pregled, instalacija i konfiguracija windows server-a...
TRANSCRIPT
9. sedmica (vježbe)
Pregled, instalacija i konfiguracija
Windows Server-a 2012
2
Sadržaj:
1. Windows Server 2012 .................................................................................................................4
1.1 Windows Server 2012 R2 izdanja ...............................................................................................4
1.2 Šta je Server Core? ..............................................................................................................6
1.3 Windows Server 2012 R2 uloge .................................................................................................8
2. Instalacija Windows Server 2012 ............................................................................................... 11
2.1 Instalacijske metode ................................................................................................................ 11
2.2 Tipovi instalacije ...................................................................................................................... 11
2.3 Zahtjevi hardvera za Windows Server 2012 R2 ........................................................................ 12
2.4 Instaliranje Windows Server 2012 ........................................................................................... 12
2.5 Migracija server uloga ............................................................................................................. 13
2.6 Korištenje Windows Server Migration alata ............................................................................. 13
3. Konfiguracija Windows Server 2012 .......................................................................................... 14
3.1 Pregled konfiguracije ............................................................................................................... 14
3.2 Konfigurisanje mrežnih postavki servera ................................................................................. 14
3.3 Konfiguracija korištenjem Server menažera ............................................................................. 15
3.4 Konfiguracija IPv4 adrese kroz komandnu liniju ....................................................................... 15
3.5 Pridruživanje domeni .............................................................................................................. 16
3.6 Aktiviranje Windows 2012 servera .......................................................................................... 17
3.7 Ručna aktivacija....................................................................................................................... 17
3.8 Automatska aktivacija ............................................................................................................. 17
3.9 Automatska aktivacija virtualnih mašina .................................................................................. 18
3.10 Konfiguracija Server Core instalacije ...................................................................................... 18
3.11 Promjena imena servera........................................................................................................ 19
3.12 Pridruživanje domeni ............................................................................................................ 19
3.13 Dodavanje uloga i mogućnosti ............................................................................................... 20
3.14 Dodavanje grafičkog okruženja .............................................................................................. 20
4. Pregled rukovođenja Windows 2012 servera ............................................................................. 21
4.1 Šta je Server menadžer? .......................................................................................................... 21
4.2 Best Practices Analyzer ............................................................................................................ 21
4.3 Administrativni alati i alati za udaljeni pristup.......................................................................... 21
3
4.4 Alati za udaljeni pristup serveru .............................................................................................. 22
4.5 Korištenje Server Menadžer-a (uslov već instaliran AD DS FIT-DC1) ......................................... 22
Dodavanje mogućnosti korištenjem čarobnjaka Add Uloges and Features ................................. 22
Pregled događaja vezanih za uloge ............................................................................................ 22
Korištenje Best Practice Analyzer za ulogu ................................................................................. 23
Alati koji su dostupni u Server menadžer ................................................................................... 23
Odjava trenutno prijavljenog korisnika ...................................................................................... 23
Ponovno pokretanje Windows 2012 servera ............................................................................. 23
4.6 Konfiguracija servisa ................................................................................................................ 23
4.7 Konfiguracija udaljenog pristupa ............................................................................................. 24
4.8 Udaljena radna površina .......................................................................................................... 24
4.9 Korištenje udaljenog pristupa (uslov već instaliran AD DS FIT-DC1 i FIT-SVR1) ................... 24
Koristiti Server Menadžer za upravljanje udaljenim serverom.................................................... 24
Dodavanje DNS server uloge na udaljeni server ......................................................................... 25
Spajanje i konfigurisanje udaljenog servera koristeći RDP .......................................................... 25
5. Windows PowerShell................................................................................................................. 26
5.1. Windows PowerShell cmdlet sintaksa ..................................................................................... 26
5.2. Najčešće korišteni cmdlet-i......................................................................................................... 27
5.3. Windows PowerShell Remote Management (uslov već instaliran AD DS FIT-DC1 i FIT-SVR1)28
5.4 Windows PowerShell ISE ............................................................................................................. 29
4
1. Windows Server 2012
Prije konfigurisanja servera Windows 2012 potrebno je razumjeti kako svako od Windows Server
2012 izdanja može biti korisno za različite potrebe korištenja. Također je potrebno provjeriti da li su
neki dijelovi hardvera prikladno konfigurisani za potrebe i korištenje Windows 2012 servera, te da li je
prihvatljivija implementacija servera virtualnim putem ili fizičkim putem. Poznavanje pomenutih stvari
je bitno kako bi se na vrijeme uočili nepotrebne troškove i gubitke.
Ova sedmica daje pregled raznih izdanja Windows 2012 servera, instalacijskih mogućnosti, uloga i
dodatnih mogućnosti, koji će pomoći pri odabiru određenog izdanja Windows 2012 servera i
instalacijskih opcija za zadovoljavanje različitih potrebe korištenja servera.
1.1 Windows Server 2012 R2 izdanja
Postoji više različitih izdanja
Windows 2012 R2 servera koja
pružaju mogućnost odabira određene
verzije sistema Windows 2012 R2
servera koja će najbolje zadovoljiti
potrebe kako bi se izbjeglo plaćanje
mogućnosti sistema koje nisu
potrebne za korištenje. U tabeli 1.
ispod se nalazi lista izdanja Windows
2012 R2 servera.
Slika 1. Pregled izdanja Windows 2012 R2 servera
Tabela 1: Izdanja Windows 2012 servera sa mogućnostima
Izdanje Opis
Windows Server 2012 R2 standardni operativni sistem
Omogućene su sve uloge i sve mogućnosti na platformi Windows 2012 R2 servera. Podržava 64 CPU-a i do 4 TB RAM. Uključuje licence za dvije virtualne mašine.
Windows Server 2012 R2 Datacenter operativni sistem
Omogućene su sve uloge i sve mogućnosti na platformi Windows 2012 R2 servera. Uključuje neograničen broj licenci za virtualne mašine koje se koriste na istom hardveru. Podržava 64 CPU-u i do 4 TB RAM.
Windows Server 2012 R2 Foundation operativni sistem
Napravljen za manja poslovanja, dozvoljava samo 15 korisnika, ne može biti spojen na domenu i uključuje ograničene server uloge. Podržava jedan procesor i do 32 GB RAM.
5
Windows Server 2012 R2 Essentials operativni sistem
Još jedno izdanje za manja poslovanja. Sada je dostupno u dva oblika:
Instalacijska server uloga u postojećoj domeni
Glavno izdanje Windows servera na virtualnoj mašini.
Ograničenje za 25 korisnika i 50 uređaja. Podržava dvije procesorske jezgre i 64 GB RAM.
Microsoft Hyper-V Server 2012 R2
Samostalna Hyper-V platforma za virtualne mašine. Virtualne mašine su standardno licencirane, dok je operativni sistem za host besplatan. Podržava 64 CPU-a i 4 TB RAM. Podržava pridruživanje domeni, dok ne podržava ostale Windows Server 2012 R2 uloge. Hyper-V server nema grafičko okruženje, ali ima korisničko okruženje koje predstavlja izbornik konfiguracijskih mogućnosti (sconfig)
Windows Storage Server 2012 R2 Workgroup operativni sistem
Ograničeno do 50 korisnika, jedna procesorska jezgra i 32 GB RAM. Podržava pridruživanje domeni.
Windows Storage Server 2012 R2 Standard operativni sistem
Podržava 64 CPU-u, ali je licenciran za 2 CPU-u. Podržava 4 TB RAM, uključuje dvije licence za virtualne mašine, te pridruživanje domeni. Podržava neke uloge, uključujući DNS i DHCP server uloge, ali ne uključuje ostale uloge kao što su Active Directory Domain Services (AD DS), Active Directory Certificate Services (AD CS) i Active Directory Federation Services (AD FS).
Windows MultiPoint Server 2012 Standard operativni sistem
Podržava više korisnika koji pristupaju istom serveru direktno koristeći zasebne miševe, tastature i monitore. Ograničeno na jedan CPU, 32 GB RAM i najviše 12 sesija. Podržava neke od uloga, uključujući DNS i DHCP server uloge, ali ne uključuje ostale, kao što su AD DS, AD CS i AD FS. Ne podržava pridruživanje domeni. Često se koristi u edukacijskim institucijama. Ne postoji R2 verzija za Windows MultiPoint Server 2012.
Windows MultiPoint Server 2012 Premium operativni sistem
Podržava više korisnika koji pristupaju istom hostu direktno koristeći zasebne miševe, tastature i monitore. Ograničeno na dva procesora, 4 TB RAM i najviše 22 sesije. Podržava neke od uloga, uključujući DNS i DHCP server uloge, ali ne uključuje ostale, kao što su AD DS, AD CS i AD FS. Podržava pridruživanje domeni.
6
1.2 Šta je Server Core?
Server Core je instalacijska mogućnost za Windows 2012 server koja može sadržavati varijacije
grafičkog korisničkog okruženja (GUI) zavisno od zahtjeva server uloga koje trebaju biti instalirane.
Moguće je upravljati Server Core-om lokalno koristeći Windows PowerShell ili command-line
okruženje. To je bolja opcija od upravljanja putem GUI alata ili udaljeno koristeći neku od opcija za
udaljeni pristup.
Windows Server 2012 Server Core instalacija nudi manje mogućnosti nego cjelokupna instalacija
Windows Server 2012.
Server Core je osnovna instalacijska mogućnost kada se instalira Windows Server 2012. Server Core
posjeduje sljedeće prednosti u poređenju sa tradicionalnim Windows Server 2012:
- Smanjen broj zahtjeva za nadograđivanje. Server Core instalira manje komponenti, što znači
da njegovo održavanje zahtjeva manji broj instalacija softverskih nadogradnji. Svaka softverska
nadogradnja zahtijeva i ponovno pkretanje servera, tako da se ovim smanjuje i mjesečni broj
ponovnih pokretanja i količine vremena koja je potrebna za održavanje Server Core-a.
- Smanjuje korištenje resursa. Server Core računari zahtijevaju manje RAM memorije i manje
hard disk prostora. Kada su virtualizirani onda je moguće održavati više servera na istom hostu.
Postoji veliki broj Microsoft server programa koji su napravljeni da se koriste na računarima koji imaju
instaliran Server Core operativni sistem. Npr, moguće je instalirati SQL Server 2012 na računare koji
imaju instaliranu Server Core verziju Windows 2012 servera.
Moguće se prebaciti sa Server Core na grafičku verziju Windows 2012 servera otvaranjem Windows
PowerShell cmdlet, gdje je c:\mount root direktorij za montirani image koji sadržava punu verziju
Windows 2012 server instalacijskih fajlova:
Install -WindowsFeature -IncludeAllSubFeature User-Interfaces-Infra -Source
c: \mount
Moguće je koristiti i Windows Update ili instalacijski DVD kao izvor za instalaciju. Instaliranje grafičkih
komponenti daje mogućnosti obavljanja administrativnih zadataka koristeći grafičke alate.
Kada se završe nužni administrativni poslovi, računar se može vratiti u njegovu originalnu Server Core
konfiguraciju. Moguće je vratiti računar iz grafičkog okruženja Windows 2012 R2 servera u Server Core
okruženje tako što se uklone sljedeće komponente okruženja:
Grafički alati za upravljanje
Grafički server shell.
Ukoliko ste konektovani lokalno, moguće je koristiti alate za upravljanje Server Core u okviru Windows
Server 2012 R2. Alati su u u tabeli 2 ispod.
7
Tabela 2: Alati za upravaljnje Windows Server Core izdanjem
Alat Funkcija
Cmd.exe Omogućuje korištenje command-line alata kao ping.exe, ipconfig.exe i netsh.exe
PowerShell.exe Ostvaruje Windows PowerShell sesiju u okviru upravljanja Server Core-om. U toku sesije je moguće kao uobičajeno koristiti Windows PowerShell aktivnosti. Windows Server 2012 dolazi sa Windows PowerShell verzijom 4.0.
Sconfig.cmd Command-line administrativni alat koji omogućuje korištenje najčešćih administrativnih zadataka na serveru.
Notepad.exe Omogućuje korištenje Notepad.exe tekst editora u Server Core okruženju.
Regedt32.exe Pruža pristup registru u okviru Server Core okruženja.
Msinfo32.exe Omogućuje pregled detalja sistema o Server Core upravljanju.
Taskmgr.exe Otvara Task Menadžer.
ScregEdit.wsf Omogućuje korištenje Remote Desktop (udaljeni pristup) u Server Core upravljanju.
Server Core podržava većinu Windows Server 2012 R2 uloga i mogućnosti. Uloge koje nije moguće
instalirati u okviru Server Core okruženja su:
AD FS
Aplikacijski server
Mrežna politika i servisi pristupa (NPAS)
Windows servisi za konfigurisanje
Alati za udaljeni pristup i upravljanje u Server Core okruženju su:
Server Menadžer
Remote Windows PowerShell
Remote Desktop
Remote Management Consoles.
8
1.3 Windows Server 2012 R2 uloge
Da bi izdanje Windows 2012 servera uspješno podržalo sve zahtjeve za korištenje, potrebno je
poznavati sve dostupne uloge koje su dio sistema. Svako izdanje Windows servera dolazi sa drugačijom
skupinom uloga.
Windows 2012 server podržava uloge koje su izlistane u sljedećoj tabeli 3:
Tabela 3: Uloge Windows Server 2012
Uloge Funkcije Izmjene u Windows Server 2012 R2
AD CS Dozvoljava kreiranje certifikata i servisa za uloge.
AD DS Centralno mjesto za informacije u vezi mrežnih objekata, uključujući korisnike i računarske korisničke naloge. Koristi se autentifikaciju i autorizaciju.
Windows Server 2003 domena i funkcionalne razine AD DS-a, te servis replikacije datoteka nije dopušten u Windows Server 2012 R2.
AD FS Pruža web single sign-on (SSO) i podršku zaštićenoj identifikaciji, te uključivanje federacije sa drugim AD DS-om.
Active Directory Lightweight Directory Services (AD LDS)
Podržava skladištenje podataka za specifične aplikacije koje ne zahtjevaju cijelu AD DS infrastrukturu.
Active Directory Rights Management Services (AD RMS)
Dozvoljava primjenu politike prava pristupa kako bi se izbjeglo neautorizovano pristupanje osjetljivim dokumentima.
Application Serveer Podržava centralizovano upravljanje i korištenje poslovnih aplikacija sa visokim performansama, kao one što su ugrađene sa Microsoft .NET Framework 4.5.
Nije dopušteno u Windows Server 2012 R2.
DHCP Server Dodjeljuje klijentskim računarma u mreži privremene IP adrese.
DNS Server Pruža imena za TCP/IP mreže.
Fax Server Podržava slanje i primanje za fax. Također, podržava upravljanje resursa za fax u mreži.
9
File and Storage Services Podržava upravljanje prostora dijeljenih direktorija, distribuiranog file sistema (DFS) i mrežnog skladištenja.
Hyper-V Omogućuje korištenje virtualnih mašina na računarima koji imaju na sebi Windows Server 2012.
Network Access Protection (NAP)
Mehanizam kreiranja i primjene politike koja opisuje softver i zahtjeve za nadogradnju zaštite prije nego računar pristupi u LAN.
Nije dopušteno u Windows Server 2012 R2.
Print and Document Services Podržava centralizovano upravljanje aktivnostima za dokumene, uključujući mrežne skenere i umrežene printere.
Remote Access Podržava mogućnosti kao što su Seamless Connectivity, Always On i Always managed koje su bazirane u Windows 7 DirectAccess mogućnostima. Također, podržava udaljeni pristup kroz virtualne privatne mreže (VPN) i dial-up konekcije.
Remote Desktop Services (RDS)
Podržava pristup na virtualne površine, površine koje su bazirane na sesiji i RemoteApp programe.
Volume Activation Services Omogućuje automatiziranje i pojednostavljivanje upravljavanja količinom ključeva za licence i količine aktivacije ključeva. Omogućuje upravljanje Key Management Service (KMS) na hostu ili konfiguraciju AD DS baziranih aktivacija za računare koji su članovi domene.
Web Server (IIS) Windows Server 2012 web server komponenta.
Internet Information Service (IIS) 6.0 Menadžer nije dopušten u Windows Server 2012 R2.
Windows Deployment Services Dozvoljava koruištenje server operativnih sistema klijentima širom mreže.
Windows PowerShell cmdlets su dodati i cmdlet scripting je podržano u Windows Server 2012 R2.
Windows Server Essentials Experience
Pruža infrastrukturu i radnu površinu za izvršavanje aktivnosti kao što su:
10
Upravljanje korisnicima i grupama
Konfiguracija backup-a za server
Praćenje stanja servera
Podešavanja pristupa sa bilo koje lokacije
Intregrisanje sa Microsoft Online servisima
Windows Server Update Services (WSUS)
Pruža metodu za korištenje Microsoft nadogradnji za umrežene računare.
Dodavanje i brisanje uloga se vrši koristeći Add Uloges and Features čarobnjaka, koji je dostupan u
Menadžer konzoli Windows 2012 servera. Ukoliko se koristi Server Core, dodavanje i brisanje uloga je
moguće i preko Install-WindowsFeature i Remove-WindowsFeature komandi.
11
2. Instalacija Windows Server 2012
2.1 Instalacijske metode
Microsoft distribuira Windows Server 2012 preko optičkih medija i u .iso (ISO) image formatu.
Windows Server 2012 je moguće instalirati preko više metoda, uključujući sljedeće:
Optički mediji
USB mediji
Montirani ISO image
Mrežno dijeljenje
Windows servisi za instalacije i konfiguracije
System Center Configuration Menadžer
Virtual Machine Menadžer Templates
2.2 Tipovi instalacije
Pri izvođenju instalacijskog procesa za
operativni sistem Windows 2012 servera
moguće je odabrati jednu od sljedećih
opcija koje možete vidjeti u tabeli 4:
Tabela 4: Izdanja Windows 2012 servera sa mogućnostima
Tip Opis
Fresh installation Omogućava izvršavanje nove instalacije na novom disku. Ovakve instalacije se najčešće koriste i zahtjeva najmanje moguće vrijeme za izvršavanje. Ovaj tip instalacije se može koristiti pri konfiguraciji Windows 2012 servera kako bi se izveo dual boot (ako želite ostaviti postojeći operativni sistem).
Upgrade Nadogradnja (upgrade) čuva sve datoteke, postavke i aplikacije koje su prethodno instalirane na originalni server. Nadogradnja se koristi kada se žele sačuvati sve pomenute stvari, a želite nastaviti koristiti isti hardver.
12
Moguće je nadograditi Windows 2012 server na Windows 2012 R2 server. Nadogradnja se izvrpava putem setup.exe koji se nalazi u originalnom operativnom sistemu Windows servera.
Migration Migracija se koristi kada imamo prelaz na Windows 2012 R2 server sa x86 i x64 verzija Windows 2003 servera, Windows 2003 R2 servera ili Windows 2008 servera.
2.3 Zahtjevi hardvera za Windows Server 2012 R2
Pod hardverskim zahtjevima se smatra minimalni hardver koji je potreban da bi se izvršavao
Windows 2012 R2 server. Hardverski zahtjevi mogu biti i veći, zavisno od servisa koje će server pružati,
opterećenja servera i vremena odgovora servera.
Windows Server 2012 R2 ima sljedeće minimalne hardverske zahtjeve:
Arhitektura procesora: x64
Brzina procesora: 1.4 GHz
RAM: 512 MB
Hard disk prostor: 32 GB ili više ako server ima više od 16 GB RAM
Datacenter izdanja Windows 2012 R2 servera podržavaju sljedeća maksimalna ograničenja za hardver:
640 logičkih procesora ukoliko je isključen Hyper-V
4 TB RAM
63 failover klaster čvorova.
2.4 Instaliranje Windows Server 2012
Proces instalacije
operativnog sistema Windows
servera je danas mnogo jednostavniji
nego što je to bilo prije. Tipičina
instalacija za Windows 2012 server
ide sljedećim redoslijedom:
13
1. Spajanje na izvor za instaliranje. Mogućnosti koje ovo uključuju su:
o Ubaciti DVD-ROM koji sadržava Windows Server 2012 instalacijske fajlove i uraditi
boot sa DVD-ROM-a.
o Koristiti prethodno pripremljen USB koji sadržava potrebne instalacijske fajlove.
o Izvršiti PXE boot i spojiti se na Windows Deployment Services server.
2. Na prvoj stranici Windows Setup čarobnjaka, označiti sljedeće:
o Jezik koji će se instalirati
o Format vremena i valute
o Tastatura i jezik pisanja
3. Na drugoj stranici Windows Setup čarobnjaka kliknuti na Install Now. Također, ova stranica
može biti korištena za Repair Your Computer. Ova mogućnost se koristi kada je instalacija
oštećena i niste u mogućnosti uraditi boot Windows 2012 servera.
4. U Windows Setup čarobnjaku, na Select The Operating System You Want To Install stranici,
odaberite neku od ponuđenih instalacijskih opcija. Predefinisana opcija je Server Core
instalacija.
5. Na License Terms stranici, osvrnite se na pravila licence za operativni sistem. Morate odabrati
da prihvatate pravila licence i korištenja prije nego nastavite dalje sa instalacijom.
6. Na Which Type Of Installation Do You Want stranici, postoje sljedeće opcije:
o Upgrade. Koristite ovu opciju samo ako imate već Windows server koji želite
nadograditi na Windows 2012 server.
o Custom. Koristite ovu opciju ako želite novu instalaciju.
7. Na Where Do You Want To Install Windows stranici, odaberite dostupan disk ili prostor na
koji će se instalirati Windows 2012 server. Također je moguće praviti particije i formatirati
diskove. Kada kliknete na Next, instalacija će kopirati datoteke i računar će uraditi boot više
puta.
8. Na Settings stranici, odredite lozinku za nalog lokalnog administratora.
2.5 Migracija server uloga
Ukoliko se odabere cjelokupna instalacija novog
server operativnog sistema, prvi korak je migracija
server uloga koje su se koristile na starom serveru.
Svaka uloga je jedinstvena i ima svoju strategiju za
migracije.
2.6 Korištenje Windows Server Migration alata
Windows Server Migration alati su dostupni u Windows 2012 serveru. Administratori mogu koristiti
pomenute alate da migriraju server uloge, mogućnosti, postavke operativnog sistema, dijeljenja i
ostale podatke . Alate za migraciju ne zahtjevaju sve uloge ili mogućnosti.
14
3. Konfiguracija Windows Server 2012
3.1 Pregled konfiguracije
Instalacija Windows 2012 servera
smanjuje broj pitanja koja se trebaju
odgovoriti tokom instalacije, dovoljno je samo
odrediti lozinka za predefinisanog lokalnog
administratora. Nakon instalacije slijedi
proces konfiguracije postavki servera.
Korištenjem Local Server u Server menadžer
konzoli je moguće obavljati sljedeće
aktivnosti:
Konfigurisanje IP adrese
Postavljanje imena za računar
Pridruživanje domeni
Postavljanje vremenske zone
Omogućavanje automatskih nadogradnji
Dodavanje uloga i mogućnosti
Omogućavanje udaljenog pristupa
Konfigurisanje Windows Firewall postavki
3.2 Konfigurisanje mrežnih postavki servera
Da bi komunicirao u mreži potrebno
je serveru dodijeliti ispravnu IP
adresu. Predefinisanim putem,
server će dobiti IP adresu od DHCP
servera. Koju IP adresu server
posjeduje je moguće provjeriti klikom
na Local Server u Server Menadžer-u.
Ukoliko server posjeduje IPv4 (Internet Protocol version 4) adresu u APIPA (Automatic Private IP
Addressing) opsegu od 169.254.0.1 do 169.254.255.254, znači da server nije konfigurisan sa IP adresom
od strane DHCP servera. Moguće je da DHCP server još nije konfigurisan u mreži ili, ukoliko postoji
DHCP server u mreži, postoji problem u mrežnoj infrastrukturi koja blokira adapter za primanje adrese.
15
3.3 Konfiguracija korištenjem Server menažera
Korištenjem sljedećih koraka je moguće postaviti ručno IP adresu:
1. U konzoli Server Menadžer-a kliknite na adresu mrežnog adaptera koji želite konfigurisati.
2. Desni klik na mrežni adapter za koji želite postaviti IP adresu i odaberite Properties.
3. U prozoru Adapter Properties kliknite Internet Protocol Version 4 (TCP/IPv4) i odaberite
Properties.
4. U prozoru Internet Protocol Version 4 (TCP/IPv4) Properties unesite odgovarajuće IPv4
podatke za adresu i kliknite OK:
o IP adresa
o Mrežna maska (subnet mask)
o Predefinisani mrežni izlaz (gateway)
o Primarni DNS server
o Alternativni DNS server
3.4 Konfiguracija IPv4 adrese kroz komandnu liniju
Moguće je postaviti IPv4 podatke za adresu ručno kroz komandnu liniju koristeći netsh.exe komandu
ili koristeći Windows PowerShell.
Npr, da bi konfigurisali adapter naziva Local Area Connection sa IPv4 adresom 10.10.10.10 i mrežnom
maskom 255.255.255.0, potrebno je pisati sljedeće komande:
Netsh interface ipv4 set address "Local Area Connection" static
10.10.10.10 255.255.255.0
New-NetIPAddress –InterfaceIndex 12 –IPAddress 10.10.10.10 –
PrefixLength 24
Na isti način sa netsh.exe se može konfigurisati i DNS server.
Npr, da bi konfigurisali adapter naziva Local Area Connection da koristi DNS server na IP adresi
10.10.10.5 kao primarni DNS server, pisati sljedeće komande:
Netsh interface ipv4 set dnsservers "Local Area Connection" static
10.10.10.5 primary
Set-DNSClientServerAddress –InterfaceIndex 12 –ServerAddresses
10.10.10.5
U Windows PowerShell komandama, vrijednost InterfaceIndex identifikuje koji se adapter konfiguriše.
Da bi dobili potpunu listu adaptera sa tim indeksima dovoljno je pokrenuti Get-NetIPInterface cmdlet.
16
3.5 Pridruživanje domeni
Nakon uspješne instalacije Windows
2012 servera, računar dobije
nasumično ime. Prije nego server
pridružimo bilo kojoj domeni,
potrebno je prvo dodijeliti novo ime
serveru koje će koristiti unutar
domene. Imena treba da budu
logična imena koja predstavljaju
funkcionalnosti i lokaciju servera.
Ime servera je moguće promijeniti
koristeći Server Menadžer konzolu, i
to sljedećim redoslijedom:
1. U Server Menadžer-u odabrati Local Server.
2. U prozoru Properties, kliknuti na tekst do imena računara, potom se otvara System Properties
prozor.
3. U prozoru System Properties, u Computer Name, kliknuti Change.
4. U Computer Name/Domain Changes prozoru, unijeti novo ime koje se treba dodijeliti
računaru.
5. Uraditi ponovno pokretanje računara da se primjeni izmjena.
Prije pridruživanja domeni, potrebno je provjeriti sljedeće:
1. Provjeriti dostupnost u mreži preko IP adrese
2. Provjeriti sigurnosni nalog koji će biti korišten za pridruživanje domeni.
Za pridruživanje domeni putem Server Menadžer-a, pratiti sljedeće korake:
1. Odabrati Local Server.
2. U Properties prozoru, kliknuti Workgroup.
3. U prozoru System Properties, na tabu Computer Name, kliknuti Change.
4. U prozoru Computer Name/Domain Changes, u okviru Member Of kliknuti na Domain opciju.
Unijeti novo domensko ime i potvrditi sa OK.
5. U prozoru Windows Security, unijeti potrebne podatke za domenu kako bi se uspješno
pridružili.
6. Ponovo pokrenuti računar.
17
3.6 Aktiviranje Windows 2012 servera
Nakon svake instalacije Windows
2012 servera, potrebno je aktivirati
proizvod. Server će se kontinuirano
gasiti svako sat vremena sve dok mu
licenca ne bude aktivirana.
Za aktivaciju Windows 2012 servera
postoje dvije glavne strategije:
Ručna aktivacija, za manji
broj servera
Automatska aktivacija, za
veći broj servera.
3.7 Ručna aktivacija
Sljedeći koraci vode ka ručnoj aktivaciji Windows 2012 servera:
1. Kliknuti na Local Server.
2. U prozoru Properties, pored Product ID, kliknuti na Not Activated.
3. U Windows Activation prozoru, unijeti ključ proizvoda i kliknuti na Activate.
4. Ukoliko konekcija prema Microsoft aktivacijskim centrima ne može biti realizirana, pojavit će
se dalje upute.
Računari koji koriste Server Core instalaciju ne posjeduju Server Menadžer konzolu. Kod Server Core
se ručna aktivacija može vršiti putem komande slmgr.vbs. Komanda slmgr.vbs /ipk se koristi da se
unese ključ proizvoda, dok se slmgr.vbs /ato koristi kada se ključ proizvoda već instalirao.
3.8 Automatska aktivacija
U prethodnim verzijama Windows server operativnih sistema, za automatsku aktivaciju više
klijenata se koristio KMS (Key Management Service) servis. Server uloga VAS (Volume Activation
Services) u Windows 2012 serveru omogućuje korištenje KMS servera kroz novi interfejs. To olakšava
proces instaliranja KMS ključa na KMS server.
18
3.9 Automatska aktivacija virtualnih mašina
AVMA (Automatic Virtual Machine Activation) je nova mogućnost Windows 2012 R2 servera gdje se
mogu instalirati virtualne mašine na Windows 2012 R2 Datacenter Hyper-V hostu i automatski ih
aktivirati, gdje se podrazumijeva da je host već aktiviran.
AVMA ključ je instaliran na virtualnu mašinu ako se koristi komanda:
Slmgr /ipk <AVMA_key>
Prednosti koje donosi AVMA:
Aktiviranje virtualnih mašina sa udaljenih lokacija
Konekcija na internet nije potrebna da bi se aktivirala virtualna mašina
Praćenje licenci na virtualnim mašinama bez dodatnih zahtjeva za pristup mašinama
Ne postoje ključevi proizvoda kojima se treba upravljati
Virtualne mašine ostaju aktivirane i nakon migracija među virtualnim hostovima.
Sljedeći operativni sistemi za pristupanje virtualnim mašinama su podržani:
Windows Server 2012 R2 Datacenter izdanje
Windows Server 2012 R2 Standard izdanje
Windows Server 2012 R2 Essentials izdanje.
3.10 Konfiguracija Server Core instalacije
Kroz sconfig.cmd je moguće uraditi sljedeće aktivnosti:
Konfigurisati podatke domene i grupe
Konfigurisati ime računara
Dodati lokalne administratore
Konfigurisati WinRM
Omogućiti Windows nadogradnje
Pronaći i instalirati nadogradnje
Omogućiti pristup sa udaljene lokacije
Konfigurisati mrežne podatke
Podesiti vrijeme i datum
Izvršiti aktivaciju Windowsa
Odjaviti se
Pokrenuti ponovo server
Ugasiti server.
19
Konfiguracija mrežnih podataka (IP adrese)
Konfigurisanje IP adrese i DNS podataka se vrši kroz sconfig.cmd ili netsh.exe. Ukoliko se koristi
sconfig.cmd, koraci su sljedeći:
1. U komandnoj liniji koristiti komandu sconfig.cmd.
2. Odabrati opciju 8 da bi konfigurisali mrežne postavke.
3. Odabrati indeks mrežnog adaptera za koji želimo postaviti IP adresu.
4. Odabrati neku od mogućnosti:
o Postaviti mrežnu adresu adaptera
o Postaviti DNS servere
o Očistiti DNS postavke servera
o Vratiti se na početni meni.
3.11 Promjena imena servera
Ime servera je moguće promijeniti komandom netdom preko renamecomputer oopcije. Da bi
preimenovali računar imena FIT, pišemo sljedeću komandu:
Netdom renamecomputer %computername% /newname:FIT
Ime se može promijeniti i preko sconfig.cmd preko ovih koraka:
1. U komandnoj liniji pokrećemo sconfig.cmd.
2. Biramo opciju 2 za konfigurisanje novog imena.
3. Unijeti novo ime i pritisnuti Enter tipku.
Server je potrebno ponovo pokrenuti da bi se izmjene primjenile.
3.12 Pridruživanje domeni
Mogućnost pridruživanja domeni je moguća preko netdom komande preko join opcije. Da bi se
pridružili domeni fit.ba preko administratorskog naloga uz lozinku, pišemo sljedeću komandu:
Netdom join %computername% /domain:fit.ba /UserD:Administrator
/PasswordD:*
Za pridruživanje domeni preko sconfig.cmd su potreni sljedeći koraci:
1. Iz komandne linije pokrenuti sconfig.cmd.
2. Odabrati opciju 1 za konfigurisanje domene/grupe.
3. Za odabir domene, pritisnuti slovo D, a potom tipku Enter.
4. Unijeti ime domene u koju računar treba da se pridruži.
5. Unijeti ostale podatke u formatu domena/korisničkoime za nalog koji je autorizovan da pristupi
domeni.
6. Unijeti lozinku koja pripada prethodno pomenutom nalogu.
20
Da bi izmjene bile primjenjene, potrebno je izvršiti ponovno pokretanje.
3.13 Dodavanje uloga i mogućnosti
Dodavanje i brisanje uloga i mogućnosti na računaru koji koristi Server Core je omogućeno preko
Windows PowerShell komandi Get-WindowsFeature, Install-WindowsFeature i Remove-
WindowsFeature. Ove komande su omogućene čim se otvori Server Menadžer PowerShell modul.
Da bi vidjeli listu uloga i mogućnosti koje su instalirane, koristimo komandu:
Get-WindowsFeature | Where-Object {$_.InstallState -eq
"Installed"}
Također, moguće je instalirati Windows ulogu ili mogućnost koristeći Install-WindowsFeature
komandu. Da instaliramo NLB mogućnost, koristimo komandu:
Install -WindowsFeature NLB
Koje mogućnosti nisu direktno dostupne za operativni sistem je moguće vidjeti preko komande:
Get-WindowsFeature | Where-Object {$_.InstallState -eq
"Removed"}
3.14 Dodavanje grafičkog okruženja
Da bi koristili grafičko okruženje (GUI) u okviru Server Core računara, koristimo sconfig.cmd komandu.
Da bi dobili GUI, biramo opciju 12 iz menija.
21
4. Pregled rukovođenja Windows 2012 servera
4.1 Šta je Server menadžer?
Server menadžer je glavni grafički alat koji se koristi za upravljanje računarima koji koriste Windows
2012 server. Moguće je upravljati i lokalnim i udaljenim serverima, a moguće je upravljati i grupama
servera što dodatno olakšava posao.
Server menadžer konzolu je moguće koristiti i na lokalnim i na udaljenim serverima za:
Dodavanje uloga i mogućnosti
Pokretanje Windows PowerShell sesija
Pregled događaja
Izvođenje konfiguracije
Server menadžer se može koristiti na sljedećim sistemima nižeg nivoa:
Windows 2008 SP1 server (potpuni server i Server Core)
Windows 2008 SP2 server (samo poptuni server).
Za upravljanje sistemima potrebno je instalirati Windows Management Framework 3.0 (WMF 3.0) na
sisteme.
4.2 Best Practices Analyzer
Server menadžer uključuje alat Best Practices Anaylzer za sve Windows 2012 server uloge. Sa ovim
alatom je moguće otkriti koje uloge funkcionišu ispravno ili koje uloge imaju problema pri korištenju
sistema.
4.3 Administrativni alati i alati za udaljeni pristup
Kada se koristi Server menadžer za izvršavanje
aktivnosti koje se tiču uloga ili mogućnosti konzola
upotrebljava određeni administrativni alat. Kada se
instalira neka uloga ili mogućnost preko Server
menadžer-a, lokalno ili udaljeno, potrebno je instalirati
određeni administrativni alat.
22
4.4 Alati za udaljeni pristup serveru
Čitav set administrativnih alata u Windows 2012 serveru je moguće instalirati preko RSAT (Remote
Server Administration Tools). Kada se instalira RSAT, moguće je odabrati da li da se instaliraju svi alati
ili neki određeni.
Alati koje administratori najčešće koriste su:
Active Directory Administrative Center
Active Directory Users and Computers
DNS console
Event Viewer
Group Policy Management Console
IIS Menadžer Tool
Performance Monitor
Resource Monitor
Task Scheduler.
4.5 Korištenje Server Menadžer-a (uslov već instaliran AD DS FIT-DC1)
Dodavanje mogućnosti korištenjem čarobnjaka Add Uloges and Features
1. Pokrenuti čarobnjak Add Uloges and Features.
2. Odabrati instalaciju koja se odnosi na uloge ili na mogućnosti.
3. Odabrati Select a server from the server pool, provjeriti da je odabrano FIT-DC1.fit.ba i kliknuti
Next.
4. U prozoru Select server uloges odabrati Fax Server.
5. U čarobnjaku odabrati Add Features.
6. U prozoru Select features odabrati BranchCache.
7. Na stranici Print and Document Services kliknuti Next dva puta.
8. Na stranici Fax Server kliknuti Next.
9. Na stranici Confirmation page, odabrati Restart the destination server automatically if
required, kliknuti Yes, kliknuti Install, te potom kliknuti Close.
10. Kliknuti na ikonu sa zastavom do Server menadžer Dashboard i pregledati poruke.
Pregled događaja vezanih za uloge
1. Odabrati Dashboard.
2. Na meniju Uloges and Server Groups, pod DNS, odabrati Events.
3. Na DNS – Events Detail View prozoru, promijeniti vrijeme na 12 sati i Event Sources na All.
23
Korištenje Best Practice Analyzer za ulogu
1. Pod DNS, kliknuti BPA results.
2. Odabrati Select All na meniju Severity Levels i kliknuti OK.
Alati koji su dostupni u Server menadžer
Kliknuti na meni Tools i pregledati alate koji su instalirani na FIT-DC1.
Odjava trenutno prijavljenog korisnika
1. Odjavite se.
2. Ponovo se prijavite na domenu FIT koristeći fit\Administrator nalog i lozinku Pa$$w0rd.
Ponovno pokretanje Windows 2012 servera
U Windows PowerShell prozoru, upisati sljedeću komandu i pritisnuti Enter:
Shutdown /r /t 5
4.6 Konfiguracija servisa
Servisi su programi koji se izvršavaju u pozadini
i pružaju servise klijentima i serveru. Moguće je
upravljati servisima kroz konzolu za servise, koja je
dostupna u Server Menadžer meniju za alate. Kada se
zaštiti računar, potrebno je zabraniti sve servise osim
onih koji su potrebni za uloge, mogućnosti i aplikacije
koje su instalirane na server.
Tipovi izvršavanja servisa:
Automatski
Ručni
Zabranjeni.
24
4.7 Konfiguracija udaljenog pristupa
Većina administratora ne obavlja sve poslove iz server sobe. Većina dnevnih aktivnosti
administratori sada obavljaju koristeći tehnologije za udaljeni pristup. U okviru WinRM (Windows
Remote Management), koristeći Windows PowerShell i ostale alate za udaljene pristupe, moguće je
pristupati sa udaljene lokacije.
Udaljeni pristup je automatski dozvoljen u Windows 2012 serveru. Ako je zabranjen, potrebno je
dozvoliti WinRM iz Server menadžer-a kroz sljedeću proceduru:
1. U konzoli Server menadžer-a, odabrati Local Server.
2. U prozoru Properties, pored Remote Management, kliknuti Disabled. Potom se otvara prozor
Configure Remote Management.
3. U prozoru Configure Remote Management, odabrati Enable remote management of this
server from other computers i kliknuti na OK.
Udaljeni pristup je moguće aktivirati i putem komandne linije pomoću komande WinRM qc, a
deaktivirati putem iste metode ili pokretanjem Server Core instalacijske opcije koristeći se sconfig.cmd
alatom.
4.8 Udaljena radna površina
Udaljena radna površina (remote desktop) je tradicionalna metoda preko koje se sistem administratori
spajaju na servere kojim upravljaju. Konfiguracija na računaru koji koristi cjelokupnu verziju Windows
2012 servera teče ovim slijedom:
1. U konzoli Server menadžer-a, odabrati Local Server.
2. Pored Remote Desktop, odabrati Disabled.
3. U prozoru System Properties, na Remote, odabrati neku od sljedećih opcija:
o Don't allow connections to this computer.
o Allow connections from computers running any version of Remote Desktop.
o Allow Connections only from Computers running Remote Desktop with Network
Level Authentication.
Moguće je aktivirati i deaktivirati udaljenu površinu na računarima koji koriste Server Core kroz
komandu sconfig.cmd.
4.9 Korištenje udaljenog pristupa (uslov već instaliran AD DS FIT-DC1 i FIT-SVR1)
Koristiti Server Menadžer za upravljanje udaljenim serverom
1. Prijaviti se na FIT-DC1 kao fit\Administrator sa lozinkom Pa$$w0rd.
2. U Server Menadžer-u kliknuti na Add other servers to manage.
3. Dodati FIT-SVR1
25
Dodavanje DNS server uloge na udaljeni server
Koristiti Add Uloges and Features čarobnjak za dodavanje DNS server uloge na FIT-SVR1.
Spajanje i konfigurisanje udaljenog servera koristeći RDP
1. Prijaviti se kao FIT-SVR1 kao fit\Administrator sa lozinkom Pa$$w0rd.
2. U Server Menadžer-u, otvoriti postavke za Local Server i dozvoliti Remote Desktop.
3. Na FIT-DC1, otvoriti Start screen.
4. Napisati Remote i otvoriti Remote Desktop Connection.
5. Spojiti se na FIT-SVR1 kao fit\Administrator.
6. Nakon uspješnog spajanja, odjaviti se sa FIT-SVR1.
26
5. Windows PowerShell
Windows PowerShell je command-line okruženje i tehnologija koja se zasniva na skriptama, nalazi se
ugrađen u Windows Server 2012 opertivni sistem. Pojednostavljuje i vrši automatizaciju
administratorskih zadataka koji se često izvršavaju. Zahvaljujući automatizaciji nekih poslova,
administratori se mogu posvetiti više težim zadacima za koji su istoimeni odgovorni. Windows
PowerShell se sastoji od cmdlet-a koji se izvršavaju u comand-line okruženju ili se više njih povezuju i
sačinjava skriptu. Mogućnosti Windows PowerShell-a je moguće proširiti dodavanjem modula. Jedna
od ugrađenih mogućnosti u Windows PowerShell je tab completion koja omogućava administratoru
da ne piše cijelu komandu, već klikom na tipku tab dopuni izraz koji je prethodno unešen. Informacije
o svakom Windows PowerShell cmdlet-u je moguće saznati jednostavnim pisanjem komande Get-Help
cmdlet. Cmdlet je jednostavna Windows PowerShell skripta koja izvršava samo jednu funkciju.
5.1. Windows PowerShell cmdlet sintaksa
Windows PowerShell cmdlet-i koriste glagol-imenica sintaksu. Svaka imenica ima kolekciju glagola sa kojima je povezana. Najčešće korišteni glagoli su:
Get
New
Set
Restart
Resume
Stop
Suspend
Clear
Limit
Remove
Add
Show
Write.
Moguće je izvršiti pregled svih glagola koji su povezani sa unesenom Windows PowerShell imenicom tako što se izvrši komanda Get-Command –Imenica.
Pregled svih imenica koje su povezane sa unesenim Windows PowerShell glagolom se vrši pomoću komande Get-Command –Glagol.
Svi Windows PowerShell parametri se pišu sa crticom ispred. Svaki cmdlet ima kombinacije parametara sa kojima može biti povezan. Sve parametre koje posjeduje određeni cmdlet je moguće pregledati pomoću komande Get-Help cmdlet. Za provjeru da li je cmdlet dostupan koristi se komanda Get-Command cmdlet.
27
5.2. Najčešće korišteni cmdlet-i
Postoje cmdlet-i koji se uglavnom koriste češće nego ostali. Povezani su sa servisima, log datotekama, procesima i Server Menadžer modulima koji su pokrenuti na serveru.
Servisni cmdlet-i – Koriste se za upravljanje servisima na računaru koji koristi Windows Server 2012 operativni sistem:
Get-Service – Pregled mogućnoti servisa.
New-Service – Kreira novi servis.
Restart-Service – Restartuje postojeći servis.
Resume-Service – Ponovo pokreće suspendovani servis.
Set-Service – Podešava mogućnosti servisa.
Start-Service – Pokreće zaustavljeni servis.
Stop-Service – Zaustavlja pokrenuti servis.
Suspend-Service – Suspenduje servis.
Event log cmdlet-i – Koriste se za pregled i upravljanje log-ova na računaru koji koristi Windows Server 2012 operativni sistem:
Get-EventLog – Prikazuje sve događaje koji su se desile u specifičnom log-u.
Clear-EventLog – Briše sve zapise u dređenom log-u.
Limit-EventLog – Podešava maksimalnu veličinu i starost log-a.
New-EventLog – Kreira novi log.
Remove-EventLog – Uklanja određeni log.
Show-EventLog – Prikazuje sve log-ove na računaru.
Write-EventLog – Omogućava dodavanje događaja u postojeći log.
Prosess cmdlet-i – Koriste se za upravljanje procesima na računaru koji koristi Windows Server 2012 operativni sistem:
Get-Process – Prikazuje informacije o procesu.
Start-Process – Pokreće proces.
Stop-Process – Zaustavlja proces.
Wait-Process – Odlaže zaustavljanje procesa zbog prihvatanja ulaza.
Debug-Process – Dodaje debugger na jedan ili više pokrenutih procesa.
ServerMenadžer modul – Koristi se za dodavanje jednog od tri cmdlet-a koji su korisni za upravljanje ulogama. Ta tri cmdlet-a su:
Get-WindowsFeature – Prikazuje listu svih dostupnih uloga i mogućnosti ut dodatni prikaz da li je mogućnost instalirana i da li je dostupna.
Install-WindowsFeature – Instalira novu mogućnost ili ulogu. Add-WindowsFeature je komanda koja ima iste mogućnosti ali se koristila na prethodnim verzijama Windows Servera.
Remove-WindowsFeature – Uklanja Windows Server ulogu ili mogućnost.
28
5.3. Windows PowerShell Remote Management
(uslov već instaliran AD DS FIT-DC1 i FIT-SVR1)
Moguće je koristiti Windows PoerShell kako bi se pokrenuli cmdlet-i koji koriste neki od Windows sistema na udaljenoj lokaciji. Kontuloga sa udaljene lokacije zavisi od toga da li je na ciljanom računaru pokrenut WinRM. Ovaj servis može biti pokrenut ručno, pokretanjem cmdlet-a: Enable-PSRemoting. Ovo je najjednostavniji način pomoću kojeg se pokreće interaktivna sesija na računaru koji se nalazi na drugoj lokaciji. Kada se povežu Windows PowerShell okruženje prikazuje ime računara sa udaljene lokacije. Kako bi se pokrenula i zaustavila sesija ovog tipa koriste se sljedeći cmdlet-i:
Enter-PSSession –imeRačunara
Exit-PSSession
Moguće je koristiti i Invoke-command cmdlet koji se koristi za pristup grupi računara. Prvo je potrebno dozvoliti WinRM na računarima koji se nalaze na udaljenoj lokaciji a nakon toga korisiti Invoke-command cmdlet npr. Invoke-command FIT-Srv1, FIT-Srv2 –scriptblock {get-service}.
Prikaz svih servisa i procesa koji su pokrenuti na serveru pomoću Windows Powershell-a:
1. Na FIT-DC1 otvoriti PowerShell sesiju. 2. Izvršiti sljedeće komande:
a. Get-Service | where-object {$_.status –eq „Running“} b. Get-Command –Noun Service c. Get-Process d. Get-Help Process e. Get-Help –Full Start-Process
3. Zatvoriti Windows PowerShell prozor. 4. Pokrenuti Windows PowerShell sa administratorsim privilegijama.
Prikaz svih servisa i njihovih statusa koji su pokrenuti na računaru na udaljenoj lokaciji pomoću Windows PowerShell-a:
1. Na FIT-SVR1 ovoriti PowerShell sesiju. 2. Izvršiti komandu Enalble-PSRemoting. 3. Prihvatiti zadane postavke. 4. Na FIT-DC1 otvoriti Windows PowerShell sesiju. 5. Izvršiti sljedeće komande:
a. Enter-PSSession –Computername –FIT-SVR1 b. Get-Service c. Exit-PSSession
29
5.4 Windows PowerShell ISE
Windows PowerShell ISE je integrisano skriptno okruženje koje olakšava korištenje Windows PowerSell-a. Ima ugrađen mehanizam za dovršavanje započetih komandi i pruža korisniku sve informacije o komandama i parametrima koji su njima svojstveni. Pomoću njega se mogu izvršavati Power Shell komande direktno ili pisati skripte koje će biti sačuvane za kasniju upotrebu. U Windows PowerShell ISE-u ključne riječi su obojene drugom bojom, a ima i ugrađen debugging alat za provjeru ispravnosti napisanih skripti.
Slika 1 Windows PowerShell ISE okruženje
Importovanje ServerMenadžer modula pomoću Windows PowerShell ISE: 1. Prijaviti se na FIT-DC1 kao administrator.
2. U Server Menadžer-u izabrati Tools, a zatim Windows PowerShell ISE.
3. U komandnoj liniji unijeti Import-Module ServerMenadžer.
Pomoću Windows PowerShell skripte kreiranje univerzalne grupe Helpdesk i dodavanje njenih članova:
1. U Server Menadžer-u izabrati opciju Tools, a zatim Active Directory Users and Computers.
2. Otvoriti IT organizacijsku jedinicu (OU) i uvjeriti se da nema grupe pod nazivom Helpdesk.
3. Locirati se na lokaciju E:\Labfiles\Mod01 i kliknuti Edit na CreateAndPopulateHelpdesk.ps1
skriptu.
4. Pregledati skriptu i kliknuti na zelenu strelicu kako bi se skripta pokrenula.
30
5. Ponovo se locirati u Active Directory Users and Computers i osvježiti stranicu. Nakon toga
biste trebali vidjeti grupu pod nazivom Helpdesk.
6. Otvorite pregled Helpdesk grupe i vidjet ćete sve članove koji su dodani pomoću skripte.
7. Zatvoriti sve otvorene prozore.
Nastavak... AD DS
9. sedmica (workshop)
Instalacija i konfiguracija Windows
Server-a 2012
1. Instalacija Windows 2012 R2 servera
1. Otvoriti Hyper-V Manager konzolu.
2. Kliknuti FIT-SVR3.
3. U Actions pane, kliknuti Settings.
4. Pod Hardware, kliknuti DVD Drive.
5. Kliknuti Image file, i kliknuti Browse.
6. Otvoriti i pronaći vaš instalcijski ISO image Windows2012R2.iso.
7. Kliknuti Open, i kliknuti OK.
8. U Hyper-V Manager konzoli, dva puta kliknuti FIT-SVR3.
9. U Virtual Machine Connection prozoru, u Action meniju, kliknuti Start.
10. U Windows SetupWizard, na Windows Server 2012 R2 stranica, provjeriti sljedeće postavke i
kliknuti na Next:
o Jezik: English (United States)
o Vrijeme i zona: Bosnian (Bosna i Hercegovina)
o Jezik pisanja: US
11. Na Windows Server 2012 R2 stranici, kliknuti Install now.
12. Na Select the operating system you want to install stranici, select Windows Server 2012 R2
Datacenter Evaluation (Server with a GUI), i kliknuti Next.
13. Na License terms stranici, pregledati uslove korištenja, odabrati I accept the
license terms, i kliknuti Next.
14. Na Which type of installation do you want? stranici, kliknuti Custom: Install Windows only
(advanced).
15. Na Where do you want to install Windows? stranici, provjeriti da disk ima dovoljno prostora za
operativni sistem i kliknuti Next.
16. Na Settings stranici, u Password i Reenter password formularima, unijeti lozinku
Pa$$w0rd, i potom kliknuti Finish.
1.1 Promjena imena servera
1. Prijaviti se na FIT-SVR3 kao Administrator sa lozinkom Pa$$w0rd.
2. U Server Manager-u, kliknuti Local Server.
3. Odabrati Randomly generated name do Computer name.
4. U System Properties prozoru, na Computer Name tab, kliknuti Change.
5. U Computer Name/Domain Changes prozoru, u Computer name unijeti ime FIT-SVR3, i potom
kliknuti OK.
6. U Computer Name/Domain Changes prozoru, kliknuti OK.
7. Zatvoriti System Properties prozor.
8. U Microsoft Windows prozoru, kliknuti Restart Now.
1.2 Promjena vremena i datuma
1. Prijaviti se na FIT-SVR3 kao Administrator sa lozinkom Pa$$w0rd.
2. Kliknuti na time display. Otvorit će se skočni prozor sa kalendarom i satom.
3. Kliknuti Change date i time settings.
4. U Date and Time prozor, kliknuti Change Time Zone.
5. U Time Zone Settings prozoru, podesiti vremensku zonu na odgovarajuću i potom kliknuti OK.
6. U Date i Time prozor, kliknuti Change Date and Time.
7. Provjeriti da su vrijeme i datum ispravni i kliknuti OK.
8. Za zatvaranje Date and Time prozora, kliknuti OK.
1.3 Konfiguracija mreže
1. Na FIT-SVR3, u Server Manager konzoli, kliknuti Local Server.
2. U Server Manager konzoli, do Ethernet, kliknuti IPv4 address assigned by DHCP, IPv6
Enabled.
3. U Network Connections prozoru, desni klik na Ethernet, i potom kliknuti Properties.
4. U Ethernet Properties prozoru, kliknuti Internet Protocol Version 4 (TCP/IPv4), i potom kliknuti
Properties.
5. U Internet Protocol Version 4 (TCP/IPv4) Properties prozoru, kliknuti Use the following IP
Address, unijeti odgovarajuću IP adresu i potom kliknuti OK:
o IP adresa: 172.16.0.101
o Mrežna maska: 255.255.0.0
o Izlaz: 172.16.0.1
o Primarni DNS server: 172.16.0.10
6. Kliknuti Close da bi zatvoriti Ethernet Properties prozor.
7. Zatvoriti Network Connections prozor.
1.4 Dodavanje servera u domenu (Potreban uključen FIT-DC1)
1. Na FIT-SVR3, u Server Manager konzoli, kliknuti Local Server.
2. Do Workgroup, kliknuti WORKGROUP.
3. U System Properties prozoru, na Computer Name tab, kliknuti Change.
4. U Computer Name/Domain Changes prozoru, u Member Of area, kliknuti Domain
option.
5. U Domain box, napišite fit.com, i potom kliknuti OK.
6. U Windows Security prozoru, unijeti sljedeće detalje i potom kliknuti OK:
o Korisničko ime: Administrator
o Lozinka: Pa$$w0rd
7. U Computer Name/Domain Changes prozoru, kliknuti OK.
8. Kada se prikaže da trebate ponovo pokrenuti računar, kliknite OK.
9. U System Properties prozoru, kliknuti Close.
10. U Microsoft Windows prozoru, kliknuti Restart Now.
11. Nakon što se FIT-SVR3 ponovo pokrene, prijavite se kao fit\Administrator sa lozinkom
Pa$$w0rd.
2. Konfiguracija 2012 Server Core servera
2.1 Promjena imena računara
1. Prijavite se na FIT-CORE kao Administrator sa lozinkom Pa$$w0rd.
2. U komandnoj liniji, pišite sconfig.cmd i kliknite Enter.
3. Za odabir Computer Name, pišite 2, i potom kliknite Enter.
4. Unesite ime računara FIT-CORE, i potom kliknite Enter.
5. U Restart prozoru, kliknuti Yes.
6. Prijavite se na server FIT-CORE koristeći Administrator nalog sa lozinkom Pa$$w0rd.
7. U komandnoj liniji, pišite hostname, i potom kliknite Enter to verify the computer’s name.
2.2 Promjena datuma i vremena na računaru
1. Provjerite da li ste prijavljeni na server FIT-CORE kao Administrator sa lozinkom Pa$$w0rd.
2. U komandnoj liniji, pišite sconfig.cmd, i potom kliknite Enter.
3. Za odabir Date and Time, pišite 9, i potom kliknite Enter.
4. U Date and Time prozor, kliknuti Change time zone.
5. U Date and Time prozoru, kliknuti Change Date and Time, i provjeriti da li vrijeme i datum
odgovara vašoj lokaciji. Za izlaz pritisnuti dva puta OK.
6. U Commi Prompt prozoru, pišite 15, i potom kliknite Enter da izađete iz Server Configuration.
2.3 Konfiguracija mreže
1. Provjerite da li ste prijavljeni na server FIT-CORE kao Administrator sa lozinkom Pa$$w0rd.
2. U komandnoj liniji, pišite sconfig.cmd, i potom kliknite Enter.
3. Za konfiguraciju Network Settings, pišite 8, i potom kliknite Enter.
4. Unijeti indeks adaptera koji želite konfigurisati, i potom kliknite Enter.
5. Na Network Adapter Settings stranici, pišite 1, i potom kliknite Enter.
6. Za selektovanje konfiguracije statičke IP adrese, pišite S, i potom kliknite Enter.
7. Na Enter static IP address prozoru, pišite 172.16.0.111, i potom kliknite Enter.
8. Na Enter subnet mask prozoru, pišite 255.255.0.0, i potom kliknite Enter.
9. Na Enter default gateway prozoru, pišite 172.16.0.1, i potom kliknite Enter.
10. Na Network Adapter Settings stranici, pišite 2, i potom kliknite Enter. Ovo konfiguriše DNS.
11. Na Enter new preferred DNS server prozoru, pišite 172.16.0.10, i potom kliknite Enter.
12. U Network Settings prozoru, kliknuti OK.
13. Ukoliko ne želite konfigurisati alternativni DNS server, kliknite Enter.
14. Pišite 4, i potom kliknite Enter za povratak u meni.
15. Pišite 15, i potom kliknite Enter za izlaz iz sconfig.cmd.
16. U komandnoj liniji, pišite ping FIT-dc1.fit.ba za provjeru konekcije ka domenskom kontroleru FIT-
CORE.
2.4 Dodavanje servera u domenu (Potreban uključen FIT-DC1)
1. Provjerite da li ste prijavljeni na server FIT-CORE kao Administrator sa lozinkom Pa$$w0rd.
2. U komandnoj liniji, pišite sconfig.cmd, i potom kliknite Enter.
3. Za konfiguraciju Domain/Workgroup, pišite 1, i potom kliknite Enter.
4. Za pridruživanje domeni, pišite D, i potom kliknite Enter.
5. U Name of domain to join prozoru, pišite fit.com, i kliknite Enter.
6. U Specify an authorized domain\user prozoru, pišite fit\Administrator, i potom kliknite
Enter.
7. U Type the password associated with the domain user prozoru, pišite Pa$$w0rd, i potom
kliknite Enter.
8. U Change Computer Name prozoru, kliknuti No.
9. U Restart prozoru, kliknuti Yes.
10. Prijavite se na server FIT-CORE sa fit\Administrator nalogom i lozinkom Pa$$w0rd.
3. Upravljanje serverima (Potreban uključen FIT-DC1)
3.1 Kreiranje server grupe
1. Prijavite se na FIT-DC1 sa Administrator nalogom i lozinkom Pa$$w0rd.
2. U Server Manager konzoli, kliknuti Dashboard, i potom kliknuti Create a server group.
3. U Create Server Group prozoru, kliknuti Active Directory tab, i potom kliknuti Find Now.
4. U Server groupname, pišite LAB-1.
5. Dodati FIT-CORE i FIT-SVR3 u server grupu. Kliknuti OK za zatvaranje Create
Server Group prozora.
6. U Server Manager konzoli, kliknuti LAB-1. Kliknite i držite Ctrl tipku, i potom selektujte
FIT-CORE i FIT-SVR3.
7. Niže ispod Perzamance section, selektujte FIT-CORE i FIT-SVR3.
8. Desni klik na FIT-CORE, i potom kliknuti Start Perzamance Counters.
3.2 Kreiranje mogućnosti i rola na serverima
1. U Server Manager na FIT-DC1, kliknuti LAB-1.
2. Na vrhu, desni klik na FIT-CORE, i potom kliknuti Add Roles and Features.
3. U Add Roles and Features čarobnjaku, kliknuti Next.
4. Na Select installation type stranici, kliknuti Role-based ili feature-based installation, i potom
kliknuti Next.
5. Na Select destination server stranici, provjeriti da je selektovano FIT-CORE.fit.com, i potom
kliknuti Next.
6. Na Select server roles stranici, selektovati Web Server (IIS), i potom kliknuti Next.
7. Na Features stranici, selektovati Windows Server Backup, i potom kliknuti Next.
8. Na Web Server Role (IIS) stranici, kliknuti Next.
9. Na Select role services stranici, dodaj Windows Aupotomtication role service, i potom kliknuti
Next.
10. Na Confirm installation selections stranici, selektovati Restart the destination server
automatically if required, i potom kliknuti Install.
11. Kliknuti Close da bi zatvorili Add Roles and Features čarobnjak.
12. U Server Manager, desni klik na FIT-SVR3, i potom kliknuti Add Roles and Features.
13. U Add Roles and Features čarobnjak, kliknuti Next.
14. Na Select installation type stranici, kliknuti Role-based ili feature-based installation. Kliknuti
Next.
15. Na Select destination server stranici, provjeriti da li je FIT-SVR3.fit.com selektovano, i potom
kliknuti Next.
16. Na Server Roles stranici, kliknuti Next.
17. Na Select features stranici, kliknuti Windows Server Backup, i potom kliknuti Next.
18. Na Confirm installation selections stranici, selektovati Restart the destination server
automatically if require, i potom kliknuti Install.
19. Kada instalacija završi, kliknuti Close.
20. U Server Manager, ponovite prikaz, kliknuti na IIS, i potom provjeriti da je FIT-CORE na listi.
3.3 Pregled servisa i promjena u postavkama
1. Prijavite se na FIT-CORE sa fit\Administrator nalogom i lozinkom Pa$$w0rd.
2. U Commi Prompt prozoru, pisati sljedeće dvije komande, i kliknite Enter nakon svake:
netsh.exe advfirewall firewall set rule group="remote desktop" new
enable=yes
netsh.exe advfirewall firewall set rule group="remote event log
management" new enable=yes
3. Prijavite se na FIT-DC1 sa fit\Administrator nalogom i lozinkom Pa$$w0rd.
4. U Server Manager, kliknuti LAB-1.
5. Desni klik na FIT-CORE, i potom kliknuti Computer Management.
6. U Computer Management konzoli, Services and Applications, i potom kliknuti Services.
7. Desni klik na World Wide Web Publishing service, i potom kliknuti Properties. Provjeriti da je
Startup type podešen na Automatic.
8. U World Wide Web Publishing Service prozoru, na Log On tab, provjeriti da je servis konfigurisan
tako da koristi Local System account.
9. Na Recovery tab, konfigurisati sljedeće postavke, i potom kliknuti Restart Computer Options
tipku:
o First failure: Restart the Service
o Second failure: Restart the Service
o Subsequent failures: Restart the Computer
o Reset fail count after: 1 days
o Restart service after: 1 minute
10. U Restart Computer Options prozoru, u Restart Computer After polje, pišite 2, i potom
kliknuti OK.
11. Kliknuti OK da zatvorimo World Wide Web Publishing Services Properties prozor.
12. Zatvoriti Computer Management konzolu.
4. Korištenje PowerShell-a za upravljanje serverima
(Potreban uključen FIT-DC1)
4.1 Korištenje Prozors PowerShell za udaljeno spajanje na servere i pregled informacija
1. Prijavite se na FIT-DC1 sa fit\Administrator nalog i lozinkom Pa$$w0rd.
2. U Server Manager konzoli, kliknuti LAB-1.
3. Desni klik na FIT-CORE, i potom kliknuti Windows PowerShell.
4. U komandnoj liniji, pišite sljedeće, i potom kliknite Enter:
Import-Module ServerManager
5. Za pregled rola i mogućnosti instaliranih na FIT-CORE, pisati sljedeće i zatim pritisnuti Enter:
Get-WindowsFeature
6. Za pregled servisa koji se izvršavaju na FIT-CORE, pisati sljedeće i zatim pritisnuti Enter:
Get-service | where-object {$_.status -eq "Running"}
7. Za pregled liste procesa na FIT-CORE, pisati sljedeće i zatim pritisnuti Enter:
Get-process
8. Za pregled IP adresa koje su dodjeljene serveru, pisati sljedeće i zatim pritisnuti s:
Get-NetIPAddress | Zamat-table
9. Za pregled 10 najčešćih događaja u security log-u, pisati sljedeće i zatim pritisnuti Enter:
Get-EventLog Security -Newest 10
10. Zatvoriti Windows PowerShell.
4.2 Korištenje Prozors PowerShell za udaljeno instaliranje novih mogućnosti
1. Na FIT-DC1, kliknuti Windows PowerShell ikonu.
2. Za provjeru da XPS Viewer mogućnost možda nije instalirana na FIT-SVR3, pisati sljedeću
komandu i nakon nje Enter:
Get-WindowsFeature -ComputerName FIT-SVR3
3. Za XPS Viewer mogućnost na FIT-SVR3, napisati sljedeće i pritisnuti Enter:
Install-WindowsFeature XPS-Viewer -ComputerName FIT-SVR3
4. Za provjeru da je XPS Viewer mogućnost sada spremna za korištenje na FIT-SVR3, napisati
sljedeće, te pritisnuti Enter:
Get-WindowsFeature -ComputerName FIT-SVR3
5. U Server Manager konzoli, iz menija za alate, kliknuti Windows PowerShell ISE.
6. U Windows PowerShell ISE prozoru, u Untitled1.ps1 skriptu, napisati sljedeće, pritiskajući Enter
nakon svake linije:
Import-Module ServerManager
Install-WindowsFeature WINS -ComputerName FIT-SVR3
Install-WindowsFeature WINS -ComputerName FIT-CORE
7. Kliknuti Save.
8. Selektovati root na Local Disk (C:).
9. Napraviti novi folder imena Scripts, i potom sačuvati skriptu u taj folder kao InstallWins.ps1.
10. Za pokretanje skripte, pritisnuti F5 tipku.
9. sedmica (vježbe)
Uvod u Aktivni direktorij domenski
servis
2
Sadržaj:
1. Aktivni direktorj domenski servis .................................................................................................3
1.1. Logičke komponente ...........................................................................................................3
1.2. Fizičke komponente .............................................................................................................4
1.3. Domene ..............................................................................................................................4
1.4. Organizacijske jedinice.........................................................................................................5
1.5. Domenske šume ..................................................................................................................6
1.6. Domenska šema ..................................................................................................................7
1.7. Novosti u Windows Server 2012 R2 Aktivnom Direktoriju ....................................................8
2. Domen kontroleri ...................................................................................................................... 10
2.1. Globalni katalog ................................................................................................................. 10
2.2. Proces prijave .................................................................................................................... 11
2.3. Operacijski masteri ............................................................................................................ 12
3. Instalacija domen kontrolera ..................................................................................................... 14
3.1. Instalacija domen kontrolera pomoću Server Manager-a ................................................... 14
3.2. Instalacija domen kontrolera na Core verziji Windows Server-a 2012................................. 16
3.3. Nadogradnja domen kontrolera ......................................................................................... 16
3.4. Instalacija domen kontrolera korištenjem medija .............................................................. 17
3.5. Windows Azure Aktivni Direktorij ...................................................................................... 18
3
1. Aktivni direktorj domenski servis
AD DS baza podataka pohranjuje informacije o identitetu korisnika, računara, grupa servisa i
resursa. Također AD DS domen kontroler pruža usluge servisima koji vrše autentifikaciju korisnika i
računara koji se prijavljuju u domenu mreže. AD DS prvenstveno predstavlja alat za kreiranje i
podešavanje korisničkih računa pomoću kojih korisnici pristupaju mreži.
Aktivni direktorij domenski servis se sastoji od fizičkih i logičkih komponenti. Da bi infrastruktura mreže
bila ispravno i efikasno konfigurisana, potrebno je shvatiti kako fizičke i logičke komponente aktivnog
direktorija funkcioniše zajedno. Neke od AD DS opcija su instalacija i podešavanje aplikacija,
podešavanje sigurnosne infrastrukture i politike, omogućavanje udaljenog i direktnog pristupa i
izdavanje i podešavanje digitalnih certifikata. Jedna od najčešće korištenih opcija je „Group Policy“
(grupna politika), koja pruža mogućnost kreiranja centralizovane politike na koji način radi mreža, te
ko ima pristup mreži i sa kojim privilegijama.
1.1. Logičke komponente
Logičke komponente su strukture koje se koriste za implementaciju dizajna AD-a u zavisnosti od
potreba organizacije što možemo vidjeti u tabeli 1 ispod:
Tabela 1: Logičke komponenete AD-a
Logičke komponente Opis
Partition (Particija)
Predstavlja dio baze podataka AD-a. Baza podataka je datoteka pod nazivom Ndts.dit, može se uređivati, duplicirati i dijeliti na sektore. Ti sektori se nazivaju particije.
Schema (Šema) Set definicija o tipovima objekata i atributima koji se koriste za kreiranje objekata u AD DS-u.
Domain (Domena) Logički, administrativni kontejner za korisnike i računare.
Domain tree (Domensko stablo)
Skup više domena koje dijele jednu zajedničku (glavnu) domenu i domenski imenski prostor (DNS).
Forest (Domenska šuma) Skup više domena koje dijele zajednički AD DS.
Organization unit – OU (Organizacijska jedinica)
Predstavlja objekat koji pruža okvir za određivanje administrativnih prava i za povezivanje objekata grupne politike.
Site (Stranica)
Skup računara, korisnika i grupa koji su definisani na osnovu svoje fizičke lokacije. Može se koristiti za planiranje administrativnih zadataka kao što je replikacija na pitanje o promjenama izvršenim nad bazom podataka AD DS-a.
Container (Kontejner) Objekat koji omogućava korištenje organizacijskog „framework-a“.
4
1.2. Fizičke komponente
Fizičke komponente su jedinice koje omogućavaju komunikaciju između objekata aktivnog direktorija,
što možemo vidjeti u tabeli ispod.
Tabela 2: Fizičke komponenete AD-a
Fizičke komponente Opis
Domain Controler (Domen
kontroler)
Sadrži kopiju baze podataka AD DS-a. Za većinu operacija, svaki domen kontroler kada izvrši neku promjenu replicira tu promjenu svim domen kontrolerima unutar domene.
Data store
(Skladište podataka)
Svaki domen kontroler posjeduje skladište podataka. Unutar njega se nalazi baza podataka AD DS-a. Baza podataka koristi Microsoft Jet tehnologiju kako bi spremila informacije u datoteku Ntds.dit. Ove datoteke se nalaze na lokaciji C:\Windows\NTDS.
Global catalog server (Globalni katalog)
Predstavlja domen kontroler koji pruža usluge globalnom katalogu, u kojem se nalazi kopija svih objekata domenske šume. Ti podaci su read-only (moguće ih je samo čitati). Ubrzava pretragu objekata koji su spremljeni u različitim domenama unutar jedne domenske šume.
Read-only domain controler (RODC)
Specijalna read-only instalacija AD DS-a. RODC se najčešće koristi u organizacijama gdje je sigurnost i IT podrška na nižem nivou od velikih organizacija.
1.3. Domene
AD DS domena je logička jedinica koja se koristi za upravljanje korisnicima, grupama, računarima i
drugim objektima. Svi domenski objekti se nalaze u bazi podataka, čije kopije su spremljene u domen
konrolerima.
Slika 1. Grafički prikaz elemenata domene
5
Unutar domene se najčešće kreiraju tri tipa objekata i to:
Korisnički računi – sadrže informacije koje su potrebne za autentifikaciju korisnika na sistem i
dodjelu pristupnog žetona.
Računarski računi – svaki računar koji se pridruži domeni mora imati kreiran račun unutar AD
DS-a. Koriste se za pridruživanje računara domeni na isti način kao i korisnici.
Grupe – koriste se za organizaciju korisnika i računara kako bi što lakše bila definisana grupna
politika domene.
Replikacija promjena – kada se unutar domene izvrši promjena na nekom od objekata, domen
kontroler koji je zadužen za tu promjenu šalje informacije o istoimenoj svim ostalim domen
kontrolerima. Ukoliko postoji više domena povezanih u domensku šumu samo promjene nad
objektima koji su zajednički za date domene se repliciraju domen kontrolerima u tim domenama. AD
DS koristi „multimaster“ replikacijski model koji omogućava svakom domen kontroleru da manipuliše
objektima i vrši nad njima promjene. Windows Server 2012 aktivni direktorij domenski servis
omogućava samo jednoj domeni da kreira skoro dvije milijarde objekata. Zahvaljujući ovome većina
organizacija koristi samo jednu domenu i tako se osigurava da svi domen kontroleri imaju pristup svim
informacijama domene. Međutim, ukoliko organizacija ima decentraliziran sistem, morat će da koristi
više domena koje će se nalaziti u istoj domenskoj šumi.
Administrativni centar – domena samim kreiranjem sadrži administratorski račun (Administrator
account) i administratorsku grupu (Domain Admins group). Prema osnovnim postavkama
administrator je član administratorske grupe. Također, svi članovi administratorske grupe imaju
potpunu kontrolu nad svim objektima koji se nalaze u domeni.
Autentifikacija – kada god se uključi računar koji se nalazi unutar domene ili se korisnik pokuša prijaviti
na sistem putem toga računara AD DS mora da ga autentifikuje. Autentifikacijom potvrđuje da taj
računar ili korisnik imaju odgovarajuće podatke pomoću kojih pristupaju sistemu.
Autorizacija – svi Windows operativni sistemi koriste autorizaciju i kontrolu pristupa kako bi
autentificiranim korisnicima dozvolili pristup računarskim resursima. Autorizacijski proces se
uglavnom obavlja na lokalnom računaru.
1.4. Organizacijske jedinice
Organizacijska jedinica (Organization Unit – OU) je kontejnerski objekat unutar domene koji se
koristi za povezivanje korisnika, računara, grupa i drugih objekata. Organizacijske jedinice nisu isto što
i generički kontejnerski objekti u AD DS-u. Razlika između organizacijskih jedinica i kontejnera je u
mogućnostima. Tako kontejneri imaju ograničene mogućnosti i pomoću njih nije moguće dodijeliti
grupnu politiku direktno na kontejner. Koriste se obično za manipulisanje sistemskim objektima.
Organizacijske jedinice omogućavaju više upravljačkih mogućnosti, pa je moguće jednoj organizacijskoj
jedinici direktno dodijeliti grupnu politiku.
6
Slika 2. Kontejneri i organizacijske jedinice
Organizacijska jedinica je predstavljena sa folderom na kojem se nalazi knjiga, a kontejner sa praznim
folderom. Postoje dva razloga za kreiranje organizacijskih jedinica:
Grupisanje objekata u organizacijske jedinice omogućava lakšu administraciju primjenjivanjem
grupne politike na cijelu jedinicu.
Moguće je dodijeliti dozvolu za upravljanje cijeloj organizacijskoj jedinici unutar koje može da
se nalazi više grupa korisnika.
1.5. Domenske šume
Domensko stablo predstavlja jednu ili skup više domena koje dijele zajednički imenski prostor.
Domenska šuma predstavlja skup domenskih stabala koja dijele zajedničku šemu i globalni katalog.
Prva domena koja se kreira u domenskoj šumi se naziva „forest root domain“ (glavna domena). Glavna
domena sadži nekolicinu objekata koji su svojstveni njoj, te ih druge domene unutar domenske šume
ne posjeduju. Objekti koje posjeduje samo glavna domena su:
„Schema master role“ – u svakoj domenskoj šumi postoji samo jedna master šema. Ta šema
može biti izmijenjena samo pomoću domen kontrolera koji upravlja „schema master role-om“.
„Domain naming master role“ – objekat koji dodjeljuje nova imena domenama. Samo domen
kontroler koji upravlja „domain naming master role-om“ može da dodaje nova imena domena
u direktorij.
„Enterprise Admins group“ – prema osnovnim postavkama u poslovnoj grupi administratora
se nalazi administratorski račun. Poslovna grupa administratora je član svake lokalne
administratorske grupe unutar domenske šume.
„Schema Admins group“ – ova grupa, prema osnovnim postavkama, nema članova. Sadrži
šemu cijele domenske šume. Samo članovi poslovne grupe administratora mogu dodavati nove
članove ovoj grupi. Šemu mogu mijenjati isključivo članovi schema admins grupe.
7
Slika 3. Glavna domena i domena dijete
Granice sigurnosti – prema osnovnim postavkama nijedan korisnik koji se nalazi izvan domenske šume
ne može da pristupi resursima unutar nje. Također sve domene unutar jedne domenske šume vjeruju
jedni drugima unutar te iste domenske šume. Ovo omogućava na jednostavan način pristup dijeljenju
resursa kao što je dijeljenje datoteka i stranica.
Replikacijske mogućnosti – svi domen kontroleri unutar jedne domenske šume dijele striktno jednu te
istu šemu. Zbog ovoga, ukoliko organizacije žele da koriste neke aplikacije koje su nekompatibilne sa
jednom šemom, maraju organizovati više domenskih šuma. Globalni katalog omogućava pretragu svih
objekata koji se nalaze u domenskoj šumi.
1.6. Domenska šema
AD DS šema je komponenta koja definiše sve objekte i njihove atribute koje AD DS koristi za
pohranu podataka. Šema se replicira u sve domen kontrolere u domenskoj šumi. Bilo koja promjena
izvršena nad šemom dalje se replicira na sve domen kontrolere od strane domen kontrolera koji je
zadužen za upravljanje i organizaciju šeme.
Objekti – AD DS koristi objekte kao jedinice za pohranu informacija. Svi tipovi objekata su definisani u
šemi. Svaki put kada direktorij želi da pohrani podatke, šalje upit šemi za odgovrajuću definiciju
objekta. Na osnovu te definicije direktorij kreira objekat i pohranjuje informacije. Definicija objekta
sadrži tip podataka koji se može spremiti u objekat i sintaksu podataka. Korisnici mogu kreirati samo
objekte koji su definisani šemom.
Veze između objekata, pravila, atributi i klase – svaka šema definiše sljedeće tri stvari:
Objekat koji čuva podatke u direktoiju
Pravila koja definišu strukturu objekta
Strukturu i sadržaj direktorija
AD DS objekat se sastoji od atributa koji su grupisani u klase. Svaka klasa ima pravila koja definišu koji
atributi su opcionalni, a koji ne.
Vršenje izmjena nad šemom – samo članovi šema administratorske grupe mogu vršiti izmjene nad
šemom. Korisnik ne može uklanjati ništa iz šeme, ima mogućnost jedino da je proširuje korištenjem AD
DS proširenja ili izmjenom atributa postojećih objekata.
8
Slika 4. AD DS šema
1.7. Novosti u Windows Server 2012 R2 Aktivnom Direktoriju
Windows Server 2012 R2 Aktivni Direktorij sa sobom donosi mnogo poboljšanja u odnosu na
prethodnu verziju. Neka od tih poboljšanja su:
Workplace Join – omogućava korisniku da sa privatnim uređajem pristupa domeni. Uređaji mogu
koristiti Windows i IOS platformu kako bi se registrovali i pristupili domeni. Uređaj se može registrovati
korištenjem Device Registration Service (DRS) dodatka koji predstavlja dio AD DS-a. DRS kreira objekat
za uređaj i dodjeljuje certifikat navedenom uređaju kako bi ga autentificirao.
Web Aplication Proxy – novi način pristupa sa udaljene lokacije koji omogućava korisnicima da pokreću
aplikacije i koriste domenske resurse sa bilo kojeg mjesta u bilo koje vrijeme. Administratorima pruža
mnogo više mogućnosti od tradicionalnog VPN-a zbog toga što korisnici koriste samo aplikacije koje im
je administrator odobrio za korištenje. Web Aplication Proxy zahtjeva korištenje Aktivni Direktorij
Federacijskog Servisa i njegovih dodataka kao što je Single Sign-on (SSO).
Multi-Factor Access Control – Workplace Join i Web Aplication Proxy koriste AD FS, čija je primarna
funkcija da dodijeli pristupni žeton koji potvrđuje ispravnost autentifikacije. Tradicionalna
autentifikacija korisnika koristi samo korisnikov identitet, ali ne definiše šta to korisnik može raditi
unutar domene. AD FS može da koristi više od 50 faktora kako bi se izvršila autentifikacija korisnika.
Neki od faktora mogu da budu: email korisnika, korisničko ime koje je jedinstveno za svakog korisnika
u domeni, uloge (role) koje su dodijeljena korisniku ili korištenje Primary group security identifier-a
(SID). Multi-factor access control ima mnogo prednosti kao što su:
Dozvola ili zabrana pristupa na osnovu korisnika, uređaja, lokacije, autentifikacijskog stanja ili
korištenjem nekog drugog faktora koji je definisan sigurnosnom politkom organizacije.
Mogućnost kreiranja različitih pravila korištenja za svaku od aplikacija.
Za složene scenarije moguće je koristiti Windows PowerShell kako bi se razvila što detaljnija
pravila pristupa i korištenja aplikacija
Mogućnost slanja obrazloženja zbog kojeg razloga je korisniku odbijen pristup domeni i sl.
9
Multi-Factor Authentication – omogućava kreiranje fleksibilnih scenarija za autentifikaciju korisnika,
koji omogućavaju korisnicima da domenskim resursima pristupaju na više načina. Moguće je kreirati
globalnu politiku za autentifikaciju ili posebno za svakog korisnika koji pristupa resusrsima domene.
Nakon što se kreira globalna autentifikacijska politika administrator može da podešava sljedeće
postavke:
Primarnu autentifikacijsku metodu. Prema osnovnim postavkama spoljna konekcija koristi
formu za identifikaciju, a interna Windows Autentifikaciju.
Faktore na osnovu kojih će se vršiti autentifikacija
Šta se dešava ukoliko je autentifikacija korisnika ispravna
10
2. Domen kontroleri
Domen kontroler je server koji je konfigurisan da vrši spremanje kopije AD DS baze podataka
(Ntds.dit) i kopije SYSVOL foldera. Svi domen kontroleri osim RODC-a spremaju read-write kopije
Ntds.dit i SYSVOL foldera. Ntds.dit je sam za sebe baza podataka, a SYSVOL folder sadrži osnovne
postavke i datoteke koje služe za primjenu grupne politike domene. Zbog toga što domen kontroleri
vrše autentifikaciju korisnika i računara u domeni oni predstavljaju kritičnu tačku za ispravno
funkcionisanje mreže.
Za većinu operacija, podaci mogu biti izmijenjeni pomoću bilo kojeg kontrolera osim RODC-a. Nakon
izvršene izmjene AD DS replikacijski servis sve promjene napravljene nad bazom podataka sinhronizuje
sa svim ostalim kontrolerima u domeni. Za replikaciju SYSVOL foldera, u verziji Windows Server 2012,
se može koristiti File Replication Service (FRS) ili noviji Distributed File System (DFS). U verziji Windows
Server 2012 R2 je moguće koristiti samo DFS replikaciju.
Svi korisnici domene se nalaze u AD DS bazi podataka. Ukoliko je iz nekog razloga baza nedostupna
nijedna operacija koja je zasnovana na domenskoj autentifikaciji neće moći biti izvršena. Zbog
navedenog svaka domena bi trebala imati najmanje dva domen kontrolera.
Ukoliko se domen kontroler koristi u okruženju koje nije dovoljno dobro fizički osigurano, najbolje je
koristiti RODC. Read only domain controller je kontroler koji čuva kopiju baze podataka koja se može
isključivo čitati i prema osnovnim postavkama ne čuva podatke o korisnicima i njihovim lozinkama.
Administrator ima mogućnost izmjene ovih postavki.
Druga mogućnost kod loše fizički zaštićenih lokacija je korištenje programa pod nazivom Windows
BitLocker Drive Encription. BitLocker je enkripcijski sistem koji je dostupan za sve Windows Server
operativne sisteme i neke Windows klijent operativne sisteme. BitLocker štiti podatke na način što se
enkriptuje cijeli operativni sistem, tako da računar neće moći biti upaljen bez ispravno unesenog
privatnog ključa. Bitno je naglasiti da će disk ostati enkriptovan iako se priključi u neki drugi računar.
Ukoliko dođe do krađe hard diska, enkripcija će osigurati podatke od zloupotrebe te ih maliciozni
korsnik ni na koji način neće moći iskoristiti.
2.1. Globalni katalog
Globalni katalog je read-only kopija svih objekata u domenskoj šumi, a koristi se za njihovu
pretragu. Ubrzava pretrage nad objektima koji se nalaze u različitim domenama unutar jedne
domenske šume. Unutar jedne domene AD DS baza podataka na svakom od kontrolera sadrži sve
podatke o objektima, ali samo jedan dio ovih onformacija se replicira na globalni katalog u drugim
domenama.
Unutar određene domene, upit za jednim objektom predstavlja direktan poziv nekog domen
kontrolera, ali tim upitom nije moguće dobiti podatke o objektima u drugim domenama. Da bi se u
rezultatima upita našli objekti druge domene potrebno je izvršiti upit nad domen kontrolerom koji je
global catalog server. Prema zadanim postavkama prvi domen kontroler u domenskoj šumi je ujedno
i server golbalnog kataloga. U globalnom katalogu se ne skladište sve informacije o objektu. Najčešće
su to atributi ime i mail.
11
Slika 5. Globalni katalog
Unutar jedne domene svi domen kontroleri bi trebali da čuvaju kopiju globalnog kataloga. Odluka o
tome koji kontroler će čuvati kopiju globalnog kataloga zavisi isključivo od količine saobraćaja i
mrežnog propusta.
2.2. Proces prijave
Kada se korisnik prijavi na AD DS sistem unutar domenskog imenskog prostora pomoću service
resource records-a (SRV) traži najbliži odgovarajući domen kontroler. SRV sprema specifične
informacije o dostupnim servisima i replicira te informacije svim domen kontrolerima. Ukoliko je
proces prijave uspješan local security authority (LSA) kreira žeton za korisnika koji sadrži SID korisnika
i svake grupe u kojoj se istoimeni nalazi. Žeton omogućava korištenje programa i ostalih resursa
sistema u zavisnosti od privilegija koje ima korisnik. Svaki korisnik ili grupa koja se kreira ima jedinstven
SID. Postoje SID-ovi koji su opće poznati, npr. SID administratorskog računa domene uvijek završava sa
brojem 500.
12
Slika 6. Proces prijave na AD DS
Stranice – klijenti koriste stranice kada žele da komuniciraju sa domen kontrolerima. Sistem dalje traži
SRV zapise od DNS-a. Odgovor DNS-a podrazumijeva:
Listu domen kontrolera koij su u istoj stranici kao klijent.
Listu domen kontrolera koji se nalaze u najbližoj stranici, ukoliko nema dostupnih kontrolera
u istoj.
Slučajnu listu kontrolera, ukoliko nisu pronađeni dostupni kontroleri u najbližim stranicama
SRV zapisi se registruju u DNS-u pomoću Net Logon servisa koji je pokrenut na svakom domen
kontroleru. Ukoliko SRV zapis nije ispravno unesen u DNS moguće je podesiti domen kontroler da
restartovanjem Net Logon servisa registruje taj zapis. Ovim procesom se registruju samo SRV zapisi.
Da bi se registrovali zapisi o nekom hostu potrebno je u komandnoj liniji ukucati komandu
ipconfig /registerdns.
2.3. Operacijski masteri
Određene operacije mogu biti izvršene samo pomoću specifičnih uloga koje imaju neki domen
kontroleri. Domen kontroler koji posjeduje najmanje jednu od tih uloge se naziva operacijski master.
Postoji pet master uloga i svih pet može biti dodijeljeno jednom kontroleru ili biti raspoređne na
različitim domen kontrolerima. Prema osnovnim postavkama prvi instalirani domen kontroler
posjeduje svih pet uloga. Ovim pristupom se smanjuje mogućnost konflikta uzrokovanog replikacijskim
kašnjenjem. Pet uloga je raspoređeno na sljedeći način:
Svaka domenska šuma ima jednu master šemu i jednu master imensku domenu.
Svaka AD DS domena ima jedan RID master, jedan infrastrukturni master i jedan primarni
domen kontroler emulator (PDC).
13
Operacijski masteri domenske šume – Postoje dvije master uloge koje se nalaze unutar domenske
šume, a to su:
Domain naming master. Predstavlja domen kontroler koji mora biti kontaktiran svaki put kada
se dodaje nova, uklanja ili mijenja postojeća domena. Ukoliko je ova uloga iz nekog razloga
nedostupna neće biti moguće izvršiti neku od navedenih operacija.
Schema master. Domen kontroler koji čuva podatke o šemi domene. Da bi se izvršila neka
promjena nad šemom potrebno je se prijaviti na sistem pomoću računa koji je član Schema
Admins grupe ili Enterprise Admins grupe. Korisnici koji su članovi obje grupe i imaju
odgovarajuće dozvole mogu da vrše izmjene nad šemom pomoću skripti.
Domenski operacijski masteri – Postoje tri master uloge koje se nalaze u svakoj domeni, a to su:
Relative ID (RID) master. Kada god se kreira novi korisnički račun, domen kontroler koji je
zadužen za njegovo kreiranje mu dodjeljuje identifikacijski broj poznat kao SID. Kako bi se
osiguralo da dva domen kontrolera neće dodijeliti dva ista SID-a različitim objektima, RID
master alocira blokove RID-ova svakom domen kontroleru kako bi ih iskoristili kod dodjele SID-
ova objektima.
Infrastructure master. Ova rola održava interdomenske reference objekata, npr. kada grupa u
jednoj domeni sadrži članove iz druge domene. U ovj situaciji infrastrukturni master je
odgovoran za održavanje integriteta ove reference.
PDC emulator master. Domen kontroler koji upravlja PDC emulatorom predstavlja vremenski
izvor domene. PDC emulator u svakoj domenskoj šumi sinhronizuje vrijeme sa PDC
emulatorom glavne domene unutar domenske šume. PDC emulator je i domen kontroler koji
prima sve izmjene lozinki. Ukoliko korisnik izmijeni svoju lozinku, ona se automatski šalje
kontroleru koji upravlja PDC emulatorom.
14
3. Instalacija domen kontrolera
U većini slučajeva pored osnovnog kontrolera, korisnik ima potrebu za instalacijom novih domen
kontrolera. To je potrebno uraditi zbog više razloga:
Potreban je dodatni izvor na stranici zato što je postojeći domen kontroler prezauzet
Otvarate novu poslovnicu na udaljenoj lokaciji koja zahtijeva jedan ili više domen kontrolera
Kreirate lokaciju za očuvanje informacija i disaster recovery
Postoji više načina pomoću kojih je moguće instalirati domen kontrolere, te će proces instalacije na
svaki način biti dodatno pojašnjen.
3.1. Instalacija domen kontrolera pomoću Server Manager-a
Kod windows Servera 2008 i ranijih verzija je bila praksa da se AD DS pokrene pomoću dcpromo alata
kako bi se instalirali domen kontroleri. Sa verzijom Windows Servera 2012 AD DS instalacijski wizard je
dio Server Manager-a.
Za instalaciju kontrolera prvo je potrebno da se instaliraju fajlovi koje će domen kontroler role da
koriste, a nakon toga se instaliraju domen kontroler role. Prije instalacije je potrebno odgovoriti na
sljedeća pitanja:
Slika 7. Instalacija domen kontrolera pomoću Server Manager-a
15
Tabela 3: Pitanja prilikom instalacije domen kontrolera
Pitanja Komentari
Are you installing a new forest, a new tree, or an
additional domain controller for an existing domain?
Odgovaranjem na ova pitanja određuje se koje dodatne informacije bi mogle biti potrebne korisniku, kao što je ime glavne domene.
What is the DNS name for AD
DS domain?
Nakon kreiranja prvog domen kontrolera potrebno je odrediti puno ime domene (FQDN). Ukoliko se kontroler dodaje na već postojeću domenu ili domensku šumu, u instalaciji će biti ponuđen izbor istoimene.
What will the forest functional level be set at?
Određuje minimalan funkcionalni nivo za određenu domenu unutar domenske šume.
Will the domain controller be a DNS server?
DNS mora funkcionisati ispravno kako bi u potpunosti podržavao AD DS.
Will the domen controller host the global catalog?
Ovom opcijom prema zadanim postavkama je određen prvi domen kontroler i to ne može biti promijenjeno.
Will the domain controller be a RODC?
Ova opcija nije dostupna za prvi domen kontroler u domenskoj šumi.
What will the Directory Service Restore Mode (DSRM)
password be?
Ova opcija bi trebala biti potvrđena zbog toga što omogućava restore baze podataka.
What is the NetBIOS name for the AD DS domain?
Kada se kreira prvi domen kontroler potrebno je odrediti NetBIOS ima za domenu.
Where will the database, log files, and SYSVOL folders be
created?
Prema zadanim postavkama se nalaze na sljedećim lokacijama:
Log fajlovi – C:\Windows\NTDS
SYSVOL folder – C:\Windows\SYSVOL
Nakon instalacijskog procesa role AD DS datoteke su instalirane ali nisu konfigurisane ne tom serveru.
Potrebno je pokrenuti instalaciju klikom na AD DS link u Server Manager-u. Instalacija pruža sljedeće
tri mogućnosti:
Dodati novi domen kontroler u postojeću domenu
Dodati novu domenu u postojeću domensku šumu
Dodati novu domensku šumu
16
3.2. Instalacija domen kontrolera na Core verziji Windows Server-a 2012
Windows Server 2012 Core instalacija nema grafičko okruženje Server Manager-a tako da je
potrebno na drugi način izvršiti instalaciju domen kontrolera. To je moguće uraditi pomoću Windoes
PoweShell-a ili Remote Server Administration Tool-a (RSAT) koji je instaliran na klijentskoj verziji
Windows 8.1 operativnog sistema.
Kako bi se intalirali fajlovi AD DS-a na serveru moguće je uraditi sljedeće:
Pomoću Server Manager-a se povezati na Server Core i instalirati AD DS rolu kao što je
objašnjeno u prethodnom podnaslovu.
Ukucati PowerShell komandu Install-Windows-Feature AD-Domain-Service.
Nakon toga je potrebno izvršiti konfiguraciju koja može biti izvršena na dva načina:
Pomoću Server Manager-a pokrenuti AD DS konfiguraciju kako je objašnjeno u prethodnom
podnaslovu.
Pokrenuti PoweShell cmdlet Install-ADDSDomainControler i unijeti potrebne informacije
pomoću komandne linije.
3.3. Nadogradnja domen kontrolera
Moguće je vršiti nadogradnju sa Windows Servera 2008 na Windows Server 2012, Windows Servera
2008 R2 na Windows Server 2012 R2 ili Windows Servera 2012 na Windows Server 2012 R2. Za svaku
nadogradnju je isti postupak. Sistem se može nadograditi na Windows Server 2012 na dva načina:
Nadogradnjom operativnog sistema na postojećim domen kontrolerima koji se nalaze na
Windows Serveru 2008
Dodavanjem Windows Servera 2012 kao domen kontrolera u domeni u kojoj se nalaze domen
kontroleri prethodne verzije
Nadogradnja na Windows Server 2012 – Da bi se izvršila nadogradnja AD DS domene koja se nalazi na
starijoj verziji Windows Servera, prvo je potrebno nadograditi sve domen kontrolere na Windows
Server 2012 operativni sistem. Moguće je za sve postojeće kontrolere instalirati novi sistem ili dodati
nove kontrolere koji koriste Windows Server 2012 te nakon toga izbaciti postojeće domen kontrolere.
Kako bi se instalirao novi sistem prvo je potrebno unijeti komande adprep.exe /forestprep i
adprep.exe /domainprep kako bi bila izvršena priprema domene i domenske šume. Kada proglasite
Windows Server 2012 da bude domen kontroler u postojećoj domeni i prijavite se kao član Schema
Admins i Enterprise Admins grupa, AD DS šema će se automatski nadograditi u Windows Server 2012.
Podešavanje Windows Server 2012 domen kontrolera – Kako bi se izvršila nadogradnja operativnog
sistema sa Windows Servera 2008 na Windows Server 2012 potrebno je izvršiti sljedeće procedure:
1. Pokrenuti instalacijski disk Windows Servera 2012
2. Nakon izbora jezika kliknuti na Install now.
3. Nakon izbora operativnog sistema i tipa instalacije potrebno je izabrati Upgrade: Install
Windows and keep files, settings and applications.
17
3.4. Instalacija domen kontrolera korištenjem medija
Ukoliko je internet propusnost mala , skupa ili nepovjerljiva, najbolje rješenje je da se instalira pomoću
nekog medija. Zato je potrebno izabrati opciju Install from Media (IFM). Većina potrebnih kopiranja će
se odvijati lokalno, a internet konekcija će se koristiti smao za osiguravanje da je svaki domen kontroler
dobio informacije o promjenama koje su izvršene na glavnom AD DS-u. Za instalaciju domen kontrolera
pomoću medija se vrši comand-line alatom pod nazivom ntdsutll. Kako bi instalacija bila uspješna
slijedite navedene korake:
1. Potrebno je unijeti sljedeće komande u comand prompt-u koji je pokrenut pod administratorskim
privilegijama:
Ntdstil
Activate instance ntds
Ifm
create SYSVOL full C:\IFM
2. Na serveru koji unapređujemo u domen kontroler uraditi sljedeće korake:
Pomoću Server Manager-a dodate AD DS rolu.
Sačekati dok se AD DS datoteke instaliraju.
U Server Manager-u kliknuti na Notification ikonu ispod Post-Deployment Configuration,
kliknuti na Promote this server to domain controller.
Na odgovrajućem prozoru instalacije odabrati opciju Install from media, te nakon toga izabrati
lokalnu putanju do direktorija.
3. AD DS će izvršiti instalaciju snapshot-a.
4. Nakon što se domen kontroler ponovo pokrene, kontaktirat će ostale domen kontrolere u domeni i
uraditi update svih promjena koje su se desile prije kreiranja snapshot-a.
Slika 8. Instalacija korištenjem medija
18
3.5. Windows Azure Aktivni Direktorij
Windows Azure AD je servis koji pruža mogućnost upravljanja identitetom i kontrolom pristupa za
aplikacije koje su bazirane na cloud-u. Jedan od primjera servisa je Microsof Office 365 Exchange Online
servis. Windows Azure AD ne uključuje sve servise koji su dostupni na Windows Server 2012 AD-u.
Widows Server AD podržava pet različitih servisa i to:
Active Directory Domain Service (AD DS)
Active Directory Lightweight Directory Service (AD LDS)
Active Directory Federation Service (AD FS)
Active Directory Certificate Service (AD CS)
Active Directory Rights Management Service (AD RMS)
Windows Azure AD podržava:
Windows Azure Active Directory
Windows Azure Access Control Service
10. sedmica (workshop)
Instalacija Windows Server 2012
domain kontrolera
1.1. Dodati AD DS ulogu na server
1. Na FIT-DC1 u Server Manager-u sa lijeve strane kliknuti na All Servers.
2. Desni klik na All Servers potom izabrati opciju Add Servers.
3. U novootvorenom prozoru u prostor za unos imena unijeti FIT-SVR3 i kliknuti Find Now.
4. Ispod opcije Name, kliknuti na FIT-SVR3, te nakon toga klikuti na strelicu kako bi se dodao
server u selektovanu kolonu.
5. Kliknuti OK kako bi se zatvorio otvoreni prozor.
6. U Server Manager-u pod opcijom Server Pane desni klik na FIT-SVR3 i izabrati opciju Add Roles
and Features.
7. U novootvorenom prozoru kliknuti Next.
8. U prozoru Select installation type izabrati Role-based ore feature-based installation, potom
kliknuti Next.
9. U prozoru Select destination server, izabrati Select a server fro the server pool.
10. Kod Server pool-a označiti FIT-SVR3.fit.ba i kliknuti Next.
11. U prozoru Select server roles označiti Active Directory Domain Service, kliknuti na Add
Fetures, a zatim na Next.
12. U prozoru Select features kliknuti na Next.
13. U prozoru Active Directory Domain Service kliknuti na Next.
14. U prozoru Confirm instalation selections kliknuti na Restart the destination server
automtically if required i kliknuti na Install. Instalacija će trajati nekoliko minuta.
15. Nakon završetka instalacije kliknuti na Close.
1.2 Konfigurisati server kao domen kontroler
1. Na FIT-DC1 u Server Manager-u na command baru kliknuti na Notifications (zastavica).
2. Na opciji Post-deployment Configuration kliknuti Promote this server to a domain controller.
Nakon toga će se pokrenuti instalacija.
3. U prozoru Deployment Configuration provjeriti da li je izabrana opcija Add a domain
controller to an existing domain, te klknuti Select.
4. U prozoru Windows Security u polje Username unijeti Administrator, a u polje Password
unijeti Pa$$w0rd i kliknuti OK.
5. U prozoru Select a domain from the forest izabrati fit.ba i kliknuti OK.
6. Pored linije Supply the credentials to perform this operation kliknuti na Change.
7. U prozoru Windows Security u polju Username unijeti FIT\Administrator, a u polje Password
unijet Pa$$w0rd i kliknuti OK.
8. U prozoru Deployment Configuration kliknuti Next.
9. U prozoru Domain Controller Oprtions označiti Domain Name System (DNS) server, a
odznačiti Global Catalog (GC).
10. sekciji Type the Directory Services Restore Mode (DSRM) password unesite vrijednost
Pa$$w0rd u oba polja za unos i kliknite Next.
11. U prozoru DNS Options kliknuti Next.
12. U prozoru Aditional Options kliknuti Next.
13. U prozoru Paths prihvatiti osnovne datoteke i kliknuti Next.
14. U prozoru Review Options kliknuti View Script i pregledati skriptu koja je generisana
15. Zatvoriti Notepad prozor.
16. U prozoru Review Options kliknuti Next.
17. U prozoru Prerequisites Check pročitati sva upozorenja, ukoliko ih ima, i kliknuti Install.
18. Nakon što se završi instalacija kliknuti Close.
19. Sačekati dok se FIT-SVR3 ne restartuje.
1.3 Konfigurisati server kao globalni katalog server
1. Prijaviti se na FIT-SRV3 sa korisničkim imenom FIT\Administrator i lozinkom Pa$$w0rd.
2. U Server Manager-u izabrati opciju Tools, a potom Active Sirectory Sites and Services.
3. Proširiti listu Sites, proširiti listu Default-First-Site-Name, proširiti listu Servers i proširiti listu
FIT-SVR3.
4. U lijevoj koloni desni klik na NTDS Settings i izabrati Properties.
5. U NTDS Settings Properties prozoru izabrati Global Catalog (GC) i kliknuti OK.
6. Zatvoriti Active Directory Sites and Services.
11. sedmica (vježbe)
Upravljanje objektima aktivnog direktorija
Sadržaj:
1. Upravljanje korisničkim računima ................................................................................................3
1.1. AD DS administarcijski alati ..................................................................................................3
1.2. Korisnički računi ..................................................................................................................5
1.2.1. Kreiranje korisničkih računa .........................................................................................5
1.2.2. Kreiranje atributa kod korisničkih računa .....................................................................5
1.2.3. Kreiranje korisničkih profila..........................................................................................6
2. Upravljanje grupama .......................................................................................................................8
2.1. Tipovi grupa .............................................................................................................................8
2.2. Opseg grupa .............................................................................................................................9
2.3. Implementacija grupnog upravljanja ...................................................................................... 10
2.4. Zadane grupe ......................................................................................................................... 11
2.5. Specijalni identiteti ................................................................................................................. 12
3. Upravljanje računarskim računima ................................................................................................ 13
3.1. Računarski kontejneri ............................................................................................................. 13
3.2. Određivanje lokacije računarskog računa ............................................................................... 13
3.3. Kontrola permisija i kreiranje računarskih računa ................................................................... 14
3.4. Pridruživanje računara domeni u izvanmrežnom okruženju .................................................... 15
3.4. Računarski računi i sigurnosni kanali ....................................................................................... 15
3.5. Resetovanje sigurnosnog kanala ............................................................................................. 16
4. Delegacija administracije............................................................................................................... 17
4.1. Razmatranja za upotrebom organizacijskih jedinica ................................................................ 17
4.2. Permisije aktivnog direktorija ................................................................................................. 17
1. Upravljanje korisničkim računima
Korisnički objekat u AD DS-u predstavlja temelj idntifikacije i pristupa aktivnom direktoriju
domenskog servisa. Korisnički računi imaju mnogo atributa u kojima se spremaju podaci kao što su
kontakt podaci korisnika i specifične datoteke i postavke.
1.1. AD DS administarcijski alati
Prije samog kreiranja korisnika i grupa kao i njihove administracije potrebno je razumjeti koji se sve
alati mogu koristiti za vršenje ovih operacija.
- Aktivni direktorij administracijski „snap-in“ alat:
Većinu AD DS administracijskih poslova je moguće uraditi pomoću sljedećih snap-in-a:
Active Directory Users and Computers. Koristi se za upravljanjem resursa kao što su
korisnici, grupe, računari i organizacijske jedinice.
Active Directory Sites and Services. Koristi se za organizaciju i upravljanje replikacijom,
mrežnom topologijom i njihovim servisima.
Actice Directory Domains and Trusts. Koristi se za konfiguraciju i održavanje
sigurnosnih veza i funkcionalnog nivoa domenske šume.
Active Directory Schema. Koristi se za ispitivanje, pregledanje i modifikaciju definicije
atributa i klasa u aktivnom direktoriju.
Moguće je i pomoću klijentskog računara vršiti administraciju AD DS-a korištenjem dodatka Remote
Server Administration Tools (RSAT). Nakon instalacije RSAT-aje potrebno uključiti ovaj alat za
korištenje. Uključuje se u Control panel-u pod opcijom Programs and Features.
- Aktivni direktorij administrativni centar
Aktivni direktorij administrativni centar pruža grafičko okruženje izgrađeno na osnovu Windows
PowerShell-a. Pomoću njega se na jednostavan način vrši administracija AD DS objekata. Zadaci koji se
mogu izvršavati korištenjem aktivni direktorij adminnistrativnog centra uključuje:
Kreiranje i upravljanje korisnicima, računarima i grupnim računima.
Kreiranje i upravljanje organizacijskim jedinicama.
Konektovanje i upravljanje domenama sa samo jednom instancom AD administrativnog
centra.
Pretragu podataka u aktivnom direktoriju pomoću upita
Upravljanje kontrolerom pristupa pomoću Central access policies i Central access rules.
Sve akcije koje izvodi aktivni direktorij administrativni centar su PowerShell komande koje je moguće
pregledati u opciji Windows powershell history koja se nalazi u aktivni direktorij administrativnom
centru.
- Windows powershell
Windows PowerShell je skriptni jezik koji dodatno omogućava izvršavanje komandi koje izvršavaju
administrativne zadatke kao što su kreiranje novih korisnika, konfiguracija servisa, brisanje mailova i
slične funkcije. Windows PowerShell 3.0 je prema zadanim postavkama instaliran na Windows Serveru
2012, a Windows PowerShell v4 je instaliran na Windows Serveru 2012 R2.
Windows PowerShell module se sastoji specifično grupisanih komandi (Cmdlets). Modul treba biti
instaliran na sistemu da bi bio dostupan u Windows PowerShell sesiji. Pokretanje cmdlet-a Get-
ADDomain pokreće se modul aktivnog direktorija u odvojenoj sesiji. Modul aktivnog direktorija je
instaliran i dostupan kada se uradi sljedeće:
Instalira se AD DS ili Aktivni direktorij domenski servis light verzija (AD LDS) server role
Instalira se RSAT
Pokretanje komande Get-Module –ListAvailable izlistava sve module koji će automatski biti
importovani ili je potrebno da se ručno importuju korištenjem cmdlet-a Import-Module.
- Direktorijski servis alat komandne linije
Kao dodatni alat Windows PowerShell-u može se koristiti Directory Service comand line tools. Ovaj alat
omogućava kreiranje, mijenjanje, brisanje i organizaciju AD DS objekata kao što su korisnici, grupe i
računari. Koriste se sljedeće komande:
Dsadd – kreira novi objekat.
Dsget – prikazuje objekte i njihove mogućnosti.
Dsmod – vrš izmjenu nad objektima.
Dsmove – pomjera objekte.
Dsquery – izvršava upid nad AD DS objektima prema željenim kriterijima.
Dsrm – briše postojeće objekte.
1.2. Korisnički računi
U aktivnom direktoriju svi korisnici koji žele pristupiti nekom od resursa moraju imati izrađene
korisničke račune. Pomoću korisničkog računa, korisnici se autentifikuju i imaju mogućnost korištenja
resursa za koje imaju dozvolu.
1.2.1. Kreiranje korisničkih računa
U Windows Serveru 2012 korisnički račun predstavlja objekat koji sadrži informacije koje definišu
korisnika. Korisnički račun podrazumijeva korisničko ime, lozinku i pripadnost nekoj od grupa. Može
još da sadrži i mnoge druge postavke koje isključivo zavise od organizacijskih zahtijeva.
Sa korisničkim računom je moguće:
Dozvoliti ili zabraniti pristup korisnicima na osnovu njihovih pristupnih podataka.
Odobriti pristup servisima i procesima u zavisnosti od sigurnosnog konteksta.
Upravljanje korisničkim pristupom resursima kao što su AD DS objekti, dijeljeni direktoriji,
folderi i datoteke, printeri i sl.
Kada se kreira korisnički račun potrebno je razmotriti sljedeće elemente:
Puno ime i prezime. Ime i prezime se koristi za kreiranje nekoliko atributa objekta, kao što su
„common name“ i „display name“. „Common name“ se koristi za prikaz u detaljnom panelu i
mora biti jedinstveno za svaki kontejner ili organizacijsku jedinicu.
„User prinicipal name“ (UPN). Korisničko ime u AD DS može sadržavati specijalne karaktere
uključujući brojeve, crtice i apostrofe. Međutim, neke aplikacije mogu imati određene zabrane
po tom pitanju te je sigurnije korisititi isključivo slova u kombinaciji sa brojevima dok ne
utvrdite da su aplikacije kompatibilne sa specijalnim karakterima.
U velikim mrežnim okruženjima je posebno važno razviti strategiju imenovanja jer može se desiti više
slučajeva ljudi koji imaju isto ime i prezime.
1.2.2. Kreiranje atributa kod korisničkih računa
Kreiranjem korisničkog računa kreira se i set povezanih mogućnosti, postavki i atributa toga
računa. Kada se krira račun potrebno je definisati atribute koji će omogućiti korisniku prijavu na sistem.
Zbog toga što korisnički računi mogu imati jako mnogo atributa vrlo je važno poznavati šta su ti atributi
i za šta se mogu iskoristiti u organizaciji. Svi atributi objekata se mogu svrstati u nekoliko kategorija
koje se nalaze u aktivni direktorij administrativnom centru, a to su:
Acount. U zavisnosti od mogućnosti korisničkog imena (ime, prezime, srednje ime, puno ime)
moguće je podešavati sljedeće mogućnosti:
o Log on hours. Ova mogućnost određuje za vrijeme kojeg razdoblja će korisnik moći
pristupiti računaru. Uglavnom se koristi sedmični kalendar u kojem se po danima
definiše u kojem vremenu će korisnik moći koristiti računar, a kada će mu to biti
zabranjeno.
o Log on to. Ova mogućnost se koristi za određivanje da li računari, na osnovu njihovog
imena, mogu pristupiti domeni ili ne.
o Account expires. Ova vrijednost je korisna pri kreiranju privremenih korisničkih računa.
Npr. ukoliko želite da uposlite nekog radnika koji će boraviti u organizaciji godinu dana,
postavit ćete datum isteka korisničkog računa na onaj datum kada prestaje radni
odnos između poslodavca i uposlenika.
o User must change password at next log on. Mogućnost koja će primorati korisnike da
promijene svoju lozinku pri sljedećoj prijavi.
o Smart card required for interactive log on. Opcija koja resetuje korinsnikovu lozinku u
lozinku sa kombinacijom različitih karaktera, brojeva i specijalnih znakova i zahtijeva
od korisnika da koristi pametnu karticu za autentifikaciju.
o Password never expires. Opcija koja se uglavnom koristi za servisne račune, to su
računi koje ne koriste regularni korisnici nego servisi. Zbog sigurnosnih razloga je
potrebno periodično ručno mijenjati lozinku.
o User cannot change password. Ova opcija ne pruža korisniku izmjenu lozinke i najčešće
se koristi za servisne račune.
o Store password using reversible encryption. Opcija omogućava spremanje lozinki
reverzibilnom enkripcijom. Ova politika se sprovodi zbog podrške programima koji
koriste protokol koji zahtjeva lozinku za autentifikaciju. Spremanje lozinki
reverzibilnom enkripcijom je gotovo jednako kao spremanje lozinki u čitljivom
formatu. Zbog toga se ova opcija aktivira samo u slučaju kada su programski zahtjevi
važniji od zaštite lozinki.
Organization. Pruža mogućnosti upravljanja korisničkim imenom, email adresom, telefonskim
brojevima, imenima odjela i kompanije i td.
Member of. Opcija kojom se određuje kojoj će grupi korisnik pripadati.
Password settings. Ova sekcija uključuje manipulisanje postavkama lozinki.
Profile. Opcija koja pruža mogućnost konfigurisanja lokacije gdje će biti smješteni lični podaci
korisnika.
Extensions. Sekcija koja uključuje veliki broj dodatnih mogućnosti za koje uglavnom nije
potrebna ručna konfiguracija.
1.2.3. Kreiranje korisničkih profila
Kada se korisnik odjavi sa sistema, njegovi podaci o radu se spremaju u podfolder C:\Users foldera
na lokalnom računaru. Taj folder zajedno sa svim podfolderima sadrži dokumente i postavke koji
predstavljaju korisnički profil uključujući dokumente, video sadržaj, slike i podatke preuzete sa
interneta. Unutar aktivni direktorij administrativnog centra je moguće konfigurisati sljedeće opcije
korisničkog profila:
Putanju profila (eng. Profile path). Putanja može da bude lokalna ili univerzalna imenska
konvencija (eng. Universal Naming Convention – UNC). Postavke korisnikovog desktopa su
spremljene u njegovom profilu. Ukoliko korisnik ima UNC putanju moći će pristupiti svojim
podacima bez obzira na koje se računar unutar domene prijavi. Ovi profili se nazivaju još i
„roming profili“.
Prijavna skripta (eng. Logon script). Prijavna skripta je serijska datoteka koja sadrži komande
koje se izvršavaju kada se korisnik prijavljuje na sistem. Ukoliko se koristi prijavna skripta ime
skripte bi trebalo biti jednako imenu datoteke samo sa drugom ekstenzijom. Skripte su
spremljene na lokaciji C:\Windows\SYSVOL\domain\script.
Glavni folder (eng. Home folder). Predstavlja prostor za spremanje ličnih dokumenata
korisnika. Moguće je odrediti lokalnu ili UNC putanju do korisničkog foldera. Potrebno je
odrediti i kojim slovom počinje disk na kojem se nalazi putanja. Tek nakon prethodnih koraka
moguće je podešavati i mijenjati korisničke dokumente.
Kao alternativa za upravljanje postavkama korisničkih računa koristi se grupna politika. Redirekcija
foldera se može izvršiti pomoću editora grupne politike (eng. Group policy management editor). Ove
postavke sadrže podčvorove koji su prikazani u tabeli (Tabela 1. Podčvorovi u Windows postavkama).
Podčvorovi u Windows postavkama
Roming (eng. AppData)
Desktop
Start Menu
Dokumenti (eng. Documents)
Slike (eng. Pictures)
Muzika (eng. Music)
Video (eng. Videos)
Favoriti (eng. Favourites)
Kontakti (eng. Contacts)
Preuzimanja (eng. Downloads)
Linkovi (eng. Links)
Pretrage (eng. Searches)
Spremljene igre (eng. Saved games)
Tabela 1. Počvorovi u Windows postavkama
Korištenjem ovih podčvorova moguće konfigurisati sve postavke korisničkih profila i aplikacija koje
koriste.
2. Upravljanje grupama
U okruženjima u kojima je implementirana mreža manjih razmjera praktično je primjenjivati
dozvole i zabrane svakom korisniku pojedinačno. Ukoliko mreža posjeduje složenu infrastrukturu i
ukoliko je npr. potrebno većem broju korisnika omogućiti pristup nekoj datoteci ili dozvoliti im
korištenje nekog drugog resursa mnogo je efikasnije kreirati grupu koja će sadržavati sve potrebne
korisničke račune, te nakon toga dodijeliti dozvolu korištenja datoteke cijeloj grupi. Ovim pristupom
zabrana ili dozvola se vrši pomoću dodavanja korisničkih računa u grupu i brisanja istoimenih iz grupe,
što je mnogo jednostavnije nego dodjela dozvola direktno nad svakim korisničkim računom.
2.1. Tipovi grupa
U Windows Server 2012 poslovnom okruženju postoje dva tipa grupa i to sigurnosne grupe i
distribucijske grupe. Pri kreiranju grupe obavezno je definisati tip grupe. Distribucijske grupe su grupe
koje se najčešće koriste za email aplikacije. Distribucijske grupe imaju sigurnosne identifikatore (SID).
Slanje email-a jednoj distribucijskoj grupi podrazumijeva slanje email-a svim članovima iste grupe.
Sigurnosne grupe su grupe koje se koriste za dodjelu dozvola za korištenje različitih resursa. Sigurnosne
grupe se koriste i za primjenjivanje pristupnih lista (eng. Access control list - ACL). Moguće ih je
iskoristiti i u obliku distribucijskih grupa, pomoću njih se može poslati grupni email na isti način kao i u
distribucijskim grupama. Ukoliko želite da kreirate grupu koja će upravljati sa sigurnosnim
parametrima ta grupa mora biti isključivo sigurnosna. Zbog svestranosti ovih grupa većina organizacija
koristi samo sigurnosne grupe. Međutim preporuka je ukoliko se grupa koristi samo da bi se slali email-
ovi onda ta grupa treba da bude distribucijskog tipa.
Sigurnosna grupa se može konvertovati u distribucijsku tako što joj se na jednostavan način promijeni
njen tip. Nakon što je pretvorena u distribucijsku grupu gubi sve dozvole koje je imala kao sigurnosna
uključujući i pristupne liste, te se nakon konverzije može koristiti samo za distribuciju. Na isti način je
moguće i distribucijsku grupu pretvoriti u sigurnosnu.
Slika 1. Distribucijske i sigurnosne grupe
2.2. Opseg grupa
Opsegom grupa se određuju mogućnosti dozvola grupe i njeno članstvo. Postoje četiri grupna opsega:
1. Lokalni opseg. Ovaj tip grupe se koristi za servere ili radne stanice koje ne predstavljaju domen
kontrolere ili domenske članove. One su dostupne samo na računarima na kojim se nalaze.
Važne karakteristike lokalnih grupa su:
Administrator može dodijeliti mogućnosti ili dozvole samo nad loalnim resursima,
odnosno nad resursima koje posjeduje lokalni računar
Članovi grupe se mogu nalaziti bilo gdje u domenskoj šumi.
2. Domensko lokalni opseg. Grupe ovog tipa se koriste za upravljanje pristupom resursima ili za
dodjeljivanje upavljačkih odgovornosti i prava. Domensko lokalne grupe grupe postoj na
domen kontrolerima u domenskoj šumi. Neke od važnih karakteristika ovog tipa grupa su:
Administrator može dodijeliti mogućnosti i dozvole nad domensko lokalnim resursima,
odnosno nad svim računarima unutar lokalne domene.
Članovi grupe se mogu nalaziti bilo gdje unutar domenske šume.
3. Globalni opseg. Ovaj tip grupa se koristi za povezivanje korisnika koji imaju slične
karakteristike. Npr. globalne grupe se koriste kako bi se povezali svi korisnici iz odjela koji se
nalaze na istoj geografskoj lokaciji. Karakteristike globalnih grupa su:
Administrator može dodjeljivati dozvole svim korisnicima koji se nalaze u domenskoj
šumi.
Članovi grupe mogu biti samo računari iz lokalne domene.
4. Univerzalni opseg. Ovaj tip grupa se najčešće koristi u višedomenskim okruženjima.
Karakteristke univerzalnih grupa su:
Administrator može dodjeljivati dozvole svim korisnicima koji se nalaze unutar
domenske šume.
Članovi grupe mogu biti svi računari koji se nalaze unutar domenske šume.
Mogućnosti univerzalnih grupa se preslikavaju u globalni katalog.
Grupni opseg
Članovi grupe
Dozvole se primjenjuju nad
U ovu grupu mogu biti konvertovane
Lokalni Domenski računari, domenski korisnici, svaka univerzalna grupa bilo koje domene iz domenske šume, domensko lokalna grupa iz iste domene, lokalni korisnici
Resursima lokalnih računara
N/A
Domensko logički
Domenski računari, domenski korisnici, svaka univerzalna grupa bilo koje domene iz domenske šume, domensko lokalna grupa iz iste domene
Rsursi lokalne domene
Univerzalna grupa (dok god ne postoji druga lokalno domenska grupa kao njen član)
Globalni Domenski računari, domenski korisnici, svaka univerzalna grupa bilo koje domene iz domenske šume
Svi resursi domenske šume
Univerzalna grupa (sve dok ova grupa nije član neke druge globalne grupe)
Univerzalni Domenski računari, domenski korisnici, svaka univerzalna grupa bilo koje domene iz domenske šume
Svi resursi domenske šume
Domensko lokalna grupa, globalna grupa (sve dok ne postoji druga univerzalna grupa koja je njen član)
Tabela 2. Grupni opseg
2.3. Implementacija grupnog upravljanja
Dodavanje neke grupe drugim grupama je proces koji se naziva traženje gnijezda (eng. Nesting).
Traženje gnijezda kreira poredak grupa koje podržavaju poslovne uloge i pravila. Najbolja praksa za
traženje gnijezda je IGDLA što podrazumijeva:
Indentitet (eng. Identity )
Globalne grupe (eng. Global groups)
Domensko lokalne grupe (eng. Domain-local groups)
Pristup (eng. Access)
Dijeovi IGDLA su povezani na sljedeći način:
Identitet (korisnički i računarski računi) su članovi globalne grupe koja predstavlja poslovne
uloge.
Globalne grupe (poznate pod nazivom grupe uloga) su članovi domensko okalnih grpa koje se
koriste za upravljanje pravilima. Npr. određivanje ko ima dozvolu za čitanje specifične kolekcije
foldera.
Domensko lokalne grupe (poznate pod nazivom grupe pravila) odobravaju pristup resursima.
U slučaju dijeljenja foldera, pristup je dodijeljen dodavanjem domensko lokalne grupe u
folderovu pristupnu listu zajedno sa dozvoloma koje definišu nivo pristupa.
U višedomenskom okruženju najbolja koristi se pristup pod nazivom IGUDLA koja podrazumijeva:
Indentitet (eng. Identity )
Globalne grupe (eng. Global groups)
Univerzalne grupe (eng. Universal groups)
Domensko lokalne grupe (eng. Domain-local groups)
Pristup (eng. Access)
2.4. Zadane grupe
Windows Server 2012 automatski kreira određeni broj grupa. Nazivaju se zadane grupe (eng. Default
groups).
Zadana grupa koja pruža administratorske privilegije
Unutar ove grupe se nalazi nekoliko podgrupa koje imaju različite permisije i prava korisnika koja su
povezana sa upravljanje aktivnim direktorijem. Te podgrupe su:
Poslovni administratori (eng. Enterprise Admins). Ova grupa je član administratorske grupe u
svakoj domeni unutar domenske šume, što korisniku pruže potpuni pristup konfiguraciji svih
domen kontrolera. Također član ove grupe ima potpunu kontrolu nad domenskim imenskim
kontekstom unutar domenske šume.
Šema administratori (eng. Schema Admins). Grupa koja posjeduje postpunu kontrolu nad
šemom aktivnog direktorija.
Administartori (eng. Adminisrators). Članovi ove grupe imaju potpunu kontrolu nad svim
domen kontrolerima i podacima. Oni mogu mijenjati članstvo svih ostalih administrativnih
grupa u domeni.
Domenski administratori (eng. Domain Admins). Ova grupa se dodaje u administratorsku
grupu domene. Na taj način nasijeđuje sve mogućnosti administratorske grupe.
Server operatori (eng. Server Operators). Članovi ove grupe mogu izvršavati zadatke
domenkontrolera. Oni imaju mogućnosti da se prijave na lokalnom računaru i pokreću,
zaustavljaju servise, izvršavaju povrat operacija, formatiraju diskove, kreiraju i brišu dijeljene
resurse i gase domen kontrolere. Prema zadanim postavkama ova grupa nema članova.
Operatori računa (eng. Account Operators). Članovi ove grupe mogu kreirati, mijenjati i brisati
račune korisnika i grupa lociranih u bilo kojoj od organizacijskih jedinica osim domen kontroler
organizacijske jedinice. Prema zadanim postavkama ova grupa nema članova.
Rezervni operatori ( eng. Backup Operators). Članovi ove grupe mogu da vrše spremanje i
povrat operacija domen kontrolera kao i da gase domen kontrolere. Prema zadanim
postavkama ova grupa nema članova.
Operatori za štampanje (eng. Print Operators). Članovi ove grupe mogu štampati redove na
domen kontrolerima. Također mogu da ugase domen kontrolere.
Izdavači certifikata (eng. Cert Publishers). Članovima ove grupe je dozvoljeno da vrše izdavanje
certifikata direktoriju.
Zaštićene grupe
Zaštićene grupe definiše operativni sistem i ne mogu naknadno biti proglašene nezaštićenim.
Članove zaštićenih grupa štiti udruženje i one ne naslijeđuju permisije koje su definisane pristupnim
listama njihovih organizacijskih jedinica. Pristupne liste zaštićenih grupa pružaju zaštitu svojim
korisnicima. Npr. ukoliko član zaštićene grupe postane član neke druge grupe, u kojoj je izvršena
promjena lozinki, sve lozinke će biti promijenjene osim onih koje pripadaju korisnicima koji su članovi
zaštićene grupe.
Preuređene grupe
Ukoliko je potrebno da korisnik ima samo određene mogućnosti neke grupe, a ne sve, onda je
najbolje rješenje kreiranje preuređenih grupa u kojima se korisnicima dodjeljuju samo željenje
mogućnosti.
2.5. Specijalni identiteti
Aktivni direktorij podržava specijalne koje definiše operativni sistem, identitete nad kojima nije
moguće vršiti izmjene njihovih članova ili im dodavati nove članove. Najvažniji specijalni identiteti su:
Anonimna prijava (eng. Anonymous Logon). Ovo je identitet koji predstavlja konekciju
računara i njegovih resursa bez provjere korisničkog imena i lozinke.
Autentificirani korisnici (Authenticated Users). Predstavlja sve identitete koji su autentificirani.
Ova grupa ne uključuje gostujuće račune.
Svi (eng. Everyone). Ovaj identitet uključuje i identificirane korisnike u gostujuće račune.
Interaktivni (eng. Interactive). Predstavlja korisnike koji imaju pristup resursima pomoću
lokalnog računara koji pruža resurse putem mreže. Ovdje spadaju i korisnici koji se prijave na
lokalni računar sa udaljene lokacije.
Mrežni identitet (eng. Network ). Predstavlja korisnike koji pristupaju resursima putem mreže.
Kada korisnik pristupi nekom od resursa pomoću mreže, korisnik se automatski dodaje u
mrežnu grupu.
Vlansnik (eng. Creator Owner). Predstavlja sigurnosni princip koji je kreirao objekat.
Značaj specijalnih identiteta se ogleda u tome što je na osnovu njih moguće odrediti pristup korisniku
na osnovu njegovog identiteta.
3. Upravljanje računarskim računima
Računari u mreži se mogu posmatratio gotovo na isti način kao i korisnici:
Imaju račun sa imenom i lozinkom koji Windows Server automatski mijenja nakon određenog
perioda.
Autentificaju se unutar domene.
Mogu pripdatai grupama, imati pristup resursima i moguće je nad njima primjenjivati grupnu
politiku.
Računarski račun počinje životni ciklus kada je kreiran i pridružen nekoj domeni. Nakon toga je moguće
vršiti administrativne zadatke kao što su:
Konfiguracija računarskih postavki
Dodavanje računara organizacijskim jedinicama
Podešavanje računara
Preimanovanje, resetovanje, omogućavanje, onesposobljavanje i brisanje računarskih
objekata
3.1. Računarski kontejneri
Da bi se kreirao računarski objekat u direktorijskom servisu potrebno je da postoji određeni prostor
u koji se može smjestiti. Nakon kreiranja domene, računarski kontejneri su automatski kreirani.
Kontejner nije organizacijska jedinica , nego objekat klase kontejner. Postoje male ali jako važne razlike
između kontejnera i organizacijskih jedinica. Organizacijsku jedinicu nije moguće kreirati unutar
kontejnera, tako da se računarski kontejneri ne mogu dalje dijeliti. Također, nad kontejnerom nije
moguće primijeniti grupnu politiku. Zbog ovih nedostataka kontejnera preporučuju se kreiranje
korisnički deifinisanih organizacijskih jedinica koje će upravljati računarskim objektima.
3.2. Određivanje lokacije računarskog računa
Većina organizacija kreira najmanje dvije organizacijske jedinice. Jednu za servere, a drugu za
računarske račune klijentskih računara kao što su desktop računari, laptopi i drugi korisnički uređaji.
Ove dvije organizacijske jedinice se automstski kreiraju tokom instalacije aktivnog direktorija.
Računarski objekti mogu biti kreirani u svakoj organizacijskoj jedinici u domeni. Tehnički gledano ne
postoji razlika između računarskog objekta u klijentskoj organizacijskoj jedinici i računarskog objekta u
serverskoj organizacijskoj jedinici. U oba slučaja se radi o istim računarskim objektima. Njihovo
razdvajanje se vrši isključivo zbog kreiranja jedinstvenog područja upravljanja, tako da se upravljanje
klijentskim objektima dodijeli jednom timu, a upravlanje serverskim objektima drugom timu.
Administrativni model može zahtijevati podjelu klijentskih i serverskih organizacijskih jedinica na još
manje grupe. Većina organizacija kreira podorganizacijske jedinice servera, kako bi u njih svrstal
specifične tipove servera. Npr. kreiranje jedne organizacijske jedinice za fajl servere, a druge za server
baze podataka. Primjena odvojenih organizacijskih jedinica moguće je kreirati mnogo različitih grupnih
politika koje povezujemo sa datim organizacijskim jedinicama.
3.3. Kontrola permisija i kreiranje računarskih računa
Prije nego se računar pridruži domeni, potrebno je kreirati računarski objekat u odgovarajućoj
organizacijskoj jedinici. Da bi se računar pridružio domeni potrebno je poznavati sljedeće uslove:
Potrebno je da imate odgovarajuće permisije na računaru koje vam dozvoljavaju da pridružite
fizički računar sa imenom u domeni.
Potrebno je da budete biti član lokalne amdinistratorske grupe na računaru. Ovo vam
omogućava da promijenite radnu grupu ili domenu računara.
Ne smijete imati prekoračen maksimalan broj računara koji korisnik može dodati u domenu.
Prema zadanim postavkama jedan korisnik može dodati maksimalno deset računara u
domenu.
Proces kreiranja računarskih računa unaprijed se naziva predinstalacija računara. Postoje dvije
prednosti predinstalacije računara:
Račun je lociran u ispravnu organizacijsku jedinicu.
Računar je zajedno sa grupnom politikom povezan sa organizacijskom jedinicom prije nego je
dodan u domenu.
Ukoliko imate potrebne permisije možete kreirati računarski objekat na sljedeći način:
Desni klik na organizacijsku jedinicu, iz padajućeg menija izabrati opciju New, a nakon toga
opciju Computer.
Unesite ime računara, na način koji vaše okruženje od vas zahtijeva.
Izaberite korisnika ili grupu kojoj će biti odobreno da doda računar u domenu.
Prema zadanim postavkama grupe poslovni administratori, domenski administratori, administratori i
računski operateri imaju permisije da kreiraju računarski objekat u bilo kojoj organizacijskoj jedinici.
Permisije za kreiranje računarskih objekata bi trebale biti dodijeljene odgovarajućoj administratorskoj
grupi. Permisije za kreiranje računarskih računa možete dodijeliti pomoću opcije Delegate Control
Wizard koja se nalazi u aktivnom direktoriju.
Nakon dodjele permisija za upravljanje računarskim računima, ponekad je potrebno razmotriti opciju
dodatnog filtriranja permisija. Npr. jednoj administratorskoj grupi možete dozvoliti samo izmenu
postojećih računa, a drugoj brisanje postojećih i dodavanje novih računa.
3.4. Pridruživanje računara domeni u izvanmrežnom okruženju
Uobičajnim postupkom kada želite pridružiti računar domeni, računar mora biti u mogućnosti da
komunicira sa online domen kontrolerom. Počevši sa Windows Serverom 2008 R2 Microsoft je uveo
pridruživanje domeni u izvanmrežnom okruženju, što pruža korisnicima da pridruže računar domeni
bez direktne komunikacije sa online domen kontrolerom. Ovo je jako korisna opcija kada je konekcija
iz nekog razloga nedostupna.
Za izvanmrežno pridruživanje računara domeni koristi se alat komandne linije pod nazivom djoin.
Podrazumijeva generisanje fajla za pridruživanje i njegovo importovanje u klijentski računar. Kada
izvršavate izvanmrežno pridruživanje potrebno je da definišete sljedeće informacije:
Domenu kojoj pridružujete računar.
Ime računara koji pridružujete domeni.
Ima datoteke u koju se spremaju podaci izvanmrežnom povezivanju.
Da biste uspješno izvršili izvanmrežno povezivanja slijedite proceduru:
Kako biste dodali računar u domenu potrebno je unijeti komandu
o djoin.exe /Provision /Domain <ime domene> /Machine <ime računara> /SaveFile
<putanja datoteke>.
Za transfer spremljene datoteke potrebno je unijeti komandu
o djoin.exe /requestODJ /LoadFile <putanja datoteke> /WindowsPath <putanja do
direktorija gdje smješten izvanmrežni fajl>.
Izvršiti ponovno pokretanje računara kako bi se operacija uspješno izvršila.
3.4. Računarski računi i sigurnosni kanali
Svaki računar koji se nalazi u aktivnom direktoriju ima ime i lozinku. Računar sprema lozinku u
formi lokalne sigurnosne upravne (LSA) tajnosti i mijenja tu lozinku svakih 30 dana. NetLogon servis
koristi prijavu u domenu, što obezbjeđuje sigurnosni kanal sa domen kontrolerom. Računarski računi i
njihove sigurnosne relacije između računara su jako robusne.
Postoji nekoliko scenarija u kojima računar ne može da izvrši autentifikaciju sa domenom. Kada se ovo
dogodi korisnici nisu u mogućnosti da se prijave na računar i ne mogu da pristupe resursima. Neki od
tih scenarija su:
Nakon reinstalacije operativnog sistema radne stanice, radna stanica ne može da izvrši
autentifikaciju iako se radi o istom računaru sa istim imenom kao i u prethodnoj instalaciji. Ovo
se dešava zbog toga što je nova instalacija generisala novi SID i zbog toga što novi računar ne
pripada domeni.
Računar nije bio korišten duži period npr. zbog odsutnosti korisnika. Tokom tog perioda
administrator je mogao da resetuje ili obriše računarski račun.
Računarska LSA lozinka nije sinhronizovana sa lozinkom koju poznaje domena. Kada se ovo
dogodi računar se ne može autentificirati i samim tim ne može biti kreiran sigurnosni kanal.
3.5. Resetovanje sigurnosnog kanala
Tokom rada može se desiti da se veza između računara i domene prekine zbog različitih razloga.
Najčešći znakovi da je došlo do problema kod računarskog računa su:
Poruka prilikom prijave indicira da domen kontroler ne može biti kontaktiran, da računarski
račun ne postoji, da je unesena lozinka netačna ili da ne postoji sigurnosni kanal između
računara i domene.
Poruke tokom nekog događaja indiciraju slične probleme. Jedna od grešaka koje se dešavaju
može da sadrži sljedeći tekst „NETLOGON Event ID 3210: Failed To Authenticate, which appears
in the computer's event log“.
U aktivnom direktoriju nedostaje računarski račun.
Kada se desi neka od ovih grešaka, odnosno kada dođe do pada sigurnosnog kanala, potrebno ga je
resetovati. Mnogi administratori to rade na način da uklone računar iz domene, stave ga u radnu grupu,
a zatim ga ponovo pridruže domeni. Kada se radi ovaj postupak jako je važno sa se ne mijenja ime
računara jer u protivnom postupak neće riješiti nastali problem.
Sigurnosni kanal između računara i domene se može resetovati i na sljedeće načine:
Pomoću opcije aktivni direktorij korisnici i računari
Pomoću aktivni direktorij administrativnog centra
Pomoću dsmod alata komandne linije
Pomoću netdom alata komandne linije
Pomoću nltest alata komandne linije
4. Delegacija administracije
Premda jedna osoba može da vrši administraciju male mreže u kojoj se nalazi nekoliko korisnika i
računara, sa povećanjem mreže, volumen posla mrežnog administratora isto tako raste. U određenoj
tački postoji tim ljudi od kojih svaki odgovoran za određeni aspekt mrežnog upravljanja.
4.1. Razmatranja za upotrebom organizacijskih jedinica
Prema zadanim postavkama aktivni direktorij sadrži samo jednu organizacijsku jedinicu i to domen
kontroleri organizacijsku jedinicu. Gotovo sve organizacije kreiraju organizacijske jedinice na osnovu
hijerarhije. Kada se organizacijske jedinice kreiraju na ovakav način moguće je implementirati više
različitih strategija za vođenje administracije. Moguće je kreirati široku strukturu sa samo jednim ili dva
nivou, ili strukturu koja ide u dubinu pa ima pet ili šest nivoa u zavisnosti od strategije. Međutim, glavni
zadatak hijerarhije je da administratorima olakša upravljanje organizacijom.
Neki od načina na osnovu kojih možete kreirati hijerarhijsku strukturu:
Na osnovu geografske lokacija. Ovdje je moguće izolirati lokalno osoblje koje bi bilo zaduženo
za upravljanje.
Na osnovu karakteristika odjela. Različiti odjeli imaju različite zadatke, a samim tim i različite
zahtjeve.
Na osnovu tipa resursa. Većina organizacija kreiraju odvojene organizacijske jedinice za
različite resurse. Zbog grupne politike i samog pristupa odvajaju se fajl serveri i serveri baze
podataka.
Na osnovu upravljačke strukture. U zavsinosti od potreba za permisijama kreiraju se različite
organizacijske jedinice.
4.2. Permisije aktivnog direktorija
Svi objekti aktivnog direktorija kao što su korisnici, računari, grupe, resursi mogu biti na neki način
osigurani pomoću permisija. Permisija primjenjena nad objektom se naziva pristupno kontrolni ulaz
(eng. Access control enter – ACE). Pristupni kontrolni ulazi se u objekat spremaju u diskrecijskoj
pristupno kontrolnoj listi (DACL) koja je dio pristupne kontrolne liste (ACL). Pristupna kontrolna lista
sadrži još sistemsku pristupnu kontrolnu listu (SACL) koja uključuje praćenje postavki.
Svaki objekat u aktivnom direktoriju ima svoju pristupnu kontrolnu listu. Sa dovoljnim nivoom
permisija moguće je mijenjati permisije bilo kojeg objekta. Također je moguće pomoću diskrecijske
pristupne kontrolne liste dodijeliti permisiju nad specifičnom postavkom nekog objekta. Npr. moguće
je dodijeliti permisiju da korisnik neki korisnici ne mogu da vide broj telefona određenog korisnika.
Permisije koje su dodijeljene organizacijskoj jedinici nasljeđuju svi objekti koji se nalaze unutar
organizacijske jedinice. Također objekt dijete nasljeđuje permisije od roditelja kontejnera ili
organizacijske jedinice.
11. sedmica (workshop A)
Upravljanje objektima unutar AD-a
Napomena prije početka rada: Koristeći materijali iz dosadašnjih vježbi napraviti virtuelnu mašinu
FIT-CL1 koju ćete smjestii u istu mrežu gdje se nalaze FIT-DC1, FIT-CORE, FIT-SVR3 (Private
Network). Na toj mašini instalirati sa vašeg DreamSparka Premium naloga Windows 8.1 ili skinuti
evaluacijsku verziju sa stranice http://www.microsoft.com/en-us/evalcenter/evaluate-windows-8-
1-enterprise. IP postavke FIT-CL1 mašine trebaju da budu kao iz mreže FIT-DC1, FIT-CORE, FIT-
SVR3 te da računar bude dodan u fit.ba domenu (Samo odaberite jednu slobodnu IP adresu).
1. Delegacija administracije
1.1. Delegacija administracije za odjel administrator
1. Logirati se na FIT-DC1. 2. U server menadžeru izabrati opicju Tools, potom kliknuti na Active Directory Users and
Computers. 3. U aktivnom direktoriju korisnici i računari izabrati lab.fit.ba. 4. Desni klik na lab.fit.ba, Pod opcijom New kliknuti na opciju Organizational Unit. 5. U prozoru New Object – Organizational Unit, u polju za unos imena unijeti amfiteatar2 i
kliknuti OK. 6. Desni klik na amfiteatar2 , pod opcijom New izabrati opciju Group. 7. U prozoru New Object – Group, u polju za unoos imena unijeti amfiteatar2 katedra i
kliknuti OK. 8. Ponoviti korak 6 i 7, a ime grupe neka bude amfiteatar2 administratori. 9. Ponoviti korak 6 i 7, a ime grupe neka bude amfiteatar2 korisnici. 10. U navigacijskom panelu izabrati opciju IT. 11. U panelu za detalje, desni klik na Ime Prezime i kliknuti Move. 12. U prozoru Move kliknuti amfiteatar2 i kliknuti OK. 13. Ponoviti korake od 10 do 12 za sljedeće organizacijske jedinice i korisnike:
o Razvoj i korisnik Ime Prezime
o Menadzeri i korisnik Ime Prezime
o Marketing i korisnik Ime Prezime
o Istrazivaci i korisnik Ime Prezime
o Prodavaci and i korisnik Ime Prezime
14. U navigacijskom panelu kliknuti na Computers. 15. U panelu za detalje kliknuti na FIT-CL1 i kliknuti Move. 16. U prozoru Move kliknuti amfiteatar2 i kliknuti OK. 17. Prijaviti se na FIT-CL1. 18. Izabrati opciju Settings koja se nalazi u desnom donjem uglu. 19. Kliknuti na opciju Power, a potom opciju Restart. 20. Nakon što se računar restartuje prijavite se sa računom FIT\Administrator sa loinkom
Pa$$w0rd. 21. Prijaviti se na FIT-DC1. 22. Ukoliko bude potrebno locirati se u Active Directory Users and Computers
23. U navigacijskom panelu desni klik na amifiteatar2, izabrati opciju Delegate Control i kliknuti Next.
24. Na stranici Users or Groups kliknuti Add. 25. Na stranici Select Users, Computers, or Groups u polju za unos imena unijeti Grana 1
Administratori i kliknuti OK. 26. Na stranici Users or Groups kliknuti Next. 27. Na stranici Tasks to Delegate izliste Delegate the following common tasks izabrati
sljedeće opcije i kliknuti Next:
o Create, delete, and manage user accounts
o Reset user passwords and force password change at next logon
o Read all user information
o Create, delete and manage groups
o Modify the membership of a group
o Manage Group Policy links
28. Na stranici Completing the Delegation of Control Wizard kliknuti Finish. 29. U navigacijskom panelu izabrati grupu amifiteatar2, kliknuti Delegate Control i kliknuti Next. 30. Na stranici Users or Groups kliknuti Add. 31. Na stranici Select Users, Computers, or Groups u polju za unos imena unijeti Grana 1
Administratori i kliknuti OK. 32. Na stranici Users or Groups kliknuti Next. 33. Na stranici Tasks to Delegate kliknuti create a custom task to delegate i kliknuti Next. 34. Na stranici Active Directory Object Unijeti izabrati opciju Only the following objects na
stranici folder izabrati sljedeće opcije i kliknuti Next:
o Computer objects
o Create selected objects in this folder
o Delete selected objects in this folder
35. Na stranici Permissions izabrati opcije General i Full Control i kliknuti Next. 36. Na stranici Completing the Delegation of Control Wizard kliknuti Finish.
1.2. Delegacija administracije za odjel helpdesk 1. Na računaru FIT-DC1, u navigacijskom panelu desni klik na amfiteatar2, kliknuti Delegate
Control i kliknuti Next. 2. Na stranici Users or Groups kliknuti Add. 3. Na stranici Select Users, Computers, or Groups u polju za unos imena unijeti Grana 1
Help Desk i kliknuti OK. 4. Na stranici Users or Groups kliknuti Next.
5. Na stranici Tasks to Delegate iz liste Delegate the following common tasks izabrati
sljedeće opcije i kliknuti Next:
o Reset user passwords and force password change at next logon
o Read all user information
o Modify the membership of a group 6. Na prozoru Completing the Delegation of Control Wizard kliknuti Finish.
1.3. Dodavanje člana u grupu administratori
1. Na računaru FIT-DC1 u navigacijskom panelu kliknuti amfiteatar2. 2. U panelu za detaljne informacije desni klik na Ime Prezime i onda kliknuti Add to a group. 3. Na stranici Select Groups u polju za ime unijeti Grana 1 Administratori i kliknuti OK. 4. U prozoru Active Directory Domain Services kliknuti OK. 5. U panelu za detalje desni klik na Grana 1 Administrators i kliknuti Add to a group. 6. Na stranici Select Groups u polju za unos imena unijeti Server Operatori i kliknuti OK. 7. Na stranici Active Directory Domain Services kliknuti OK. 8. U prozoru 20410D-FIT-DC1 na meniju Action kliknuti Ctrl+Alt+Delete. 9. Na računaru FIT-DC1 kliknuti Sign out. 10. Prijaviti se na FIT-DC1 kao FIT\Ime sa lozinkom Pa$$w0rd. 11. U taskbaru kliknuti na Server Manager ikonu. 12. Na tsranici User Account Control u polje User name unijeti Ime, a u polje Password unijeti
Pa$$w0rd i kliknuti Yes. 13. U server menadžeru kliknuti na Tools, a zatim na Active Directory Users and Computers. 14. U aktivnom direktoriju korisnici i računari kliknuti na lab.fit.ba. 15. U navigacijskom panelu kliknuti na Sales. 16. U panelu za detaljne postavke desni klik na Ime Prezime i kliknuti Delete. 17. Kliknuti Yes za potvrdu. 18. Kliknuti OK da potvrdite da imate permisije za izvršenje zadatka. 19. U navigacijskom panelu kliknuti na amfiteatar2. 20. U panelu za detaljne postavke desni klik na Ime Prezime i onda kliknuti Delete. 21. Kliknuti Yes to confirm.
1.4. Dodavanje člana u grupu helpdesk
1. Na računaru FIT-DC1 u panelu za detalje desni klik na Ime Prezime i kliknuti Add to a group. 2. Na stranici Select Groups u pollju za unos imena unijeti Grana 1 HelpDeski kliknuti OK. 3. Na stranici Active Directory Domain Services kliknuti OK. 4. Zatvoriti aktivni direktorij. 5. Zatvoriti server menadžer. 6. Na desktopu kliknuti na Server Manager. Na stranici User Account Control u polje User name,
unijeti FIT\Administrator. 7. U polje Password unijeti Pa$$w0rd i kliknuti Yes. 8. U server menadžeru kliknuti Tools. 9. U listi Tools kliknuti Active Directory Users and Computers. 10. U aktivnom direktoriju korisnici i računari proširiti listu lab.fit.ba. 11. U navigacijskom panelu kliknuti amfiteatar2. 12. U panelu za detaljne postavke desni klik na amfiteatar2 i onda kliknuti Add to a group. 13. Na stranici Select Groups u polju za unos imena unijeti Server Operatori i kliknuti OK. 14. Na stranici Active Directory Domain Services kliknuti OK. 15. Na stranici 20410D-FIT-DC1 u meniju Action kliknuti Ctrl+Alt+Delete. 16. Na računaru FIT-DC1, kliknuti Sign out. 17. Prijaviti se kao Adatum\Ime sa lozinkom Pa$$w0rd. 18. Na desktopu kliknuti Server Manager. 19. Na stranici User Account Control u polje User name unijeti Ime, a u polje Password unijeti
Pa$$w0rd kliknuti Yes. 20. U server menadžeru kliknuti Tools. 21. Kliknuti Active Directory Users and Computers. 22. U aktivnom direktoriju korisnici i računari proširiti listu lab.fit.ba. 23. U navigacijskom panelu kliknuti amfiteatar2. 24. U panelu za detaljne postavke desni klik na Ime Prezime i kliknuti Delete. 25. Kliknuti Yes da potvrdite. 26. Kliknuti OK. 27. Desni klik na Ime Prezime i kliknuti Reset Password.
28. Na stranici Reset Password u polja New password i Confirm password unijeti Pa$$w0rd i
kliknuti OK. 29. Kliknuti OK da potvrdite resetovanje lozinke. 30. Na prozoru 20410D-FIT-DC1 u meniju Action kliknuti Ctrl+Alt+Delete. 31. Na FIT-DC1 kliknuti Sign out. 32. Prijaviti se na FIT-DC1 kao FIT\Administrator sa lozinkom Pa$$w0rd.
2. Kreiranje i konfiguracija korisničkih računa
2.1. Kreiranje korisnika za odjel 1. Na računaru FIT-DC1 u taskbaru kliknuti File Explorer ikonu. 2. Dupli klik na Local Disk (C:). 3. U meniju kliknuti Home i kliknuti New folder. 4. Unijeti grana1-korisnickiopodaci i pritisnuti Enter. 5. Desni klik na grana1-korisnickiopodaci i kliknuti Properties. 6. Na stranici grana1-korisnickiopodaci Properties na Sharing tabu kliknuti Advanced Sharing. 7. Izabrati Share this folder i kliknuti Permissions. 8. Na stranici Permissions for grana1-korisnickiopodaci za potpunu kontrolu nad permisijama
kliknuti Allow i kliknuti OK. 9. U prozoru Advanced Sharing kliknuti OK i na stranici Grana1-userdata Properties kliknuti
Close. 10. U server menadžeru kliknuti Tools, kliknuti Active Directory Users and Computers i proširiti
listu lab.fit.ba. 11. Desni klik na grana1-korisnickiopodaci izabrati New i kliknuti User. 12. Na stranici New Object – User u polje Full name unijeti _Grana_template. 13. U polje User logon name unijeti _Grana_template i kliknuti Next. 14. U polje Password i Confirm password unijeti Pa$$w0rd. 15. Izabrati opciju Account is disabled i kliknuti Next. 16. Kliknuti Finish.
2.2. Konfiguracija postavki
1. Na računaru FIT-DC1 desni klik na _Grana_template i kliknuti Properties. 2. Na stranici _Grana_template Propertie u Address tabu u polje City unijeti Mostar. 3. Kliknuti Member Of i kliknuti Add. 4. Na stranici Select Groups u plje za unos imena unijeti Grana 1 Korisnici i kliknuti OK. 5. Kliknuti Profile tab. 6. Ispod foldera Home kliknuti Connect i u polje To unijeti \\FIT-dc1\Grana1-userdata\
%username%. 7. Kliknuti Apply i kliknuti OK.
2.3. Kreiranje novog korisnika za odjel Grana
1. Na računaru FIT-DC1 desni klik na _Grana_template i kliknuti Copy. 2. Na stranici Copy Object – User u polje First name unijeti Ime. 3. U polje Last name unijeti Prezime. 4. U polje User logon name unijeti Ime i kliknuti Next. 5. U polja Password i Confirm password unijeti Pa$$w0rd. 6. Odznačiti polje User must change password at next logon. 7. Odznačiti polje Account is disabled i kliknuti Next. 8. Kliknuti Finish. 9. Desni klik na korisnika Ime Prezime i kliknuti Properties. 10. Na stranici Ime Prezime Properties na Address tabu primjetiti da je grad već podešen. 11. Kliknuti Profile tab. 12. Kliknuti Member Of tab i kliknuti OK. 13. Na stranici 20410D-FIT-DC1 u meniju Action kliknuti Ctrl+Alt+Delete. 14. Na računaru FIT-DC1, kliknuti Sign out.
2.4. Prijava korisnika kako bi se testirao račun
1. Prijaviti se na FIT-CL1. 2. Na stranici 20410D-FIT-CL1 kliknuti Ctrl+Alt+Delete. 3. Na računaru FIT-CL1 kliknuti Switch User. 4. Prijaviti se na računar FIT-CL1 sa podacima Adatum\Ime i lozinkom Pa$$w0rd. 5. Na početnom prozoru otvoriti File Explorer. 6. Provjeriti šta predstavlja slovo Z. 7. Dupli klik na Ime (\\FIT-dc1\Grana1-userdata) (Z:). 8. Ukoliko nema nikakvih grešaka korisnik je uspješno dodan. 9. Na stranici 20410D-FIT-CL1 u meniju Action kliknuti Ctrl+Alt+Delete 10. Na računaru FIT-CL1 kliknuti Sign out.
3. Upravljanje računarskim objektima
3.1. Resetovanje računarskog računa 1. Na računaru FIT-DC1 prijaviti se kao FIT\Ime sa lozinkom Pa$$w0rd. 2. Na taskbaru kliknuti Server Manager ikonu. 3. Na stranici User Account Control u polje User name unijeti Ime. 4. U polje Password unijeti Pa$$w0rd i kliknuti Yes. 5. U server menadžeru kliknuti Tools i kliknuti Active Directory Users and Computers. 6. U aktivnom direktoriju korisnici i računari proširiti listu lab.fit.ba. 7. Na navigacijskom panelu kliknuti Grana odjel 1. 8. Ne panelu za detaljne postavke desni klik na FIT-CL1 i kliknuti Reset Account. 9. Na stranici Active Directory Domain Services kliknuti Yes i kliknuti OK.
3.3. Rekonektovanje računarskog računa
1. Na računaru FIT-CL1, kliknuti strelicu nazad i prijaviti se sa podacima FIT\Administrator i
lozinkom Pa$$w0rd. 2. Na početnom prozoru desni klik na prozor i kliknuti All apps, na stranici Apps kliknuti Control
Panel. 3. U Control Panel-u na opciji View by list kliknuti Large icons i kliknuti System. 4. Na navigacijskoj listi kliknuti Advanced system settings. 5. U sistemskim postavkma kliknuti Computer Name tab i kliknuti Network ID. 6. Na stranici Select the option that describes your network kliknuti Next. 7. Na stranici Is your company network on a domain? kliknuti Next. 8. Na stranici You will need the following information kliknuti Next. 9. Na stranici Type your user name, password, and domain name for your domain account u polje
za lozinku unijeti Pa$$w0rd i kliknuti Next. 10. Na stranici User Account and Domain Information kliknuti Yes. 11. Na stranici Do you want to enable a domain user account on this computer? kliknuti Do not
add a domain user account i kliknuti Next.
12. Kliknuti Finish i kliknuti OK.
13. Na stranici Microsoft Windows kliknuti Restart Now.
14. Prijaviti se sa podacima Adatum\Ime sa lozinkom Pa$$w0rd.
11. sedmica (workshop B)
Automatizacija aktivnog direktorija
koristeći powershell
Napomena prije početka rada: Koristeći materijali iz dosadašnjih vježbi napraviti virtuelnu mašinu
FIT-CL1 koju ćete smjestii u istu mrežu gdje se nalaze FIT-DC1, FIT-CORE, FIT-SVR3 (Private Network).
Na toj mašini instalirati sa vašeg DreamSparka Premium naloga Windows 8.1 ili skinuti evaluacijsku
verziju sa stranice http://www.microsoft.com/en-us/evalcenter/evaluate-windows-8-1-enterprise. IP
postavke FIT-CL1 mašine trebaju da budu kao iz mreže FIT-DC1, FIT-CORE, FIT-SVR3 te da računar
bude dodan u fit.ba domenu (Samo odaberite jednu slobodnu IP adresu).
1. Kreiranje korisničkih naloga i grupa koristeći Windows
PowerShell
Kreiranje korisničkog naloga preko Windows PowerShell
1. Na FIT-DC1, na tastaturi, kliknuti Windows PowerShell ikonu.
2. U Windows PowerShell prozoru, napisati sljedeću komandu, i pritisnuti Enter:
New-ADOrganizationalUnit MostarBranch
3. Napisati sljedeću komandu, i pritisnuti Enter:
New-ADUser -Name Ty -DisplayName "Ty Carlson" -GivenName Ty -Surname
Carlson -Path "ou=MostarBranch,dc=fit,dc=com"
4. Napisati sljedeću komandu, i pritisnuti Enter:
Set-ADAccountPassword Ty
5. Kada zatraži trenutnu lozinku, pritisnuti Enter.
6. Kada zatraži novu lozinku, napisati Pa$$w0rd i onda pritisnuti Enter.
7. Kada zatraži ponovno unošenje nove lozinke, napisati Pa$$w0rd i onda pritisnuti Enter.
8. U Windows PowerShell prozoru, napisati Enable-ADAccount Ty i onda pritisnuti Enter.
9. Na FIT-CL1, prijaviti se kao Ty sa lozinkom Pa$$w0rd.
10. Provjeriti da je prijava bila uspješna i odjaviti se sa FIT-CL1.
Kreiranje grupe koristeći Windows PowerShell
1. Za kreiranje nove globalne sigurnosne grupe za korisnike u Mostaru, na FIT-DC1, u Windows
PowerShell prozoru napisati sljedeću komandu, i pritisnite Enter:
New-ADGroup MostarBranchUsers -Path "ou=MostarBranch,dc=fit,dc=com" -
GroupScope Global -GroupCategory Security
2. Za dodavanje Ty kao člana za MostarBranchUsers, napisati sljedeću komandu, i pritisnite Enter:
Add-ADGroupMember MostarBranchUsers -Members Ty
3. Za potvrdu da je Ty član za MostarBranchUsers, napisati sljedeću komandu, i pritisnite Enter:
Get-ADGroupMember MostarBranchUsers
2. Korištenje Windows PowerShell za izmjenu više korisničkih
naloga
Primorati sve korisnike u MostarBranch da izvrše promjenu lozinke pri sljedećoj prijavi
1. Na FIT-DC1, na tastaturi, kliknuti Windows PowerShell ikonu.
2. Za kreiranje upita za korisničke naloge u MostarBranch OU, u Windows PowerShell prozoru,
napisati sljedeću komandu, i pritisnite Enter:
Get-ADUser -Filter * -SearchBase "ou=MostarBranch,dc=fit,dc=com" |
Format-Wide DistinguishedName
3. Provjeriti korisnike u MostarBranch OU.
4. Za izmjenu prethodne komande koja će natjerati sve korisnike da izvrše izmjenu lozinke pri sljedećoj
prijavi, u Windows PowerShell prozoru, napisati sljedeću komandu, i pritisnite Enter:
Get-ADUser -Filter * -SearchBase "ou=MostarBranch,dc=fit,dc=com" |
Set-ADUser -ChangePasswordAtLogon $true
5. Zatvoriti Windows PowerShell.
Konfiguracija adrese za korisničke naloge u MostarBranch
1. Na FIT-DC1, u Server Manager-u, kliknuti Tools, te kliknuti Active Directory Administrative Center.
2. Unutar Active Directory Administrative Center, u navigacijskom dijelu, kliknuti na fit (local), i onda
dva puta kliknuti na MostarBranch.
3. Kliknuti Type column header za sortiranje bazirano na objektima.
4. Selektovati sve korisničke naloge, desni klik na korisničke naloge, i potom kliknuti na Properties.
5. U Multiple Users dijelu, pod Organization, odabrati Address check box.
6. U Street box, napisati Branch Office.
7. U City box, pisati Mostar.
8. U Country/Region dijelu, kliknuti na BiH, te kliknuti na OK.
9. Zatvoriti Active Directory Administrative Center.
12. sedmica (vježbe i workshop)
Implementacija IPv4
1. Pregled TCP/IP
TCP/IP je kolekcija protokola koji omogućavaju komunikaciju u heterogenim mrežama.
1.1. TCP/IP kao kolekcija protokola
Aktivnosti koje se sprovode od strane TCP/IP u procesu komunikacije su distribuirane kroz
protokole. Ti protokoli su raspoređeni u četiri odvojena sloja unutar TCP/IP modela:
Aplikacijski sloj. Programi koriste protokole aplikacijskog sloja da bi pristupili mrežnim
resursima. Protokoli aplikacijskog sloja:
o Hypertext Transfer Protocol (HTTP)
o File Transfer Protocol (FTP)
o Simple Mail Transfer Protocol (SMTP)
o Domain Name System (DNS)
o Post Office Protocol 3 (POP3)
o Simple Network Management Protocol (SNMP)
Transportni sloj. Protokoli transportnog sloja kontrolišu pouzdanost prijenosa podataka na
mreži. Protokoli transportnog sloja:
o Transmission Control Protocol (TCP)
o User Datagram Protocol (UDP)
Internet sloj. Protokoli internet sloja kontrolišu pakete koji se šalju između mreža. Protokoli
internet sloja:
o Address Resolution Protocol (ARP)
o Internet Group Management Protocol (IGMP)
o Internet Control Message Protocol (ICMP)
Mrežni sloj. Protokoli mrežnog sloja definišu kako se podatkovni paketi prenose sa internet
sloja na medij.
1.2 Protokoli u TCP/IP kolekciji
Open Systems Interconnection (OSI) model definiše posebne slojeve koji se odnose na
kreiranje paketa, slanje i primanje podataka preko mreže. Slojevita kolekcija protokola koja kreira
TCP/IP model ima ove funkcije.
1.2.1 Aplikacijski sloj
Aplikacijski sloj TCP/IP modela odgovara aplikacijskom, prezentacijskom i sesijskom sloju OSI
modela. Ovaj sloj pruža servise i usluge koji omogućuju programima da pristupe mrežnim resursima.
1.2.2 Transportni sloj
Transportni sloj odgovara transportnom sloju OSI modela i odgovoran je za krajnju komunikaciju
koristeći TCP ili User Datagram Protocol (UDP). TCP/IP kolekcija protokola nudi odabir TCP ili UDP kao
protokola transportnog sloja:
TCP pruža pouzdanu komunikaciju za programe koja se bazira na komunikaciji. Ovakva vrsta
podrazumijeva da je destinacija spremna da primi podatke prije nego pošalje bilo kakve
podatke. Da bi komunikacija bila pouzdana, TCP potvrđuje da su svi paketi primljeni. Web
serveri, File Transfer Protocol (FTP) klijenti i ostali programi koji koriste velike količine podataka
koriste TCP.
UDP pruža nepouzdanu komunikaciju koja se ne oslanja na konekciju. Kada se koristi UDP,
pouzdana dostava podataka je odgovornost programa. Programi koriste UDP za bržu
komunikaciju sa manje podataka u zaglavlju nego TCP. Programi koji pružaju audio i video
(streaming) koriste UDP tako da svaki paket podataka koji nedostaje ne može biti vraćen. UDP
se također koristi kod programa koji šalju male količine podataka, kao Domain Name System
(DNS).
1.2.3 Internet sloj
Internet sloj odgovara mrežnom sloju OSI modela i sadrži više zasebnih protokola, i to: IP,
Address Resolution Protocol (ARP), Internet Group Management Protocol (IGMP) i Internet Control
Message Protocol (ICMP). Protokoli na internet sloju pakiraju podatke sa transportnog sloja u jedinice
zvane paketi, adresiraju ih i šalju na destinacije.
Protokoli internet sloja:
IP. IP je odgovoran za slanje i adresiranje.
ARP. ARP se koristi od strane IP-a za otkrivanje MAC (Media Access Control) adrese lokalnog
mrežnog adaptera (adapteri instalirani na računarima u lokalnoj mreži). ARP je baziran na
emitovanju (Broadcast), što znači da ARP okviri (Frames) ne mogu proći kroz ruter pa su
lokalizirani. Neke implementacije TCP/IP pružaju podršku za Reverse ARP (RARP) gdje se MAC
adresa mrežnog adaptera koristi da se otkrije odgovarajuća IP adresa.
IGMP. IGMP pruža podršku za izvršavanje više programa preko rutera u IPv4 mrežama.
ICMP. ICMP šalje poruke o greškama u IP-baziranoj mreži.
1.2.4. Mrežni sloj
Mrežni sloj odgovara podatkovnom i fizičkom sloju u OSI modelu. Ovaj sloj se nekada naziva i
sloj linka ili podatkovni sloj. Mrežni sloj određuje zahtjeve koji moraju biti ispunjeni za slanje i primanje
paketa na mrežnom mediju. Ovaj sloj se ne smatra kao dio TCP/IP kolekcije protokola jer se aktivnosti
izvode u kombinaciji drajvera mrežnog adaptera i mrežnog adaptera.
1.3 TCP/IP aplikacije
Programi koriste protokole aplikacijskog sloja da komuniciraju preko mreže. Klijent i server
moraju koristiti isti protokol aplikacijskog sloja da bi komunicirali. Sljedeća tabela prikazuje najčešće
protokole aplikacijskog sloja.
Protokol Opis
HTTP Koristi se za komunikaciju između web pretraživača i web servera.
HTTP/Secure (HTTPS) Verzija HTTP protokola koji šifrira komunikaciju između web pretraživača i web servera.
FTP Koristi se za razmjenu podataka između FTP klijenata i servera.
Remote Desktop Protocol (RDP) Koristi se za udaljeni pristup računaru koji koristi Windows operativni sistem preko mreže.
Server Message Block (SMB) Koristi se od strane servera i klijenata (računara) za datoteke i dijeljenje printera.
Simple Mail Transfer Protocol (SMTP) Koristi se za razmjenu e-pošte preko interneta.
Post Office Protocol version 3 (POP3) Koristi se za primanje poruka od strane servera e-pošte.
Internet Message Access Protocol (IMAP) Koristi se za primanje poruka od strane servera e-pošte.
Šta je utor (Socket)?
Utor (Socket) je kombinacija IP adrese, transportnog protokola i porta. Kada program želi da
uspostavi komunikaciju sa programom na udaljenom hostu, kreira se TCP ili UDP utor. Utor zahtijeva
sljedeće informacije koje su dio procesa komunikacije:
Transportni protokol koji koristi program, može biti TCP ili UDP
TCP ili UDP brojevi porta koje koristi program
IPv4 ili IPv6 adrese izvora i destinacije
Poznati portovi
Programima su dodijeljeni brojevi portova između 0 i 65535. Prvih 1024 portova su „poznati
portovi“ i dodijeljeni su specifičnim programima. Programi/servisi prisluškuju konekcije koje koriste
stalne brojeve portova da bi olakšali spajanje klijentskih programa. Ako program/servis prisluškuje port
koji nije uobičajen, onda je potrebno navesti na koji broj porta se spajamo. Klijentski programi koriste
nasumično odabran broj prota iznad 1024. Sljedeća tabela pokazuje neke od „poznatih portova“.
Port Protokol Program
80 TCP HTTP koji se koristi od strane web servera
443 TCP HTTPS za sigurnosni web server
110 TCP POP3 se koristi za primanje e-pošte
143 TCP IMAP se koristi za primanje e-pošte
25 TCP SMTP se koristi za slanje e-pošte
53 UDP DNS za prevođenje imena
53 TCP DNS za područje razmjene
20, 21 TCP FTP za razmjenu datoteka
3389 TCP Remote dekstop servis za spajanje udaljenih klijenata na računar
2. IPv4 adresiranje
Mrežna komunikacija za računar je direktno povezana sa IPv4 adresom na računaru. Prema tome,
svaki računar mora imati unikatno dodijeljenu IPv4 adresu. Svaka IPv4 adresa je 32 bita duga. Da bi IP
adrese bile što čitljivije, prikazuju se u decimalnom formatu sa korištenjem tačaka. Time se postiže
dijeljenje 32-bitne adrese u četiri grupe od 8 bita, koji su konvertovani u decimalne brojeve između 0 i
255. Tačka razdvaja decimalne brojeve. Svaki decimalni broj se naziva oktet. Npr, ova IP adresa sadrži
četiri okteta: 172.16.0.10.
2.1 Mrežna maska (Subnet Mask)
Svaka IPv4 adresa ima svoj mrežni ID (Network ID) i ID hosta. Mrežni ID identifikuje mrežu u
kojoj se nalazi računar. ID hosta unikatno identificira računar u određenoj mreži. Mrežna maska
identificira koji dio IPv4 adrese je mrežni ID, a koji je ID hosta.
U najjednostavnijem primjeru, svaki oktet mrežne maske je 255 ili 0. 255 predstavlja okteta koji je dio
mrežnog ID-a, dok 0 predstavlja oktet koji je dio ID hosta. Npr, računar sa adresom 172.16.0.10 i
mrežnom maskom 255.255.0.0 ima mrežni ID 172.16.0.0 i ID hosta 0.0.0.10.
Također, moguće je prikazati mrežne maske kroz notaciju prefiksa, koji prikazuje koliko kontinuiranih
binarnih brojeva, sa vrijednošću 1, su sadržane u okviru mrežne maske. Npr, mreža 172.16.0.0 koja ima
mrežnu masku 255.255.0.0 može biti prikazana kao 172.16.0.0./16. Prefiks /16 prikazuje 16 bita koji
imaju vrijednost 1 kada je mrežna maska prikazana u binarnom formatu:
11111111.11111111.00000000.00000000. Sljedeća tabela priakzuje predefinisane mrežne maske i
njihove mrežne prefikse.
Klasa Broj bita Mrežni prefiks
Klasa A 255.0.0.0 11111111 00000000 00000000 00000000 /8
Klasa B 255.255.0.0 11111111 11111111 00000000 00000000 /16
Klasa C 255.255.255.0 11111111 11111111 11111111 00000000 /24
2.2 Predefinisani izlaz (Default gateway)
Predefinisani izlaz (Default gateway) je uređaj, većinom ruter, u TCP/IP mreži koji prosljeđuje
IP pakete u druge mreže. Više unutrašnjih mreža se može nazvati intranet. Predefinisani izlaz je obično
prva ili zadnja iskoristiva IP adresa u mrežu u kojoj se nalazite.
U intranetu svaka mreža može imati više rutera koji ih spajaju u druge mreže, lokalno ili udaljeno.
Potrebno je konfigurisati jedan od rutera kao predefinisani izlaz za lokalne hostove. To omogućuje
lokalnim hostovima da komuniciraju sa hostovima koji su u udaljenim mrežama.
Prije nego host pošalje IPv4 paket, on koristi svoju mrežnu masku da bi otkrio da li je destinacijski host
u istoj mreži ili je u udaljenoj mreži. Ukoliko je destinacija u istoj mreži, host šalje paket direktno
destinaciji. Međutim, ako je host u drugoj, udaljenoj, mreži, onda host predaje paket ruteru da ga
pošalje dalje.
Kada host šalje paket u udaljenu mrežu, IPv4 provjeri internu tabelu (routing table) da otkrije da li se
ruter može dosegnuti destinacijsku mrežu. Ako tabela ne sadrži nikakvu informaciju za prosljeđivanje
paketa u destinacijsku mrežu, IPv4 proslijedi paket na predefinisani izlaz. Host smatra da predefinisani
izlaz ima potrebnu informaciju za prosljeđivanje paketa. Predefinisani izlaz se koristi jako često.
Klijent računari obično dobiju IP informacije od Dynamic Host Configuration Protocol (DHCP) servera.
To je mnogo lakše nego dodjeljivanje predefinisanog izlaza ručno na svaki host. Većina servera imaju
statičke IP konfiguracije koje su dodjeljene ručno, praksa je da se serverima obavezno dodijeljuju
statičke adrese.
2.3 Javne i privatne IPv4 adrese
Računari i uređaji koji se trebaju spojiti na internet moraju biti konfigurisani sa javnim IP
adresama. Međutim, broj javnih IPv4 adresa postaje ograničen. Organizacije ne mogu pružiti javne IPv4
adrese za svaki računar, pa iz tog razloga koriste privatno IP adresiranje.
Privatne IP adrese nisu rutabilne na internetu, pa računari koji posjeduju privatne IP adrese ne mogu
pristupiti internetu. Tehnologije kao što je Network Address Translation (NAT) omogućuju
administratorima da koriste relativno mali broj javnih IPv4 adresa i, u isto vrijeme, omogućuju lokalnim
hostovima da se spoje na udaljene hostove i servise na internetu.
IANA definira opsege privatnih adresa kao u tabeli ispod.
Mreža Opseg
10.0.0.0/8 10.0.0.0 – 10.255.255.255
172.16.0.0/12 172.16.0.0 – 172.31.255.255
192.168.0.0/16 192.168.0.0 – 192.168.255.255
2.4 Kako je decimalna notacija sa tačkama povezana sa binarnim brojevima
Kada se dodijeli IP adresa, koristi se decimalna notacija uz pomoć tačaka. Bazirana je na
decimalnom brojnom sistemu, ali računari u pozadini koriste IP adrese u binarnom formatu. Da bi
razumili kako da odaberemo mrežnu masku za kompleksnije mreže, potrebno je shvatiti IP adrese u
binarnom pogledu.
Unutar 8-bitnog okteta, svaka pozicija ima decimalnu vrijednost. Bit koji je podešen na 0 ima uvijek
vrijednost nule. Bit koji je podešen na 1 može biti pretvoren u decimalnu vrijednost. Najniži bit je onaj
zadnji na desnoj strani okteta i prikazuje decimalnu vrijednost 1. Najviši bit je zadnji na lijevoj strani
okteta i prikazuje decimalnu vrijednost 128. Ako je svaki bit u oktetu podešen na 1, onda je decimalna
vrijednost okteta 255, i to: 128 + 64 + 32 + 16 + 8 + 4 + 2 + 1. 255 je najviša moguća vrijednost okteta.
Binarni prikaz Decimalna notacija uz pomoć tačaka
10000011 01101011 00000011 00011000 131.107.3.24
2.5 Jednostavna IPv4 implementacija
2.6 IPv4 klase adresa
IANA organizira IPv4 adrese u klase. Svaka klasa ima različitu vrijednost mrežne maske koja definira
broj mogućih hostova u mreži. IANA je dala imena za IPv4 klase počevši od klase A do klase E.
Klase A, B i C su IP mreže koje je moguće dodijeliti IP adresama na računarima. Računari i programi
koriste klasu D za višesmjerno (multicasting) obavljanje. Klasa E je rezervisana za eksperimentalno
korištenje. Proces adresiranja koji koristi A, B ili C klasu se zove classful adresiranje. Mreža koja koristi
A, B ili C klasu se zove classful mreža.
Sljedeća tabela prikazuje karakteristike svake klase IP adresa.
Klasa Prvi oktet
A 1-127 255.0.0.0 126 16,777,214
B 128-191 255.255.0.0 16,384 65,534
C 192-223 255.255.255.0 2,097,152 254
2.6.1 Jednostavne IPv4 mreže
Moguće je koristiti mrežne maske da se razdvoji velika mreža u više manjih mreža. U jednostavim IPv4
mrežama, mrežna maska definira cijeli oktet kao dio za mrežni ID i ID hosta. 255 prikazuje oktet koji je
dio mrežnog ID-a, a 0 prikazuje da je oktet dio ID hosta. Npr, moguće je koristiti mrežu 10.0.0.0 sa
mrežnom maskom 255.255.0.0 da se kreira 256 manjih mreža.
2.6.2 Kompleksnija IPv4 implementacija
U kompleksnijim meržama, mrežne maske nisu uvijek jednostavne kombinacije kao 255 i 0.
Moguće je podijeliti jedan oktet sa brojem bita koji su za mrežni ID i brojem bita koji su potrebni za ID
hosta. Ovo omogućuje specifične brojeve podmreža i hostova koji su potrebni. 172.16.0.0 sa mrežnom
maskom 255.255.240.0 je primjer mrežne maske koja može biti korištena za razdvajanje mreže klase
B u 16 podmreža.
U većini ovakvih slučajeva se koristi prikazivanje mrežne maske preko prefiksa odnosno broja mrežnih
bita unutar maske (za razliku od decimalne notacije uz pomoć tačaka). Ovaj način se naziva Classles
Interdomain Routing (CIDR). Npr, CIDR notacija izgleda ovako: 172.16.0.0/20.
2.6.3 Promjenljiva dužina mrežne maske
Moderni ruteri podržavaju korištenje promjenljive dužine mrežne maske što dozvoljava kreiranje
podmreža različitih veličina (kada se podijeli veća mreža). Npr, moguće je podijeliti manju mrežu sa
256 adresa u tri manje mreže od 128 adresa, 64 adrese i 64 adrese. Ovo omogućuje mnogo efikasnije
korištenje IP adresa u mreži.
3. Mrežne maske i supernetting (spajanje podmreža)
3.1 Korištenje bita za mrežnu masku ili mrežni prefiks
U jednostavim mrežama, mrežne maske su napravljene od četiri okteta i svaki oktet ima
vrijednost 255 ili 0. Ako je vrijednost okteta 255, onda je taj oktet mrežni dio (mrežni ID). Ako je
vrijednost okteta 0, onda je taj oktet dio za hostove (ID hosta).
U kompleksnijim mrežama je moguće pretvoriti svaku mrežu u binarni zapis i procijeniti svaki bit u
okviru mrežne maske. Mrežna maska je napravljena od jedinica i nula. Jedinice kreću od prve cifre
lijevo i nastavljaju se sve dok ne počinju nule.
Moguće je identifikovati mrežni ID neke mrežne maske preko jedinica, a ID hosta preko nula. Bilo koji
bit koji je uzet od host dijela i premješten u mrežni dio mora biti susjedan sa originalnim mrežnim
dijelom (mrežnim ID-em):
Svaka jedinica je dio mrežnog ID-a (mrežnog dijela)
Svaka nula je dio ID hosta (host dio).
Matematički proces poređenja IP adrese i mrežne maske se zove ANDing.
Kada se koristi više bita za mrežnu masku, moguće je imati više mreža, ali se onda smanjuje broj
hostova u svakoj mreži. Korištenje više bita nego što je potrebno uzrokuje povećanje mreža (broj
mreža), međutim ograničiti će broj hostova. Korištenje više bita nego što je potrebno za broj hostova
povećava broj hostova, ali smanjuje veličinu mreža.
Sljedeća lista prikazuje broj bita, te mogući broj mreža i hostova:
8 bita – 256 mreža, 254 hosta
7 bita – 128 mreža, 510 hostova
6 bita – 64 mreže, 1,022 hosta
5 bita – 32 mreže, 2,046 hostova
4 bita – 16 mreža, 4,094 hosta
3 bita – 8 mreža, 8,190 hostova
2 bita – 4 mreže, 16,382 hosta
1 bit – 2 mreže, 32,766 hostova
0 bita – 1 mreža, 65,534 hosta.
3.2. Prednosti korištenja mrežnih maski
Kada se podijeli mreža u podmreže, potrebno je kreirati jedinstveni ID za svaku podmrežu. Ti
jedinstveni ID-evi su izvedeni iz glavne mreže (mrežnog ID-a) kada se smjesti neki od bita iz hosta dijela
(ID hosta) u mrežni dio (mrežni ID). To omogućuje da se kreira više mreža.
Kod korištenja mrežnih maski, moguće je:
Koristiti jednu veliku mrežu kroz više fizičkih lokacija
Smanjiti zagušenost mreže kroz podjelu prometa i smanjiti emitovanja (broadcast)
Povećati sigurnost kroz podjelu mreže i korištenje vatrozida (firewall) za kontrolisanje
komunikacije
Preći preko ograničenja trenutnih tehnologija, kao što je korištenej više od maksimalnog broja
hostova koji je podržan.
3.3 Računanje mrežne maske
Prije nego se definiše mrežna maska, odredi se koliko je mreža i hostova po mreži potrebno.
Ovo omogućuje korištenje odgovarajućeg broja bita za mrežnu masku.
Računa se broj mrežnih bita koji su potrebni u mreži. Koristi se formula 2n, gdje je n broj bita. Rezultat
je broj podmreža koje naša mreža zahtijeva.
Sljedeća tabela prikazuje broj podmreža koje je moguće kreirati koristeći određene brojeve bita.
Broj bita (n) Broj podmreža (2n)
1 2
2 4
3 8
4 16
5 32
6 64
Da bi se na brz način otkrile mrežne maske, potrebno je koristiti najnižu vrijednost bita u okviru mrežne
maske. Npr, ako je odabere 172.16.0.0 koristeći 3 bita, to znači da je mrežna maska 255.255.224.0.
Decimalna vrijednost 224 je 11100000 u binarnom zapisu i najniži bit ima vrijednost 32, tako da je taj
broj inkrement između svake podmreže (mrežne maske).
Sljedeća tabela prikazuje podmreže (mrežne maske) za ovaj primjer; 3 bita koja su odabrana za podjelu
mreže su podebljana.
Binarni broj mreže Decimalni broj mreže
172.16.00000000.00000000 172.16.0.0
172.16.00100000.00000000 172.16.32.0
172.16.01000000.00000000 172.16.64.0
172.16.01100000.00000000 172.16.96.0
172.16.10000000.00000000 172.16.128.0
172.16.10100000.00000000 172.16.160.0
172.16.11000000.00000000 172.16.192.0
172.16.11100000.00000000 172.16.224.0
3.4 Računanje adrese hosta
Za otkrivanje bita za host unutar maske, određuje se potreban broj bita za hostove koje treba
da sadrži mreža. Računanje broja bita za hostove ide preko formule 2n-2, gdje je n broj bita. Ovaj
rezultat mora biti najmanji broj hostova koji je potreban za mrežu i najveći broj hostova koje je moguće
konfigurisati u mreži.
U svakoj mreži, dva ID-a za host su automatski zauzeta i ne mogu biti korištena od strane računara.
Adresa sa host dijelom (ID hosta) koji ima sve nule predstavlja ustvari adresu mreže. Adresa sa host
dijelom koji ima sve jedinice je broadcast adresa za mrežu.
Sljedeća tabela prikazuje koliko hostova ima mreža klase C bazirano na broju bita za host.
Broj bita (n) Broj hostova (2n-2)
1 0
2 2
3 6
4 14
5 30
6 62
Moguće je izračunati opseg host adresa svake podmreže koristeći sljedeći proces:
1. Prvi host je za jedan binarni broj veći nego trenutni ID mreže.
2. Zadnji host je dva birnarna broja niži nego sljedeći ID mreže.
Sljedeća tabela prikazuje primjere računanja host adresa:
Mreža Opseg host adresa
172.16.64.0/19 172.16.64.1 – 172.16.95.254
172.16.96.0/19 172.16.96.1 – 172.16.127.254
172.16.128.0/19 172.16.128.1 – 172.16.159.254
3.5 Šta je Supernetting?
Supernetting povezuje više malih mreža u jednu veliku mrežu. Ovo je odgovarajuće kada imate
malu mrežu koja vremenom prerasta i nakon određenog vremena je potrebno proširiti opseg adresa
mreže.
Da bi izveli supernetting, mreže koje se povezuju moraju biti susjedne. Npr, 192.168.16.0/24 i
192.168.17.0/24 može podnijeti supernetting, ali supernetting ne mogu podnijeti 192.168.16.0/24 i
192.168.54.0/24.
Supernetting je obrnuta radnja od kreiranja mrežnih maski i podmreža. Kada se izvodi supernetting,
koriste se biti iz mrežnog dijela u host dijelu. Sljedeća tabela pokazuje koliko mreža je moguće
kombinirati koristeći određen broj bita.
Broj bita Broj mreža za kombiniranje
1 2
2 4
3 8
4 16
Sljedeća tabela prikazuje primjer za supernetting dvije mreže klase C. Dio koji se koristi iz mrežnog
dijela je podebljan.
Mreža Opseg
192.168.00010000.00000000/24 192.168.16.0 – 192.168.16.255
192.168.00010001.00000000/24 192.168.17.0 – 192.168.17.255
192.168.00010000.00000000/23 192.168.16.0 – 192.168.17.255
4. Konfiguracija i otklanjanje grešaka u IPv4
4.1 Ručna konfiguracija IPv4
Konfigurisanje IPv4 adresa je moguće konfigurisati ručno ili automatski. Za konfiguraciju IPv4
adrese ručno, IPv4 adresa se unosi koristeći grafičko okruženje Windows Server-a 2012 ili koristeći
Windows PowerShell. IPv4 adresa je konfigurisana automatski kada server koji koristi Dynamic Host
Configuration Protocol - DHCP automaski dodijeli IPv4 adresu računaru ili mrežnom uređaju. Statičke
IP adrese su obično konfigurisane na serverima, ruterima, switch-evima ili drugim mrežnim uređajima
koji traže stalnu IP konfiguraciju koja se ne mijenja kroz vrijeme.
Za konfiguraciju statičke IPv4 adrese za server, potrebno je sljedeće:
IPv4 adresa
Mrežna maska
Predefinisani izlaz
DNS serveri.
4.4 Konfiguracija statičke IP adrese koristeći Windows PowerShell
Windows 2012 server uključuje Windows PowerShell komande koje se mogu koristiti za upravljanje
mrežne konfiguracije. Sljedeća tabela opisuje neke od Windows PowerShell komandi koje su
dostupne za konfiguraciju IPv4.
Komanda Opis za korištenje IPv4 konfiguracije
New-NetIPAddress Kreiranje novih IP adresa i povezivanje sa mrežnim adapterom. Ova komanda se ne može koristiti za promjenu IP adrese.
Set-NetIPAddress Ova komanda mijenja konfiguraciju IP adrese.
Set-NetIPInterface Komanda služi za omogućavanje ili zabranu DHCP servera za neki od interfejsa.
New-NetRoute Ova komanda kreira informacije za prosljeđivanje paketa unutar tabele, uključujući predefinisani izlaz (0.0.0.0). Ova komanda se ne može koristiti za promjenu postojeće rute. Postojeću rutu treba obrisati i kreirati novu rutu.
Set-DNSClientServerAddress Konfiguriše DNS server koji se koristi za interfejs.
Sljedeći kod je primjer za Windows PowerShell komande koje se mogu koristiti za konfiguraciju
interfejsa Local Area Connection sa sljedećim parametrima:
Statička IP adresa 10.10.0.10
Mrežna maska 255.255.255.0
Predefinisani izlaz 10.10.0.1
Local Area Connection interfejs je također konfigurisan da koristi DNS servere 10.12.0.1 i 10.12.0.2.
New-NetIPAddress –InterfaceAlias "Local Area Connection" –IPAddress
10.10.0.10 -PrefixLength 24 –DefaultGateway 10.10.0.1
Set-DNSClientServerAddress –InterfaceAlias "Local Area Connection" –
ServerAddresses 10.12.0.1,10.12.0.2
4.5 Konfigurisanje statičke IP adrese koristeći Netsh
Također je moguće konfigurisati statičku IP adresu u postavkama mrežne konekcije ili koristeći
netsh, alat komandne linije. Npr, sljedeća komanda konfiguriše interfejs Local Area Connection sa
sljedećim parametrima:
Statička IP adresa 10.10.0.10
Mrežna maska 255.255.255.0
Predefinisani izlaz 10.10.0.1
Netsh interface ipv4 set address name="Local Area Connection"
source=static addr=10.10.0.10 mask=255.255.255.0
gateway=10.10.0.1
4.6 Automatsko konfigurisanje IPv4
DHCP za IPv4 omogućuje automatsko dodjeljivanje IPv4 adrese za veći broj računara koji
nemaju svoju IP adresu. DHCP servis dobije zahtjeve za IPv4 konfiguraciju od računara koje ste podesili
da dobiju IPv4 adresu automatski. Također, dodijele im se i ostale IPv4 postavke.
DHCP pomaže pojednostavljenje IP konfiguracijskog procesa; ipak, potrebno je biti oprezan ako se
koristi DHCP za dodjelu IPv4 informacija, pa treba podesiti sljedeće:
Uključiti opciju resilience u DHCP servisu kako jedna greška ne bi prouzrokovala da cijeli servis
ne radi
Oprezno konfigurisati opseg DHCP servera.
Windows operativni sistemi također podržavaju korištenje ovih tehnologija za dodjelu IP adresa:
Automatic Private IP Addressing (APIPA). Windows koristi APIPA tehnologiju za dodjelu IP
adresa ukoliko DHCP server nije dostupan ili ne postoji. Koristi opseg 169.254.0.0 –
169.254.255.255. APIPA ne konfiguriše i DNS postavke, pa su takvi računari onda ograničeni sa
funkcionalnostima.
Alternativna statička IP adresa. Ako je alternativna statička IP adresa konfigurisana na
mrežnom adapteru računara, a DHCP server nije dostupan, mrežni adapter računara će
koristiti alternativnu IP adresu.
Windows 2012 server također ima Windows PowerShell komande koje se mogu koristiti za
podešavanje DHCP-a. Sljedeća tabela opisuje neke postojećih Windows PowerShell komandi koje se
koriste za konfigurisanje DHCP servisa na neki interfejs.
Komande Opis
Get-NetIPInterface Lista interfejsa i njihove konfiguracije. Ne uključuje IPv4 konfiguraciju interfejsa.
Set-NetIPInterface Omogućuje ili zabranjuje DHCP za neki interfejs.
Get-NetAdapter Pruža listu mrežnih adaptera u računaru.
Restart-NetAdapter Zabranjuje i ponovo omogućuje mrežni adapter. Ovo tjera DHCP klijenta da uzme novi DHCP zakup.
Sljedeći kod je primjer kako omogućiti DHCP za adapter Local Area Connection, te omogućiti da dobije
adresu:
Set-NetIPInterface –InterfaceAlias "Local Area Connection"
–Dhcp Enabled
Restart-NetAdapter –Name "Local Area Connection"
4.7 Korištenje Windows PowerShell komandi za otklanjanje greški IPv4
Koristi se komandna linija ili Windows PowerShell komande u Windows 2012 serveru za
konfiguraciju i otklanjanje grešaka mreže.
Sljedeća tabela prikazuje neke od Windows PowerShell komandi koje se mogu koristiti.
Komande Svrha
Get-NetAdapter Pruža listu mrežnih adaptera za jedan računar.
Get-NetIPv4Protocol Pruža informacije o konfiguraciji IPv4 protokola. Komanda Get-NetIPv6Protocol pruža informacije za konfiguraciju IPv6 protokola.
Restart-NetAdapter Deaktivira i ponovo aktivira mrežni adapter.
Get-NetIPInterface Lista interfejsa i njihova konfiguracija.
Get-NetIPAddress Lista IP adresa koje su konfigurisane za interfejse.
Get-NetRoute Lista prosljeđivanja (routes) u tabeli.
Get-NetConnectionProfile Tip mreže na koji je mrežni adapter spojen.
Get-DnsClient Detalji konfiguracije za različite mrežne interfejse na računaru.
Get-DNSClientCache Pruža listu prevedenih DNS imena koja se nalaze u DNS klijent cache.
Get-DnsClientGlobalSetting Globalne DNS klijent postavke.
Get-DNSClientServerAddress Pruža listu DNS servera koji se koriste za svaki interfejs.
Register-DnsClient Registruje sve IP adrese na računaru na konfigurisanom DNS serveru.
Set-DnsClient Podešava konfiguraciju DNS klijenta na računaru.
Set-DnsClientGlobalSetting Konfiguriše globalne DNS klijent postavke.
Set-DnsClientServerAddress Konfiguriše mrežni adapter računara sa IP adresama DNS servera.
Set-NetIPAddress Podešava informacije u konfiguraciji IP adrese.
Set-NetIPv4Protocol Podešava informacije u vezi IPv4 konfiguracije protokola. Komanda Set-NetIPv6Protocol vraća informacije o IPv6 konfiguraciji protokola.
Set-NetIPInterface Mijenja postavke IP interfejsa.
Test-Connection Izvršava testove konektivnosti koji si slični onim koji se izvršavaju sa komandom ping.
Test-NetConnection Prikazuje sljedeće:
Rezultati DNS potraživanja
Lista IP interfejsa
Opcija testiranja TCP konekcije
IPsec pravila
Potvrda ostvarivanja konekcije Resolve-Dnsname Izvršava upit za prevođenje DNS imena za neko
određeno ime.
4.8 IPv4 alati za otklanjanje grešaka
Windows 2012 server uključuje alate komandne linije koji mogu pomoći za otkrivanje mrežnih
problema.
4.8.1 Ipconfig
Ipconfig je alat komandne linije koji prikazuje trenutnu TCP/IP mrežnu konfiguraciju. Komandu
je moguće koristiti da se osvježe DHCP i DNS postavke. Sljedeća tabela opisuje opcije komandne linije
za ipconfig.
Komanda Opis
ipconfig /all Detaljni prikaz konfiguracije.
ipconfig /release Otpušta trenutni zakup nazad DHCP-u.
ipconfig /renew Osvježava DHCP zakup.
ipconfig /displaydns Pregled historije DNS prevođenja imena.
ipconfig /flushdns Čisti DNS historiju.
4.8.2 Ping
Ping je alat komandne linije koji provjerava nivo IP konektivnosti na drugi TCP/IP računar. Šalje
ICMP echo poruke i prikazuje primanje odgovora na poruke. Ping je primarna TCP/IP komanda koja se
koristi za otkrivanje grešaka u konektivnosti, mada vatrozid može blokirati ICMP poruke.
4.8.3 Tracert
Tracert je alat komandne linije koji identificira put koji se odvija do destinacijskog računara dok
se šalju serije ICMP echo poruka. Tracert nakon toga prikaže listu interfejsa između izvora i destinacije.
Ovaj alat može također otkriti koji ruter je pokvaren ili je napravio grešku ili koja je brzina ili latencija.
Ovi rezultati nisu tačni ako je ruter zauzet jer ICMP paketi imaju nizak prioritet kod rutera.
4.8.4 Pathping
Pathping je alat komandne linije koji prati put kroz mrežu, slično komandi Tracert. Pathping
pruža više detalja o svakom koraku kroz mrežu. Šalje 100 paketa za svaki ruter.
4.8.5 Route
Route je alat komandne linije koji dozvoljava pregled i izmjenu lokalne tabele prosljeđivanja
(routing table). Sa ovom komandnom se može provjeriti predefinisani izlaz, koji je izlistan kao 0.0.0.0.
U serveru Windows 2012, moguće je koristiti Windows PowerShell komande da se pregleda i izmjeni
tabela.
4.8.6 Telnet
Korištenje mogućnosti Telnet Client se koristi da se provjeri da li neki port servera osluškuje.
Npr, komanda telnet 10.10.0.10 25 provjerava da li ima otvorene konekcije sa destinacijskim serverom,
10.10.0.10, na portu 25, SMTP. Ako je port aktivan i osluškuje, onda se vraća poruka Telnet klijentu.
4.8.7 Netstat
Komandna linija koja omogućuje pregled mrežnih konekcija i statistike. Npr, komanda netstat
–ab vraća sve portove koji osluškuju i onoga ko osluškuje.
4.8.8 Resource Monitor
Resource Monitor je grafički alat koji omogućuje praćenje korištenja resursa sistema.
4.8.9 Network Diagnostics
Korištenje Windows Network Diagnostics se koristi da se pronađe i ispravi greška u mreži.
4.8.10 Event Viewer
Event logs su datoteke koje se spašavaju kada se dešavaju specifični događaji na računaru. Event
Viewer se koristi da se pregleda Event log.
5 IPv4 proces otklanjanja grešaka
Prvi korak otklanjanja grešaka u mrežama je identificiranje opsega problema ili greške. Problem
koji se tiče jednog korisnika, većinom se odražava i na sve ostale korisnike. Ako se problem tiče samo
jednog krisnika, onda većinom imamo problem u konfiguraciji tog računara. Ako je problem vezan za
sve korisnike, onda je to većinom do greške u konfiguraciji servera ili greška u konfiguraciji mreže.
Windows 2012 R2 server operativni sistem je uveo dvije nove Windows PowerShell komande koje
mogu pomoći u otklanjanju mrežnih grešaka: Get-NetIPaddress (gnp) i Test-NetConnection (tnc).
Sljedeće aktivnosti su neke od onih koje mogu identificirati problem u mrežnoj komunikaciji:
Za provjeru konfiguracije hosta:
o Windows PowerShell: Get-NetIPAddress
o Komandna linija: ipconfig
Ako komanda vrati adresu u 169.254.0.0/16 mreži, to znači da host nije dobio IP adresu od
DHCP servera.
Za identifikaciju rute u mreži, može se koristiti komanda Test-NetConnection –TraceRoute ili
se može koristiti alat komandne linije tracert.
Za provjeru da li odgovara udaljeni host, koristi se:
o Windows PowerShell: Test-NetConnection
o Komandna linija: ping.
Korištenje Test-NetConnection komande u Windows PowerShell-u služi za za testiranje servisa
na koji ste konektovani na udaljenom hostu. Npr, koristiti Test-NetConnection –Port 80 za
testiranje konektivnosti na web server. Moguće je koristiti i Telnet za konektovanje na port
udaljenog programa.
Za provjeru da li predefinisani izlaz odgovara, koristiti:
o Windows PowerShell: Test-NetConnection
o Komandna linija: ping.
6 Šta je Microsoft Message Analyzer?
Microsoft Message Analyzer je alat koji se koristi za praćenje mrežnog prometa, prikazivanja i
analiziranja informacija o prometu. Microsoft Message Analyzer se može koristiti za sljedeće:
Identificiranje poruka
Spašavanje poruka
Unos poruka
Pregled poruka
Filtriranje poruka.
Microsoft Message Analyzer može kreirati i grafove na osnovu prikupljenih podataka. Također, moguće
je raditi praćenje podataka i sa udaljene lokacije.