυπτογραφήσει τα δεδομένα κατά τη μεταφορά προς το χρήστη. Μια πολύ σημαντική επιλογή κατ'εμε για όσους θέλουν αυξημένη ασφάλεια εύκολα.
Στις επιλογές της πρόσβασης δε θα διαλέξω κάτι τώρα αλλά στην επόμενη επιλογή θα τσεκάρω το User Data που θα ορίσει τη χρήση του φακέλλου για να τον διαχειριστώ από το Classification αργότερα.
Δε θα αλλάξω άλλες επιλογές και θα δημιουργήσω το φάκελο.
Περνάω στο File Server Resource Manager απο το Servers και δεξί κλικ στο FS8
Εκει πάω στο File Management Tasks και με δεξι κλικ φτιάχνω ένα καινούργιο
Στο όνομα θα ονομάσω το Task FileExpiration
Στο Scope θα διαλέξω το User Data και θα συμπληρώσει ο Server τους φακέλους με αυτή την ιδιότητα. Μπορείτε να δημιουργήσετε και δικές σας περιγραφές χρήσης από το Classification Properties->Folder Usage.
Στο Action θέλω να κάνει File Expiration και τα αρχεία που θα βρίσκει με τη χρήση συνθηκών να μεταφέρονται στο φάκελο C:\expired όπου μετά μπορώ να τα πάρω Backup.
Στο Notification και στο Reports δεν θα επιλέξω κάτι. Δε με ενδιαφέρει να ενημερωθώ , παρόλα αυτά μπορείτε να επιλέξετε να σας στέλνει E-mail ή να γράφει μια αναφορά κάπου για το τι αρχεία θα επηρεαστούν.
Θα διαλέξω στο Condition όλα τα αρχεία που δεν έχουν ανοιχτεί τις τελευταίες 180 ημέρες. Εδώ θα μπορούσατε να βάλετε και ποια αρχεία θέλετε να έλεγχει και αν θέλετε και κάποια άλλη πληροφορία απο το Classification αν έχετε δημιουργήσει δικές σας.
Στο Schedule θα διαλέξω να τρέχει καθημερινά
Αυτό ήταν ο File Server μου είναι στημένος με τις βασικές λειτουργίες του File Server!
-
Μιας που τελειώσαμε με την εγκατάσταση του Domain, προχωράμε στην εγκατάσταση και των άλλων Server.
Για να μην έχω να σκέφτομαι την διευθυνσιοδότηση στο Domain μου θα χρησιμοποιήσω DHCP Server. Επειδή όμως δεν έχω άλλο Server προς το παρών εκτός απο τόν Domain Controller θα στήσω εκεί ένα DHCP.
Ξεκινάμε όπως πάντα από τον Server Manager και το Add Roles
Πατώντας Next μέχρι να φτάσουμε στην επιλογή των ρόλων όπου και θα διαλέξουμε τον DHCP
Ως συνήθως θα βάλουμε και τα Tools του Server !
Και πατάμε Next μέχρι να τελειώσει η εγκατάσταση και να περάσουμε στην παραμετροποίηση.
Εδώ στον μάγο που θα εμφανιστεί θα πατήσουμε Next
Θα μας ζητήσει τον λογαριασμό που είναι υπεύθυνος για το Service του DHCP απλά πατάμε Next
Και τέλος Commit
Στο τέλος το μόνο που απομένει είναι να πατήσουμε το Close.
Απο την κονσόλα του Server Manager θα ανοίξω τον DHCP Manager με δεξί κλικ πάνω του
Με το άνοιγμα της κονσόλας βρισκόμαστε σε ένα γνώριμο περιβάλλον διαχείρισης εκτός απο το Policies.
Τι είναι τα policies; Τα policies είναι πολιτικές που μπορούμε να φτιάξουμε βάσει χαρακτηριστικών όπως η MAC Address. Για παράδειγμα να δώσουμε στους υπολογιστές με την MAC Address τάδε ένα διαφορετικό Gateway, διαφορετικά Scope Options.
Η μεγάλη έκπληξη έρχετε με το που πατήσω δεξί κλικ για να φτιάξω ένα Scope στο IPV4. Εκεί θα δείτε το μοναδικό Configure Failover. Ναι καλά διαβάσατε Highly Available DHCP! Μπορούμε πλέον να φτιάξουμε μια failover υπηρεσία DHCP μέσα απο αυτόν το μάγο χωρίς να έχουμε κοινό storage, clusters και τα λοιπά.
Υπάρχουν δύο λειτουργίες. H Active/Standby στην οποία ο ένας Server περιμένει στην άκρη με ένα συγκεκριμένο ποσοστό διευθύνσεων μήπως κάτι πάει στραβά στον πρώτο και η δεύτερη είναι Load Balancing στην οποία οι δύο Servers μοιράζουν διευθύνσεις ταυτόχρονα.
Για να γίνει όμως αυτό πρώτα πρέπει να φτιάξω Scope. Η διαδικασία είναι ίδια ακριβώς με τον 2008 Server οπότε δεν θα περάσω στο πώς να φτιάξετε ένα Scope. Θα στήσω όμως τον FS8 τον File Server δηλαδή όπως είπαμε στην αρχή των μαθημάτων για να μπορέσω να βάλω και εκεί το ρόλο να τον κάνω Authorize όπως και τον πρώτο και να στήσω το Failover.
Η διαδικασία ξεκινάει και πρέπει να επιλέξουμε το Scope για το οποίο θέλουμε να γίνει το Failover. Αν κάποιος Server είναι μέλος ήδη ώς Primary ή Secondary δεν τον αποτρέπει απο το να συμμετέχει σε ένα ακόμη διαφορετικό Scope!
Θα γράψω το όνομα του δεύτερου Server FS8.domain8.local
Και στην επόμενη σελίδα θα δούμε τις επιλογές. Αυτές δεν είναι δεσμευτικές καθώς μπορεί να αλλάξουν αργότερα απο τις επιλογές.
Εδώ θα βάλω το όνομα της "σχέσης" ώς HA_DHCP , θα διαλέξω επίσης το Client Lead Time σε 10 λεπτά, είναι ο χρόνος που θα ελέγχει ο client αν είναι ΟΚ ο DHCP. Στο Shared Secret θα βάλω έναν κωδικό για να μην μπορεί κάποιος να βάλει έναν DHCP πάνω σε αυτό το Failover και θα πατήσω Next.
Και απλά στο τέλος θα πατήσω Finish για να δώ την σελίδα που με ενημερώνει για την επιτυχία.
Απο τα Properties του Scope που έχουμε φτιάξει μπορούμε να δούμε τις ιδιότητες και το Status των Server και από τις ιδιότητες του IPV4 μπορούμε να αλλάξουμε τις ιδιότητες δηλαδή το mode απο Active/StandBy σε Loadbalancing!
Το μόνο που απομένει είναι να επιβεβαιώσω την ύπαρξη του Scope και στον δεύτερο Server
Άλλο ένα καταπληκτικό Feature που μας απαλάσει απο Clusters, Split-Scopes και όλα τα βάσανα του DHCP που είχαμε μέχρι σήμερα να αντιμετωπίσουμε. Και οι δύο ιδιότητες ,Active/Standby και η Load Balancing είναι εξαιρετικές , απλά η δεύτερη είναι εκπληκτική. Η δυνατότητα να μοιράσω τη ζώνη χωρις συμβιβασμούς ήταν δυνατή μόνο με Cluster. Τώρα δεν χρειάζομαι τίποτα τα έχω όλα εδώ.
-
Λοιπόν μετά από μια σύντομη ομιλία που είχα με το αφεντικό της εταιρείας(εμένα!) πήρα μια σαφή εικόνα του τι χρειάζεται να κάνουμε.
Η εταιρεία έχει τρία τμήματα , το λογιστήριο, την τιμολόγηση και την αποστολή παραγγελιών. Άρα έχουμε και λέμε, θα φτιάξουμε κάποια OU
Συγκεκριμένα το
Company
Company\Users
Company\Groups
Company\Servers
Company\ClientPcs
Για να τα κάνουμε όμως όλα αυτά θα χρειαστούμε την νέα κονσόλα του Administrative Center!
Χμμ που πήγε η κονσόλα του Administrative Center?
Αφήνουμε το ποντίκι δεξιά κάτω στην οθόνη και διαλέγουμε το Search μόλις εμφανιστεί.
Οοοο τι κόσμος μπαμπά! Η εικόνα του νέου Desktop , εγώ έτσι θα το λέω και ας είναι Metro, είναι ευανάγνωστη. Είμαστε τυχεροί που η επιλογή είναι πρώτη πρώτη. Πατάμε λοιπόν Active Directory Administrative Center.
Ανοίγει η κονσόλα και είναι λες και είμαστε στο 2035! Πανέμορφη. Ας αφήσουμε τα εικαστικά και ας περάσουμε στο ζουμί γιατί η ώρα περνάει. Στα αριστερά βλέπουμε το Domain8 που είναι το Domain μας , από κάτω ακριβώς το Dynamic Access Control τη νέα πολυσυζητημένη δυνατότητα. Διαλέγουμε το Domain8 για να δούμε την δομή του.
Δεξιά πήρε το μάτι μου το Enable Recycle Bin. Μπα έχουμε αλλαγές? Γίνετε να το πατήσω και να παίξει? Δε θα κάνω τίποτα άλλο? Για να δούμε το πατάω… με ενημερώνει πως η διαδικασία είναι μη αναστρέψιμη πατάω ΟΚ.
Θα κάνω και Refresh και εμφανίστηκε πλέον το Deleted Objects OU. Θα το δοκιμάσω μετά.
Πατάω κατευθείαν στη δεξιά πλευρά New->Organizational Unit. Εμφανίζεται μια νέα οθόνη όπου απλά γράφεις το όνομα. Βάζω company και πατάω OK κάτω δεξιά. Μπαίνω στο OU Company Και φτιάχνω γρήγορα και τα επόμενα.
Μέσα στο OU Users βάζω τους χρήστες. Στην αρχή προσθέτω φυσικά το αφεντικό!
Αριστερά στην εικόνα βλέπουμε άλλη μια αλλαγή εκτός των τυπικών, το Password Settings. Ναι καλά μαντέψατε τα γνωστά Fine Grained Password Policies είναι ένα κλικ. Θα φτιάξουμε κάποια για τους χρήστες της αποστολής δεμάτων , θα πρέπει να βάζουν κάτι σε μορφή Pin.
Η μορφή όμως δε με βοηθά να δω τα ονόματα χρηστών. Πατάω πάνω στο Description με δεξί κλικ και προσθέτω το SamAccountName για να ξέρω πως κάνει Login!
Προσθέτω και τους άλλους χρήστες
Φτιάχνουμε τον accountant, τον boss, τον billing και τον shipping.
Με την ίδια λογική φτιάχνουμε και τα αντίστοιχα Groups στο OU Company\Groups.
Και φυσικά ορίζουμε τους χρήστες στα αντίστοιχα Group!
Αφού τα φτιάξουμε γυρίζουμε στο Domain8 στα αριστερά. Επιλέγουμε System και Password Settings Container. Εκεί φτιάχνουμε μια νέα πολιτική για τους χρήστες της αποστολής δεμάτων με 4 ψηφία ,χωρίς προϋποθέσεις δυσκολίας και αριθμών και με μέγιστη διάρκεια τις 90 ημέρες. Διαλέγουμε και το ShippingGroup με το Add δεξιά για να επιβάλουμε την πολιτική στους χρήστες της ομάδος. Και όλα αυτά ΧΩΡΙΣ ADSIEDIT!!!!!!!!!!!!!
Πριν να τελειώσουμε το σημερινό quick lesson, θα δοκιμάσω να σβήσω ένα χρήστη να δώ αν δουλεύει το Recycle Bin. Θα διαλέξω το αφεντικό (τυχαίο? Δε νομίζω!) και με δεξί κλικ Delete. Με μια γρήγορη επίσκεψη στο Domain8\Deleted Objects μπορούμε να δούμε τον λογαριασμό του χρήστη και οι επιλογές δεξιά είναι :
Restore για άμεση επαναφορά
Restore to για να διαλέξουμε ένα άλλο OU για την επαναφορά
Locate Parent που μας μεταφέρει στο αρχικό OU
Properties που μας δείχνει κάποιες extra πληροφορίες για το αντικείμενο.
Απλά διαλέγω Restore και ως δια μαγείας ο χρήστης επανήλθε χωρίς καμία ΚΑΜΙΑ ΚΑΜΙΑ περαιτέρω διαδικασία!
Επίσης αν πατήσω στην κάτω πλευρά υπάρχει η μπάρα PowerShell History μέσω της οποίας μπορώ να δω το ιστορικό των εντολών πατώντας το Show all ,που έχει εκτελέσει η κονσόλα και να τις αντιγράψω για να τις εκτελέσω από το PowerShell μόνος.
Αυτήν την περίεργη μπάρα την είδα και στους χρήστες ! Ανοίγωντάς της θα εκπλαγείτε! Όλες οι σημαντικές πληροφορίες για τον χρήστη στα πόδια σας!
Αυτή είναι η δύναμη της νέας κονσόλας διαχείρησης του Active Directory,όλα γρήγορα , εύκολα , ευανάγνωστα. Θα πρέπει να σας πω επίσης πως μετά απο αυτά που είδατε ε μην περιμένετε να ξαναδουλέψετε με το Active Directory Users and Computers ! Άλλωστε και η Microsoft θα σταματήσει να το αναπτύσει απο δω και πέρα.
Νομίζω πως το Domain μας είναι έτοιμο για να περάσουμε στο επόμενο βήμα την εγκατάσταση του Dhcp και του File Server.
-
Σαν μια σοβαρή εταιρεία που είμαστε (είμαστε; Ναι είπε να λέμε ο γιατρός!) Πρέπει να παραμετροποιήσουμε το Domain μας. Τον τομέα δηλαδή που θα συνδέονται οι χρήστες και οι υπολογιστές. Εδώ όπως έχουμε ξαναπεί υπάρχει η μάλλον δεν υπάρχει το DCpromo. Πλέον αυτή η διαδικασία γίνεται μέσα από τον Server Manager.
Για να προσθέσουμε το Active Directory Θα επιλέξουμε Add Roles and features.
Στον μάγο που ακολουθεί Next και διαλέγουμε Role Based. Στην επόμενη σελίδα θα διαλέξουμε Server. Ένα από τα χαρακτηριστικά του νέου
Server Manager είναι η δυνατότητα να εγκαθιστούμε ρόλους και δυνατότητες σε απομακρυσμένους Servers.
Kαι έπειτα Active Directory Domain Services.
Ο μάγος θα μας ενημερώσει πως χρειάζονται και κάποια έξτρα εργαλεία , συγκεκριμένα αυτά είναι τα εργαλεία διαχείρισης του Active Directory.
Απλά πατάμε Next.
Στον Server 8 οι κονσόλες διαχείρισης εγκαθίστανται προαιρετικά. Αν ποτέ σας λείπει καμία βεβαιωθείτε πως την έχετε εγκαταστήσει απο τις ιδιότητητες.
Σε όλες τις επόμενες σελίδες Next μέχρι να φτάσουμε στο Install όπου το πατάμε και περιμένουμε.
Μόλις τελειώσει πατάμε στο Promote this server to a domain controller. Είναι το γνωστό DCpromo!
Διαλέγουμε Add a new forest μιας που δεν έχουμε και τίποτα εγκατεστημένο και στο πεδίο Domain βάζουμε Domain8.local για όνομα. Μπορείτε φυσικά να βάλετε ότι θέλετε.
Στην επόμενη σελίδα αφήνουμε το Domain Name System καθώς και βάζουμε έναν κωδικό για το Restore Mode σε περίπτωση που θέλουμε να επαναφέρουμε κάτι στο Active Directory.
Στην επόμενη σελίδα θα μας πληροφορήσει ο μάγος πως κάτι δεν πάει καλά με το DNS. Συγκεκριμένα με το Delegation. Δεν υπάρχουν αναφορές για αυτή τη νέα ζώνη πουθενά μιας που είναι το πρώτο Domain. Υπάρχει όμως μια τεράστια αναβάθμιση στην εμπειρία χρήσης των διαχειριστών, η δυνατότητα να δημιουργήσει μια ο μάγος! Μέχρι πρότινος θα έπρεπε αν προσθέταμε ένα νέο Domain σε ένα ήδη υπάρχον Forest να τη φτιάξουμε χειροκίνητα. Ποτέ ξανά και θα πατήσω next με μεγάλη ανακούφιση!
To NetBios name θα το αφήσω ως έχει και θα πατήσω Next όπως επίσης και τους προεπιλεγμένους φακέλους.
Στο Review έχουμε τη δυνατότητα να δούμε όλες τις επιλογές μας ,αλλά αφού είμαστε οι καλύτεροι απλά θα πατήσουμε Next και γρήγορα. Εδώ υπάρχει ένας μίνι έλεγχος για το τι λάθη υπάρχουν ,δε με απασχολούν δεν έχω χρόνο δε θέλω να δώ θα πατήσω Install.
Σε λίγο θα κάνει επανεκκίνηση η μηχανή για να μπούμε στον Domain Controller μας!
-
Ευθύς αμέσως θα ξεκινήσουμε με την εγκατάσταση των μηχανών.
Η διαδικασία προς το παρών στη Beta έκδοση δεν άλλαξε καθόλου εκτός από ένα ψάρι! που εμφανίζεται σε τακτά χρονικά διαστήματα.
Διαλέγουμε τη γλώσσα ,επιλέγουμε Install now και στην επόμενη οθόνη Windows Server 8 Datacenter (Server with a gui).
Πρέπει να αποδεχτούμε τους όρους για να συνεχίσει η εγκατάσταση.
Και επιλέγουμε Custom για να διαλέξουμε στην επόμενη εικόνα διαμέρισμα εγκατάστασης όπου απλά επιλέγουμε το Next αφού έχουμε ένα δίσκο.
Το μόνο που απομένει είναι να περιμένουμε το τέλος της εγκατάστασης για να βάλουμε τον κωδικό που θέλουμε για τον τοπικό διαχειριστή.
Αφού συνδεθούμε για πρώτη φορά πρέπει να επιλέξουμε αν θέλουμε να αποστέλλονται πληροφορίες στην Microsoft σχετικά με λάθη, εγώ θα επιλέξω ναι γιατί κάποιος πρέπει να τους τα πει !
Έπειτα θα αλλάξω το όνομα του υπολογιστή. Για να το καταφέρουμε αυτό θα πρέπει να πάμε στον Windows Explorer και να επιλέξουμε το My computer. Θα παρατηρήσετε στο Ribbon πλέον μια νέα μέθοδο πλοήγησης όπως και στο SharePoint για όσους έχετε ασχοληθεί. Εκεί μπορούμε να επιλέξουμε τις ιδιότητες για να εμφανιστεί η γνωστή εικόνα των ιδιοτήτων όπως στα Windows Server 2008 R2.
Το μόνο που απομένει είναι να βάλω τη διεύθυνση που του έχω καθορίσει από το πρώτο επεισόδιο της σειράς! Ο τρόπος εισαγωγής μιας διεύθυνσης IP είναι ακριβώς ίδιος με την προηγούμενη έκδοση.
Με αυτό τον τρόπο θα στήσουμε και όλες τις άλλες μηχανές που αφορούν τους εξυπηρετητές.
Περνάμε αμέσως στην εγκατάσταση του Domain Controller.
-
Με το που πήρα στο χέρι μου (δηλαδή στο σκληρό μου δίσκο !) Τα Windows Server 8 Beta και τα Windows 8 Consumer Preview , μια ιδέα πέρασε από το μυαλό μου , τρελή :
Να στήσω ένα πλήρες Working Demo με όλα αυτά τα συστατικά ,παλαιά και νέα, με βάση την ελληνική πραγματικότητα !
Τι θα περιλαμβάνει αυτό το Demo? Μια τυπική εγκατάσταση.
Ένα Domain Controller για την διαχείριση της ταυτοποίησης και της πρόσβασης.
Έναν File Server , για να αποθηκεύουμε τα αρχεία.
Εναν Certificate Server για τα πιστοποιητικά μας .
Έναν Remote Desktop Server, γιατί έχουμε και απομακρυσμένους χρήστες.
Έναν Application Server για να βάλουμε όλες τις εφαρμογές και επιπλέον ρόλους για την εγκατάστασή μας.
Τέλος θα φτιάξουμε και μία μηχανή με Windows 8 για το τερματικό μας.
Για όλα αυτά τα Demo θα πρέπει να έχετε κατεβάσει τις αντίστοιχες εκδόσεις
Windows Server 8 Beta και Windows 8 Consumer Preview
Προσωπικά διαλέγω τον Windows Server 2008 R2 με Hyper-V που είναι δοκιμασμένη λύση εικονικοποίησης και δε θα μου αποσπάσει την προσοχή με διάφορα λάθη. Μπορείτε όμως να χρησιμοποιήσετε κάποια άλλη που μπορεί να τρέξει 64 bit μηχανές.
Μπορείτε βέβαια να στήσετε απευθείας τον Windows Server 8 και να χρησιμοποιήσετε τον Hypervisor του!
Για την εγκατάσταση δεν θα χρειαστείτε DVD καθώς μια απλή αντιγραφή των περιεχομένων του ISO αρχέιου σε USB Stick μέχρι 4 Gigabyte είναι αρκετή!!
Αν το Usb stick είναι μεγαλύτερο θα χρειαστείτε το εργαλείο της Microsoft για να κάνετε εξαγωγή του ISO σε bootable usb.
Στις μηχανές αυτές θα δώσουμε 1 gigabyte μνήμης Ram και έναν δυναμικό δίσκο.Επίσης θα δώσουμε και 2 επεξεργαστές αν υποστηρίζει η μηχανή εικονικοποίησης που έχετε στη διάθεσή σας.
Όσο αφορά τα ονόματα και τις διευθύνσεις θα χρησιμοποιήσουμε τα παρακάτω:
Server Όνομα IP Διεύθυνση:
Domain Controller Dc8 192.168.2.50
File Server Fs8 192.168.2.51
Application Server Αpp8 192.168.2.52
Certificate Server Cs8 192.168.2.53
Remote Desktop Rd8 192.168.2.54
Windows Client1 Client1 192.168.2.55
Ας μην καθυστερούμε ας περάσουμε στην εγκατάσταση!
-
Στο 36ο Community event στη Θεσσαλονίκη είχα την ευκαιρία να παρουσιάσω τη νέα δυνατότητα των Windows Server 8 εν ονόματι Dynamic Access Control. Υποσχέθηκα πως θα γράψω και στο blog για την εμπειρία του Dynamic Access Control (DAC) καθώς και θα προσπαθήσω να απαντήσω σε κάποιες ερωτήσεις που είχα σχετικά με αυτό.
Καταρχήν τι είναι το Dynamic Access Control.
Το Dynamic Access Control είναι η δυνατότητα των Windows για κατηγοριοποίηση και εφαρμογή δυναμικών λιστών πρόσβασης στα αρχεία των χρηστών. Με αυτό τον τρόπο μπορούμε να προστατέψουμε τα αρχεία από μη εξουσιοδοτημένη πρόσβαση. Μπορεί να ακούγεται απλό μα οι αλλαγές στο Active Directory και στο σύστημα αρχείων είναι τεράστιες.
Μέχρι πρότινος οι διαχειριστές θα έπρεπε να φτιάξουν ομάδες χρηστών Groups και να δώσουν την ανάλογη πρόσβαση στα αρχεία , στα πρότυπα του Role Based Access Control. Δηλαδή το τί πρέπει να δει κανείς βάσει του ρόλου του στην εταιρεία που προσδιορίζοταν με χρήση των ομάδω χρηστών (Groups). Κατέληγαν λοιπόν κάποιες φορές να έχουν περισσότερες ομάδες χρηστών για διαχείριση της πρόσβασης από τους πραγματικούς χρήστες.
Ο σημερινός όμως όγκος των δεδομένων , μαζί με την πίεση του χρόνου και την ανάγκη για συμμόρφωση με πρότυπα που μέχρι χτες αγνοούσαμε , κατέστησαν τον κλασσικό τρόπο ελέγχου πρόσβασης ανεπαρκή.
Ανεπαρκής γιατί θα έπρεπε καταρχήν οι χρήστες να ήταν εκπαιδευμένοι να αποθηκεύουν στους σωστούς φακέλους τα αρχεία για να τα προστατεύσουν από ανεπιθύμητη πρόσβαση.
Ανεπαρκής γιατί δεν υπήρχε κεντρική διαχείριση για την πρόσβαση και έπρεπε ο διαχειριστής να την ορίζει σε πολλούς και διαφορετικούς Servers.
Ανεπαρκής γιατί οι δυνατότητες επιλογής των χρηστών για την πρόσβαση ήταν περιορισμένες σε 2. Πρόσβαση με βάση την ομάδα ή τον χρήστη.
Ανεπαρκής γιατί η απάντηση προς την προσπάθεια του χρήστη για πρόσβαση ήταν Ναι/Όχι που τον άφηνε χωρίς περαιτέρω ενημέρωση για το πώς μπορεί να λύσει το πρόβλημά του
Στον Windows Server 8 λοιπόν έρχεται η απάντηση σε όλα τα παραπάνω, ας δούμε λίγο την αρχιτεκτονική
Στο Active Directory προστέθηκε η διαχείριση των Claim Based Access Control. Της διαχείρισης πρόσβασης βάσει δικαιωμάτων.
Η πρόσβαση δηλαδή βάσει των δικαιωμάτων όπως , σε ποια ομάδα ανήκει ο χρήστης , σε ποιο τμήμα, τι άδεια πρόσβασης έχει και όλες τις ιδιότητες του χρήστη που βρίσκονται στο Active Directory. Μπορούμε πλέον να δώσουμε πρόσβαση βάσει δικαιώματος του τηλεφώνου,της διεύθυνσης ή του τμήματος! Όσοι έχουν αριθμό που ξεκινάει από 697 και όσοι είναι στην οδό Κηφισίας παραδείγματος χάρη.
Πρέπει όμως να κατηγοριοποιηθούν και οι πόροι, τα αρχεία δηλαδή. Ακολουθώντας την ίδια ακριβώς λογική. Μπορούμε να χαρακτηρίσουμε ένα έγγραφο προσθέτοντας Tags ως έγγραφο λογιστηρίου, εμπιστευτικό έγγραφο που περιέχει απόρητες πληροφορίες και οτιδήποτε άλλο μπορεί να φανταστεί ο ανθρώπινος νους.
Οι συνδυασμοί είναι πραγματικά αμέτρητοι.
Τα Claims και τα Resource Property Definitions δένονται μαζί και φτιάχνουν μια κεντρική πολιτική πρόσβασης (Central Access Policies).
Στο group policy φτιάχτηκαν οι κατάλληλες πολιτικές για να μπορούμε να επιβάλουμε αυτές τις πολιτικές μαζικά μέσα στο Domain.
Στους File Servers προστέθηκε η επιβολή των πολιτικών στα αρχεία καθώς και ο τρόπος αυτόματης κατηγοριοποίησης αυτών με ή χωρίς την παρέμβαση του διαχειριστή.
Επειδή όμως αυτή η τεχνολογία προσωπικά μου έχει κινήσει πάρα πολύ το ενδιαφέρον δεν θέλω να μείνω πολύ στη λογική του Dynamic Access Control θα περάσω κατευθείαν στο Demo να το φτιάξουμε να το δούμε πως παίζει και να κρίνουμε μαζί αν μας κάνει για την καθημερινότητά μας.
Για να δούμε ένα Demo θα χρειαστούμε 3 μηχανές. Έναν Domain Controller και ένα File Server με Windows Server 8 και ένα υπολογιστή με Windows 8. Διάλεξα 1 gigabyte μνήμης , 2 επεξεργαστές και ένα δυναμικό δίσκο των 127 gigabyte για να τρέξω 3 διαφορετικές εικονικές μηχανές. Οι πόροι είναι επίτηδες τόσο χαμηλοί για να δείτε και κάτι ακόμη τρομερό, πόσο λίγους χρειάζεται πραγματικά. Και επειδή δεν είμαι έτοιμος ψυχολογικά για να στήσω κάποιου είδους πρόσβασης με βάσει χαρακτηριστικά με Claims όπως τηλέφωνα και τμήματα και και και , αποφάσισα να το κάνω με ένα Group για να δοκιμάσω αν όντως μπορώ να στείλω δυναμικές λίστες στο Domain μου σήμερα. Μην πάμε στη δουλειά και είμαστε με τα μούτρα κάτω για την παλιοζωή και τα Groups !
Ξεκίνησα με τον Domain Controller και έστησα ένα Domain με όνομα domain8.local στο οποίο έφτιαξα τις παρακάτω οργανωτικές δομές ( OU) με τη βοήθεια της κονσόλας Active directory administrative Center.
Domain8\Domain
Domain8\Domain\Accounting στο οποίο έφτιαξα ένα χρήστη τον Accountant , το λογιστή της εταιρείας.
Domain8\Domain\Billing στο οποίο έφτιαξα ένα χρήστη τον Billing ,τον υπεύθυνο τιμολόγησης και ένα Group το οποίο ονόμασα BillingGroup για να δοκιμάσω τις πολιτικές βάσει group.
Domain8\Clients στο οποίο έβαλα τον υπολογιστή πελάτη.
Domain8\Servers στο οποίο έβαλα τον File Server .
Στην κονσόλα του Active Directory Administrative Center διάλεξα το claims based access από αριστερά και έπειτα το Resource Properties. Εκεί θα παρατηρήσετε ένα κατεβατό από έτοιμες πολιτικές για την διαχείριση. Έφτιαξα λοιπόν μια νέα ιδιότητα που την ονόμασα Invoices, τιμολόγια δηλαδή και δήλωσα πως αφορά κείμενο. Ξεχωρίζει αμέσως γιατί δεν έβαλα περιγραφή!
Αποθήκευσα αυτή την ιδιότητα και πέρασα στο Central Access Rules. Εδώ στη ουσία φτιάχνεται η πολιτική πρόσβασης. Έφτιαξα μια πολιτική που ονόμασα InvoiceRule και έδωσα ως στόχο για την αναζήτηση πόρων τη λέξη «τιμολ» . Έστησα δηλαδή μια πολιτική για πόρους που έχουν το tag ,την ιδιότητα με τη λέξη αυτή ,που όταν την βρίσκει ο Server θα αλλάζει την πρόσβαση και θα περνάει τη νέα που μπορείτε να επιλέξετε στο Current Permissions.Εκεί απλά πρόσθεσα το group Billing το οποίο περιέχει και τους χρήστες που θέλω να έχουν πρόσβαση.Συγκεκριμένα τον χρήστη Billing.
Και αφού διάλεξα τον τύπο και τον κανόνα , έφτιαξα και μια πολιτική στο Central Access Policies που την ονόμασα BillingRulesForceApply για να την περάσω στους File Servers.
Και φυσικά διάλεξα μέσα στην πολιτική τον κανόνα InvoiceRule.
Για να γίνει αυτόματα η διαδικασία , άλλωστε τι Domain έχουμε θα πέσει να μας πλακώσει!, επέλεξα το Group policy.
Εκεί έφτιαξα μια νέα πολιτική στο OU Servers που την ονόμασα Populate File Server Access Policies For Compliance.
Μέσα στην πολιτική πήγα στο Computer Configuration\Windows Settings\File System. Στη δεξιά μεριά που είναι όλα λευκά σαν όνειρο πάτησα δεξί κλικ και έπειτα κλικ στο Manage Central Access Policies διάλεξα την BillingRulesForceApply και την πρόσθεσα στις Applicable, σε αυτές δηλαδή που θα διαβάζει αυτόματα.
Έκλεισα όλες τις κονσόλες και πέρασα στο File Server. Πρόσθεσα το ρόλο του File Server και διάλεξα το ρόλου του File Server. Επίσης από τα Feature διάλεξα το Remote Server Administration Tools > File Server Resource Manager και στη συνέχεια το FSRM.
Άνοιξα την κονσόλα File Server Resource Manager. Στο νέο δένδρο στην αριστερή πλευρά διάλεξα το Classification Management και το Classification Properties στη συνέχεια.
Το Classification properties είναι ο τύπος της κατηγοριοποίησης που θα κάνει ο Server. Μπορείτε να δείτε πως ήρθε μόνη της η κατηγορία Invoices έγινε κατανάλωση απο το Active Directory , έχει Global Scope και είναι και ασφαλής μιας που έρχεται από το Domain . Έχει στόχο φακέλους και αρχεία και παίρνει τιμές κειμένου.
Αφού είναι στη θέση της η ιδιότητα περνάμε στο Classification Rules. Εδώ θα πούμε το Server να κατηγοριοποιήσει τα δεδομένα. Έφτιαξα λοιπόν έναν φάκελο στο δίσκο από την εξερεύνηση των Windows στη θέση C:\company_data και τον έκανα κοινόχρηστο . Επέστρεψα στην κονσόλα και έφτιαξα έναν καινούργιο κανόνα τον οποίο ονόμασα InvoiceTaggingRule.Έδωσα ως στόχο τον κατάλογο C:\company_data. Στην εικόνα θα δείτε και το Folder Usage το οποίο αναφέρει τη χρήση του φακέλου αν θέλουμε να κατηγοριοποιήσουμε τα αρχεία βάσει του τι περιεχόμενο περιμένουμε να έχει ο φάκελος. Η επιλογή κατηγορίας γίνεται από τη κονσόλα της δημιουργίας κοινόχρηστων φακέλων στο Server Manager του File Server. Δε θέλουμε όμως βάση φακέλου για αυτό το παραβλέπω.
Στο Classification διάλεξα Content Classifier έτσι ώστε να κατηγοριοποιήσει ο Server βάσει περιεχομένου των αρχείων, διάλεξα την ιδιότητα invoices που έρχεται από το Active Directory και έγραψα τη λέξη «τιμολ» ως επιθυμητή ιδιότητα. Στα Expressions έβαλα τη λέξη «τιμο» . Στο τελευταίο Tab διάλεξα να γίνεται ξανά κατηγοριοποίηση και να ξανά γράφει τις ιδιότητες έτσι ώστε να είναι αδιάβλητο σε αλλαγές.
Μερικά tips για την κατηγοριοποίηση. Καταρχήν μπορεί να γίνει είτε αυτόματα με κάποιον κανόνα όπως αυτόν που φτιάξαμε, είτε χειροκίνητα από τους χρήστες ή τους διαχειριστές. Η κατηγοριοποίηση μπορεί να προσθέτει τιμές στα Tags των αρχείων είτε βάσει λέξεων που περιέχουν είτε κατηγορίας φακέλου είτε με συνδυασμό των δύο.
Αφού τα έφτιαξα λοιπόν όλα τα παραπάνω δημιούργησα δύο αρχεία κειμένου. Στο ένα έβαλα τη λέξη Acc50-00 και στο άλλο διάφορες λέξεις καθώς και τη λέξη «τιμολόγιο».
Για να μην περιμένω για πάντα διάλεξα από την κονσόλα του File Server Resource Manager να τρέξει η κατηγοριοποίηση άμεσα. Μπορείτε πάντα να αλλάξετε τις επιλογές για το Classification Tagging, με δεξί κλικ στο File Server Resource Manager και έπειτα στο Tab Automatic Classification. Εκεί μπορείτε να ορίσετε και συνεχές ωράριο ,για 24 ώρες το 24ωρο tagging.
Μόλις τελείωσε επιβεβαίωσα πως πρόσθεσε την τιμή «τιμολ» στο ένα από τα δύο αρχεία που έφτιαξα.
Συνδέθηκα στο τερματικό με το λογαριασμό του Billing και δοκίμασα να ανοίξω το αρχείο, voila ! Πρόσβαση χωρίς να έχω κάνει τίποτα ούτε στο αρχείο ούτε στο φάκελο.
Το μόνο που απέμενε πλέον ήταν να συνδεθώ με το λογαριασμό του Accountant στο τερματικό , να πλοηγηθώ στο Server μου και στον κοινόχρηστο φάκελο Company_Data και να δώ το Access Denied error! Επαναλαμβάνω ΧΩΡΙΣ ΝΑ ΕΧΩ ΚΑΝΕΙ ΤΙΠΟΤΑ ΣΤΟ ΦΑΚΕΛΟ Η ΣΤΟ ΑΡΧΕΙΟ.
Το Dynamic Access Control είναι μια φοβερή δυνατότητα , θα αφαιρέσει ένα τεράστιο διαχειριστικό βάρος αφού θα κάνουμε τα μισά πράγματα για να προσθαφαιρέσουμε πρόσβαση και θα μας δώσει τη δυνατότητα διαχείρισης πρόσβασης με βάση χαρακτηριστικά όλων των ειδών και όχι ομάδες χρηστών. Και αυτό είναι μόνο η αρχή!
Η νέα προοπτική μας δίνει νέους τρόπους να καταναλώσουμε το Active Directory!
Περιμένω με ανυπομονησία την πρώτη Release Candidate του Windows Server 8 για να δοκιμάσω περισσότερα πάνω στο Active Directory ! Εσείς;
Αν δοκιμάσετε το Demo και κολλήσετε κάπου μπορείτε να με ρωτήσετε εδώ ή στο Forum.
-
Τον τελευταίο καιρό υπάρχει αρκετή φημολογία για τον καινούργιο Windows Server 8 και τα καινούργια Windows 8 στο Internet. Μια νέα δυνατότητα των Windows 8 είναι ο συγχρονισμός του προφίλ σε όλους τους υπολογιστές που συνδέεται ο χρήστης.
Με αυτόν τον τρόπο όταν αλλάζετε μια ταπετσαρία στο φορητό σας υπολογιστή , αυτομάτως ενημερώνετε και ο σταθερός. Πολύ ωραία και εύκολα!
Απο την πλευρά του διαχειριστή όμως αυτό δεν είναι πολύ εύκολα πόσο μάλλον πολύ ωραία. Φαντάζεστε να κάνει ο καθένας ότι αγαπάει στο laptop και να το βλέπετε εσείς στο γραφείο;
Αν και είχα υποσχεθεί πως θα βάλω την Beta έκδοση του Windows Server 8 δεν άντεξα και έστησα την Developer Preview σήμερα για να το εξακριβώσω και εύρηκα!
Υπάρχει στο Group Policy η επιλογή ελέγχου κάθε ρύθμισης ξεχωριστά. Η επιλογές βρίσκονται στο Computer Configuration-> Policies -> Administrative Templates -> Windows Components ->Settings Sync.
Οι διαθέσιμες επιλογές είναι:
Do not syncronize user application settings
Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό εφαρμογών (υποθέτω τις εφαρμογές του Market Place)
Do not syncronize user credentials
Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των κωδικών μεταξύ υπολογιστών.
Do not syncronize user desktop themes
Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των θεμάτων της επιφάνειας εργασίας.
Do not syncronize user personalization settings
Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των προσωπικών ρυθμίσεων του χρήστη.
Do not syncronize user settings
Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των ρυθμίσεων του χρήστη.
Do not syncronize user web browser settings
Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των ρυθμίσεων του Internet Explorer.
Do not syncronize user Windows settings
Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των ρυθμίσεων των Windows.
Αξίζει να σημειωθεί πως η κάθε ρύθμιση που αφορά τα καινούργια Windows αναγράφει στις απαιτήσεις At least Windows Developer Preview.
Έτσι με λίγο ψάξιμο μπορεί κανείς να βρεί τις ρυθμίσεις που θα αφορούν το νέο λειτουργικό.
-
Με αφορμή κάποια νήματα στο Autoexec σχετικά με τους FSMO Roles των Windows , θεώρησα σωστό να κάνουμε μια επανάληψη μιας και υπάρχει αρκετή σύγχιση γύρω απο το θέμα.
Τι είναι οι FSMO ρόλοι?
Οι Flexible Single Master Operation ρόλοι έχουν ως σκοπό να εξυπηρετήσουν την δομή του Active Directory να έχει πολλούς Master εξυπηρετητές. Από την αρχή του Active Directory ήταν ξεκάθαρο πως μια δομή με δυνατότητα πολλαπλών εξυπηρετητών θα ήταν η ιδανική υλοποίηση. Θα έδινε τη δυνατότητα στους διαχειριστές να μπορούν να κάνουν αλλαγές σε οποιοδήποτε ελεγκτή τομέα και να έχουν τις αλλαγές σε όλους χωρίς να ανησυχούν για πράγματα όπως σε ποιο ελεγκτή θα πρέπει να γίνουν οι αλλαγές.
Για να μην υπάρχουν όμως αλλαγές οι οποίες θα έρχοταν σε σύγκρουση μεταξύ τους , έπρεπε με κάποιον τρόπο το Active Directory να ελέγχει με διαφάνεια τον εξυπηρετητή κατά τη διάρκεια για αποφυγή συγκρούσεων.Έτσι γεννήθηκαν οι FSMO ρόλοι.
Τι αφορούν?
Υπάρχουν 5 FSMO ρόλοι ο καθένας με διαφορετική λειτουργία.Οι 2 απο αυτούς αναφέρονται στο Forest Root Domain ή αλλιώς στο πρώτο Domain που φτιάχτηκε κατά την υλοποίηση του Active Directory.Αυτοί οι ρόλοι είναι μοναδικοί σε όλο το Forest.Οι υπόλοιποι 3 ρόλοι βρίσκονται στο Forest Root Domain καθώς και σε κάθε Domain που δημιουργείτε έπειτα.
Οι ρόλοι που απευθύνονται στο Forest είναι οι εξής:
Α) Schema Master
Ο οποίος είναι υπεύθυνος για το σχήμα της βάσης που υπάρχει σε όλους τους τομεις (Domains). Αναλαμβάνει τις αλλαγές στο σχήμα,οπότε κάθε φορά που το σχήμα αλλάζει ,για παράδειγμα προσθέτετε έναν Exchange Server είναι υπεύθυνος να κάνει τις αλλαγές και να τις δώσει σε όλους τους τομείς εαν υπάρχουν περαν του Forest Root Domain.
Β)Domain Naming Master
Ο συγκεκριμένος ρόλος υπάρχει για να προσθέτει και να αφαιρεί τομείς (Domains). Κάθε φορά που προσθέτετε η αφαιρείτε κάποιον τομέα είναι υπεύθυνος για τις εγγραφές στη βάση και την ενημέρωση των υπόλοιπων Domain.
Οι ρόλοι που αφορούν το Domain είναι οι εξής:
A)Primary Domain Controller Emulator ή PDC Emulator.
Αυτός ο ρόλος είναι ένας απο τους ποιο σημαντικούς.Αναλαμβάνει τις αλλαγές σε ότι αφορά τους χρήστες,το συγχρονισμό της ώρας και είναι ο ελεγκτής στον οποίο απευθύνονται οι υπόλοιποι εάν υπάρχει κάποια διαφωνία.
Β)Relative Identification Master ή RID Master.
Ο συγκεκριμένος ρόλος έχει ως ευθύνη την παραγωγή των ID για τα αντικείμενα.Κάθε αντικείμενο ,χρήστης,υπολογιστής,ομάδα για παράδειγμα έχουν ένα μοναδικό αριθμό στο Domain.Για να μην υπάρχει περίπτωση αυτός ο αριθμός να έιναι ίδιος μεταξύ αντικειμένων όλοι οι ελεγκτές όταν θέλουν να δημιουργήσουν ένα αντικείμενο παίρνουν έναν αριθμό από τον RID Master.
C)Infrastructure Master.
Ο τελευταίος ρόλος είναι ,ας μου επιτραπεί,ο τηλεφωνικός κατάλογος του Domain. Κάθε φορά που χρειάζονται πληροφορίες για κάποιο αντικείμενο σε άλλους τομεις (Domains) οι ελεγκτές συμβουλέυονται τον Infrastructure Master.
Είναι όμως και ο ρόλος που κινδυνεύει να χαθεί γρηγορότερα.Ο λόγος είναι η ύπαρξη του Global Catalog.Όταν ένας ελεγκτής είναι και Global Catalog τότε γνωρίζει ήδη για τα αντικείμενα που βρίσκονται σε άλλους τομείς και δεν χρειάζεται να ρωτήσει τον Infrastructure Master.
"Ώραια ,τώρα που κατάλαβα τι κατάλαβα;" θα αναρωτηθεί κανείς. Πως θα καταλάβω οτι υπάρχει κάποιο πρόβλημα αφού είναι μια διαφανής διαδικασία;
Το Active Directory έχει φτιαχτεί τόσο καλά που δεν καταλαβαίνει κανείς εύκολα το τί γίνεται καθώς το παραμετροποιεί ,προσθέτει ή αφαιρεί. Τα πιο πολλά εργαλεία αυτόματα συνδέονται με τον ελεγκτή που έχει το ρόλο που είναι υπεύθυνος.Για παράδειγμα όταν ανοίγετε την κονσόλα διαχείρησης χρηστών αυτόματα μεταφέρεστε στον PDC Emulator. Ωραίο έτσι; Ναι και όχι θα έλεγα. Για να καταλάβετε οτι υπάρχει πρόβλημα πέραν του Event Viewer θα αποτύχουν κάποιες εργασίες.Στον επόμενο πίνακα μπορείτε να δείτε μερικές.
Σύμπτωμα : Οι χρήστες δεν μπορούν να συνδεθούν.
Ρόλος : PDC
Εξήγηση : Αν τα ρολόγια των υπολογιστών δεν είναι συγχρονισμένα η ταυτοποίηση θα αποτύχει.
Σύμπτωμα : Οι χρήστες δεν μπορούν να αλλάξουν κωδικό.
Ρόλος : PDC
Εξήγηση : Αν ο PDC είναι κάτω δεν θα είναι δυνατό να αλλάξετε κωδικό.
Σύμπτωμα : To κλείδωμα των λογαριασμών δεν λειτουργεί.
Ρόλος : PDC
Εξήγηση : Το κλείδωμα των λογαριασμών (Account Lockout) χρειάζεται αυτόν το ρόλο.
Σύμπτωμα : Δεν μπορείτε να προσθέσετε χρήστες η ομάδες.
Ρόλος : RID
Εξήγηση : O RID Master δεν λειτουργεί ή δεν έχει ελεύθερους μοναδικούς αριθμούς για να σας δώσει.
Σύμπτωμα : Δεν δουλεύουν σωστά τα Universal Groups.
Ρόλος : Infrastructure
Εξήγηση : Αν δεν λειτουργεί σωστά ο Infrastructure Master δεν θα μπορείτε να εκμεταλευτείτε τα Universal Groups που περιέχουν χρήστες απο άλλα Domains.
Σύμπτωμα : Δε μπορείτε να προσθέσετε η να αφαιρέσετε ένα ελεγκτή.
Ρόλος : Domain Naming
Εξήγηση : Αν δε μπορείτε να προσθέσετε έναν ελεγκτή ή να δημιουργήσετε ένα νέο τομέα πολύ πιθανόν να μην δουλεύει σωστά ο Domain Naming Master.
Σύμπτωμα : Δε μπορείτε να αλλαξετε το σχήμα της βάσης.
Ρόλος : Schema
Εξήγηση : Αν δε δουλεύει ο Schema Master τότε αλλαγές στο σχήμα της βάσης δεν είναι εφικτές.
Η παραπάνω λίστα είναι ενδεικτική και φυσικά υπάρχουν πολλά πράγματα παραπάνω που είναι άμεσα συνδεδεμένα με τους ρόλους.
"Μάλιστα και τώρα που κατάλαβα που βρίσκω που είναι οι ρόλοι?"
Μπορείτε πολύ εύκολα να βρείτε τους ρόλους απλώς πηγαίνωντας σε μια γραμμή εντολών και δίνοντας "netdom query fsmo" απο έναν ελεγκτή τομέα.
Αν δε σας αρέσει η γραμμή εντολών μπορείτε να βρείτε τους ρόλους και απο το γραφικό περιβάλλον.
Για να δείτε πληροφορίες για τον ελεγκτή του Schema master θα πρέπει πρώτα να τρέξετε την εντολή "regsvr32 schmmgmt.dll" απο την εκτέλεση του μενού έναρξης. Ο υπολογιστής θα σας ενημερώσει για την επιτυχή καταχώρηση. Έπειτα θα πρέπει να ανοίξετε ένα παράθυρο κονσόλας MMC και να προσθέσετε την κονσόλα του σχήματος με τη χρήση του File->Add/Remove Snap-ins. Εκεί θα πατήσετε δεξί κλικ πάνω στο Active Directory Schema και θα διαλέξετε το Operations Master.
Για πληροφορίες του Domain Naming Master θα ανοίξετε την κονσόλα Active Directory Domains and Trusts απο τα διαχειριστικά εργαλεία και θα διαλέξετε με δεξί κλικ πάνω στο Active Directory Domains and Trusts απο τα αριστερά Operations Master.
Για τους ρόλους σε επίπεδο Domain απλά μπορείτε να ανοίξετε την κονσόλα Active Directory Users and Computers διαχειριστικά εργαλεία και θα διαλέξετε με δεξί κλικ πάνω στο Domain σας απο τα αριστερά Operations Master.
"Ωραία τώρα που κατάλαβα χρειάζεται να ξέρω ποιος server πρέπει να φιλοξενεί το ρόλο;"
Υπάρχουν κάποιες γενικές γραμμές για το πως πρέπει να μπουν οι ρόλοι.
Ρόλοι του Domain.
Γενικά o PDC emulator καθώς και ο RID master θα πρέπει να βρίσκονται στον ίδιο εξυπηρετητή. Αυτό γίνεται γιατί ο PDC είναι αυτός που θα χρησιμοποιεί πιο συχνά τον RID master για νέους αριθμούς.
Ο Infrastructure master θα πρέπει να είναι σε ένα ελεγκτή που δεν είναι Global Catalog. Αυτός ο κανόνας έχει 2 εξαιρέσεις.
Υπάρχει ένας τομέας μόνο οπότε ο ρόλος είναι σχεδόν άχρηστος και όλοι οι ελεγκτές είναι και Global Catalog οπότε γνωρίζουν ήδη τα αντικείμενα του τομέα.
Ρόλοι του Forest.
Οι δύο ρόλοι του Forest μπορούν να είναι στον ίδιο ελεγκτή για απλούστευση της διαχείρισης.
Φυσικά δεν πρέπει να ξεχνάμε πως χρειάζονται τουλάχιστον 2 ελεγκτές τομέα για κάθε Domain. Για να μπορείτε να κάνετε αλλαγές στους ρόλους με επιτυχία καλό είναι οι εφεδρικοί ελεγκτές να είναι καλά συνδεδεμένοι με τον ελεγκτή που έχει το ρόλο. Με αυτήν την τακτική θα είναι σίγουρο πως σε περίπτωση προβλήματος αν χρειαστεί να μεταφέρω τους ρόλους τότε ο ελεγκτής που θα τον φιλοξενήσει θα είναι ενημερωμένος όσο το δυνατόν περισσότερο.
"Μάλλον υπάρχει κάποιο πρόβλημα/θέλω να αλλάξω ελεγκτή, μπορώ να αλλάξω ελεγκτή που φιλοξενεί το ρόλο;"
Φυσικά, μπορείτε να αλλάξετε τους ελεγκτές που φιλοξενούν το ρόλο χρησιμοποιώντας είτε τις κονσόλες διαχείρησης , είτε το εργαλείο ntdsutil.exe το οποίο μας δίνει και τη δυνατότητα βίαιης μεταφοράς σε περίπτωση σφάλματος . Επίσης εαν αποφασίσετε να καταργήσετε έναν ελεγκτή τομέα που φιλοξενεί κάποιο ρόλο τότε αυτόματα τα Windows θα μεταφέρουν το ρόλο.
Αν όμως ένας ελεγκτής δεν δουλεύει σωστά και χρειαστεί να μεταφέρετε τους ρόλους με το Ntdsutil τότε θα πρέπει να ξέρετε πως αν καταφέρετε να επισκευάσετε τον ελεγκτή τότε δε θα μπορείτε να επιστρέψετε τους ρόλους πίσω σε αυτόν. Συγκεκριμένα ο RID master,ο Domain Naming master και ο Schema Master δεν θα πρέπει να μεταφερθούν πίσω στον αρχικό. Θα πρέπει να γίνει καθαρή εγκατάσταση του λειτουργικού και να μεταφερθεί πάλι πίσω σωστά με τη χρήση της κονσόλας του ρόλου.