Administriranje mreža
1. Čas Mrežni operativni sistemi i osnovni zadaci administriranja U oblasti računarstva nove tehnologije se uvode vrtoglavom brzinom. Kompanije su u stalnoj trci za svojim delom tržišta i za pove ćanjem profita zbog čega sve brže plasiraju inovacije u hardveru, softveru i modelima obrade podataka. Svaki IT profesionalac, koji je u poslu duže od 15 minuta, zna da je jedina konstanta u ovom svetu - promena. Ostati „up-to-date“ sa ra čunarskim tehnologijama je neumoljiv proces. Danas, ljudi iz ove struke moraju konstantno da vode ra čuna o ogromnoj koli čini podataka koja je iz dana u dan sve ve ća i veća. Jedna od revolucionarnih promena u ra čunarskoj tehnologiji dogodila se u zadnjoj deceniji. Širenje upotrebe mini i mikrora čunara dovelo je do nastanka tehnologije obrade podataka po modelu klijent-server. Uvo đenje mini računara stvorilo je uslove za ekonomsku opravdanost decentralizacije računarskih resursa do nivoa sektora preduze ća. U oblasti informacionih tehnologija, server predstavlja ra čunarski sistem koji pruža usluge drugim računarskim sistemima – klijentima. Komunikacija izme đu servera i klijenta odvija se preko ra čunarske mreže. Naziv server naj češće se odnosi na ceo ra čunarski sistem, ali se ponekada koristi i samo za hardver ili softver takvog sistema. Klijent i server zajedno obrazuju klijent-server mrežnu arhitekturu. Kad se pod pojmom server podrazumeva ra čunar, to se uglavnom odnosi na ra čunar koji obavlja serverske poslove. Server se može sastojati od standardnih ra čunarskih komponenti koje se ugra đuju u obične desktop ra čunare, u slu čaju da programi (aplikacije) (aplikacije) koji se izvršavaju na na serverima nisu složeni, složeni, odnosno hardverski zahtevni. Serveri koji opslužuju složene progame, ili veliki broj korisnika, zahtevaju specijalizovan hardver koji je optimizovan za upotrebu na serverima. Poseban hardver podrazumeva i hard diskove visokih performansi, prvenstveno brzine i pouzdanosti. Procesorska brzina nije od klju čne važnosti pošto se ve ćina servera bavi ulazno/izlaznim (I/O – input/output) operacijama i ne koristi grafički korisnički interfejs (GUI – graphic user interface). Pod serverom se podrazumeva i program koji od klijenta preko mreže prima zahteve, obra đuje ih i opet preko mreže šalje odgovore klijentu. Programi koji se koriste na serverima su posebno razvijani za serverske operativne sisteme i potrebe server-klijent okruženja. Primeri serverskih programa su DHCP, DNS, mail server, ruter i drugi. Operativni sistemi koji se koriste na serverima su specijalno dizajnirani za servere. Na serverima se najviše koriste Linux, Solaris i FreeBSD operativni sistemi koji su razvijeni po uzoru na operativni sistem Unix. Koriste se i serveri iz Microsoft Windows porodice: Windows NT, Windows 2000, Server 2003, Server 2008. Za operativne sisteme za server karakteristi čno je: bezbednost i pouzdanost, mogućnost rekonfigurisanja softvera i hardvera bez zaustavljanja sistema fleksibilnost mrežnog povezivanja.
1.1
Svrha računarskih mreža i umrežavanja Prvo i najvažnije, umrežavanje vršimo pri pokušaju rešavanja odre đenih problema, jer smatramo da nam računarske mreže mogu u tome pomo ći. Primera radi, kompanija u kojoj radimo će možda poželeti da postavi dopadljiv WEB sajt ili da stekne mogu ćnost slanja i primanja e-mail poruka, ili da instalira jednostavan server za štampanje u nekoj manjoj kancelariji. Sve su ovo pojedina čni ciljevi, dok mreža predstavlja na čin, odnosno alat za njihovo postizanje. 1. Osnovni cilj svakog mrežnog projekta sastoji se u pružanju pružanju neke vrste servisa. Drugo, postoji mnogo razli čitih servisa koje mreža može pružiti, pri čemu je za svaku vrstu servisa neophodan druga čiji softver, kako bi se ovi servisi uopšte mogli izvršiti. Pretpostavimo, na primer, da želite da postavite neki web sajt na Internetu. Mrežni servisi, uklju čujući i web sajtove, zahtevaju postojanje dve komponente: serverskog dela i klijentskog dela. Da bismo postavili sjajan web sajt, najpre ćemo sam sajt kreirati uz pomo ć HTML-a, da bismo zatim taj HTML fajl prebacili na svoj web server. Ako nemamo odgovaraju ći web server, jedan od na čina je da, na nekom od postoje ćih računara, instaliramo specijalnu vrstu softvera, koji će tom računaru omogu ćiti da funkcioniše kao web
Administriranje mreža server. Međutim, to je samo prva polovina polovina pri če – da bi klijenti firme mogli mogli nesmetano da uživaju u sadržaju ovog web servera, bi će im neophodan jedan komad klijentskog softvera, poznat pod nazivom web pretraživač (Web browser). Tako dolazimo do prve prave definicije iz oblasti umrežavanja:
2. Za svaki mrežni servis neophodno je postojanje serverskog softvera i klijentskog softvera. Treće, informacijama moramo obezbediti neki na čin da od servera do đu do klijenata, to jest, moramo uspostaviti fizi čki sistem po kome servisi mogu putovati. Ukoliko se severi i klijenti nalaze u istom objektu, dovoljno je kreirati samo tzv. mrežu lokalnog podru č ja (local area network – LAN), za čije kreiranje je potrebno jednostavno razvu ći odgovaraju će kablove po prostorijama u tom objektu. Sa druge strane, ako svoje servise želimo da ponudimo čitavom ostatku sveta, kao u slu čaju web servera, tada će nam biti neophodna neka vrsta WAN (wide area network – mreža šireg podru č ja) konekcije sa Internetom. U nekim drugim slu čajevima, biće nam takođe potrebna WAN konekcija, ali ne sa Internetom: naime, mnoge kompanije koje se sastoje od izdvojenih i me đusobno prostorno izdvojenih filijala, za njjihovo povezivanje koriste privatne komunikacijske linkove, poput iznajmljene linije ( leased line), T1 ili frame relay. Tako dolazimo do slede će kockice našeg mrežnog mozaika: svaka mreža mora posedovati hardverske ure đaje za konekciju (svi čeve ( switches switches ), hubove, rutere ( routers ), modeme), kao i odgovarujuće linkove (telefonske linije, mrežne kablove, frame relay, DSL, kablovski modem, ISDN i sl.), jer se u suprotnom,klijenti ne će moći konektovati na serverske ra čunare. Sledi jednostavan zaključak: 3. Svaka mreža poseduje odrеđene hardverske uređaje za konekciju kao i odgovarujuće linkove. Četvrto, radi pružanja mrežnih usluga (servisa), server i klijentski ra čunari se moraju dogovoriti oko načina prenošenja informacija preko mreže. Ovaj dogovor se naziva mrežnim protokolom (network protokol), a jedan od ovih protokola koji ćemo najverovatnije koristiti na Windows Server 2003 računarskim mrežama, nosi naziv „protokol za kontrolu prenosa/ Internet protokol“ (Transmission Control Protocol/ Internet Protocol – TCP/IP). TCP/IP je osnovni mrežni protokol koji se upotrebljava na Internetu, ali je isto tako činjenica da uopšte ne moramo biti na Internetu da bismo koristili ovaj protokol. 4. Ukratko, klijenti i serveri moraju govoriti istim mrežnim mrežnim protokolom. Peto, kada jednom uspostavimo komunikacijske kanale i neposredno pre nego što informacije krenu da teku u oba smera, skoro je sigurno da ćemo morati malo ozbiljnije da se pozabavimo bezbednošću. Ako smo se ve ć opredili za upotrebu takvog alata kao što su ra čunarske mreže, logi čno je da želimo biti sigurni da time ne ćemo povećati rizike svog poslovanja, a činjenica je da se ovaj alat može oblikovati tako da svi mogu ći rizici budu maksimalno redukovani. 5. Mrežama je potrebna sigurnost. Šesto i poslednje, kada kona čno podesimo svoj fantasti čni mrežni servis, bi će neophodno da ljudima omogućimo način za pronalaženje tog sjajnog servisa. To se može posti ći upotrebom takozvanog „nazivnog“ ( naming ) sistema. Prema tome, naša poslednja mrežna definicija glasi: 6. Mreže moraju korisnicima obezbediti način za pronalaženje željenog servisa. 1.2
Dužnosti administratora sistema Da bi se efikasno iskoristio neki mrežni operatvni sistem potrebno je mnogo više nego sesti za računar, uključiti ga i pokrenuti neku aplikaciju. Da bi sve to funkcionisalo na pravi na čin neko je prethodno morao da pripremi kako naš ra čunar tako i ra čunarsku mrežu na koju je on priklju čen. Taj neko nije niko drugi nego administrator sistema. Generalno gledano svaki ra čunar kao i svaka mreža mora da ima administartora sistema. Ve ćina adminstratora sistema su oni koji su instalirali i podesili softver i periferne uređaje u vreme isporuke ra čunara. U ve čini slučajeva računari i ostaju u prvobitnom stanju jer većina korisnika retko menja te pšostavke. Me đutim, ako korisnik odlu či da svoj ra čunar priključi na Internet ili da promeni pozadinu svog desktopa, on automatski preuzima ulogu administratora sistema. Ta nova titula donosi i neke obaveze, jer bilo kakva promena na ra čunaru može izazvati njegov pogrešan rad ili još gore, dati mogu ćnost nekom nepoznatom uljezu da pristupi našem ra čunaru. Nijedan korisnik čiji je
Administriranje mreža računar povezan sa Internetom, nije imun na posledice lošeg administriranja sistema, kao što su to pokazali distribuirani napadi za uskar ćivanje usluga (DDoS- Distributed Denial of Service ) ili virusi i crvi koji su potresali Internet zadnjih godina. Posledice svih ovih napada bile bi mnogo manje da su administratori sistema bolje razumeli svoje obaveze i pravilno odradili svoj posao. Administratori sistema verovatno bolje razumeju potrebu da sa administracija sistema vrši gotovo svakog dana, za razliku od običnih korisnika koji smatraju da je dovoljno da se jednom podesi ra čunar i da se više ništa ne dira. Po definiciji, administrator sistema predstavlja osobu koja ima pun pristup sistemu ili osoba koja je superkorisnik ( superuser ) ili osnovni korisnik ( root user ). ). Mogučnosti svih ostalih korisnika sistema koji nisu administratori su ograni čena za razliku od administratora koji ima neograni čena prava na sistemu: svim korisni čkim nalozima, njihovim mati čnim datotekama, svim konfiguracionim parametrima i svim sistemskim datotekama. Opšte je uvaženo pravilo da niko ne treba da se prijavljuje da radi sa sistemom kao administrator jer mnogi poslovi vezani za sistema mogu bezbednije da se obave na drugi na čin, o čemu ćemo govoriti kasnije. Kako administartor sistema ima sva prava na sistemu postoje mnoge njegove dušnosti ali je njegova prva i osnovna da zna šta radi sa sistemom. Obavljanjem tih dužnosti administrator može potpuno da prilagodi instalaciju potrebama sistema i omogu ći njen ispravan i efikasan rad. Sve naredne pobrojane dužnosti javljaju se prilikom administracije bilo kog sistema i važe gotovo za sve mrežne operativne sisteme.
1. Instaliranje i podešavanje servera Većina serverskih operativnih sistema dolazi sa velikim brojem usluga i dodatnih programa koji omogu čavaju instaliranje razli čitih serverskih opcija. U prvobitnim operativnim sistemima podrazumevalo se da sve te usluge i dodatni programi budi aktivirani. Međutim, kako je rastao broj ra čunara tako su se i menjala pravila ponašanja ljudi koji su sa njima radili. Javio se jedan sloj takvih korisnika, slobodno ih možemo nazvati ra čunarskim kriminalcima, čija je jedina zabava i svrha koriš ćenja računara da nekome nanesu neku vrstu štete: da umanje performanse rada drugih računara ili mreža, izbrišu podatke ili potpuno onesposobe tu đe računare. Takva realnost zahtevala je od mrežnih operativnih sistema da prilikom osnovne instalacije isklju če sve usluge, osim one osnovne, dok se one ne aktiviraju i odgovaraju će podese. Dužnost adminstartora sistema je da odredi koje usluge su potrebne da se koriste, da ih omogu ći i pravilno podesi. Nepotrebne usluge, koje se u sistemu ne koriste ne treba omogu ćavati jer to predstavlja potencialni rizik po bezbednost celog sistema. Tako đe, usluge koje nam trebaju a ne znamo da ih pravilno konfigurišemo, bolje je isklju čiti nego nepravilno podesiti i omogu čiti drugima da uđu u naš sistem. 2. Instaliranje i podešavanje aplikacija Podešavanje i prilago đavanje aplikacija je u izvesnoj meri posao korisnika, ali ne sasvim. Kostur konfiguracije ( skeleton ) predstavljaju podrazumevani parametri neke aplikacije, koje definiše i postavlja administrator. Ti parametri predstavljaju osnovu za korišćenje aplikacije i bez njihovog postavljanja, aplikacije ne može da radi. Ve ćina kompanija podržava politiku da se ne dozvoli instaliranje aplikacija za koje dozvolu nije dao administrator sistema. Dva su osnovna razloga: bezbedonost sistema i nelegalno koriš ćenje kopiranog (piratskog) softvera. U doba kada se u ra čunarskom svetu svakog dana pojavljuju neki zaraženi softveri (virusi, crvi, trojanci, ...), postoji velika verovatno ća, da se nekim neovlaš ćenim programom, naruši integritet celokupnog sistema, sa nesagledivim posledicama po njega. Sa druge strane treba spre ćiti i instaliranje nelegalnog softvera za koji nije kupljena licenca. Koriš ćenje nelegalnog softvera podleže krivičnoj odgovornosti, kako administartora sistema, tako i kompanije u kojoj se taj softver koristi. Kako je administrator sistema najodgovorniji za pouzdan rad sistema kao i koriš ćenje legalnog softvera, jasno je da on treba da preduzme sve potrebne mere da obezbedi pouzdan i legalan rad sistem. Baš zbog toga gotovo svi administratori sistema se slažu da kod administriranja sistema važi jedno ’’surovo’’ ali zlatno pravilo: što se manja prava daju korisnicima to je sistem bezbedniji, pouzdanije radi, a samim tim je smanjen posao administratora . 3. Pravljenje i održavanje korisničkih naloga Za svakog korisnika koji želi da radi se ra čunarom i mrežnim sistemom, mora da postoji korisni čki nalog. Isti je slu čaj i za svaki ra čunar gde imamo računarski nalog. Pravila dobrog ponašanja podrazumevaju da niko ko se nije prijavio na sistem ne može da radi sa njim. Pre nego što napravi naloge za korisnike, administrator mora da donese neke odluke koje se odnose na taj nalog. Kao prvo to se odnosi na politiku lozinki. Ko ih kreira, kako se menjaju, koliki vremenski period važe, koliko su složene i td. Zatim koja prava treba dodeliti tom
4.
5.
6.
7.
Administriranje mreža korisničkom nalogu: sa kojim programskim paketima mu dozvoliti da radi, koliki prostor na disku ima taj nalog, kojim datotekama mu omogu ćiti pristup i kakav, u kom vremenskom periodu mu omogu ćiti rad i td. Ako ima više sli čnih korisnika bolje napraviti grupni nalog koji će važiti za sve njih. Donošenje ovih i nekih drugih odluka, deo je dužnosti administratora sistema u upravljanju korisničkim nalozima. Bez obzira na to da li ova pravila utvr đuje administrator ili rukovodstvo preduzeća, njih svakako treba propistai radi zaštite svih zainteresovanih. Obi čno važi pravilo da se to uradi u pisanoj formi. Instaliranje, podešavanje i održavanje korisničkih servisa i opreme Već smo ranije pomenuli da svaki mrežni operativni sistem u sebi poseduje i veliki broj dodatnih servisa i usluga koje nudi klijentima. Ovde se prevashodno misli na PRINT, FTP, WEB, i MAIL servise koji su danas u najširoj upotrebi. Teško je zamisliti neku mrežnu instalaciju koja ne podržava ove dodatne usluge. Broj tih usluga sve više raste tako da nije redak slu čaj da se vide i mnogi multimedijalni servisi kao što su IP telefonija, IP televizija i video konferencije. Ovde možemo da svrstamo i instaliranje VPN ( Virtual ), jedne lepe mogu čnosti koja nam omogu ćava da u okviru zajedni čke mrežne Privaty Network strukture postavimo i privatne mreže. Na toj mreži bi će samo oni ra čunari za koje administrator da odobrenje, dok će sva ostala infrastruktura ostati potpuno ne promenjena. Održavanje hardvera računara kao i aktivne/pasivne mrežne opreme tako đe sa smatra kao jedan od zadataka administratora. Pravljenje rezervnih kopija i njihovo vraćanje Potreba za pravljenjem rezervnih kopija postoja će sve dok oprema ne postane savršena i dok ljudi ne izgube želju za uništavanjem tu đih resursa. Bez kopija podataka teško možemo da vratimo neki sistem ukoliko do đe do neke greške u hardveru sistema, bude narušena bezbednost sistema ili do đe do greške u administraciji sistema. Ovaj zadatak takođe spada u isklju čivu nadležnost administratora. Samo on može da napravi rezervne kopije kao i da iz njih restauira sistem. To pred njim postavlja novi zadatak jer je potrebno da se napravi celokupna strategija pam ćenja i vraćanja podataka koja podrazumeva slede će: šta, koliko često, kako, gde i kada pamtiti rezervne kopije. Sve podatke koji se nalaze u ra čunarskom sistemu možemo podeliti na tri velike grupe: sistemske podatke (operativni sistem, drajveri), programske podatke (instalirane aplikacije) i prikupljeni podaci(baze podataka koje popunjavaju korisnici). Postavlja se pitanje šta od toga treba pamtiti ? U kojim vremenskim intervalima to treba raditi i da li su ti intervali isti za sve vrste podataka ? Da li je potrebno pamtiti kompletno sve podatke ili samo izmene od prethodnog pamčenja ? Koji je medijum bolji za pam ćenje podataka: magnetni medijum (trake ili hard diskovi) ili opti čki medijum (CD i DVD) kao i da li je bolje to imati u sastavu samog ra čunaraservera ili imati posebne zasebne magnetne jedinice za pam čenje ? Koje je vreme najbolje za pravljenje rezervnih kopija ? Sve su to pitanja na koja administrator mora da ima odgovor. Poseban problem se javlja kada je potrebno vratiti rezervne kopije nazad u sistem. Obi čno se tada i dešavaju najveći propusti jer se to radi pod dosta velikim pritiskom. Zato se preventivno prave planovi oporavka sistema kojih se u kriznim situacijama treba držati. Nadgledanje i podešavanje performansi Podešavanje sistema je stalan proces u kome se koriste razne dijagnosti čke alatke kao i alti za nadgledanje rada sistema. Neke od odluka donose se pri samoj instalaciji sistema a neke je potrebno doneti nakon odre đenog perioda rada. Pravilno nadgledanje omogućava administratoru sistema da na vreme otkrije neke nepravilnosti u radu i pravovremeno ih otkloni. Pored toga mnogi dijagnosti čki programi mogu da nam ukažu na loš rad neke od komponenti koju tada treba preventivno zameniti da ne bi u potpunosti otkazala. Nekada je potrebno i ispravnu komponentu zameniti zameniti sa nekom robusnijom i efikasnijom kako bi ubrzali rad sistema. Ukoliko želimo da izvučemo maksimum iz našeg sistema neophodno je da pažljivo nadgledam naš sistem i primenimo dijagnosti čke programe za pravovremeno pronalaženje pronalaženje problema. Obezbeđivanje sistema Verovatno da je bezbednost ra čunar i integritet podataka jedan od najvažnijih zadataka administracije sistema. On mora da obezbedi da se nijedan podatak sa ra čunara ili mreže ne ošteti, bilo to iz razloga da otkaže neka hardverska komponenta, bilo greškom u podešavanju sistema, namernom ili slučajnom greškom korisnika sistema ili pak zlonamernim upadom spolja. Stepen zaštite sistema u mnogome zavisi od toga na kojoj se mreži nalazi naši računari, od osetljivosti podataka kao i potreba za koje se oni koriste. Ona može da bude fizi čka i tehnička. Pod fizi čkom bezbednoš ću podrazumevamo da osiguramo ra čunar da radi u optimalnim vremenskim uslovima, da ga obezbedimo od fizi čkog pritupa neovlaš ćenih lica kao i da spre čimo
Administriranje mreža njgovo moguće fizičko oštećenje. Tehni čka bezbednost podrazumeva podizanje softverskih barijera ( firewall ) i proxy servera, koji treba da spre če neovlaćeni pristup spolja, kao i da onemogu će korišćenje sumnjivih sajtova na Internetu. Sprovo đenje bezbedonosnih mera je trajan proces. Postoji čuvena izreka da je jedino potpuno bezbedan ra čunar onaj koji nema nikakvih podataka, nije priključen na nikakvu mrežu, nije priklju čen na električno napajanje i nema prika čene nikakve ulazne uređaje (miš i tastaturu). Ako bi sve ovo bilo ispunkeno postavlja se pitanje za šta bi koristio takav računar. Posao administratora je da prona đe pravu meru izme đu maksimalne koristi i najstrože bezbednosti, imaju ći u vidu da bezbednost ra čunara danas ne zna či i njegovu bezbednost sutra. 8. Praćenje dodataka i novih verzija Jedan od zadataka administratora sistema je da spre či da se računar koristi u nedobronamerne svrhe kao i da se odbrani od spoljašnjih upada. Svedoci smo da je broj nelegalnih upada u sistem kao i raznolikih destruktivnih softvera iz dana u dan sve ve ći i veći. Mnogi proizvođači bezbedonosnog softvera daju nam svakodnevno nove definicije tih napada kao i odgovarajućih alata da se oni spre će ili otklone. Sa druge strane i proizvo đači mrežnih operativnih sistema pronalaze mnoge propuste u svome softveru tako da sa vremena na vreme objavljuji svoje dodtake tkz. service pack . Administrator koji pretenduje da mu njegov sistem bude maksimalno zaštićen, mora sve to da prati i preuzima odgovaraju će mere kako bi preventivnio zaštitio svoj sistem.
II čas Uvod u WINDOWS SERVER 2003 2.1
Uvod u WINDOWS SERVER 2003 U samim začetcima računarske industrije samo su neke velike firme mogle da priušte sebi privilegiju da imaju glomazne centralne računare koji su bili jako skupi. U to vreme, veoma mali broj kompanija (IBM i Digital Equipment Corp ) je proizvodio ra čunare pa su samim tim i držali monopol nad njima. Osamdesetih godina prošlog veka dolazi do velike ekspanzije malih personalnih ra čunara koji drastično menjaju odnose na ra čunarskom tržištu. Pojavljuje se sve ve ći broj kompanija koje prave te računare, konkurencija je sve ve ća, što doprinosi smanjivanju cene sa jedne strane i nevi đenog napretka u jačini tih računara sa druge strane. Ra čunari nisu više privilegija velikh firmi, ve ć su postali sastavni deo svakog doma ćinstva kao normalna potrebština. Danas, gotovo svako može da kupi ra čunar, da se poveže sa mrežom svih mreža Internetom, i da mu velika mo ć bude na dohvat ruke. I ono što fascinira u svemu tome, je neverovatna brzina kojom računari zahvataju gotovo svaku poru ljudskog stvaralaštva. Gotovo da ne postoji ni jedna ljudska delatnost u kojoj oni nisu pronašli neku upotrebu. Me đutim, sa velikim razvojem računarske industrije, razvio se i onaj drugi, tamniji deo, a to je ra čunarski kriminal. Sve je ve ći broj ljudi koji pokušavaju da na nelegalan na čin dođu do zarade ili unušte mukotrpan rad drugih ljudi. Hiljade novih računarskih virusa koji se pojavljuju svakog meseca čine da rat virusa i antivirusnih programa besni nezamislivom žestinom. Hakeri upadaju u privatne mreže firmi širom sveta. Nije redak slučaj da pojedine kompanije unajmljuju softveraše, čiji je prevashodni zadatak da od konkurencije ukradu najnovije pronalaske ili da na bilo koji na čin usporavaju ili onesposobljavaju njihove ra čunare. Zloupotreba i prevara vrebaju svuda na mreži. Ranije smo naveli da pouzdana 100% zaštita ra čunarskog sistema, a da se o čuva njegova upotrebna vrednost, ne postoji. Me đutim, mi možemo da obezbedimo svoj računar tako da bar u činimo nedostupne neke stvari ili pak da znatno otežamo pristup nekim resursima koji ne mogu da se obezbede. Sigurno da odlu čujuću ulogu u tome igra jedan pouzdan mrežni operativni sistem. Ne postoji ni jedan aplikacioni softver koji će bolje zaštititi vaš sistem od operativnog sistema koji to može da uradi na najnižem nivou – fizi čkom, jer neposredno upravlja svih hardverskim komonentama u sistemu. U izboru mrežnog operativnog sistema odlu čuju i mnoge druge komponente, ali je ova bezbedonosna, sigurno jedna od odlučujućih. Prevashodna uloga administratora mreža je da u tom mrežnom ratu, u kome konkurencija uspeva da obezbedi sve ja ča i moćnija oružja, pravilnim izborom operativnog sistema, njegovim postavljenjem kao i njegovim stalnim preventivnim održavanjem, ako ne spreči, bar maksimalno oteža neovlaš ćen pristup. U izboru mrežnih operativnih sistema izdvojila su se dva pravca koja danas gospodare gotovo svim mrežama i to su UNIX/LINUX i WINDOWS. Teško je podvući crtu i opredeliti se za neki od njih, tj. da je neki mnogo bolji od drugog. I jedan i drugi pravac stalno prate najnovija doga đanja i stalno unapre đuju svoje operativne sisteme novim verzijama koje nude sve bolja i bolja rešenja i dodatne servise.
Administriranje mreža 2.2 Windows server 2003-kratka istorija Istorija Windows mrežnih sistema po činje daleke 1992 godine sa pojavom prvog operativnog sistema koji je imao integrisanu podršku za umrežavanje više ra čunara: Windows for Workgroups 3.1. Jednostavnost u instaliranju i koriš ćenju mrežnih resursa, donelo je revoluciju u upotrebi mreže me đu PC računarima. Korisnici su mogli samostalno da podešavaju mrežne servise: da dele štampa č i da određuju koje fajlove će deliti sa ostalim korisnicima koji koriste isti operativni sistem ili MS-DOS. Ova verzija operativnog sistema je imala je i programe za elektronsku poštu ( Microsoft Mail ) i organizator za radne grupe (Schedule +). Sledeće godine izašla je poboljšana verzija, Windows for Workgroups 3.11 koja je doživela još ve ću popularnost. Me đutim, mnogi smatraju da je tek sa pojavom Windows NT linije, Microsoft ozbiljno ušao u mrežne operativne sisteme. 1994 godine izlazi Windows NT 3.1, platforma koja nije bila namijenjena obi čnim korisnicima, već je služila kao mašina za razvijanje programa, mrežni server i radna stanica (korisni čka mašina u mreži). Po prvi put tada imamo dva odvojena operativna sistema: jedan za server a drugi za klijente. Odlika tih operativnih sistema bila je jako nestabilna i nesigurna podrška mrežnim servisima, tako da su jako često izdavane dopune za njih ( service pack ). Iako je dosta podsje ćao na "obi čni" Windows, ovaj operativni sistem je u samom jezgru bio sasvim druga čiji. Već krajem 1994 godine, na tržište izlazi Windows NT 3.5 Workstation (Windows NT 3.5 Radna stanica) koja je trebala da zamijeni 9 meseci stari Windows NT 3.1. Kao zamena za Windows NT 3.1 Advanced Server (server za mrežu) je izašao je Windows NT 3.5 Server . Iste godine je bio najavljen razvoj Windows NT 4.0, pod razvojnim imenom " Cairo". On se pojavio 1996 god. i stekao ogromnu popularnost me đu mnogobrojnim korisnicima. Ali ni on nije bio imun na ranije bolesti ovih mrežnih operativnih sistema jer je bilo mnogo propusta u njegovom radu. O tome nam svedo ći i činjenica da je Microsoft za njega izdao servisni paket pre nego što je softver zvani čno objavljen. 2000. godine izlaze Windows ME i Windows 2000. Windows ME je nastavak na seriju Windows 95/98 operativnih sistema, samo malo nadogra đen programima za podršku multimedijalnih sadržaja, dok je Windows 2000 predstavljao nadgradnju Windows NT 4.0. Iako obi čnom korisniku nema neke velike razlike u izgledu ova dva operativna sistema, oni se ipak razlikuju u samoj osnovi. Pou čeni ranijim primerom, kada je bilo dosta grešaka, korisnici su oklevajući prešli na Windows 2000 Server . On je doneo jednu potpuno novu uslugu koja je u mnogome olakšala administraciju sistema: aktivni imenik ( Active Directory). Za razliku od svojih prethodnika, napravljeno je mnogo instalacija Windows Server 2003 još u beta verziji. Beta verzija ovog dugo očekivanog operativnog sistema pokazala se kao veoma stabilna, administratorima sistema pruža mnogo novih mogu ćnosti, a poboljšanje performansi u odnosu na Windows 2000 je neverovatna. Server 2003 predstavljen je 24.aprila 2003 godine, kao naslednik Windows Servera 2000, koji je smatran od strane Microsofta za kamen temeljac njihove Windows Server System linije. Nova unapre đena verzija Windows Server 2003 se pojavila decembra 2005, a njegov naslednik Windows Server 2008 izašao je februara 2008. Windows Server 2003 je složen operativni sistem, koji se znatno razllikuje od Windowsa 2000 i ranijih mrežnih operativnih sistema. Dobra osobina je da Windows 2003 dolazi sa takozvanim kompatibilnim modom koji omogu ćava da se starije aplikacije izvršavaju sa ve ćom stabilnošću. Windows 2003 Server je prvi operativni sistem koji je objavljen od strane Microsoft korporacije posle objavljivanja Trustworthy Computing publikacije (publikacija koju je objavio The Committee on Information Systems Trustworthiness , kojom se definiše sigurnost i pouzdanost operativnog sistema [5]). Kao rezultat ovoga Windows 2003 Server je izašao sa brojnim sigurnosnim izmenama i dodacima. Windows Server 2003 nije svemo ćan čim se “izvadi iz kutije”, ali ima sve alatke potrebne za efikasno administriranje mreže. Me đu tim alatkama su one za integrisanje sa razvojnim okruženjem .NET Framework, novi alati za podršku složenim GPO objektima kao i novi WEB servis (IIS 6.0). Izvršene su izmene na gotovo svim servisima kao što su: poboljšani aktivni imenici, poboljšani DNS server, unapređeni Terminal Service i više čarobnjaka za konfigurisanje gotovo svih servisa na koje čemo u narednim poglavljiva obratiti više pažnje. Tokom svog razvoja proizvod je prošao kroz nekoliko promena imena. Prvi put je predstavljen beta testerima sredinom 2000. godine, pod razvojnim imenom „Whistler Server “, potom je naziv promenjen u „Windows 2002 Server “ za kratko vreme tokom 2001. godine. Potom je preimenovan u „Windows.NET Server “ kao deo Microsoft -ovog truda da promoviše svoj novi razvojni alat, Microsoft.NET . Ipak, zbog straha da će napraviti konfuziju na tržištu o tome šta .NET znači, Microsoft je uklonio . NET iz naziva tokom 2002. godine u pretposlednjoj beta verziji. Kona čno 2003. godine je izašla
Administriranje mreža poslednja verzija Microsoftovog serverskog operativnog sistema pod nazivom Microsoft Server 2003 .
2.3
Izdanja Windows Server 2003 Sa pojavom Windows Server 2000, Microsoft je uveo jednu novinu jer je objavio i čitavu familiju novih server operativnih sistema. Tradicija se nastavila i u Windows Serveru 2003. Postoji, zapravo, veliki broj različitih verzija Servera 2003, ako ra čunamo 64-bitnu verziju, ugneždene (embedded) verzije, itd., ali prema zvani čnoj specifikaciji ovaj softverski proizvod može se nabaviti u slede ća četiri „proizvodna izdanja“: Windows Sever 2003, Standard Edition Windows Sever 2003, Eterprise Edition Windows Sever 2003, Datacenter Edition Windows Sever 2003, Web Edition
Windows Server 2003 – Standard Edition Windows Server 2003 – Standard Edition je pouzdan, multifunkcionalni mrežni operativni sistem koji ima sve osnovne funkcije koje su potrebne za podršku malih do srednjih mreža. Podržava servise direktorijuma, datoteka, štampanja, aplikacija, multimedije i Web servise. Me đutim ova verzija ima i sledeća ograničenja: Mogu se koristiti maksimaslno četri procesora na jednom serveru Nije dozvoljeno više 4GB memorije, od toga operativni sistem rezerviše 2GB za sopstvene potrebe, što zna či da za aplikacije na serveru ostaje 2GB. Zbog ovih osobina Standard Edition je pogodan za manja preduze ća
Windows Server 2003 – Enterprise Edition Enterprise Edition predstavlja nadgradnju na Standard Edition. Ima sve mogu ćnosti kao i Standard Edition plus alate koji poboljšavaju pouzdanost, dostupnost i sigurnost na mreži. Glavna razlika je u tome što Enterprise Edition podržava rad sa serverima visokih performansi: Podržava do osam mikroprocesora na serveru Podržava 32 GB RAM-a, gde se za operativni sistem rezerviše samo 1GB memorije omogućavajući ostalim aplikacijama na serveru da koriste do 3GB.
Administriranje mreža Podržava Microsoft Metadirectory Services (MMS), koji omogu čavaju integraciju više direktorijuma, baza podataka i datoteka u aktivni imenik Poseduje Windows System Resource Manager (WSRM), koji omogu ćava raspoređivanje procesorskih i memorijskih resursa u odnosu na potrebe aplikacija Ima podršku za Hot Add Memory (HAM), koji omogu ćuje dodavanje memorije sistemu bez naknadnog ponovnog pokretanja sistema. Windows Server 2003 – Enterprise Edition namenjen je za upotrebu u srednjim i velikim poslovnim sistemima. Ovaj operativni sistem karakterišu visoka pouzdanost i performanse.
Windows server 2003 – Datacenter Edition Windows server 2003 – Datacenter Edition je najmo ćnija verzija u Windows Servera 2003 familiji. Kao i Enterprise Server Edition, Datacenter Edition predstavlja nadgradnju na Standard Edition. Razlika je u tome što Datacenter Edition podržava mnogo više procesora i memorije u jednom serveru: Podržava i do 32 procesora na jednom serveru Može se ugraditi RAM memorija od 64GB kod 32-bitnih i 512GB kod 64-bitnih platformi. Microsoft je projektovao Datacenter Edition tako da bude najstabilnija, najpouzdanija i najmoćnija verzija Windows Severa 2003. Kao takav, ovaj operativni sistem je i najskuplji u familiji i ujedno i jedina verzija koju na možemo kupiti i instalirati sami. Prodaje se samo kao OEM verzija, uz vrhunske serverske platforme i u potpunosti podržava 32-bitne, 64-bitne i 128-bitne (dve 64-bitne) platforme. Datacenter je namenjen velikim preduze ćima kojima su potrebni najmo ćniji i najskuplji serveri koji retko „pucaju“ i retko se moraju restartovati.
Windows Server 2003 – Web Edition Osnovna ideja kod izdavanja ove verzije je bila da se u đe na sve ve će tržište WEB servera. Windows Server 2003, Web Edition, je specijalno dizajniran da omogu ćujući korisnicima jednostavan razvoj WEB stranica, prezentacija, lokacija i servisa.. Web Edition je optimizivan za Microsoftov Internet Information Services ( I I S ) Web server platformu. Web server izdanje ne podržava neke od naprednih servisa, kao što su: Napredni alati koji obezbeđuju sigurnost na mreži, kao na primer Internet Authorization Server (IAS) Fax servise Gateway servise DHCP servise Terminal servise Podržava: Do dva procesora na serveru i 2 GB RAM memorije neograničen broj anonimnih WEB povezivanja, ali samo do 10 dolaze ćih SMB(Server Message Block) eza Web edition je, kao što mu i samo ime kaže, idealno za servere koji se koriste kao Internet ili intranet serveri.
2.4
Priprema za instaliranje Windows Servera 2003 Pre nego što krenemo sa instalacijom potrebno je isplanirati neke stvari kako kasnije ne bi došli u situaciju da nešto ne možemo da uradimo, pa moramo da ponovimo postupak iz po četka. Najčešće teškoće pri instalaciji nastaju zbog greške u planiranju (pogrešno definisanje particija, kreiranje server člana kada on treba da bude kontroler domena ili neka druga jednostavna stvar). Inicijalno svaka instalacija počinje sa instalacijom osnovnog serverskog programa. Kada se jednom pokrene stabilan server, on može da se promoviše u kontroler domena. Proširenja, poboljšanja i nove osobine pove ćavaju mogućnost da proces protekne glatko, ali i dalje je potrebno da se unapred definiše neki plan. Planiranje ne služi samo za spre čavanje grešaka, ve ć može da se od instalacije u čini i nešto više od prostog
Administriranje mreža postavljanja Windows-a 2003. Pravilnim planiranjem, mogu da se prilagode osobine i proširenja Windows-a 2003, tako da se budu će instalacije obave brže i lakše. Zato treba uraditi slede će stvari: Proverimo minimalne sistemske zahteve, tako što ćemo posetiti Microsoftovu Web lokaciju i pročitati odeljak System Requirements za Windows Server 2003. Pročitamo uputstva za instaliranje i napomene uz konkretno izdanje Windows Servera 2003, koja se nalaze na njegovim kompakt diskovima. Odlučimo da li ćemo da nadograditi postoje ći ili instalirati novi operativni sistem. Odlučimo kako ćemo plaćati korišćenje (licencu): po serveru ili po radnom mestu. Odlučimo da li nam je potrebna mogu ćnost biranja operativnog sistema prilikom svakog pokretanja ra čunara. Utvrdimo da li nam za instalaciju treba posebna particija? Izaberemo komponente koje ćemo instalirati, odnosno odredimo namenu servera. Odlučimo kako ćemo rešiti umrežavanje, IP, TCP/IP i razrešavanje imena. Odaberemo radne grupe ili domene. Izvadimo kablove svih UPS ure đaja. Postupak instaliranja pokušava da prepozna sve ure đaje priključene ne serijske priklju čke računara, pa bi UPS mogao da izazove poteško će u procesu prepoznavanja.
2.4.1 Sistemski zahtevi i izbor hardvera U bilo kojoj primeni računara sistemski resursi igraju glavnu ulogu i u osnovi odre đuju kvalitet aplikacije koja se izvršava. Kod mrežnih operativnih sistema taj resurs, možda i najviše dolazi do izražaja. U suštini ne postoji neka tačna podela na serverski i klijentski hardver, tj. bilo koji računar može biti i server i klijent. Pitanje se postavlja samo na kvalitet usluge koji računar sa takvim resursima može da daje. Zato gotovo svaki proizvo đač
mrežnih operativnih sistema, preporu čuje odgovaraju če sistemske resurse u zavisnosti od namene servera na kome će taj softver raditi. Tri resursa tu igraju glavnu ulogu i to su: Brzina CPU Iako se Server 2003 može pokrenuti i na ne čemu što je tako sporo kao ra čunar koji radi na 266MHz, po preporuci proizvo đača minimalna brzina koju procesor treba da poseduje jeste 733MHz. Ipak, preporučljivo je koristiti procesore koji funkcioniše na ve ćim frekvencijama od bar 1GHz. pa na više. Naravno, da ja či i brži procesor daje i mnogo bolje rezultate, kao i upotreba višestrukih procesora. Veličina operativne memorije - RAM Obično smo skloni da smatramo kako je CPU osnovna komponenta koja definiše brzinu rada operativnog sistema. Me đutim, kao što je uvek bio slu čaj sa članovima NT familije, posedovanje dovoljne količine RAM-a, koja će OS-u dati prostora da diše, podjednako je važno za obezbe đivanje besprekornih performansi servera. Ali, koliko bi tačno memorije bilo potrebno da obezbedimo? Ovo je veoma nezgodno pitanje, jer odgovor u mnogome zavisi od funkcije samog servera: jednostavni fajl serveri i serveri za štampanje mogu sasvim solidno funkcionisati sa 256 RAM-a, dok će računari na kojima se izvšavaju SQL Server, Exchange Server, IIS i sli čne aplikacije, zahtevati bar nekoliko gigabajta RAM-a za nesmetani rad. Preporuka proizvo đača je da Windows Server 2003 radi na minimumu od 512MB. Sa druge strane, ve ća količina memorije otvara ve ći prostor za pojavu hardverskih otkaza u memorijskim čipovima, te je upravo zbog toga neophodno upotrebiti memoriju sa takozvanim „kodom za ispravljanje grešaka“ ECC (Error Correcting Code). Gubitak podataka može da nastane zbog lošeg memorijskog čipa, ali do gubitka podataka mogu da dovedu i slu čajni događaji (statički elektricitet, kolebanje elek.napajanja). ECC je dobar zato što ne samo da detektuje greške u memoriji, nego ih automatski i koriguje. U slu čaju da do đe do promene napona, ECC detektuje problem i rešava ga bez ikakvog upozorenja korisniku. Veličina sekundarne memorije (HDD) Bazična, ogoljena ( bare-bones ) instalacija operativnog sistema Windows Server 2003, Standard Edition, proguta će oko 1.5GB slobodnog prostora na hard disku. Naravno, na svoj hard disk možemo poželeti da, osim OS-a, instaliramo i neke druge programe, tako da će nam trebati znatno više od toga – koliko tačno više zavisi će prvenstveno od toga šta želite da postignete sa svojim serverom. Ipak, preporuka je da ne bi čak ni trebalo zapo činjati instalaciju bez minimum 4GB raspoloživog prostora na
Administriranje mreža disku. Po preporuci proizvo đača, zahtevi koje Windows 2003 postavlja pred čvrsti disk su minimun 4GB slobodnog prostora plus dodatnih 1GB za svakih 256MB RAM-a. Ovo opet može da varira od budu ćih namena servera, ukoliko će server imati dosta instaliranih aplikacija veli čina diska može i da se utrostru či. Kao što se iz prethodno navedenog vidi jako je teško specificirati neku optimalnu konfiguraciju za rad Windows Servera 2003. Ukoliko će računar služiti za prosto deljenje datoteka i štampa ča onda nije potrebno mnogo resursa, ali ako sa druge strane postoji potreba za Web serverom, mail serverom ili upravljanjem korisni čkim nalozima za hiljade korisnika, onda je potrebna velika koli čina memorije kako operativne tako i sekundarne kao i procesor sa dosta velikim radnim taktom. Međutim, za pouzdan rad jednog mrežnog operativnog sistema nisu bitne samo njegove performanse u vidu veličine i brzine. Puno puta bolje je instalirati komponentu od proverenog proizvođača smanjenih performansi, u odnosu na neku nesugurnu komponentu koja može da izazove mnoge probleme. U tom pogledu kompanija Microsoft se pobrinula da pomogne svojim korisnicima. Radi potpunog uvida u sve hardverske zahteve operativnog sistema, potrebno je pogledati listu hardverske kompatibilnosti HCL ( Hardware Compatibility List ). Ako želimo dobar i pouzdan ra čunarserver, potrebno je da svaka hardverska komponenta koja je instalirana na njemu, bude prisutna na ovoj listi. Bilo koji hardverski ure đaj koji se ne nalazi na listi, može prouzrokovati razli čite probleme, od neispravnog rada aplikativnih programa, sve do pada čitavog operativnog sistema, pa čak i eventualne nemogu ćnosti njegove instalacije. Ukoliko hardver nije na listi mora se imati njen OEM drajver koji dolazi sa hardverom, ali opet postoji rizik, jer Microsoft nije testirao kako to radi. Ovu listu možemo pronaćai na svom instalacionom CD-u za Windows Server 2003 (\Support\HCL.txt) ili na web stranici ftp://ftp.microsoft.com/services/whql/HCL/.
2.4.2 Priprema BIOS-a Najlakši način da se pokrene instalacija je taj da se u BIOS Setup-u namesti da se ra čunar pokreće sa CD-a. Među mnoštvom opcija treba na ći onu koja govori sa kog ure đaja će se startovati ra čunar. Naravno to se razlikuje od ra čunara do ra čunara i od proizvo đača BIOS -a. Uglavnom to treba da izgleda otprilike ovako: Advanced BIOS Setup/BOOT devices i onda ovde treba izabrati CD-ROM kako bi se naglasilo računaru da je to prvi butabilni medijum. Pri nameštanju ove opcije treba biti oprezan jer kasnije u fazi podizanja sistema, kada Setup zatraži da se sistem restartuje, treba vratiti opciju tako da se sistem podiže sa čvrstog diska. Ukoliko se ovo ne odradi može desiti da se stalno vrtite u krug tj. da ostane u stalnoj inicijalnoj fazi rada sa CD-om. Još jedan deo priprema BIOS -a jeste konfiguracija i rezervacija prekida ( interrupt reservation ). Pošto je većina sistema na kojima može da se pokrene Windows 2003 savremena ovaj korak bi trebalo da bude lak. Problem se javlja pri pokušaju da se doda stara komponenta, koja ne podržava Plug and Play u sistem koji to podržava. U slu čaju da se poseduje neki stari mrežni adapter koji ne podržava Plug and Play koji je podešen za prekid od 10. Kada se postavlja neki ure đaj koji podržava Plug and Play, možda će hteti da prekid inicijalizuje na 10, ne znaju ći da stara komponenta ima isti zahtev. Čim drajver inicijalizuje karticu dolazi do problema. Stoga bilo bi najbolje da se u BIOS -u podesi da interrup t od 10 bude rezervisan za kartice koje ne podržavaju Plug and Play. Ovim se naglašava nekom ure đaju koji podržava Plug and Play da to podru č je ostavi na miru. 2.4.3 Podela na particije Planiranje šeme podela na particije može biti deo koji se često zaboravlja prilikom instalacije. Windows 2003 pruža neke napredne mogu ćnosti za upravljanje particijama prilikom instalacije i ono što se tada odluči najverovatnije će ostati i u toku njegovog rada. Najbolje je znati kakav tip servera se pravi i na osnovu te odluke odlu čiti kolike će biti particije. Ukoliko je server jednostavan i predstavlja nekoliko deljivih direktorijuma i štampa ča preporuka bi bila čuvanje podataka na jednoj a sistema na drugoj particiji. U ovom slučaju na sistemskoj particiji bi bio dovoljan minimum od 2GB. Ako je server namenjen za koriš ćenje RIS-a ( Remote Installation Services) biće potrebna i tre ća particija koja je pripremljena samo za ovaj servis. RIS ne može da čuva slike sistema na boot particiji. Uglavnom sa današnjim cenama hard diskova sistemska particija ne bi trebalo biti manja od 20GB jer će sigurno na serveru biti instalirano dosta aplikacija, pogotovo na serveru koji je namenjen za potrebe škole. Druga particija treba služiti za skladištenje podataka i njena veli čina takođe ne sme pre ći cifru manju od 20GB.
Administriranje mreža Treba pomenuti i odabir sistema datoteka. Tu se ne postavlja pitanje jer je NTFS ( NT File System) danas postao nezamenljiv fajl sistem. Ali ukoliko se na server povezuje neki ra čunar sa DOS operativnim sistemom biće potreban FAT fajl sistem. Danas su takvu slu čajevi retki i gotovo nemogu ći ali ipak treba imati i ovu stvar na umu.
2.4.4 Tip i ime servera i veze na mreži Server može biti instaliran ili kao samostalni server ili kao server koji pripada nekom domenu. Samostalan server ( standalone server ) ne pripada nijednom domenu, ve ć određenoj radnoj grupi. Korisnici koji se nalaze u radnoj grupi mogu da koriste resurse sa servera ali ne mogu da koriste prednosti aktivnog direktorijuma. Kod instalacije servera koji pripadaju nekom domenu on može biti instaliran kao upravljač tog domena ili kao pridruženi server. Server koji je konfigurisan kao upravlja č nekog domena učestvuje kod svih prijavljivanja klijenata na taj domen i stara se o potpunoj bezbenosti tog domena. Ne postoji neko ograni čenje u pogledu ovog izbora, jer se i kasnije, nakon instalacije, mogu će prebaciti status servera iz jednog u drugog. Planiranje imena servera je potrebno samo u slu čaju da se na mreži koja se projektuje na đe više servera pa se može do ći u situaciju da se ne zna koji server nosi koje ime. Ukoliko je server na maloj LAN ( Local Area Network ) mreži i tu je jedini, onda ovaj korak nije potrebno planirati. Ne treba davati isto ime serveru i korisnicima. Ukoliko postoji namera da se prijavi na server koji ima isto ime kao i neko od korisnika, javi će se nekoliko grešaka. Ne zaboravimo da korisnici ne treba da brinu o imenu servera. Šta ako se server nalazi u drugoj zgradi ili u drugom gradu? Rezultat svega ovoga je da o ovome treba razmisliti, uklju čiti i korisnike i ljude koji će upravljati mrežom. Treba postignuti sporazum o tome šta je bitno a šta ne. Iako postoji mogu ćnost da se kasnije lako promeni ime servera, nije lako promeniti stotine korisni čkih radnih stanica koje su povezane sa njim. 2.4.4 Licenciranje servera Osnovna uloga bilo kojeg servera, a samim tim i mrežnog operativnig sistema je da pruži usluge velikom broju korisnika. Microsoft je tu video još jednu mogu ćnost da zaradi, pa je uveo jedan potpuno novi način mogućnosti da se sa njim radi – licenciranje servera za rad. Dva su osnovna režima izdavanja licenci za rad i to per-seat i per-server . - Licenca po korisniku ( per-seat) zahteva da svaki klijent na mreži koji pristupa Windows 2003 serveru, ima svoju licencu. Ovo je najlakši metod za dodavanje licence, zato što se jedino broji koliko klijenata ima. Ne treba brinuti o uporednim vezama za te klijente sa jednim serverom ili o tome sa koliko servera klijent uspostavlja vezu. - Licenca po serveru ( per-server) se razlikuje u tome da svaka veza klijenta i servera zahteva licencu. Ako je klijent povezan sa 25 razli čitih servera, tada je njemu potrebna po jedna licenca za svaki server, dakle 25 licenci, ali postoji i uporedno koriš ćenje licence što je jednostavnije, jer je lakše za praćenje. - Licenca po uređaju ( per-device) omogućuje prijavljivanje računara na server. Licenciranje per-server je jednostavnije. Kaže se serveru da je kupljen odre đen broj licenci. Serverov servis za licence (deo Windows-a 2003) tada prati koliko je ljudi povezano na ra čunar u određenom trenutku. Ako je kupljeno X licenci i X+1-va osoba pokuša da se poveže, onda je njoj zabranjen pristup. Licenciranje per-seat podrazumeva licenciranje svake mašine, što zna či da svaki računar mora da ima svoju licencu. Generalno licenciranje per-seat je jevtinije. 2.5 Načini za instaliranje operativnog sistema Postoji nekoliko na čina da se instalira Windows Server 2003: Instalacija sa sistemskih disketa - ukoliko ne posedujemo butabilni CD-ROM drajv onda instalaciju možemo pokrenuti i sa flopi diskete. Instalacija sa kompakt diska - ako je naš ra čunar podešen tako da se butuje sa CD-ROM uređaja, onda Windows 2003 instalacioni program možemo direktno podi ći sa CD-a. Instalacija sa kompakt diska iz operativnog sistema – ukoliko nam postoje ći operativni sistem na našem ra čunaru to omogu ćava, instalaciju možemo pokrenuti i sa CD-ROM drajva, bez korišćenja butabilnih disketa.
Administriranje mreža Instalacija sa mreže – ovu vrstu instalacije možemo primeniti ako su Windows 2003 instalacioni fajlovi smešteni na nekom ra čunaru koji nam j dostupan kroz mrežu. Ovi fajlovi se mogu nalaziti na deljenom CD-ROM-u ili se njihova kopija može nalaziti u nekom zajedni čkom folderu. Remote instalacija – Microsoft poseduje proceduru koja administratorima omogu ćava instaliranje OS-a na udaljenim ra čunarima, bez potrebe da fizi čki budu pored mašine kako bi pokrenuli instalaciju, koja se naziva Remote Installation Services (RIS).
2.5.1 Instalacija sa sistemskih disketa Ova instalacaji je postala deo istorije ali je zadržana ovde radi kompatibilnosti sa ranijim instalacijama Windows operativnih sistema. Ako za po četno instaliranje želimo da upotrebimo diskete, trebalo bi da se pridržavamo slede ćeg postupka: 1. Umetnemo disk 1 u disketnu jedinicu A:, a zatim ponovo pokrenemo ra čunar. Druga mogu ćnost je da instalacioni program Setup pokrenemo sa DOS-ove komandne linije, tako što ćemo otkucati A:\winnt. Pokretanje programa Setup učitava se u memoriju minimalan broj komponenata Windows Servera 2003. Kod u memoriji sadrži funkcije koje pokre ću program Setup. Posle ponovnog pokretanja ra čunara, podiže se tekstualna verzija programa Setup. 2. Na ekranu se pojavljuju uobi čajeni uslovi licence, a od nas se o čekuje da ih prihvatimo. Slede ći korak je podela diska. 3. Program Setup će od nas zatražiti da zadamo particiju na kojoj treba da bude inastaliran operativni sistem. Možemo da izaberemo postoje ću particiju ili napravimo novu. 4. Sad bi trebalo izabrati sistem datoteka (FAT16, FAT 32 ili NTFS). Pošto zadamo sistem datoteka, program Setup će formatirati izabranu particiju. Čim završi formatiranje, program Setup odmah počinje instaliranje datoteka u particiju. Ako na sistemu imamo više diskova, a ho ćemo da sistem bude instaliran samo na jednom, onda ne bi trebalo da pravimo particije na drugim diskovima niti da ih formatiramo. 5. Program Setup zatim snima po četnu konfiguraciju na disk i ponovo pokre će računar. Prilikom podizanja, prvo se pojavljuje ekran Setup Windows Servera 2003. Datoteke opoerativnog sistema Windows Server 2003 instaliraju se u direktorijum C:\Winnt. 2.5.2 Instalacija sa kompakt diska Računar možemo da podesimo i tako da se operativni sistem podiže s kompakt diska ili da izvršavanje datoteke winnt.exe pokrenemo s lokalnog CD čitača ili nekog čitača u mreži. Ako ve ć imamo Windows NT ili Windows Server 2003 (završnu ili beta verziju), datoteku winnt32.exe možemo okrenuti iz direktorijuma I386 na instalacionom kompakt disku, ili prosto pokrenemo setup.exe iz korenskog direktorijuma s CD-a. Postupak instaliranja sa kompakt diska sastoji se od više koraka, unošenja podataka koji se od nas traže i ponovnog pokretanja OS-a. Instaliranje se završava programom Installation Server Wizard , koji nas vodi kroz podešavanje servera. Pošto se radi o na činu koji je najviše zastupljen, u narednom poglavlju posveti ćemo mu više pažnje i na njegovom primeru objasni ćemo detaljnu instalaciju. 2.5.3 Instalacija sa mreže Server možemo da instaliramo i sa deljenih direktorijuma u mreži, koji se zovu distribuconi direktorijumi (eng. distribution drives) ili serveri. Razume se, da bi ovaj na čin instaliranja trebalo primenjivati samo unutar svoje lokalne mreže, jer sve što je sporije od standardnih 10MB/s prouzrokovaće mučno spor proces instaliranja. Ukoliko na mreži ne postoji distribucioni direktorijum onda bi trebalo sa instalacionog kompakt diska direktorijuma Windows Servera 2003 kopirati direktorijum I386 ili ia64 (za sisteme sa procesorom Itanium) na neki disk, a zatim taj direktorijum podesiti za deljeno koriš ćenje. Da bi se spre čilo da neovlašćeni korisnici pristupaju distribucionim datotekama treba postaviti neophodna ograni čenja pristupa. Pošto je distribucioni dierktorijum pripremljen, postupak je slede ći: 1. Na ciljnom računaru pravimo FAT particiju. Ova particija trebalo bi da bude uskla đena sa prethodno preporučenim parametrima. Da bi smo napravili particiju, možemo da koristimo staru dobru DOS-ovu komandu FDISK, ali ako nam je disk dovolj o velik (više od 2GB), samo FDISK Windowsa 98 za FAT32 omogu ćava da ceo prostor formatiramo kao edan veliki disk.
Administriranje mreža 2. Zatim, podižemo ra čunar pod operativnim sistemom koji može da radi klijent u mreži. Za to mogu da posluže sistemske diskete Windowsa 95/98, ali bi i obi čan DOS završio posao. DOS klijent bi trebalo da sadrži slede će datoteke: Datoteke protokola TCP/IP Minimalan broj datoteka koje su porebne za rad DOS-a Uprvljačke programe za mrežne kartice 3. Neophodno je naprviti i konfiguracione datoteke koje prijavlljuju ciljni ra čunar mrežu i koje omogu ćavajukorišćenje sadržaja deljenih distribucionih servisa. Pošto pristupimo distribucionon direktorijumu u mreži, zapo činjemo postupak instalacije pokretanjem programa winnt.exe sa distribucionog servisa. Zatim se odvija slede će: 1. Winnt.exe pravi četiri sistemske diskete za Windows Server 2003, korite ći kao odredište našu lokalnu disketnu jedinicu A:. 2. Winnt.exe na ciljnom ra čunaru pravi privremeni direktorijum $Win_nt$. 3. Winnt.exe kopira neke instalacione datoteke u privremeni direktorijum na ciljnom serveru. Postupak koji se potom nastavlja isti je kao pri instaliranju sa sistemskih disketa.
2.6 Proces instalacije Windows Serevr 2003 Nakon procesa planiranja instalacije, kre će se sa samom instalacijom. Instalacija sistema se može podeliti u više faza. Prva faza je predinstalacioni Setup gde se definišu opcije kako će se odvijati instalacija. Druga faza je Setup koji se zasniva na tekstu, koji odre đuje gde će se izvršiti instalacija. Tre ća faza je grafička faza i predstavlja najdužu fazu instalacije. Ovde se prilogo đavaju gotovo sve hardverske komponente, servisi, imena ra čunara u domenu itd. Nakon ove faze sledi faza podešavanja mrežnih komponenti i prilagožavanje našeg servera za rad u mreži. Završna faza obuhvata kopiranje datoteka, fino podešavanje sistema i uklanjanje privremenih datoteka.Kada se završi i ova faza, server je spreman za rad. 2.6.1 Predinstalacija: Faza I Prva faza ili predinstalacija kre će tako što treba da se poveže na izvor instalacije. U ovom slu čaju to je CD. Znači, podesi se BIOS Setup za pokretanje ra čunara sa CD-a. Restartuje se računar. Pri startovanju postavlja se pitanje da li se sigurno želi da se ra čunar startuje sa CD-a. Odgovara se potvrdno i kreće se sa instalacijom. U izvesnim slu čajevima ukoliko se želi pokretanje instalacije sa mreže, treba imati DOS operativni sistem, drajvere za mrežnu karticu, preko kojih se treba povezati na mrežu i povezati sa izvorom instalacije, i tada se pravi boot disketa. U ovom slu čaju instalacija se pokre će sa CDa što će verovatno i biti u 99% slu čajeva. 2.6.2 Tekstualni deo Setup-a: Faza II Druga faza je tekstualni deo instalacije. Instalacija po činje ekranom dobrodošlice. Treba izabrati da li se podešava Windows 2003, popravlja neka postoje ća instalacija, ili ne će ništa da se preduzima. Ukoliko se pritisne F3, opcija Quit će biti dostupna sve vreme instalacije. Za nastavak Setup-a pritiska se Enter taster nakon čega se pojavljuje ekran sa ugovorom o koriš ćenju softvera ( Licence Agreemnet-om). Za nastavak instalacije i potvrdu o slaganju sa ugovorom pritisne se F8. Zatim se pojavljuje ekran Disk Partition and Installation Location. Postoje dve stvari koje treba uraditi. Najo čiglednije je da treba odabrati particiju na koju se želi da instalirati Windows 2003. Izabere se ova opcija i pritisne se Enter . Ispod ovog ekrana nalazi se vrlo koristan program za podelu diska na particije. Odavde se može kompletno menjati šema podele diska na particije. Mogu se obrisati postoje će particije, kreirati nove kao i formatirati iste bilo da su sa NTFS ili FAT sistemom. Pre nego što se krene sa podelom diska na particije, potrebno je setiti se planiranja o podeli diska. Treba znati da se kod brisanja particija i kreiranja novih, gube svi podaci na disku. Nakon toga potrebno je da se novoformirane particije formatiraju. Treba izabrati New (Unformated), izabrati koji fajl sistem se želi ( NTFS ) i pritisnuti Enter . Po završetku formatiranja instalacija se nastavlja. Setup potom ispituje diskove i nakon toga se kopiraju sve Windows 2003 datoteke na particiju koju smo ozna čili kao sistemsku. Po završetku kopiranja sam sistem se priprema za grafi čki deo Setup-a i restartovanje.
Administriranje mreža 2.6.3 Grafički deo Setup-a: Faza III Čim se uđe u grafi čki deo Setup-a, Windows 2003 pokre će Plug and Play fazu detekcije da bi konfigurisao hardver. Ovo je često i najduži deo Setup-a. Plug and Play faza detekcije pokušava da poveže pravi drajver sa svakim ure đajem u sistemu, tako da mora postojati drajver za svaki ure đaj. Ako nema drajvera, dobi će se poruka o nepoznatom ure đaju (Uknown Device) , ili će biti instaliran neki opšti drajver. Ovde dolazi do izražaja važnost HCL ( Hardware Copmatibility List ) liste. Kada je Plug and Play faza detekcije završena, prvi okvir za dijalog koji se javlja je Regional Configuration. Tu se definišu formati brojeva, valuta, vreme, datum, kao i lokalni format tastature. Sledeći okvir je za unos imena i organizacije ( Name And Organisation). Ime organizacije koje se ovde unosi prikazuje na koga je proizvod registrovan. To nema veze sa imenom ra čunara i nije u vezi sa funkcijom servera na mreži. Potom se traži unošenje serijskog broja ( product key). Sledeći okvir za dijalog je onaj sa opcijama za licenciranje. Unosi se ona informacija koja je dobijena pri kupovini proizvoda. Sada dolazi definisanje imena ra čunara i lozinke administratora (slika 3.2). Ime je ve ć poznato. Lozinka administratora, naro čito ako se instalacija vrši iz po četka, je veoma važna. Ovo polje nikako ne bi trebalo da se ostavi prazno. Nalog administratora je mo ćan i opasan i on se ne može zaklju čati. To znači da neko može da razbije sistem tako što će pokušati da se prijavi sa administratorskim nalogom. Zato lozinka mora da zadovolji odre Đene kriterijume. Lozinka mora imati najmanje 6 karaktera. Ne sme da sadrži re č „administrator“ ili „admin“. Mora sadržati velika slova (A, B, C itd...), mala slova (a, b, c itd...), brojeve (0, 1, 2 itd...) i ne alfa numeri čke karaktere (#, /,~,% itd). Ukoliko kriterijum nije ispunjen Windows 2003 će dati upozorenje da šifra nije dovoljno jaka. Ukoliko instalacija prona đe modem, slede ći ekran će biti za podešavanje modema. Ovde treba podesiti opcije za zvanje, odnosno, kod oblasti i broj sa kojim se želi povezivanje. Ove opcije su uba čene u Setup-u tako da nije potrebna kasnija konfiguracija svake Dial-up sesije. Nakon toga sledi poslednja mogu ćnost da se podesi sistemsko vreme preko podešavanja datuma, vremena i vremenske zone (slika 3.3). Podešavanje zona je posebno bitno u mrežama koje funkcionišu u različitim vremenskim zonama. Mnogi programi automatski uzimaju u obzir vremensku zonu i prilagoĐavaju vreme koje se prikazuje. Ako je server konfigurisan sa pogrešnom vremenskom zonom, čak i kad je vreme ta čno podešeno, prikaziva će pogrešno vreme. Ovaj program nas sada voditi kroz drugi korak postupka instaliranja. Od nas će se tražiti da unesemo podatke o sebi, o kompaniji ili organizaciji koja je vlasnik licence za softver i o ra čunaru. Windows Server 2003 će preuzeti te podatke i zapo četi neinteraktivni deo postupka instaliranja, u kome kopira softver za podešavanje ra čunara, za podršku instaliranim ure đajima itd. Posle ove faze, Windows Server 2003 će od nas zatražiti slede ć podatke: Language Options (Opcije koje se odnose na lokalni jezik): Ovde treba da zadamo jezik, lokalitet i odgovaraju ću tastaturu. Server možemo podesiti i tako da koristi više jezika i regionalnih parametara. Ako izaberemo više jezika, Windows će instalirati odgovarajući skup znakova za svaki od njih. Name and Organization (Ime i organizacija): Ovde treba da upišemo ime osobe odovorne za softver i ime organizacije koja je vlasnik licence. Licensing mode (Vrsta licence): Ovde se možemo opredeliti za licencu po serveru (eng. per server ), za licencu po korisniku (eng. per-seat ) ili po uređaju (eng. per-device ). Ako se opredelimo za licencu po korisniku, treba da upišemo broj klijentskih pristupnih licenci (eng. client access license, CAL ) koje smo platili. Ukoliko želimo da aplikacije koristimo na serveru, pomoću terminalskih usluga, onda u aplikativnom režimu biramo opciju CAL. Computer Name (Ime računara): Ovde se upisuje NetBios ime. Windows Server 2003 će nam predložiti ime, koje bi trebalo da izmenimo u ime koje će nam nešto zna čiti. Mnogo je korisnije da se osmisli podesan sistem dodeljivanja imena, koji će naši korisnici prepoznavati. Windows nam daje prilličnu slobodu kada ra čunarima dajemo imena. Najbolje je da mašinama dajemo imena u sladu sa nekim pravilom, važno je samo da se tog pravila doslovno pridržavamo. Password for the Administrator Account (Lozinka administratorovog naloga): Ovo je nalog administratora lokalnog domena, sem kod upravlja ča domena.
Administriranje mreža Windows Server 2003 Components (Komponente Windows Servera 2003): Sledeći korak jeste da dodajemo opcione komponente i usluge. U mrežnim opcijama treba da zadamo podatke važne za DHCP, adresu DNS servera i ostalo. Neke usluge će biti standardno izabrane, npr. Transaction Server i IIS. Ako ne planiramo da koristimo uslugu poput servera za transakcije trebalo bi da uklonimo znak potvrde pored njegovog imena. Terminal Services (Terminalske usluge): Od nas će se tražiti da zadamo režim rada ovih usluga. Display Serrings (Parametri ekrana): Ovi parametri određuju rezoluciju ekrana, broj prikazanih boja i elemente kao što je u čestalost osvežavanja. Time and Date (Vreme i datum): Ovi parametri nam omogu ćavaju da podesimo vremensku zonu i podatke o prelasku na letnje i zimsko ra čunanje vremena. Pošto unesemo i ove podatke, Windows Server 2003 će preći na treći korak instalacionog postupka, a to je instaliranje podrške za rad na mreži.
2.6.4 Instaliranje za rad u mreži pod Windowsom: Faza IV Kod podešavanja mreža postoje dve mogu ćnosti: custom i tipical .Tipične vrednosti pretpostavljaju da se žele programi Client for Microsoft Networks, TCP/IP using DHCP addresing i File Print Sharing. Ukoliko se izabere korisni čko (custom) podešavanje, mogu se dodati ili ukloniti ili prilagoditi protokoli, klijenti i servisi. Ukoliko se radi o maloj mreži, kao u ovom slu čaju, dodeliće se stati čke IP adrese. Adresa servera će biti 192.168.0.1. Ovo je adresa C klase koja je rezervisana za LAN mreže male veli čine. Adrese ostalih ra čunara će ići po sledećem rasporedu 192.168.x.x. Slede ći okvir je podešavanje radne grupe i domena. U ovom slu čaju ovo će se presko čiti jer će naš server biti registrovan na domenu. Podešavanje domena vrši će se preko Aktivnog direktorijuma. U ovoj fazi instaliraju se mrežne komponente. Windows Server 2003 će pokušati da prepozna mrežne kartice koje u ugra đene u sistem. Naredna lista sadrži korake postupka, i one automatske i one koji zahtevaju naše u češće. Prepoznavanje mrežne kartice: Pošto prepozna mrežnu karticu i instalira upravlja čke programe za nju, Windows Server 2003 će potražiti DHCP server u našoj mreži. On to čini tako što šalje poziv na DHCP priklju čku broj 75, a zatim čeka odziv DHCP servera. Ako Windows Server 2003 ne dobije IP adresu od DHCP servera, pokre će protokol za automatsko podešavanje i sam sebi dodeljuje IP adresu. Potom možemo nastaviti postupak instaliranja tako što ćemo instalirati novu radnu grupu i kasnije uspostaviti odgovaraju će mrežne veze. Instaliranje mrežnih komponenata: Sada se od nas traži da izaberemo mrežne komponente. Osnovne opcije koje treba zadati jesu Client for Microsoft Networks (klijent za MIcrosoftove mreže), File and Print Sharing for Microsoft Networks (deljenje datoteka i štampa ča u MIcrosoftovim mrežama) i TCP\IP. Ako sistem instaliramo u postoje ći NT domen u kome postoji DNS ili WINS server, onda treba instalirati i protokol NetBIOS. Ukoliko ćemo koristi i uslugu Gateway Services for Netware (GSNW, mrežni prolaz za NetWare mreže), možemo instalirati i protokol IPX/SPX. Radna grupa ili domen: U slučaju da instaliramo u postoje ćem domenu, bi će nam potrebni i korisnićko ime i lozinka naloga koji ima pravo administratora i pravo pravljenja novih naloga u domenu. U standardnoj instalaciji, Windows 2003 instalira samo TCP/IP (Transmission Control Protocol/Internet ptorokol) protokol. Kod ovog protokola postoje neke stvari koje se odnose na konfiguraciju, a koje mogu puno da uti ču na mogućnost kasnijeg povezivanja na mrežu. Ako se koristi TCP/IP , pitanje je da li na mreži postoji DHCP (Dinamic Host Configuration Protocol)[6] server. Ako ne postoji DHCP server, potrebne su stati čke informacije. Najkritičniji element su IP adrese i neka vrsta rešavanja imena, bilo da je u pitanju WINS (Windows Internet Name Service)[6], DNS (Domain Network System)[6] ili HOSTS [6] datoteka. Bez ovih komponenti ne postoji mogu ćnost da se ode negde sa TCP/IP-a.
2.6.5 Poslednji korak postupka instaliranja: Faza V To je peta i poslednja faza postupka instaliranja koja obuhvata završno kopiranje datoteka, podešavanje sistema i uklanjanje privremenih datoteka. Instalaciono program kopira sve preostale datoteke na čvrsti disk. Među njima su datoteke s bitmapiranim slikama, razni dodaci i datoteke koje su
Administriranje mreža potrebne za rad usluga ili komponenata koje će odmah biti korišćene ili koje će ostati „uspavane“ dok ne zatrebaju. Instalacioni program će zatim prieniti vrednosti parametara koje smo zadali u prethodnim fazama. Podaci o novoj konfiguraciji bi će smešteni u baze podataka registra i na disk, kako bili dostupni kad slede ći put pokrenemo ra čunar. U ovoj fazi se sve privremene datoteke uklanjaju sa ra čunara. Kad se to završi, računar se ponovo pokre će. Ovim se završava instalacija. Wizard završava kopiranje datoteka, konfigurisanje sistema i obavlja finalno prećišćavanje. Datoteka boot.ini se menja kako bi se slede ći put pri startovanju računara pokrenuo Windows 2003. Sistem se restartuje (slika 3.4).
Administriranje mreža
III čas Arhitektura mrežnog operativnog sistema WINDOWS 2003 SERVER
3.1 Windows Server 2003 okruženje
U računarskoj mreži serveri igraju višestruku ulogu i njima se postavljaju mnogi zadaci koje oni moraju da izvrše sa velikim stepenom pouzdanosti. Bilo kakva greška može da prouzrokuje veoma opasne posledice po čitavu mrežu. Neki serveri su konfigurisani da obezbede identifikaciju klijenata (proveru autetnti čnosti), a drugi da pokre ću aplikacije. Neki serveri samo predstavljaju prolazne ra čunare koji omogućavaju korisnicima da komuniciraju sa drugim serverima i resursima na mreži. Ve ć smo ranije napomenuli da svaki mrežni operativni sistem koji pretenduje da bude vode ći operativni sistem, mora da poseduje alate i servise koji će uspeti da odgovore na sve te složene zadatke koji stoje pred njima. Tako i Widows Serever 2003 poseduje mnoge mogu ćnosti, koje mu omogu ćavaju da uspešno obavi ulogu jednog složenog a pouzdanog servera na mreži. Neke od njih ćemo prikazati u narednom poglavlju.
3.1.1 Domen kontroler ( Domain controller ) Domen kontroleri ( Domain controllers) čuvaju direktorijume sa podacima, kako sistemskim tako i korisničkim, i upravljaju komunikacijom izme đu korisnika i domena, uklju čujući i proces logovanja korisnika, dokazivanje autenti čnosti i pretragu po direktorijumima. Kada se na ra čunaru, na kome je ve ć pokrenut Windows Server 2003, instalira Active Directory taj računar automatski postaje domen kontroler. Jedna od najboljih odlika Windows Servera 2003 je njegova mogu ćnost da postane DomenKontroler, čiji je glavni zadatak da skladisti korisni čka imena i lozinke na centralni ra čunar (DomenKontroler) ili na računare (više Domen-Kontrolera) i da na osnovu toga omogu ćava klijentima strogo kontrolisani rad na domenu tj. delu ra čunarske mreže. Osobine domena dosežu daleko izvan ovog pasusa pa ćemo njemu posvetiti posebno poglavlje, gde ćemo se detaljno upoznati sa njegovim karakteristikama. Treba napomenuti da u Windows Server 2003 mreži svi serveri koji su na domenu, a nisu domen kontroleri, nazivaju se pridruženi ( member ) serveri. Serveri koji nisu na domenu nazivaju se samostalni (workgroup ili standalone ) serveri. 3.1.2 Windows Server kao aktivni imenik (Active Directory ) Za logičku i hijerahijsku organizaciju informacija u imeniku koristi se struktuirano skladište podataka (datastore ), koje se još naziva imenikom ili direktorijumom. Ono sadrži podatke o objektima i deljenim resursima u okviru jednog domena a to su: serveri, štampa či, volumeni, klijent računari, korisnički nalozi i td. Na taj na čin je administratoru mreže olakšano upravljanje celokupnom mrežom, jer on na jednom mestu ima sve potrebne i bitne detalje vezane za mrežno administriranje. Sa druge strane Aktivni direktorijum je tesno povezan i sa bezbednoš ću, putem provere identiteta prilikom prijavljivanja i kontrole pristupa objektima, što, još više podiže zna čaj ove komponente. Sve ove osobine aktivnog direktorijuma, omogućavaju da se mreža jednog preduze ća izvede sa samo jednim domenom i upravljačkim mestom, što u mnogome smanjuje troškove eksplatacije: manji broj servera, manje ljudstvo kao i smanjeni troškovi adminstriranja takvih mreža. Kako se ovde radi o bitnoj karakteristici Windows Servera 2003, koja je dosta kompleksna u narednim poglavljima bi će više reći o njoj. 3.1.3 Serveri fajlova (File servers) Ova usluga verovatno spada u najstarije usluge koje bilo koji server pruža. Osnovna usluga sastoji se u obezbe đuju prostora na mreži gde možemo da smestimo i delimo fajlove sa drugim korisnicima na mreži. Kada više korisnika zahteva jedan isti fajl, taj fajl se može smestiti na server, tako da mu mogu pristupiti svi korisnici, umesto da fajl prebacuju sa računara na računar. Serveri fajlova (file servers), dakle, igraju ulogu skladišta za smeštaj fajlova sa podacima. Postavlja se pitanje zašto ih uopšte smeštati na server, umesto da ih čuvate na svom lokalnom ra čunaru? U pojedinim slu čajevia radi se o fajlovima koje kreirao neko drugi, pa njihovo postavljanje na centralni server predstavlja na čin da se oni u čine dostupnim svim zainteresovanim korisnicima na mreži. Druga važna prednost skladištenja podataka na jednoj centralnoj lokaciji, leži u tome da je na taj na čin najjednostavnije kreirati njihovu rezervnu kopiju (backup). Windows Sever 2003 se isporu čuje zajedno sa odgovaraju ćim softverom servera fajlova, koji predstavlja sastavni deo ovog operativnog sistema.
Administriranje mreža
3.1.4 Directory Service Svaki korisnik koji je logovan na mreži, ima potrebu da koristi mrežne resurse, bilo da pristupi deljenom folderu ili da odštampa nešto na mrežnom štampa ču. Directory Service je mrežni servis koji prepoznaje sve deljene resurse na mreži i tu informaciju čini dostupnom svim korisnicima na mreži. Directory Services su bitni zato što obezbe đuju način da se imenuje, opiše, pristupi, rukuje i zaštiti informacija o mrežnim resursima. Kada korisnik zatraži deljeni folder na mreži, Directory Service prepoznaje taj resurs na mreži i daje tu informaciju korisniku. 3.1.5 DHCP server DHCP server ( Dynamic Host Configuration Protocol ) ili protokol za dinami čko konfigurisanje hosta, je zadužen za konfigurisanje specifi čnih parametara TCP/IP protokola na svakom ra čunaru u mreži. Protokol TCP/IP postao je standardni protokol povezivanja ure đaja ne samo na Internetu ve ć i na bilo kojoj računarskoj mreži. Osnova njegovog funkcionisanja je da svaki čvor u mreži poseduje jedinstveni IP broj, preko kojeg je taj čvor jednozna čno definisan na mreži. Čvor može biti bilo koji mrežni ure đaj: server, klijent računar, štampač ili komutator ( swich). Dodeljivanje adresa može biti organizovano na dva načina statički i dinamički. Kod statičkog dodeljivanja adresa, čvoru se dodeljuje fiksna adresa koju samo korisnik može da promeni. Sa gledišta administratora sistema ovakav na čin predstavlja ’’no ćnu moru’’, jer je potrebno pojedinačno na svakom ra čunaru podesiti IP adresu. Pored toga stati čko dodeljivanje IP adresa može da izazove mnoge konflikte na mreži, jer jednu istu IP adresu mogu da imaju više razli čitih čvorova. Me đutim, postoje neki ure đaji koji zahtevaju fiksne IP adrese, koje se ne će menjati, kao WEB serveri, FTP serveri i štampa či. Drugi način dodeljivanja IP adresa je mnogo efikasniji i prakti čniji, jer se o dodeljivanju adresa stara poseban DHCP server koji dinami čki dodeljuje slobodne IP adrese pojedinim čvorovima u mreži. I ovom servisu bi će detaljnije reći u narednim poglavljima. 3.1.6 WINS i DNS serveri Već smo ranije napomenuli da se svi čvorovi na mreži prepoznaju po jedinstvenim IP adresama. Međutim, te adrese nije ni malo lako pamtiti, sa obzirom na broj cifara od kojih se one sastoje (treba upamtiti 12 dekadnih cifri). Dodatan problem tu stvaraju i IP adrese iz tkz. rezervisanog prostora (192.168.x.x) koje se koriste u Intranet mrežama. Sigurno da je mnogo lakše pratiti pojedine čvorove putem njihovih simboličkih imena koja su uz to i hijerahijski organizovana. Skup usluga WINS i DNS rešava ovaj problem tako što omogu ćava da se umesto IP adresa, koriste simboli čka imena za čvorove. Pronalaženje IP adrese za dato simboli čko ime naziva se preslikavanje imena ( name resolution) i to predstavlja glavni zadatak ovih servera. DNS server ( Domain Namig System) ili nazivni sistem domena, služi za pra ćenje svih čvorova na mreži putem njihovih simboli čkih imena u Windows 2000/2003 mrežama. Domain Name System (DNS) je Internet i TCP/IP standarni servis za imena. Servis DNS omogućava čvorovima na mreži da se registuju i dobiju svoja imena na domenu. Ra čunar konfigurisan tako da obezdi DNS usluge na mreži naziva se DNS server. Da bi smo u našu mrežu ugradili Active directory moramo prvo imati DNS server. WINS server ( Windows Internet Name Server ) ili Windowsov server Internet naziva, obavlja sličan zadatak kao i DNS server : pamti nazive mrežnih ra čunara. Njegova upotreba nije neophodna na „čistim“ Windows 2000/2003 mrežama, jer je njegov osnovni zadatak da pruži podršku nekim starijim Microsoftovim operativnim sistema (Win 9x). Pre pojave TCP/IP protokola, glavno sredstvo za povezivanje dva mrežna resursa bio je NetBIOS servis. On je dodeljivao NetBIOS imena svakom čvoru i na osnovu toga vršio povezivanje dva čvora. Dolaskom TCP/IP mnogi stariji klijenti nisu mogli da vide ni imena IP čvorova, niti njihove adrese, jer su zadržali stari na čin komunikacije putem NetBIOS-a. Da bi i takvi čvorovi bili deo jedinstvene TCP/IP mreže, rešenje je na đeno u WINS servisu čiji je osnovni zadatak bio da vrši preslikanje NetBIOS imena u odgovaraju ču IP adresu. 3.1.7 Server aplikacija ( Application server ) Application server obezbe đuje infrastrukturu i servise neophodne za aplikacije u našem sistemu. U njemu su napravljena mnoga poboljšanja koja olakšavaju razvoj aplikacija, smanjuju ukupne troškove koriš ćenja i daju bolje performanse. Neke od tih prednosti su: efikasno uvo đenje u rad i upravljanje,
Administriranje mreža pojednostavljena integracija i međuoperativnost, ve ća proširivost i pouzdanost. Rad programera je u mnogome olakšan pa samim tim oni postižu produktivnost jer su im na raspolaganju mnoge nove pogodnosti u vidu: ASP.NET, automatsko upravljanje memorijom, Visual Studio .NET, Microsoft .NET Framework, kod odvojen od sadržaja (omogu ćava paralelni rad programera i projektanata), WEB kontrole na serverskoj strani. Aplikacije razvijene pomo ću Windows Servera 2003 obi čno imaju bolji odziv i veći stepen raspoloživosti jer njima može da upravlja malobrojno osoblje.Time se smanjuju ukupni troškovi korišćenja i dobijaju bolje performanse.
3.1.8 Web server Windows Sever 2003 u svom paketu nudi WEB server pod nazivom Internet Information Services (IIS) 6. Ovde se pod serverom podrzumeva specijalan program koji se izvršava na ra čunaru, koji može da prihvati, prepozna i izvrši HTTP zahteve. Za razliku od ranijih verzija ovaj servis više nije uklju čen u osnovnu instalaciju , ve ć je sakriven pod stavkom Application Server . To zna či da IIS možemo instalirati samo kao podopciju ili kao deo uloge servera aplikacija. Time instaliramo i ostale gore nabrojane usluge servera aplikacija: ASP, .NET, COM+, DTC i td. Ovakav na čin spustio je IIS jedan nivo niže, što je za posledicu imalo da se radni procesi IIS, kao i sve ASP ugrađene funkcije, izvršavaju u korisni čkom kontekstu sa niskim privilegijama. Takav na čin izvršavanja znatno je umanjio opasnost od spoljašnjih napada hakera na naš sistem kao i smanjen prodor virusa. 3.1.9 FTP server (File Transfer Protocol ) Protokol za prenos podataka omogu ćava korisnicima da preuzimaju datoteke sa servera i da ih šalju na server. Iako je zadnjih godina HTTP je postao dominantno sredstvo za prenos podataka, FTP servis još uvek ima važnu ulogu u davanju usluge prenosa podataka. Važna je činjenica da nam za razliku od HTTP prenosa ovde ne treba nikakav poseban WEB čitač. Dovoljno nam je da imamo FTP komandnu liniju ili neke pomo ćne FTP programe nezavisnih proizvo đača.Sledeća prednos FTP prenos je da IIS može da ponovo pokrene prekinuti FTP prenos, gde se tada prenos zapo činje od one ta čke na kojoj je nastao prekid. Na taj na čin nema dupliranja u prenosu ve ć se prenosi samo onaj deo datoteke koji nije prenet. 3.1.10 Server za štampanje ( Print server ) Usluge štampanja predstavljaju jednu od osnovnih usluga po kojoj vrednujemo neki mrežni operativni sistem. Ukoliko ta usluga ne funkcioniše dobro, ve ćina korisnika će odbaciti takav operativni sistem. Nove tehnologije kao što su elektronska pošta i globalna mreža, nisu bitno doprinele uklanjanju potrebe za dostavu pisanih, tj. štampanih dokumenata. Čak šta više, one su samo prebacile optere ćenje koje čine papirne kopije, sa pošiljaoca na primaoca. Zato su i potrebe za lokalnim ure đajima koji će moći da odštampaju te dokumente znatno porasle. Print serveri upravo predstavljaju ure đaje koji omogućavaju korisnicima da štampaju dokumenta preko mreže, iako nemaju štampa ć koji je fizički povezan za njihov računar. Ovaj server se brine o svim zadacima za štampanje putem skupa usluga spulera ( spooler service ) kao i o sigurnosti dokumenata koja treba da odštampa. Serveri za štampanje ( print servers ) omogućavaju deljenje ( sharing ) štampača. Nije baš svako voljan da na svoj sto postavi ure đaj za štampanje, a osim toga, ukoliko štampa č na ovaj na čin konfigurišete za „zajedni čku upotrebu od strane ve ćeg broja korisnika“, moći ćete sebi da priuštite kupovinu nekog skupljeg ( a time, verovatno, i boljeg) modela štampača. Server 2003 u sebi, tako đe, sadrži ugrađeni (buit-in) softver servera za štampanje. On obuhvata podršku za preko 3000 različitih štampača, te industrijskih ure đaja visokih performansi za podršku štampanju. 3.1.11 Server elektronske pošte ( E-mail server ) E-mail serveri su apsolutno neophodni ukoliko planiramo da pružamo usluge elektronske pošte. Pritom, jedan od ra čunara (ili više njih) mora igrati ulogu poštanske centrale, tako što će prikupljati email poruke od lokalnih korisnika na mreži i vršiti njhovo slanje ka drugim mail serverima preko Interneta i, istovremeno, služiti kao prijemna ta čka, kako bi sa drugih mail servera mogao primiti poruke upućene ka našoj organizaciji. Doduše, ovu funkciju možemo prepustiti svom ISP-u (Internet provajderu), koji će na taj na čin igrati ulogu našeg mail servera, mada je činjenica da će nam instaliranje sopstvenog
Administriranje mreža mail servera pružiti znatno ve ću fleksibilnost. Sa druge strane, to će zahtevati postojanje stalne veze sa Internetom. U okviru Windows Server 2003 ova usluga je podržana kroz SMTP ( Simple Mail Transport Protocol ) servis koji je sadržan u sklopu IIS-a. Ovaj servis ne pretvara naš server u praviserver elektronske pošte sa svim funkcijama. On samo nudi sredstva pomo ću kojih možemo da napravimo virtuelne servere elektronske pošte, preko koji mi možemo da šaljemo poštu na zadate namenske E-mail servere. Prednost ovakve organizacije je da mi možemo da definišemo više identiteta i servera za elektronsku poštu koji će biti pridruženi svakom domenu na serveru. Skup SMTP usluga može da obrađuje poštu koja stiže od klijenata na Internetu ili poštu generisanu na WEB lokaciji.
3.1.12 Terminal server Terminalske usluge predstavljaju najve ći obrt u računarstvu uopšte, a posebno u klijent/server arhitekturi. On podrazumeva da se usluge jakih servera mogu ponuditi i ra čunarima sa ograni čenim resursima tkz. tankim klijentima. U po četku je softver tankih klijenata bio namenjen samo da radi kao emulacija glupog terminala. Bilo je predvi đeno da se ograni či na primanje ekranskih prikaza i slanje unosa sa tastature i pritisaka miša, dok se kompletna obrada, izvršavanje i skladištenje odigravaju na serveru. Obim podataka koji se prenosio na takav na čin bio je jako skroman i nije zahtevao veliki propusni opseg (prenosilo se od 10 do 30 Kb/s). To je korisnicima omogu ćavalo zadovoljavaju ći pristup računarskim resursima servera čak i preko sporih telefonskih linija. Me đutim, današnji terminalni servis je znatno izmenjen kako bi omogu ćio korisnicima udobniji i produktivniji rad. Danas, terminal server omogućava pored pristupa programima na udaljenilm ra čunarima, da korisnici mogu preko svojih zvučnika da preslušavaju zvu čne zapise koji stižu na server, kopiraju tekst iz dokumenata otvorenog u udeljenoj sesiji i ubacuju ga u drugi, lokalni dokumenat ili da štampaju udaljeni dokumenat na nekom lokalnom štampaču. Pomoću terminal servera instaliramo aplikaciju na jednom mestu, na jednom serveru, a više korisnika onda može pristupiti aplikaciji bez instaliranja na svojim ra čunarima. Korisnici mogu da pokrenu programe, čuvaju fajlove i koriste resurse na mreži kao da su instalirani na njihovim ra čunarima. 3.1.13 Configure Your Server alat Kada je Windows Server 2003 instaliran, i korisnik se prvi put uloguje kao administrator sistema, automatski se pokrene Manage Your Server alat. Ovaj alat se koristi da dodamo ili uklonimo neke od funkcija servera kao što su aktivni imenik, DHCP, WINS, DNS, IIS i td. Me đutim, ukoliko ne želimo da koristimo ovaj alat, Windows Server 2003 nas ne će sprećiti da to uradimo. Uvek nam ostaje mogu ćnost da kasnije, iz operativnog sistema, pristupimo raznim konzolama iz menija Administrative Tools ili da sa komandne linije uradimo isto. 3.1.14 Komunikacioni server Ono što posebno izdvaja Windows Server 2003 od ostalih mrežnih operativnih sistema je njegova jednostavna integracija i saradnja sa drugim serverima na ra čunarskoj mreži. Tu se pre svega izdvajaju Windows Exchange Server i Windows SQL Server, verovatno dva najvažnija servera u mrežnom radu. Windows Exchange Server ujedinjuje korisnike i servise na jednoj mreži i to u svakom trenutku i na svakom mestu. Njegova glavna funkcija je da u čestvuje u razmeni poruka i me đusobnoj saradnji korisnika na mreži. Sa druge strane, teško je zamisliti bilo kakvu mrežnu aplikaciju a koja ne koristi neku bazu podataka. Upravo zbog toga Windows Server 2003 nam omogu ćuje veoma lako povezivanje sa serverom baze podataka i koriš ćenjem njegovih usluga. 3.1.15 Remote Installation Services (RIS) RIS je alat koji omogućava efikasno kopranje slike sa jedne radne stanice na desetine, stotine pa čak i hiljade drugih ra čunara, istovremeno omogu čavajući da svaka od tih mašina dobije jedinstveni SID ( security identifier – bezbednosni identifikator). Pored toga, rešava još jedan veliki instalacioni problem problem tipa „kako da ra čunar, sa potpuno praznim hard diskom, konektujem na mrežu, da bih na njemu, preko mreže instalirao operativni sistem? Dakle, RIS servisi nam omogu ćavaju da neki server, ili čitav skup serverskih ra čunara, ozna čimo kao RIS servere. Jedan RIS server sadrži sve fajlove koji su neophodni da bi na nekom ra čunaru moglo, preko mreže, biti izvršeno instaliranje operativnog sistema Windows 2000,XP ili Server 2003.RIS ne možemo upotrebiti za daljinsko instaliranje operativnog
Administriranje mreža sistema na serveru koji igra ulogu DHCP ili RIS servera, kao ni na serveru koji predstavlja kontroler domena. Prilikom kreiranja prototip-ra čunara čija će slika zatim biti iskopirana na veliki broj ra čunara širom preduze ća, treba voditi ra čuna o tome da na hard disk tog ra čunara kreiramo samo jednu, C: particiju. Naime, RIS može kopirati samo C: drajv i sve što se nalazi na njemu.
3.2 Microsoft upravljačka konzola ( Microsoft management console)
Jedna od velikih promena na polju administracije mrežnih operativnih sistema, prelazak na ujednačeniji pristup programima za postavljanje i kontrolu rada mreže, koja je zapo četa sa pojavom Windows Servera 2000, nastavljena je i sa Windows Serverom 2003. Gotovo svi programi koji su učestvovali u inicijalizaciji i kontroli rada mrežne strukture preba čeni su u jednu novu alatku nazvanu Microsoft Management Console – MMC. Ona je postala osnovni administrativni alat za upravljanje Windows mrežnih sistema, koja pruža standardizovan, zajedni čki interfejs za jednu ili više aplikacija, koje nazivamo dodatnim modulima – konzolama, a koji se koriste za konfigurisanje elemenata mrežnog okruženja. To zna či da kada savladamo strukturu jednog modula, to znanje možemo da primenimo i na ostale module, u okviru ograni čenja koja proističu iz različitih namena tih modula. Ali to nije sve,jer nam MMC omogućava da kombinovanjem administrativnih modula sastavimo sopstvenu konzolu, koja najviše odgovara našim zahtevima, i da takvu konzolu smestimo na disk i dalje koristimo. Drugim rečima, MMC konzola ne predstavlja ništa drugo nego skup razli čitih modula sa strogo specifciranim zadacima, koje korisnik može po svojim zahtevima da bira i tako prilagodi svoje radno okruženje onako kako mu najviše odgovara. MMC konzola po izgledu je veoma sli čna Windows Exploreru , samo sa manje dugmadi. Funkcionalne komonente MMC-a su sadržane u tkz. dodatnim modulima: meniji i paleta alata sadrže komande za upravljanje roditeljskim i potoma čkim prozorima, a sama konzola (koja sedrži dodatne module) pruža željenu funkcionalnost. Pored toga, MMC se može sa čuvati sa raznovrsnim opcijama i režimima rada potrebnim za odre đene situacije. Svaka konzola se sastoji od slede ćih delova: konzolnog menija – ovaj deo je razli čit od modula do modula ali postoje neke klju čne opcije i komande koje će se koristiti gotovo kod svih modula: File, Action, View, Favorites, Window i Help. palete alata – deo koji nam putem grafi čkih prikaza ikonica omogu čava da brzo izaberemo neku od komandi koje se nalaze u konzolnom meniju. konzolnog stabla – nalazi se na levoj strani prikaza MMC, i prikazuje hijerarhijsku strukturu objekata kojima konzola upravlja (sli čno Windows Explorer- u). okvir sa detaljima – površinski najve ći deo MMC koji se nalazi na desnoj strani i služi da prikaže detalje objekta koji smo izabrali u konzolnom stablu. Ovaj okvir obi čno nudi dva prikaza: standardni i prošireni. U standardnom prikazu vide se kolone ili drugi objekti pomo ću kojih obavljate upravlja čke zadatke. U proširenom prikazu vide se još i podru č ja sa naredbama i dodatnim podacima o izabranom objektu. Rad MMC konzole može da se odvija u korisni čkom i autorskom režimu rada. Korisni čki režim rada podrazumeva rad sa ve ć postojećim konzolama, dok autorski režim rada podrazumeva kreiranje sopstvenih ili ispravku postoje ćih konzola sa znatno proširenim naredbama i funkcijama od korisni čkog režima rada. Razlikujemo tri režima rada u korisni čkom režimu rada i to: puni pristup, ograni čeni pristup sa više prozora i ograni čenog pristupa sa jednim prozorom. Postoji veliki broj razli čitih konzola koje se isporu čuju sa Windows Serverom 2003 i sve one omogućavaju obavljanje razli čitih administrativnih poslova. Ve ćina datoteka tih konzola nalaze se u direktorijumu \systemroot\System32 , a nastavak imena im je .msc (skra čenica od Microsoft Console). Samo neke od tih konzola su smeštene u Administrative Tools. Administrator može da startuje bilo koju od ponuđenih konzola jednostavnim odabirom imena konzole. Nakon toga se automatski u čitava MMC koji ustvari otvara izabranu konzolu. Konzole možemo otvoriti i iz naših konzola što nam omogu čava da napravimo namensku konzolu sa grupom modula koje naj ćešće koristimo. Naveš ćemo neke važnije konzole koje dolaze sa Windows Server 2003. Konzola Computer Management – Verovatno predstavlja konzolu koja je najviše eksploatisana jer omogućava da upravljamo ve ćim skupom sistemskih podataka kako na lokalnim tako i na udaljenim računarima. Tri su osnovne grane u ovoj konzoli: System Tools (alati za održavanje sistema), Storage (memorisanje podataka) i Services and Aplications (usluge i aplikacije).
Administriranje mreža Konzola Component Services – glavna funkcija ove konzole je da nam omogu ći alatke za upravljanje COM+ aplikacijama. COM+ predstavlja standard koji obezbe đuje strukturu za razvoj distribuiranih aplikacija u klijent-server okruženju. Konzola nam omogu ćava podešavanje sistema za koriš ćenje usluga koje se odnose na komponente aplikacija, podešavanje po četnih parametara tih usluga, instaliranje i podešavanje COM+ aplikacije kao i nadgledanje i podešavanje komponenata. Konzola Cluster Administrator – omogućava korisniku da može da grupiše više mrežnih čvorova u jedinstvene celine (cluster ), koje se dalje u radu ponašaju kao jedna logi čka jedinica. Sve operacije koje se izvode nad grupom automatski se prenose na sve čvorove mreže. Konzola Certification Authority – usluge izdavanja sertifikata omogu ćuju serveru da može da pravi sertifikate za sebe i za druge servere, radne stanice i korisnike na mreži, bilo lokalno, bilo negde na Internetu. Ovom konzolom možemo da upravljamo uslugama izdavanja sertifikata: podešavati pravila za izdavanje sertifikata, prikazivati primljene i odbijene zahteve za sertifikate kao i same sertifikate koje smo izdali. Konzola Manage Your Server – podešavanje specifi čnih serverskih uloga, kao što su server aplikacija, IIS, server datoteka, DNS server i td. namenjena su ovoj konzoli. Kada se pokrene ova konzola ona prikazuje sve trenutne aktivne servere i omogučava brzi pristup dodatnim lokalnim ili udaljenim informacijama o svakoj ulozi tog servera i njegovom podešavanju. Ova konzola ne nudi neke nove svoje alatke, ve ć se oslanja na one koje ve ć postoje u Windows Server-u 2003. Osnovna prednost je da ona sve te razli čite servise koje obavljaju serveri okuplja na jednom mestu i omogu ćuje administratoru pregledan i konforan rad na podešavanju tih servisa.
3.3 Arhitektura Windows Servera 2003
Ukoliko poznajemo uloge raznih komponenata jezgra operativnog sistema, sistema datoteka i način na koji OS koristi procesore, memoriju, hardver itd., lakše ćemo administrirati mašinu. Windows XP i Windows Server 2003 su zasnovani na istom kodu i predstavljaju klijent i server izdanja istog operativnog sistema, kao što su to pre njih bili Windows 2000 Profesional i Windows 2000 Server. 3.3.1 Režimi rada operativnog sistema Windows 2003 je modularni operativni sistem koji se satoji od komponenata, a sagra đen je na osnovu Windows 2000 Servera. Svi objekti operativnog sistema imaju interfejse pomo ću kojih drugi objekti i procesi obezbe đuju njihovu funkcionalnost ili usluge. Komponente me đusobno sara đuju prilikom obavljanja konkretnih zadataka operativnog sistema. Arhitektura Windowsa 2003 podeljena je u dva glavna sloja: korisni čki sloj (eng. user mode) i sloj jezgra (eng. kernel mode). Slojevi i razni podsistemi prikazani su na slici 2.1. Korisinički sloj Korisnič ki sloj Windowsa 2003 u suštini je sloj za podršku aplikacijama, kako za Microsoftov softver, tako i za softver drugih proizvo đača. Sastoji se od ugra đenih podsistema okruženja i od dodatnih (nezavisnih) podsistema. To je deo operativnog sistema koji omogu ćava drugim proizvo đačima softvera da koriste usluge operativnog sistema pozivaju ći objavljene API funkcije i objektno orijentisane komponente. Sve usluge i aplikacije instaliraju se u korisni čkom sloju. Sloj jezgra Sloj jezgra Windowsa 2003 ima pristup sistemskim podacima i hardveru, a sastoji se od nekoliko komponenata, koje suprikazane na slici 3.1.
Administriranje mreža Win32 aplikacija
Nezav. podsist.
POSIX aplikacija
WIN32 podsist.
OS/2 aplikacija
POSIX podsist.
OS/2 podsist.
Korisnički režim
Usluge koje se izvršavaju u režimu jezgra
Executive Services I/O Mana ger File Syste ms
SRM
PC Mana ger
Mem. Mana ge
Proc. Mana ger
PnP Mana ger
Object Manager Device drivers
Microkernel
Power Mana ger
Wind ow Man. Graph Devic Driv.
Sloj apstrakcije hardera (HAL)
Hardver
Slika 3.1 Sistemska ahitektura Windows servera 2003
Administriranje mreža IV čas Pojam Microsoft-ovog servisa ’’Active Directory’’ i njegova organizacija
4.1 Upoznavanje sa Aktivnim direktorijumom Jedan od prvih zadataka mreže je da obezbedi servis zajedni čkih resursa, tj. centralno mesto na kome se čuvaju jednostavne stvari poput datoteka ili mnogo složenije stvari kao što su baze podataka kojima mogu da pristupe mnogi korisnici. Povezan sa ovim prvim poslom je drugi zadatak svake mreže, obezbe đivanje sigurnosti podataka koji se čuvaju na njoj. Ve ćina računara na mreži nije sigurana, kao što i jedan manji broj korisnika nema baš dobronamerne namere. Sa druge strane svaka ozbiljnija firma žele da zaštiti svoju informacionu aktivu od neželjenih upada sa strane. Da bi se to ostvarilo gotovo svaki mrežni operativni sistem koristi dve osnovne tehnike: proveru autenti čnosti i autorizacije prijavljenog korisnika. Primer : Pretpostavite da server u školi ima podešen web server i bazu podataka sa imenima studenata, njihovim brojevima indeksa i prijavljenim ispitima. Pretpostavimo da neki student želi da pogleda koje je ispite prijavio u junskom ispitnom roku. Server je podešen tako da svaki student može preko svog web pretraživa ča da prati informacije o svojim ispitima. On samo treba da preko web servera škole pristupi na konkretnu lokaciju, postavi željeni upit i da na svom ekranu sa čeka traženi izveštaj. Podrazumeva se da administrator školskog servera ne bi bio zadovoljan da svaki student može da prati izveštaj o ispitima drugih studenata, tako da to treba na neki na čin zabraniti. Od trenutka kada je bilo koji student zatražio pristup školskoj lokaciji, i vremena kad ga je dobio, desile su se dve osnovne stvari: Provera autenti č nosti - Web server na kome se nalazi izveštaj o ispitima, pita radnu stanicu studenta koji traži informaciju, „Ko traži podatke?“ Radna stanica odgovara „Student XX“. Nakon toga server kaže „Dokaži to“. Posle toga prikazuje na ekranu ra čunara klijenta/studenta jedan okvir za dijalog u kome se traži korisničko ime i odgovaraju ča lozinka. Student unosi svoje korisni čko ime i lozinku i ako je to otkucano kako treba, server proverava njeno ime i lozinku, upore đujući ih sa listom poznatih korisnika i lozinki, nakon čega će doneti odluku da li je ispravna prijava na sistem. Autorizacija - Sama činjenica da je student svojim korisni čkim imenom i lozinkom dokazao da je to zaista on, nije dovoljan razlog za Web server da tom studentu dozvoli pristup do strane sa ispitima. Web server nakon toga pretražuje još jednu listu, koja se ponekad naziva Lista sa kontrolama pristupa ( Access Control List ). To je lista sa ljudima kojima je pristup dozvoljen kao i nivoima pristupa traženom resursu. U današnje vreme nije neobi čno videti mreže svetskih razmera u kojima se nalaze mnogi ure đaji od klijentskih ra čunara, servera, deljivih ure đaja kao što su štampa či i ploteri, kao i ure đaja za me đusobno povezivanje istih. Sa druge strane imamo sve ve ći broj korisnika koji su neprekidno na mreži tako da imamo povezano na stotine pa i nekoliko hiljada korisnika u jednoj mreži. Svi oni nemaju ista prava na mreži, tj. pristup mrežnim resursima nije isti za sve. Upravo iz tog razloga, upravljanje ovakvim složenim mrežnim strukturama predstavlja veliki i kompleksan problem, koji je trebalo rešiti i omogu čiti lakši i pregledniji rad administratorima mreža. Alat koji omogućava kreiranje, modifikovanje ili brisanje korisničkih naloga kao i resursa mreže iz jedne ta čke, poznat je pod nazivom Active Directory Users and Computers. Termin direktorijum odnosi se na kolekciju uskladištenih podataka o objektima, koji su na neki način međusobno povezani. Kao najbolji primer može da posluži sistem organizacije datoteka na našim računarima koje su raspore đene po direktorijima po nekoj zajedni čkoj osobini. U distribuiranom računarskom sistemu ili javnoj ra čunarskoj mreži – Internetu, ima mnogo više objekata kao što su razli čiti tipovi servera, klijentskih ra čunara, štampača, aplikacija, baza podataka, korisnika, njihovih imena, lozinki i prava na mreži. Zato je ovde potrebno znatno mo ćnije sredstvo za kontrolu rada svih ovih objekata a to je upravo servis direktorijuma. On mora da upamti sve podatke koji su potrebni za korišćenje i upravljanje tim objektima na jednom mestu, kako bi omogu ćio i korisnicima i administratoru mreže lako pronalaženje i upravljanje svim tim resursima. Drugim re čima, servis direktorijuma predstavlja istovremeno i alatku administratora i alatku krajnjeg korisnika na mreži. Servis direktorijuma se razlikuje od direktorijuma po tome što je on istovremeno i izvor podataka ali i mehanizam koji te podatke stavlja na raspolaganje korisnicima. Active Directory predstavlja upravo jedan servis direktorijuma koji je implementiran u Windows mrežnim operativnim sistemima po čevši od Windows Server 2000 pa na dalje. On predstavlja zna čajno poboljšanje u odnosu na domenski model kakav je imao Windows NT, pre svega zbog slede ćih osobina koje u mnogome proširuju funkcionalnost direktorijum servisa:
Administriranje mreža Upravljanje direktorijumima. Svaki operativni sistem, čak i onaj koji se odlikuje najminimalnijom bezbedošću, poseduje u sebi jedan ili više fajlova, koji zajedno čine bazu podataka poznatih korisni čkih naloga. Ranije verzije NT-a, od 3.1 do 4, u tu svrhu su koristile jedan jedini fajl pod naazivom SAM (Securiti Accounts Manager). Ovaj fajl je sadržao: korisni čko ime korisnika, njegovo kršteno ime i prezime, lozinku, dozvoljeno vreme prijavljivanja, rok trajanja naloga, opis, naziv primarne grupe i informacije o korisničkom profilu. Naravno, sadržaj ovog fajla je bio šifrovan. Do današnjeg dana, svi operativni sistemi iz NT familije, uklju čujući i Windows 2000 Professional i XP, upotrebljavaju SAM fajlove na radnim stanicama. Po podrazumevanoj vrednosti, Windows Server 2003 serveri tako đe sadrže i upotrebljavaju SAM. Ipak, na jednom malom broju ra čunara biće smeštena centralizovana baza podataka aktivnog direktorijuma. Ovakvi serveri se nazivaju kontrolerima domena i na njima nema SAM fajlova. Doduše, u vreme NT4 i starijih operativnih sistema, kontroleri domena su tako đe koristili SAM, ali od trenutka kada je Windows Server 2000 ugledao svetlost dana, oni koriste nešto drugo – nešto što se zove akivni direktorijum. Windows 2003 najve ći deo svojih informacija o korisnicima čuva u datoteci pod imenom NTDS.DIT . Ova datoteka je modifikovana baza Access-a, tako da Windows 2003 u suštini i sadrži jednu varijantu Access-ove mašine za rad sa bazama podataka. Aktivni direktorijum je, dakle, naslednik SAM-a, koji ve ćinu svojih korisni čkih informacija čuva u pomenutom fajlu. Me đutim NTDS.DIT se po mnogo čemu razlikuje od SAM-a. Kao prvo, NTDS.DIT predstavlja modifikovanu bazu podataka, koja je u osnovi kreirana pomo ću iste tehnologije kao i Microsoft Access, tako da kontroleri domena aktivnog direktorijuma obi čno sadrže jednu varijantu Accessove data base mašine (engine) u svojoj mašineriji. Drugo, NTDS.DIT fajl sadrži u sebi znatno širi spektar razli čitih informacija o korisnicima, nego što je to ikada bio slu čaj sa SAM fajlovima. Informacije iz NTDS.DIT fajla i program koji upravlja ovim fajlom nazivaju se jednim imenom direktorijumski servis ( directory service ). Sada se postavlja pitanje šta je direktorijum. O čigledno je da je direktorijum dobijen iz baze podataka o korisnicima i informacijama o njima. Opet se postavlja pitanje zašto se to ne zove baza podataka. Nema prihvatljivog razloga, verovatno po navici. Prema nekima baze podataka o korisnicima se mnogo češće čitaju, nego što se u njih piše. To omogu ćava da se na izvestan na čin smanji koli čina funkcija koje su potrebne iz baza podataka. Ovaj podskup klasa baze podataka dobio je ime direktorijumi. Centralizovano skladištenje podataka – Svi bitni podaci koji se odnose na funkcionisanje jedne mreže, nalaze se u jednom distribuiranom skladištu podataka. Na taj na čin omogučen je jednostavan pristup informacijama sa bilo koje lokacije u mreži a samim tim smanjili smo zahteve za administriranjem iste. Pored toga jedno distribuirano skladište podataka poboljšava raspoloživost i organizaciju podataka, smanjuje mogućnost dupliranja podataka i omogu čava jednostavan back-up tih podataka. Kada neko pokuša da pristupi deljivoj datoteci, ili da odštampa neki dokument preko deljivog štampa ča, Aktivni direktorijum će ga proveriti. Kada se implementira u potpunosti, Aktivni direktorijum može da uštedi mnogo posla oko administracije i ostalih mrežnih funkcija. Navedimo jedan primer. Imamo ra čunar koji je servis baze podataka, drugi koji je server za štampanje, zašto onda ne bismo imali centralizovani server za prijavljivanje, centralizovani server za proveru autenti čnosti? Tada bi korisnici morali da upamte samo jednu lozinku (i da je menjaju) kao i samo jedno korisni čko ime umesto prethodna dva. Pronalaženje servera. Danas se posao obavlja na principu klijent-server. Pošto se u najve ćem broju slučaja mail proverava preko Outlooka (klijent), koji dobija poruku od ra čunara za razmenu (server). Kada računar pristupa serveru datoteka on je njen klijent, dok je server server. Kada se proverava prijava ispita sa svog ra čunara u gore pomenutom primeru web browser je klijent. Kopija Outlook -a na računaru mora da zna gde da na đe odgovaraju ći server, ne može se dobiti datoteka sa servera datoteka ako se ne zna gde da se traži i ne mogu se proveriti prijavljeni ispiti sve dok se ne prona đe adresa škole. U svakom slučaju klijent-server veza ne radi osim ako se klijentu ne pomogne da prona đe server. U slu čaju Outlook a, on zna gde da na đe mail server, zato što je to podešeno na odgovaraju ćem mestu, stavljaju ći ime servera u Outlook -u. Uglavnom Aktivni direktorijum pojednostavljuje ovaj proces. Ra čunar treba da zatraži od direktorijuma imena kontrolera domena. Može se pretražiti Aktivni direktorijum u potrazi za ključevima koji su relevantni za konkretne deljive datoteke. Upravljanje klijentskom konfiguracijom – Uvode se savremenije tehnologije za upravljanje klijentskim računarima, kao što su mobilnost korisnika i otkaz diska, koje nam omogu ćavaju da uz minimum administriranja i bez prekida rada klijenta podešavamo parametre tih ra čunara.
Administriranje mreža Podesivost – Podrazumeva laku prilagodljivost i proširivost objekata u Aktivnom direktorijumu. To je urađeno tako što je on organizovan u više sekcija u koje može da se smesti ogroman broj objekata, pa čak i do nekoliko miliona objekata po jednom domenu. Rezultat takve organizacije je da Aktivni direktorijum može da se širi kako organizacija raste. Organizacija koja ima jedan server sa par stotina objekata može da izraste u organizaciju sa hiljadama servera i milionima novih objekata, bez nekog dodatnog menjanja strukture Aktivnog direktorijuma. Za ubrzanje rada ovde se koristi tehnika indeksiranja i napredne tehnike repliciranja. Fleksibilna provera autenti č nosti – Provera autenti čnosti i davanje ovlaš ćenja korisnicima, obezbe đuje zaštitu podataka i minimizuje prepreke izlaska na Internet i nesmetanog rada na njemu. Aktivni direktorijum podržava nekoliko protokola za proveru autenti čnosti kao što su: Kerberos, SSL (Secure Socket Layer ) i TLS ( Transport Layer Security ) koji koristi certifikate X 509. Bezbedonosna integracija – Sistem bezbednosti Windows Server 2003 je direktno zavisan od bezbednosti Aktivnog direktorijuma. Kontrola pristupa može biti definisana za svaki objekat u direktorijumu, ali može biti i definisana i za svako svojstvo objekta pojedina čno. Takođe, bezbedonosna politika može biti primenjena na lokalnom nivou ili na nivou lokacije, domena ili organizacione jedinice. Delegirana administracija - Hijerarhijska struktura aktivnih direktorijuma omogu ćava dodeljivanje administratorskih prava po segmentima mreže. Korisnik kome su dodeljena prava od strane višeg administratorskog autoriteta može izvršavati administratorske zadatke za taj specifi čni segment hijerarhijske strukture. Na primer korisnik može imati ograni čena prava nad svojim ra čunarom a da mu u isto vreme budu dodeljena prava dad kreira nove korisnike u organizacionoj jedinici. Integracija sa sistemom domena (DNS) - Servis DNS ( Domain Network System) omogućava razrešavanje imena klijentima koji imaju neki od Windows Server sistema. Postupkom razrešavanja imena korisnici mogu da pristupe serverima na osnovu njihovih imena, umesto da koriste IP adrese koje se po pravilu teško pamte. Razrešavanje imena je postupak kojim se DNS imena prevode u IP adrese. To je slično traženju imena u telefonskom imeniku, u kome je ime pretplatnika povezano sa telefonskim brojem. Na primer, kada se korisnik poveže na sajt koristi se ime tog sajta u formi www.vtsnis.edu.rs.Dužnost DNS-a je da to siboli čko ime pretvori u njegovu odgovaraju ću IP adresu: 192.168.0.1. Korelacija imena i IP adrese čuva se u DNS distribuiranoj bazi podataka. Active Directory koristi DNS konvencije da bi stvorio hijerarhisku strukturu koja obezbe đuje poznat, ure đen i podesiv pogled na mrežne odnose. Administriranje na bazi politike – Ova karakteristika omogu ćava nam da unapred definišemo dozvoljene akcije i parametre za korisnike i ra čunare na nekoj odre đenoj lokaciji, domenu ili organizacionoj jedinici. Upravljanje na osnovu te politike pojednostavljuje zadatke kao što su ažuriranje operativnog sistema, instaliranje aplikacija, kao i zadatke koji se odnose na korisni čke profile i blokade datih objekata. Replikacije podataka – Tehnika repliciranja predstavlja automatsko ažuriranje podataka na dva ili više objekta u mreži. To zna či da u jednoj mreži možemo da imamo dva ili više kontrolera domena, svaki sa svojim aktivnim direktorijumom, koji zahvaljuju či tehnici repliciranja stalno me đusobno razmenjuju informacije i na taj na čin u svakom trenutku raspolažu pravim informacijama. To nam omogu ćava veću raspoloživost informacija, ve ću otpornost na greške, uskla đivanje opterečenja kao i druga poboljšanja performansi sistema. Primena standardnog interfejsa – Veliki deo proizvo đača softvera nisu voljni da pišu programe koji zavise od slabo dokumentovanog sigurnosnog interfejsa, zato što se boje da kada se pojavi naredna verzija operativnog sistema u kojoj će se promeniti programski interfejs, oni ostaju na cedilu. Zbog toga je Microsoft izabrao da postavi jedan industrijski standardni interfejs u svoj Aktivni direktorijum, pod imenom LDAP ( Lightweight Directory Access Protocol ). Postavljanjem LDAP interfejsa u Aktivni direktorijum Microsoft je omogućio proizvođačima da integrišu sigurnost svojih proizvoda u sigurnost Windows-a. On tako đe omogućava da se naprave alati za kreiranje strukture Aktivnog direktorijuma, domena, stabla, šume, organizacione jedinice, korisni čkih naloga i svih komponenti. To zna či ako su kontrolni programi za Aktivni direktorijum suviše teški za rad, onda neka firma može da napravi alat koji će to olakšati, na osnovu LDAP komandi. Rad sa drugim servisima direktorijuma – Rad Aktivnog direktorijuma zasniva se na standardnim protokolima za pristupanje direktorijumima kao što su LDAP ( Lightweight Directory Access Protocol ) i NSPI ( Name Service Provider Interface). LDAP je standardni protokol kod servisa direktorijuma a NSPI
Administriranje mreža predstavlja protokol koji se koristi kod Microsoft Exchange Servera. Zahvaljuči njima Aktivni direktorijum može da komunicira i sa drugim servisima direktorijuma koji koriste ove protokole. Potpisan i šifrovan LDAP saobrać aj – Ova opcija obezbe đuje verodostojnost podataka koji se šalju na mrežu. Potpisan i šifrovan LDAP saobra ćaj podrazumeva da paketi podataka stižu od poznatog izvora i da nisu neovlaš ćeno menjani.
4.2 Pregled servisa Aktivni direktorijum Aktivni direktorijum omogu ćava da se struktura direktorijuma osmisli u skladu sa potrebama firme. Resursi, čiji se podaci nalaze u direktorijumu, kao što su, na primer: podaci o korisnicima, štampačima, serverima, bazama podataka, grupama, ra čunarima i bezbednosnoj politici, predstavljaju se kao objekti (objects). Objekat je jasno ozna čen skup atributa koji predstavljaju mrežni resursi. Atributi objekta su osobine objekata u direktorijumu. Na primer, u atribute korisni čkog naloga mogu da spadaju ime i prezime korisnika, odeljenje kome pripada i njegova e-mail adresa. Svi objekti u Aktivnom direktorijumu mogu se organizovati u klase, koje predstavljaju logi čke grupe objekata. Primeri klasa objekata su one koje predstavljaju korisni čke naloge, grupe, ra čunare, domene ili organizacione jedinice. Šema Aktivnog direktorijuma je lista definicija koje odre đuju vrstu objekta i tipova podataka o tim objektima, koji mogu biti smešteni u Aktivnom direktorijumu. Same definicije su smeštene kao objekti, tako da Aktivni direktorijum može da upravlja objektima šeme istim operacijama upravljanja koje se koriste za upravljanje ostalim objektima u Aktivnom direktorijumu. Postoje dve vrste definicija u šemi: atributi i klase . O atributima i klasama tako đe se govori kao o objektima šeme ili metapodacima. Atributi se definišu odvojeno od klasa. Svaki atribut definisan je samo jednom i može se koristiti u više klasa. Klase, koje se tako đe nazivaju klase objekata, opisuju koje je objekte mogu će kreirati u Aktivnom direktorijumu. Svaka klasa predstavlja kolekciju atributa. Kada se napravi neki objekat, atributi skladište informaciju koja opisuje taj objekat. Klasa user sastavljena je od mnogo atributa, u koje spada network address, home directory, itd. Svaki objekat u Aktivnom direktorijumu primerak je klase objekta. Komplet osnovnih klasa i atributa ve ć se nalazi u samom Windows-u 2003.
4.3 Komponente Aktivnog direktorijuma Da bi uspešno izgradio strukturu direktorijuma koji će zadovoljiti potrebe jedne organizacije Aktivni direktorijum koristi razli čite komponente. Vrste primenjenih komponenata zavise od toga da li se radi o logičkoj ili fizičkoj strukturi organizacije. Logi čka struktura organizacije predstavljena je slede ćim komponentama Aktivnog direktorijuma: domenima, organizacionim jedinicama, stablima i šumama, dok je fizička struktura organizacije predstavljena sa: sajtovima (fizi čkim podmrežama) i kontrolerima domena. U suštini Aktivni direktorijum u potpunosti razdvaja logi čku od fizi čke strukture.
4.3.1 Logička struktura U Aktivnom direktorijumu resursi se organizuju u logi čku strukturu koja predstavlja logi čku
Administriranje mreža strukturu same organizacije. Logi čko grupisanje resursa omogu ćava pronalaženje resursa na osnovu njegovog imena, a ne na osnovu njegove fizi čke lokacije. Pošto se resursi grupišu logi čki, fizička struktura mreže korisniku može da bude nebitna. Logi čka struktura Aktivnih direktorijuma je fleksibilna i daje nam mogućnost projektovanja hijerarhije, unutar Aktivnih direktorijuma, koja je razumljiva i korisnicima i administratorima. Logi čko grupisanje objekata omogu ćava nam da grupišemo objekte na osnovu njihove logi čke pripadnosti a ne na osnovu fizi čke lokacije. Ovakvo grupisanje omogu čava nam potpunu transparentnost fizičke strukture mreže, jer se resursi ne nalaze po njihovoj lokacije ve ć na osnovu njihovih imena. Slede će komponente pripadaju logi čkoj strukturi Aktivnih direktorijum: 1. Domen ( Domain) - Jedan od najvažnijih kocepata u teoriji i praksi Microsoftovih mreža jeste pojam domena (domain). Na najjednostavniji na čin rečeno, domen predstavlja grupu servera i radnih stanica, koje su se složile oko centralizovanog čuvanja naziva i lozinki za korisni čke i računarske naloge, u jednoj deljenoj ( shared ) bazi podataka. To je veoma važno – ustvari, to je od zaista suštinskog zna čaja za računarske mreže svih dimenzija – jer se time korisnicima pruža mogu ćnost da, uz pomo ć jednog naloga i lozinke, pristupe desetinama, stotinama pa čak i hiljadama drugih ra čunara unutar domena konkretne organizacije. Ali, centralizovano čuvanje korisni čkih i računarskih naloga i lozinki je samo po četak. Kako se NT tokom godina razvijao, NT domeni su postali skladišta za čuvanje i nekih drugih objekata. Najpre su se, u NT 3.51, pojavili korisni čki profili, alat koji omogu ćava da izgled svog desktopa i ostala sistemska podešavanja ponesemo sa sobom, gde god da se ulogujemo. Zatim su, pod operativnim sistemom NT4, domeni postali mesto za centralizovano čuvanje tzv. „sistemskih polisa“ (system policies), odnosno, čitavog jednog seta instrukcija, koj ra čunari koriste za izgradnju i kontrolu korisni čkih okruženja.. Sa pojavom Windowsa 2000, u domenima su se ve ć mogle centralizovati DNS informacije, a predstavljen je i usavršeni naslednik sistemskih polisa, pod nazivom „grupne polise“ (group policies). Domen u stvari predstavlja srž logi čke strukture Aktivnih direktorijuma u okviru koga možemo smestiti milione različitih objekata. Ve ć smo napomenuli da objekti smešteni u jednom domenu, predstavljaju resurse koji se smatraju neophodnim za pravilno i bezbedno funkcionisanje mreže. To su stavke koje su članovima mreže potrebne da bi obavljali svoje poslove: štampa či, dokumenta, e-mail adrese, baze podataka, korisnici, distribuirane komponente i drugi resursi. Aktivni direktorijum može imati jedan ili više domena. Jedan domen može sadržati više fizi čkih lokacija. Grupisanje objekata u jedan ili više domena omogu ćava da mreža odslikava realnu strukturu organizacije. Domen je i skup sigurnosnih principa kao što su korisnički i računarski nalozi ali i drugih, poput dozvola za deljive štampa če ili dozvola za pristup deljenim folderima. Objekti na domenu su definisani od strane administratora i koriste zajedničku bazu podataka i jedinstveno ime. Svaki domen treba da izvrši slede će zadatke: Svi objekti mreže postoje unutar domena Oni pružaju mogu ćnost upotrebe grupe serverskih ra čunara, koji igraju ulogu „servera za proveru autentičnosti“ ili „prijavnih servera“, poznatijih pod nazivom kontroleri domena . Na domenima se čuva čuva i neprekidno ažurira indeks svih objekata na domenu, sa mogu ćnošću efikasnog pretraživanja, čime je korisnicima znatno olakšano pretraživanje željenih resursa na mreži. Domen skladišti informacije samo o objektima koji se u njemu nalaze. Direktorijum domena može da sadrži do deset miliona objekata teoretski, ali u praksi mnogo je realniji broj od jednog miliona objekata. Oni omogućavaju kreiranje korisni čkih naloga sa razli čitim nivoima snage, od skoro potpuno obespravljenih „gostuju ćih“ naloga, preko obi čnih korisničkih naloga, do svemo ćnih administratora domena. Pored toga, na domenima se mogu kreirati i tzv. nalozi pod-administratora, korisni čkih naloga, koji se, prema nivou dozvoljenih prava, nalaze negde izme đu administratora domena i obi čnih korisnika. Domeni se dalje mogu deliti na subdomene, koji se još nazivaju organizacionim jedinicama (organization units – OUs). Nakon toga, razli čitim pojedincima mogu se dodeliti razli čiti stepeni kontrole i mo ći nad ovim organizaacionim jedinicama. Na ovaj na čin može se kreirati nešto što bi se moglo nazvati „adminstratorima odeljenja“ – odnosno, korisnike sa velikim stepenom mo ći, ali samo nad jednom manjom grupom ra čunara i korisnika. Domen predstavlja granicu bezbednosti jer se na njemu čuva jedna centralna lista korisnika i pripadajućih lozinki.Liste za kontrolu pristupa ( Acces Control List , ACL) kontrolišu pristup objektima domena. ACL sadrži dozvole koje su povezane sa objektima i kontrolišu koji korisnici mogu
Administriranje mreža dobiti pristup objektu i odre đuju samu vrstu pristupa. U Windowsu 2003 termin objekat obuhvata: datoteke, deljenja, štampa če i ostale objekte u Aktivnom direktorijumu. Sve bezbednosne politike i parametri, na primer administrativna prava, bezbednosne politike i liste za kontrolu pristupa, ne mogu da prelaze iz jednog domena u drugi. Administrator domena ima apsolutna prava da formira politiku samo u okviru tog domena. 2. Organizaciona jedinica (Organizational unit ) je jedna vrsta skladišta – kontejner, koju koristimo da bi smo organizovali objekte u okviru domena. Organizaciona jedinica može sadržati objekte kao što su korisnički nalozi, grupe, ra čunari, aplikacije, deljene datoteke, aplikacije i druge organizacione jedinice iz istog domena. U jednom domenu hijerahija organizacionih jedinica je potpuno nezavisna tj. ne zavisi od hijerahije u drugom domenu, ve ć svaki domen uspostavlja svoju sopstvenu hijerarhiju. . Organizaciona jedinica omogu čava administratoru mreže da se prema ve ćem skupu objekata odnosi kao prema jednom. U aktivnom direktorijumu podrazumeva je opcija da svi podre đeni objekti nasle đuju dozvole od svojih nadre đenih objekata. Na taj na čin, administrator samo jednom dodelom dozvola na višem nivou, rešava dodelu istih dozvola svim podre đenim objektima. 3. Stablo (Tree) predstavlja na čin za grupisanje jednog ili više domena. Grupisanje se vrši tako što jedan ili više domena dodajemo na postoje ći nadređeni domen. Svi domeni koji pripadaju stablu dele jedinstven prostor imena kao i hijerahijsku strukturu imena. Hijerahija domena u stablu omogućava nam da povećamo bezbednost domena kao i da kompletno administriranje svedemo na jednu organizacionu jedinicu ili na jedan domen u stablu. Sa druge strane ovakva organizacija omogu ćava nam fleksibilnost u organizaciji mrežne strukture jer se lako prilago đava svim promenama. Generalno gledano sva stabla imaju neke zajedni čke osobine i to: Imena podređenih domena u stablu sadrže imena nadre đenih domena. To se uklapa sa standardom koji je definisao DNS. Svim domenima unutar jednog stabla pripada zajedni čka šema koja predstavlja formalnu definiciju svih tipova objekata koje se smeštaju u servis Aktivnog direktorijuma. U okviru stabla postoji zajedni čki globalni katalog koji predstavlja centralno skladište svih objekata koji pripadaju tom stablu. Svi domeni unutar tog stabla mogu da nesmetano pristupe tom skaldištu. 4. Šuma ( Forest ) predstavlja grupu ili hijerahijsko ure đenje jednog ili više potpuno nezavisnih stabala. Sve šume imaju slede će zajedničke karakteristike: Sva stabla u šumi imaju zajedni čku šemu. Stabla u šumi imaju razli čite strukture imena koje su u skladu sa njihovim domenima. Svi domeni u šumi imaju zajedni čki globalni katalog. Domeni u šumi dejstvuju nezavisno, ali postojanje šume omogu ćava komunikaciju kroz celu organizaciju. Između domena i stabala domena postoji implicitni dvosmerni odnos poverenja. Na primer: Iako stabla vtsnis.edu.yu i vets.edu.yu formiraju jednu šumu, prostor imena je jedinstven samo u okviru svakog stabla u šumi.
4.3.2 Fizička struktura Komponente koje se koriste da bi se uspostavila struktura direktorijuma koja će u potpunosti održavati fizičku strukturu jedne organizacije nazivaju se fizi čkim komponentama. U fizi čke komponente Aktivnog direktorijuma spadaju lokacije i kontroleri domena. 1. Lokacija ( site) predstavlja kombinaciju jedne ili više podmreža, na bazi IP komunikacije, a koje su povezane visoko pouzdanom i brzom vezom u cilju lokalizovanja što je mogu će više mrežnog saobra ćaja. Granice lokacije obi čno se poklapaju sa granicama LAN -a. Kada grupišemo podmreže u lokaciju, potrebno je voditi ra čuna da to budu samo one mreže koje imaju brze, jeftine i pouzdane me đusobne veze. Windows 2003 koristi ove podatke da bi pronašao sve mogu će WAN veze, da odredi koje su od tih veza sporije i koja je cena prenosa podataka na tim vezama. On onda radi dve veoma korisne stvari: prvo, on kompresuje saobra ćaj za replikaciju i drugo, on koristi informacije o cenama puta, koje nam omogu ćavaju da pronađemo koja je najbolja ruta za replikacioni saobra ćaj, uz najmanju cenu. U Aktivnom direktorijumu lokacije nisu deo prostora imena. Kada se pretražuje logi čki prostor imena, vide se ra čunari i korisnici koji su grupisani u domene i organizacione jedinice, ali ne i lokacije. Lokacije sadrže samo
Administriranje mreža objekte računare i objekte veze koji se koriste da bi se konfigurisala replikacija izme đu lokacija. Jedna lokacija može da obuhvati korisni čke naloge i ra čunare koji su iz razli čitih domena. 2. Kontroler Domena (domain controller ) je računar čiji je operativni sistem Windows 2000, 2003 Server i na kome je smeštena replika direktorijuma domena (baza podataka lokalnog domena). Kako jedan domen može da ima jedan ili više kontrolera domena, svi kontroleri domena unutar domena imaju kompletnu repliku dela direktorijuma koji pripada tom domenu. Kontroler domena može da održava samo jedan domen i zadužen je za njegovu bezbedonosnu politiku. Kontroler domena ima slede će funkcije: Svaki kontroler domena sadrži potpunu kopiju svih podataka Aktivnog direktorijuma za taj domen, upravlja izmenama tih podataka i replicira ih na druge kontrolere domena koji su u istom domenu. Kontroleri domena unutar jednog domena automatski jedan drugom repliciraju sve promene koje mogu da se dogode nad objektima koje oni kontrolišu. Kada se izvrši neka operacija koja uzrokuje ažuriranje Aktivnog direktorijuma, u stvari se vrši izmena na jednom od kontrolera domena. Taj kontroler domena zatim replicira izmenu na sve druge kontrolere domena unutar domena. Replikacioni saobra ćaj između kontrolera domena može da se kontroliše tako što će se odrediti koliko često će se replikacija obavljati i koliko će podataka Windows 2003 replicirati u jednom postupku. Kontroleri domena vrše trenutnu replikaciju kada su u pitanju ažuriranja nekih važnih podataka, na primer onemogu ćavanje korisni čkog naloga. Aktivni direktorijum primenjuje repliciranje sa više glavnih primeraka, pri čemu nijedan kontroler domena nije glavni. Svi kontroleri domena u domenu su ravnopravni i svaki kontroler domena sadrži kopiju baze podataka direktorijuma u koju se može vršiti upis. Kontroleri domena me Đusobno mogu imati različite podatke samo jedan kratak vremenski period, dok se svi kontroleri domena ne sinhronizuju sa Aktivnim direktorijumom. Postojanje više kontrolera domena u domenu daje otpornost na greške. Ukoliko je jedan kontroler domena u oflajn stanju, drugi kontroler domena izvršava sve potrebne funkcije. Kontroleri domena upravljaju svim aspektima interakcije korisnika u domenu, na primer pokušaj prijave korisnika na sistem. Kontroleri domena zaduženi su da detektuju i kolizije u radu kontrolera domena. One mogu da nastanu kada neki od kontrolera domena izmeni atribute nekog objekta pre nego što se izmena tih atributa u potpunosti ne prenese na drugi kontroler domena.
4.3.3 Globalni katalog Globalni katalog predstavlja centralno skladište informacija o objektima koji se nalaze u stablu ili šumi. On se automatski kreira na inicijalnom kontroleru domena u prvom domenu u šumi. Kontroler domena koji čuva kopiju globalnog kataloga naziva se server globalnog kataloga. Na njemu je smeštena potpuna replika svih atributa objekata u direktorijumu mnjegovog mati čnog domena i delimi čna replika svih atributa objekata sadržanih u direktorijumu svakog domena u šumi. Delimi čna replika podrazumeva one atribute koji se naj češće koriste u postupcima pretraživanja. Atributi objekata koji su replicirani u glavnom katalogu nasle đuju dozvole kao u izvornom domenu, osiguravaju ći na taj način bazbednost podataka u globalnom katalogu. Dve su osnovne funkcije koje treba da izvrši globalni katalog i to: da omogući korisniku da može da se prijavi na mrežu tako što će mu dati informaciju o članstvu u unuverzalnim grupama. da omogući pronalaženje informacija direktorijuma nezavisno od toga koji domen u šumi sadrži tražene podatke. Globalni katalog treba da odgovara na upite korisnika ili programa o objektima koji su bilo gde na stablu ili šumi i to maksimalnom brzinom i uz najmanji mogu ći mrežni saobraćaj. Svaki kontroler domena opciono može da se konfiguriše kao server globalnog kataloga i preporuka je da svaka lokacija u mreži obavezno ima barem jedan server globalnog kataloga.
4.3.4 Repliciranje Sve informacije koje se nalaze u okviru Aktivnog direktorijuma moraju svakog trenutka da budu dostupne svim korisnicima i servisima na tom domenu, stablu domena ili šumi domena. Kako u okviru ovih konfiguracija možemo imati više kontrolera domena, gde svaki kontroler nadgleda svoj deo oblasti, potrebno je obezbediti da se sve informacije budu dostupne svim korisnicima bez obzira na koji kontroler
Administriranje mreža domena su povezani. Repliciranje upravo obezbe đuje da se sve izmene u okviru jednog kontrolera domena reflektuju na sve ostale kontrolere doemna u okviru tog domena. Informacije direktorijuma se repliciraju na kontrolerima doemna kako unutar, tako i izme đu lokacija. Sve informacije koje se čuvaju u Aktivnom Direktorijumu (fajl ntds.dit ) mogu se podeliti u četiri osnovne kategorije. Svaka od tih kategorija informacija ima naziv particija direktorijuma ili kontekst imenovanja. Repliciranje se upravo vrši na osnovu ovih particija jer one predstavljaju osnovne jedinice na osnovu kojih se radi repliciranje. Četiri osnovne particije informacija u Aktivnom direktorijumu su: Particija šeme – sadrži informacije o objektima koji se mogu napraviti u direktorijumu kao i njihove atribute i oni su zajedni čki za sve domene u šumi. Ova particija se replicira na svim kontrolerima domena u šumi. Particija konfiguracije – podaci o logi čkoj strukturi postavljanja, uklju čujući i podatke kao što su struktura domena ili topologija repliciranja nalaze se u ovoj particiji. Kao i kod prethodne particije i ovi podaci su zajedni čki za sve domene u šumi i repliciraju se na svi kontrolerima domena. Particije domena – ova particija sadrži podatke o svim objektima u jednom domenu i ti podaci pripadaju samo jednom doemnu pa se ne repliciraju na druge domene. Me đutim, replikacija važi za sve kontrolere domena u okviru tog domena. Particija direktorijuma za aplikacije – podaci koji se nalaze u ovoj particiji odnose se na dinami čke podatke pojedinačnih aplikacija u Aktivnom Direktorijumu. Na osnovu ovih podataka omogu ćeno nam je da kontrolišemo podru č je smeštanja kopija i proces repliciranja. U ovu particiju smeštaju se podaci za bilo koji tip objekta osim za one objekate koji se odnose na principe bezbednosti (korisnici, grupe i računari). Da bi se izbegao nepotreban saobra ćaj usled repliciranja omogu ćeno je da se ovi podaci eksplicitno preusmere na kontrolere domena koje administrator odredi u okviru šume domena. Kontroler domena uskladištava i replicira slede će podatke: particije šeme za šumu, particije konfiguracije za sve domene u šumi i particije domena za svoj domen. Globalni katalog skladišti i replicira slede će podatke: particije šeme za šumu, particije konfiguracije za sve domene u šumi, delimi čnu repliku koja sadrži često korišćene atribute za sve objekte direktorijuma u šumi i potpunu repliku koja sadrži sve atribute svih objekata direktorijuma u domenu gde se nalazi globalni katalog.
4.3.5 Odnosi poverenja Odnos poverenja predstavlja vezu dva ili više domena koji veruju jedan drugom. To zna či da ako je postavljena veza poverenja izme đu domena, provera autenti čnosti prijavljivanja korisnika se vrši samo na jednom doemnu. Svi ostali domeni koji imaju poverenje priznaju tu proveru i korisnik može nesmetano bez ponovne provere autenti čnosti da radi sa resursima na tim domenima. U familiji Windows Servera 2003 provera autenti čnosti korisnika i aplikacija vrši se putem jednog ili dva protokola poverenja: Kerberus verzija 5 ili NT LAN Manager (NTLM). Odnos poverenja čine dva domena: domen koji ima poverenje i domen u koga se ima poverenje. Možemo da definišemo neke opšte karakteristike poverenja i to: Metod pravljenja – postoje dva na čina pravljenja poverenja i to implicitno(automatsko) i eksplicitno(ručno). Nije moguće da se prave sva poverenja na oba na čina. Tranzitivnost – poverenja mogu biti vezana za domene koji su u odnosu (netranzitivna) i nevezana (tranzitivna). To zna či da ako domen A ima poverenje u domen B, a domen B ima poverenje u domen C, kažemo da imamo tranzitivno poverenje ako domen A ima poverene u domen C. Ukoliko domen A nema poverenje u domen C, tada se radi o netranzitivnom poverenju. Smer – postoje jednosmerna i dvosmerna poverenja. Jednosmerno poverenje zna či da domen A ima poverenje u domen B ali obrnuto ne važi. Jednosmerni odnos može biti tranzitivan ili netranzitivan, što zavisi od tipa poverenja koje se pravi. U dvosmernom poverenju domen A ima poverenje u doemn B i obrnuto. To zna či da zahtevi za proveru autenti čnosti mogu da se prenose izme đu dva domena u oba smera. Možemo da razlikujemo slede će oblike poverenja koja se pojavljuju u Windows Server 2003 familiji: Poverenje na nivou korena stabla – ovo poverenje pravi se implicitno kada se šumi doda osnovni domen novog stabla. Ovaj tip poverenja može se uspostaviti samo izme đu korena dva stabla u istoj šumi i predstavlja tranzitivno i dvosmerno poverenje. Poverenje roditelj/dete – takoše se implicitno postavlja kada pravimo novi podre đeni domen u stablu. Ovo
Administriranje mreža poverenje stavlja sve objekte u domenima na raspolaganju svim drugim domenima iz istog stabla i ono je tranzitivno i dvosmerno. Prečica poverenja – pravi se eksplicitno od strane administratora sistema izme đu dva domena u šumi. Korisno je kada treba skratiti vreme prijavljivanja korisnika ako oni pripadaju razli čitim domenima koji su logički udaljeni u hejerahiji čume ili stabla.Poverenje je tranzitivno i može biti jednosmerno ili dvosmerno. Spoljni odnos poverenja – administrator sistema eksplicitno pravi ovo poverenje izme đu dva domena koji pripadaju različitim šumama ili dva domena pod razli čitim operativnim sistemima. Poverenje je netranzitivno a može biti jednosmerno ili dvosmerno Odnos poverenje šume –tako đe ga pravi administrator izme đu dva osnovna domena šuma, i omogu čava nam da svi domeni u jednoj šumi imaju tranzitivno poverenje u sve domene druge šume. Ovo poverenje nije tranzitivno na tri i više šuma, ve ć samo na dve šume i može biti jednosmerno ili dvosmerno. Poverenje u podru č ju – pravi ga eksplicitno administrator sistema između područ ja van Windows Kerberus-a i domena Windows Server 2003. Ovo nam omogu čava da uspostavimo oblik poverenja i sa nekim drugim operativnim sistemima koji koriste sistem bezbednosti Kerberus. Poverenje može biti tranzitivno ili netranzitivni i jednosmerno ili dvosmerno.
4.3.6 Upravljanje izmenama i konfiguracijama Upravljanje izmenama i konfiguracijama predstavlja skup funkcija preko kojih je mogu će upravljati korisničkim i računarskim podacima i parametrima kao i instalirati i održavati softver na njima.Skup funkcija preko kojih je mogu će pojednostavniti sve te zadatke treba da obuhvate slede će zadatke: upravljanje konfiguracijom radne površine svakog korisnika upravljanje na činom primene i instaliranja softvera instaliranje inicijalnog klijentskog operativnog sistema zamena računara
4.3.7 Grupne politike Grupne politike predstavljaju zbirke korisni čkih i računarskih parametara konfiguracije koji se mogu povezati sa ra čunarima, lokacijama, domenima i organizacionim jedinicama da bi odredili ponašanje radne površine korisnika. Ova opcija omogu ćava nam, da se na više ra čunara koji pripadaju jednoj grupi, odredi kako će izgledati radna površina, koji će programi biti na raspolaganju korisnicima kao i definisanje razli čitih opcija u meniju Start.Da bi to ostvarili potrebno je da se naprave objekti grupne politike( Group Policy Object – GPO) koji će definisati radnu površinu svake grupe. Postoje dve vrste GPO lokalni i nelokalni. Loakalni GPO imaju svi ra čunari koji rade pod Windows Server-om 2003 dok su nelokalni GPO povezani sa objektima servisa Aktivnog Direktorijuma: lokacijama, domenima ili organizacionim jedinicama. Nelokalni GPO mogu biti primenjeni ili na korisnike(nezavisno na kom računaru oni rade) ili na ra čunare. U skladu sa svojstvima nasle đivanja u servisu Aktivnog Direktorijuma, nelokalni GPO se primenjuju hijerahijski od najmanje restriktivne grupe (lokacije) do najrestrijktivnije grupe (organizacione jedinice). Kod njih važi princip kumulativnosti. Kako se nelokalni GPO-i primenjuju hijerahijski, korisnićka ili računarska konfiguracija predstavlja rezultat GPO-a povezanih sa njihovom lokacijom, domenom ili organizacionom jedinicom. 4.3.8 Prostor imena (DNS i imenovanje objekata) Aktivni Direktorijum koristi DNS kao servis za imenovanje i lociranje domena. On nam donosi sledeće prednosti: DNS imena su lako čitljiva, pa se lakše pamte od broj čanih IP adresa, DNS imena su stalnija od IP adresa. Imena servera se retko menjaju za razliku od IP adresa koje su promenljive veli čine. To naro čito važi za mreže gde je aktivirano dinami čko dodeljivanje adresa (DHCP). DNS ima ista pravila kod dodeljivanja adresa kao i Internet servis pa nam je princip povezivanja sa lokalnim resursima potpuno isti kao i sa Internet resursima. Svaki objekat u Aktivnom Direktorijumu identifikuje se po imenu, po principima koje odrežuje LDAP
Administriranje mreža protokol. Pri tome Aktivni Direktorijum se koristi nizom konvencija za imenovanje objekata: Karakteristična imena – svaki objekat u Aktivnom Direktorijumu ima svoj karakteristi čno ime (distinguished name -DN) koje na jedinstven na čin identifikuju objekat. U okviru ovog imena nalazi se ime domena koji sadrži taj objekat kao i kompletnu putanju kroz hijerahiju skladišta do objekta. Uobičajeno je da se koriste tri vrsta skra ćenica kod DN imena: CN-ime objekta, OU-organizaciona jedinica i DC-ime komponete domena. Relativno karakteristi čno ime – RDN( Relative distinguished name) predstavlja deo imena objekta koje je atribut samog objekta. Kako Aktivni Direktorijum podržava upite po atributima objekata, tako nam je omogu ćeno da prona đemo neki objekat i ako neznamo DN ime. Globalno jedinstveni identifikator – svi objekti u Aktivnom Direktorijumu imaju svoj jedinstveni GUID ( globally unique identifier ) identifikator. On se uvek formira pri pravljenju objekta i predstavlja 128 bitni heksdecimalni broj koji je garantovano jedinstven. GUID broj se nikada ne menja, čak i kada objekat promeni svoju lokaciju, pre đe iz jednog domena u drugi domen, ili se preimenuje. Sve aplikacije obra ćaju se objektima preko tog GUID identifikatora a ne aktuelnofg DN imena. Glavno korisni čko ime – UPN ( user principal name ) se sastoji od imena korisni čkog naloga i imena domena koje identifikuje domen u kome se korisni čki nalog nalazi. Svaki otvoreni korisni čki nalog ima jedno takvo ime poznato kao glavno korisni čko ime (
[email protected])..
V čas Implementiranje servisa Aktivnog Direktorijuma
5.1 Planiranje Aktivnog Direktorijuma Od suštinskog zna čaja za funkcionisanje mrežnog operativnog sistema u jednoj organizaciji je da se dobro isplanira aktivni direktorijum shodno zahtevima te organizacije. Kako on sadrži sve glavne komponente koje su potrebne za nesmetano i pouzdano funkcionisanje mreže, svaki i mali propust u njegovoj postavci može u mnogome da smanji funkcionalnost naše mreže. Pre nego što po čnemo da uvodimo servis Aktivnog Direktorijuma moramo prou čiti poslovnu i organizacionu strukturu organizacije gde se on uvodi. Kako usluge Aktivnog Direktorijuma nisu ništa drugo nego uredno razvrstavanje svih mrežnih resursa, kao i upravljanje istim, potrebno je da ta čno znamo broj servera, ra čunara, korisnika, štampača, lokacija gde su resursi, bezbedonosnu politiku i td. Koriste ći fleksibilnost servisa Aktivnog Direktorijuma, kao i podataka koje smo sakupili, možemo da kreiramo strukturu mreže koja će uspešno odgovoriti na zahteve organizacije u kojoj se ona instalira. Strukturu Aktivnog Direktorijuma čine četri osnovne komponente, na koje moramo da obratimo pažnju kod njegovog implementiranja, a to su: plan domena, plan prostora imena domena, plan strukture organizacionih jedinica i plan strukture sajta.
5.1.1 Plan domena Kada planiramo strukturu domena potrebno je da po čnemo od fizičkog okruženja mreže, da odredimo osnovni domen u mreži, odredimo broj domena kao i njihovo hijerahijsko organizovanje. Fizičko okruženje uklju čuje lokacije objekata u mreži, broj korisnika na svakoj lokaciji, broj potrebnih servera kao i servisa na tim serverima, vrstu mreže, brzinu veze, broj i kvalitet WAN konekcija, lokacije mrežnih barijera i td. Osim sagledavanja fizi čkog okruženja, potrebno je da se razmotre i druge infrastrukture koje organizacija ve ć koristi. Na primer, ako postoji ve ć DNS struktura, verovatno će biti dobro da se ona i zadrži. Sli čno ovome, ako se koristi Microsoft Exchange, potrebno je da strukturu domena zasnivamo na njemu. Kada počnemo da instaliramo Aktivni Direktorijum moramo da izaberemo kakav kontroler domena želimo da instaliramo: da li je to prvi kontroler domena za novi domen ili samo želimo da dodamo nov kontroler domena u postoje ći domen. Ako izaberemo da to bude prvi kontroler domena za novi domen, istovremeno ćemo formirati i kontroler domena i novi domen. Nakon toga treba odrediti da li taj novi domen pripada novoj šumi, da li je on podre đen domen u postoje ćem stablu domena ili predstavlja jedno novo stablo domena u postoje ćoj šumi. Dodavanje novog kontrolera u ve ć postojeći domen pravimo ravnopravni kontroler domena. Ravnopravni kontroleri domena obezbe đuju redudantnost i smanjuju optere ćenje postoje čih kontrolera domena. Ovaj izbor se naj češće koristi kada
Administriranje mreža imamo neki domen koji se nalazi na više razli čitih geografskih lokacija. Tada se formira kontroler domena na svakoj lokaciji, kako bi se smanjio saobra ćaj pristupanja servisu Aktivnog Direktorijuma. Kad određujemo osnovni domen moramo da vodimo ra čuna da je on prvi domen koji pravimo u Aktivnom Direktorijumu, pa samim tim predstavlja i najvažniji domen koji kreiramo. Njegova osnovna uloga je da definiše infrastrukturu cele mreže i da upravlja istom. Dobro bi bilo da taj osnovni domen šume bude namenski i da bude postavljen isklju čivo za administriranje infrastrukture celokupne šume. To se preporu čuje iz slede ćih razloga: mogućnost kontrolisanja broja administratora koji mogu da prave izmene u šumi domena, osnovni domen je jako mali pa je jednostavno izvršiti njegovo repliciranje, osnovni domen retko može da zastari jer je njegova uloga samo da služi kao osnova, vlasništvo nad osnovnim domenom se lako može preneti bez premeštanja resursa. Nakon što smo odredili namenski osnovni domen šume, planiranje strukture domena treba da započnemo od jednog podre đenog domena ispod osnovnog. Preporu čuje se da se doda samo taj jedan domen a da druge domene dodamo samo u slu čaju kada taj prvi podre đeni model domena više ne može da ispuni naše zahteve. Za pravljenje više domena mora postojati nekoliko opravdanih razloga kao što su očuvanje postoje će strukture, administrativna i fizi čka podeljenost, potreba da se zadovolje posebni parametri bezbedonosne politike, potreba da se optimizuje replikacijski promet kao i potreba da se postavi zaseban prostor imena. Treba imati u vidu da ve ći broj domena pove ćava troškove održavanja mreže, najčešće zbog dodatnog upravljanja. U ve ćini slučajeva jedan domen može da zadovolji naše potrebe jer on može da se prostire preko više lokacija i da sadrži milione objekata. Ne treba praviti posebne domene koji bi održavali sektore i odelenja u okviru jedne organizacije, jer se te strukture često menjaju. Mnogo je bolje da se to reši putem organzacionih jedinica jer su one jednostavnije za delegiranje i administriranje. Pored toga svakoj organizacionoj jedinici možemo dodeliti neku grupnu politiku a onda na osnovu toga smeštati korisnike, ra čunare ili grupe u nju. Ako ipak do đemo do zaklju čka da nam treba organizacija sa više domena onda njih moramo organizovati u vidu jedne hijerahijske strukture, stabla domena ili šume domena, u zavisnosti šta najbolje odgovara potrebama naše mrežne strukture. Osnovna razlika izme đu ove dve strukture odnosi se na strukturu DNS imena. Svi domeni u stablu domena imaju susedne DNS prostore imena, dok kod šume domena svako stablo domena ima svoj sopstveni jedinstveni prostor imena. Ono što je zajedni čko za obe strukture je dele istu konfiguraciju, šemu i globalni katalog.
5.1.2 Plan prostora imena domena U servisu Aktivnog Direktorijuma domeni imaju imena koja podležu DNS pravilima. Me đutim, pre nego što počnemo da koristimo DNS u našoj mreži potrebno je da isplaniramo DNS prostor imena. Razlikujemo dva prostora imena i to unutrašnji (interni naš prostor imena) i spoljašnji (eksterni prostor imena). Na raspolaganju imamo dva izbora: 1. da je unutrašnji prostor imena isti kao i spoljašnji: dobra strana je da su imena domena potpuno ista i na internoj privatnoj mreži kao i na spoljašnjem javnom Internetu. Loša strana je da zahteva mnogo složeniju strukturu konfigurisanja mreže sa dodatnim zaštitnim serverima ( firewall i proxy serveri), klijenti se moraju konfigurisati da razlikuju interne od eksternih resursa, problem da se interni resursi ne objave na eksternom javnom Internetu i duplirano održavanje podataka o internim i eksternim resursima na mreži. Iako je prostor imena isti, korisnici imaju razli čit pogled na interne i eksterne resurse. 2. da su unutrašnji i spoljašnji prostor imena razdvojeni: pvde postoji jasna razlika izme đu internih i eksternih resursa, upravljanje je olakšano jer nema poklapanja ili dupliranja održavanja a i konfigurisanje klijenata je jednostavnije jer su eksterni resursi jednozna čno određeni. Ali, i ovakva realizacija ima svoje mane koje se ogledaju u dvostrukim imenima za prijavljivanje: jedno za interni a drugo za ekstreni prostor imena koje je potrebno registrovati u oba domena. Kod dodeljivanja imena novokreiranim domenima važe neka pravila koje treba poštovati: Dato ime treba da je jednostavno i da asocira na namenu domena. Jednostavna i precizna imena korisnici lakše pamte i omogu ćavaju korisnicima da potrebne resurse pronalaze intuitivno. Kod davanja imena osnovnom domenu treba voditi ra čuna da se ono ne će menjati, jer svaka izmena tog imena može kasnije biti nemogu ća ili će tražiti dodatni mukotrpni rad a samim tim i pove ćane
Administriranje mreža
troškove. Treba koristiti standardne ASCII karaktere koji podležu DNS pravilima (RFC 1035), a izbegavati neke specijalne karaktere koji nisu standardni. Broj nivoa domena treba ograni čiti. Preporučuje se da dubina domena bude tri do četri od vrha DNS hijerahije, a maksimalno pet. Što je ve ći broj nivoa to je i obiv administriranja komplikovaniji. Da bi se postiglo da ime domena bude jedinstveno u celom DNS okruženju potrebno je da svaki domen ima jedinstveno ime unutar sebi nadre đenog domena. Potrebno je da dužina imena domena bude što manja, ne duža od 255 znaka.
5.1.3 Plan strukture organizacionih jedinica Organizacija jedinica predstavlja skladište koje definiše strukturu unutar nekog domena. One se mogu hijerahijski organizovati u vidu ugnježdavanja. To zna či da unutar domena možemo napraviti hijerahijsku strukturu stabla, gde u okviru jedne organizacine jedince možemo da imamo druge organizacine jedinice, a u okviru njih druge i td. Organizacione jedinice predstavljaju najmanje jedinice na kojima se može dodeliti grupna strategija ili delegirati administriranje. Zato nam ona služi za upravljanje resursima na osnovu modela organizacije, tako da administratori mogu da delegiraju administrativne zadatke svim ili samo jednoj organizacionoj jedinici. Zato, planiranje organizacionih jedinica podrazumeva da smo se dobro upoznali sa funkcionalnom organizacijom i strukturom preduzeća, kao i njihovim administrativnim potrebama. Postoji više razloga zašto se prave organizacione jedinice i to su: Lakše održavanje resursa – organizacione jedinice predstavljaju neku vrstu skladišta u kojima smo smestili različite mrežne resurse: korisnike, ra čunare, štampa če, deljene datoteke, grupe i ostale organizacine jedinice. Jednostavnim odeljivanjem odre đenih prava samo toj oraganizacionoj jedinici mi smo dodeli ta ista prava i svim resursima koji su smešteni u tu organizacinu jedinicu. Lakše delegiranje administrativnih zadataka - grupsanjem više ra čunarskih resursa u jedan jedini resurs dobijamo samo jednu administartivnu oblast za delegiranje. Lakše deljenje korisnika prema grupnim strategijama – zahvaljujući organizacionim jedinicama lakše se drže na okupu svi resursi sa identi čnim bezbedonosnim potrebama. Broj organizacionih jedinica u domenu nije ograni čen i isključivo zavisi od potreba organizacije preduzeća. Ono što je neophodno, to je da organizacione jedinice prvog nivoa budu jedinstvene u domenu. Preporu ćuje se da hijerahijska organizacija bude što pli ća kaoko bi bila lakše shvatljivija. Postoji nekoliko uobi čajenih modela koji nam pomažu da odredimo hijerahiju koja nam najviše odgovara i to: Geografski model – resursi se ovde organizuju prema mestu gde se oni nalaze. Upotrebom mesta kao faktora koji odre đuje organizacionu jedinicu, mi postavljamo čvrste temelje za dalju nadgradnju ka stablu domena. Kako su geografske granice stabilne, prednost ovog modela je da administratorima znatno olakšava pronalaženje resursa na mreži. Ovaj model ne mora potpuno da odražava na čin poslovanja organizacije za koju se organizaciona jednica pravi, ali se uz manje modifikacije može uspešno primeniti. Organizacioni model – ovde se organizacione jedinice prave upravo prema strukturi jedne organizacije, prema odelenjima i sektorima. Administratori često upotrebljavaju ovaj model organizovanja jer je lako prihvatljiv i shvatljiv. On olakšava jednostavno delegiranje zadataka, dodelu prava i zabrana, jer su resurs upravo tako i razdeljeni po organizacionim jedinicama sa istim interesima. Problem menjanja organizacije odelenja u preduze ću ne predstavlja neki problem jer se organizacione jedinice lako reorganizuju. Objektni model – podela resursa po organizacionim jedinicama ovde je definisano na osnovu klasa tih resursa. Klase predstavljaju skup resursa sa istim osobinama kao: korisnici, ra čunari, grupe, štampa či i td. Prednos ovog modela je da olakšava administriranje resursa, jer svaka organizacina jedinica ima jednoobrazne objekte, ali se zato može dobiti veliki broj organizacionih jedinica.
5.1.4 Plan strukture lokacije (sajta) Kao što smo ve ć rekli, lokacija (sajt) predstavlja deo fizi čke strukture servisa Aktivnog Direktorijuma i predstavlja kombinaciju jedne ili više podmreža na bazi IP protokola koje su povezane vrlo brzim i pouzdanim vezama. Struktura lokacije se ovde održava potpuno odvojeno od logi čkog
Administriranje mreža okruženja, strukture domena. Jedan domen može da obuhvati više lokacija kao što i jedna lokacija može da obuhvati više domena ili njegovih delova. Glavna uloga lokacije je da obezbedi dobru povezanost na mreži. Način njegove realizacije najviše uti če na proces prijavljivanja korisnika i provere njihove autentičnosti, kao i na replikaciju direktorijuma. Projektovanje lokacije za mrežu koja se sastoji od jedne lokalne računarske mreže(LAN) je veoma jednostavno. Kako su mrežne veze u jednoj LAN mreži po pravilu jako brze, cela ta mreža može da bude jedan lokacija. Tek ako primetimo da kontroler domena ne odgovara dovoljno brzo na zahteve korisnika treba formirati posebnu lokaciju. Najve ću pažnju treba posvetiti kod projektovanja strukture lokacije/sajta za neku mrežu koja se prostire na nekoliko razli čitih fizičkih lokacija. Ovde treba obratiti pažnju na fizi čke karakteristike tih lokacija, ta čno definisati fizičke lokacije koje ćine domene, odrediti oblasti mreže koje bi mogle da se povežu u sajtove, identifikujete fizičke veze koje poveziju te sajtove, obezbedite otpornost na greške konfigurisanjem mosta za povezivanje sajtova i odrediti na čin, vreme i cenu replikacije.
5.2 Administrativne alatke Aktivnog Direktorijuma Windows Server 2003 poseduje mo ćne i fleksibilne alatke koje nam olakšavaju administriranje jedne složene i velike baze podataka kao što je to baza kod Aktivnog Direktorijuma. Sve te alatke možemo podeliti na dve velike grupe i to: 1) Alatke za Aktivni Direktorijum iz paketa Windows Support Tools – ove alatke većinom služe za konfigurisanje, upravljanje i uklanjanje grešaka u servisu Aktivnog Direktorijuma.. 2) Administrativne konzole za Aktivni Direktorijum – ove alatke se instaliraju automatski na ra čunarima koji su konfigurisani kao kontroleri domena kada se instalira Aktivni Direktorijum. Administrativne konzole mogu biti instalirane i na drugim serverima, ali za to nam je potreban opcioni paket . Na taj na čin omogućeno nam je da vršimo administriranje Aktivnog Administrative Tools Direktorijuma i sa ra čunara koji nisu kontroleri domena. Na raspolaganju su nam slede će administrativne konzole: Active Directory Domains And Trusts – ova konzola obezbe đuje interfejs za upravljanje domenima i odnosima poverenja izme đu šuma i domena. To zna či da uz pomo ć ove konzole možemo da obezbedimo interoperatibilnost sa drugim domenima, promenimo funkcionalni nivo domena (režimi domena), promenimo funkcionalni nivo šume, da dodamo ili uklonimo alternativne sufikse glavnog korisni čkog imena (UPN) koje se koriste za pravljenje korisni čkih imena i da prenesemo glavnu ulogu za operaciju imenovanja domena sa jednog kontrolera domena na drugi. Active Directory Sites And Services – pomoću ove konzole Aktivnom Direktorijumu se daju informacije o fizičkoj konfiguraciji naše mreže. Te informacije Aktivni Direktorijum koristi da bi mogao da odredi kao da vrši repliciranje direktorijuma izme đu kontrolera domena. Active Directory Users And Computers – kao što samo ime ove konzole kaže ona nam omogu ćava da dodamo, izmenimo, obrišemo i organizujemo korisni čke naloge, ra čunarske naloge, bezbedonosne i distributivne grupe i prijavljene resurse u okviru našeg domena.Tako đe vam omogu ćava da upravljamo i kontrolerima domena kao i organizacionim jedinicama. Active Directory Schema – Ova konzola je tako đe na raspolaganju ra čunaru konfigurisanom kao kontroler domena, ali je potrebno da se naknadno instalira iz komandne linije. Ovaj postupak je zamišljen tako, da bi se izbeglo slu čajno menjanje šeme. Prema tome osnovni zadatak ove konzole je da pregledamo i menjamo šemu Aktivnog Direktorijuma.
5.3 Upravljanje Aktivnim Direktorijumom Da bi Aktivni Direktorijum radio pouzdano i efikasno, potrebno je povremeno proveravati integritet podataka u njegovoj bazi. To, pre svega podrazumeva neke radnje koje treba primeniti na toj bazi podataka kao što su poravka, premeštanje, oporavak i defragmentacija iste.
5.3.1 Obezbeđivanje integriteta baze podataka Aktivni Direktorijum predstavlja jednu vrstu transakcione baze podataka. Transakciona baza podataka predstavlja bazu podataka kod koje se ažuriranje podataka vrši iz nekoliko koraka. Jedna transakcija sastoji se iz nekoliko radnji koje je potrebno uraditi u bazi podataka i ona zaokružuje kompletno izvršenje te radnje. Ako se desi da nije mogu će izvršiti sve predvi đene radnje za tu transakciju
Administriranje mreža potrebno je poništiti sve one radnje koje su se izvršile i vratiti se na stanje pre po četka izvršenja te transakcije. Da bi to bilo izvodljivo potrebno je voditi dnevnik transakcija koji nam omogu ćava poništavanje operacija po segmentima i sigurno završavanje transakcija u bazi. Za kontrolu semanti čkog integriteta baze podataka Aktivnog Direktorijuma postoji posebna alatka tj. program ntdutil.exe koji nam omogučava da proverimo broj aktivnih referenci i veza, broj obrisanih objekata, ispravnost DNS strukture imena, bezbedonosnih deskriptora i proverava replikaciju podataka.
5.3.2 Pravljenje rezervnih kopija servisa Aktivnog Direktorijuma Podaci koji se čuvaju u Aktivnom Direktorijumu predstavljaju jako bitne podatke za efikasno funkcionisanje jedne mrežne strukture. Zato je neophodno da se bezbednost tih podataka digne na najve ći mogući nivo kako se ne bi dogodilo da se oni izgube, a samim tim i naruši normalan mrežni rad. Jedan od načina da se bezbednost tih podataka digne na ve ći nivo je pravljenje rezervne kopije tih podataka. Međutim, pre nego što pristupimo pravljenju rezervne kopije potrebno je da uradimo neke preliminarne zadatke. Pre svega, moramo da pripremimo datoteke koje želimo da kopiramo kao i medijum na koji kopiramo te podatke. Ako se radi o izmenljivom medijumu potrebno je da obezbedimo slede će: uređaj u kome se nalazi izmenljivi medijum mora da bude priklju čen na mrežu i uklju čen, prazan medijum treba da bude u ure đaju i uređaj mora da zadovoljava HCL( Hardwre Compatibilitz List ) listu za Windows Server 2003. Kada smo sve ove zadatke uradili možemo pristupiti pravljenju rezervne kopije putem posebnog čarobnjaka Backup Or Restore. On automatski kopira sve sistemske komponente i sve distribuirane servise koji su potrebni servisu Aktivni Direktorijum. Ove komponente i servisi poznati su pod jedinstvenim imenom podaci o stanju sistema. Kod Windows Serever 2003 ovi podaci uklju čuju bazu Registry, bazu podataka COM+ Class Registration , datoteke za podizanje sistema, datoteke pod zaštitom Windows File Protection i bazu podataka Certificate Services . Ako je server i kontroler domena onda ovi podaci uklju čuju i Aktivni Direktorijum i direktorijum Sysvol . Svi ovi podaci su nedeljivi kada se rade rezervne kopije. To zna či da nije izvodljivo da biramo pojedina čne komponente podataka stanja sistema jer su svi oni me đusobno povezani i zavisni jedni od drugih. Rezervne kopije možemo praviti samo za stanje sistema lokalnog ra čunara, a ne i za udaljene ra čunare. Samo članovi grupa Administrators i Backup Operators mogu da prave rezervne kopije. 5.3.3 Premeštanje Aktivnog Direktorijuma Ovu aktivnost vršimo u slu čaju da se fizi čki disk, na kome se nalazi baza podataka, ošteti ili on jednostavno otkaže. Da bi smo to uradili na raspolaganju nam se nalazi alatka pod nazivom ntdsutil.exe koja radi u režimu Directory Service Restore. 5.3.4 Defragmentacija baze podataka Postoje dva na čina defragmentacije baze podataka i to automatska (na vezi) i ru čna (van veze). Automatsko defragmentisanje svoje baze podataka, Aktivni Direktorijum obavlja svakih 12 sati potpuno samostalno i to radi u sklopu svog procesa uklanjanja sme ća ( Garbage Collection ). Ova defragmentacija je veoma delotvorna jer optimizuje skladištenje podataka u bazi podataka. Na ovaj na čin se ne vrši fizi ćka promena veličine baze podataka, tj. ona se ne smanjuje, ve ć se samo osloba đa prostor u kome je mogu će upamtiti nove podatke za resurse mreže. Ovaj postupak defragmetiranja otklanja probleme sa skladištenjem, ali ako baza podataka previše naraste moramo da primenimo drugi na čin a to je defragmentiranje van veze. Taj na čin nam daje potpuno novu, kompaktnu verziju datoteke, ali zato traje dosta duže od prvog na čina. Zato se on primenjuje samo u velikim mrežama koje su podložne čestim i velikim promenama.Baza podataka (fajl Ntds.dit ) je kod takvih mreža dosta veliki i ima dosta ’’praznina’’ ako se primenjuje samo prvi na čin defragmentacije a to može dosta da uspori rad našeg Aktivnog Direktorijuma. 5.3.5 Integrisanje Aktivnog Direktorijuma sa drugim uslugama Postoji više Microsoftovih proizvoda koji su direktno spregnuti sa Aktivnim Direktorijumom. Instaliranje i podešavanje tih proizvoda predstavlja posebnu temu kojoj se mi ne ćemo baviti ovde. Napomenućemo samo nekoliko osnovnih proizvoda i objasniti šta nam oni donose. Aktivni Direktorijum i SQL Server – Mehanizam baze podataka Aktivnog Direktorijuma zove se Jet ,
Administriranje mreža koju koristi i Microsoftov Access. Me đutim, Aktivni Direktorijum može sasvim lepo da koristi i SQL Server kao svoj mehanizam baze podataka. Tako da ako nam trebaju i kontrola pristupa i dobre performanse, koje samo SQL Server može da nam pruži, preporu čuje se da zajedno koriste i Aktivni Direktorijum i SQL Server. Aktivni Direktorijum i Microsoft Exchange – Program Microsoft Exchange omogu ćuje nam da u okviru mreže pouzdano razmenjujemo gotovo sve podatke. Posebna pogodnost je ta da se on može vrlo lako integrisati sa Aktivnim Direktorijumom. Na taj na čin on u njemu podrazumevano skladišti sve podatke o korisnicima i njihovim nalozima. Time smo obezbedili da se podaci ne dupliraju i da su uvek sinhronizovani. Aktivni Direktorijum i DNS – DNS je osnovni na čin pronalaženja usluga i servera Aktivnog Direktorijuma u domenu. Klijenti i razli čiti servisi koriste DNS za pronalaženje osnovnog domena radi prijavljivanja i administriranja mreže. Generalno je pravilo da barem jedan DNS mora biti instaliran u šumi domena da bi Aktivni Direktorijum ispravno radio. U jednostavnim kofiguracijama instaliranje DNS servera predstavlja trivijalan zadatak. Uz Windows Server 2003 dolazi i Microsoftov DNS server ali se može instalirati i bilo koji drugi DNS server (na primer BIND server na UNIX-u). Jedini preduslov koji treba da ispuni taj novi DNS server, je da podržava protokol za dinami čko ažuriranje. Nadgledanje povereničkih odnosa i replikovanje – Active Directory Replication Monitor ( Replmon.exe ) predstavlja grafički alat za nadgledanje operacija niskog nivoa i performansi replikovanja osnovnog domena – upravlja ča u kompletnom domenu.
5.4 Instalacija Aktivnog Direktorijuma
Na početku instalacije treba imati u vidu da je za instalaciju Aktivnog direktorijuma potrebna NTFS particija. Kako bi se konvertovao Windows 2003 Server u kontroler domena, bira se opcija Start Run i unosi se DCPROMO. Time se pokre će čarobnjak za instalaciju Active Directory Installation Wizard (slika 4.6). Ovaj program ne samo da konvertuje server u kontroler domena, ve ć i obratno, vra ća kontroler domena u server. Instalacija Aktivnog direktorijuma je veoma jednostavna. Čarobnjak postavlja niz pitanja i na osnovu odgovora, podešava nova stabla, šumu ili domen, kreira kopiju kontrolera domena u nekom postoje ćem domenu. Na čin na koji se kreira domen je jednostavan. Posle ekrana dobrodošlice pojavi će se okvir kao na slici 4.7. Čarobnjak nudi opcije da li se želi kreirati novi domen ili da se napravi kontroler u postoje ćem domenu. U ovom slu čaju biramo da želimo da kreiramo novi kontroler domena. Windows 2003 Server omogu ćava da se domeni postavljaju u stabla, a stabla u šume, tako da je logi čno da Wizard treba da zna gde da stavi novo stablo, u potpuno novu šumu, u neku postoje ću ili da to bude neki poddomen. Slede ći okvir (slika 4.8) nudi upravo ove opcije: da li se želi kreirati domen u novoj šumi, ili kreirati dete domen u ve ć postojećoj šumi i da li se želi kreirati domen u postoje ćoj šumi. Mi biramo prvu opciju tj. novi domen u novoj šumi. Klikne se na dugme Next . Sada je potrebno uneti ime domena koji se želi kreirati (slika 4.9). U našem slu čaju to je vtsnis.edu.yu. Ovde se dakle unosi ime koje će se registrovati kao zvanično ime. Klikne se na Next . Sledeći okvir nam daje mogu ćnost upisa NetBIOS imena domena (slika 4.10). Ukoliko ste sigurni da mreža na kojoj se instalira kontroler domena radi 100% pod Windows-om 2000, 2003 (uklju čujući i servere i radne stanice) ime ne treba unositi. Mreža će verovatno sadržati neke ra čunare koji rade pod mrežnim softverom koji je pisan u danima Windows 95, kada imena domena nisu mogla da imaju više od 15 karaktera i kada se nije moglo osloniti na bilo kakvu hijerarhiju. Ovi stari sistemi ne mogu da prepoznaju domen pod imenom vtsnis.edu.yu, tako da je njima potrebno ime koje mogu da prepoznaju. Iz tog razloga domen u Windows-u 2003 ima dva imena, svoje DNS ime (tj. vtsnis.edu.yu ) i ime prema starom stilu ozna čavanja domena ( VTS ). Kako su ova stara imena bila izabrana, da bi se prilagodila jednom starom mrežnom programskom interfejsu pod imenom NetBIOS , to je i stil označavanja imena domena nazvan NetBIOS . Nakon ovoga se klikne na Next i pojavljuje se ekran sa slike 4.11. Windows 2003 čuva bazu podataka Aktivnog direktorijuma u dva dela, kao što je slu čaj sa bazama podataka, samom bazom i dnevnikom transakcija. Dve stvari koje treba imati na umu su, da baza podataka Aktivnog direktorijuma treba da bude na NTFS delu, radi postizanja boljih performansi i da je
Administriranje mreža dobra ideja da se dnevnik transakcija čuva na drugom fizi čkom disku. Stavljanje dnevnika transakcija i AD baze podataka na razli čite diskove dovodi do toga da sistem može da ih istovremeno ažurira što opet dovodi do zna čajnog poboljšanja performansi. Da bi se to prilagodilo, klikne se na Next i pojavljuje se okvir sa slike 4.12. Ranije je navedeno da na serveru Aktivnog direktorijuma treba imati najmanje jedan NTFS disk. Ovo je trenutak kada se to koristi. Ranije verzije servera su sve informacije o konfiguraciji korisnika, kao i kontrolere domena čuvale na direktorijumu pod imenom NETLOGON , koji se nalazio na primarnom kontroleru domena. To su bile na primer datoteke sistemskih polisa, podrazumevani profili i skriptovi za prijavljivanje. NETLOGON informacije su bile potrebne i backup kontrolerima domena, pa su administratori mreže morali da nekako osiguraju da sve datoteke NETLOGON -a budu kopirane. Kod Windows-a 2003 nema ovakvih problema. Svi ovi podaci idu na direktorijum pod imenom Sysvol, koji se automatski kopira do drugih kontrolera domena. Ovim se smanjuje posao čuvanja. Opet se klikne na Next i dolazi se do okvira sa slike 4.13 gde se treba pobrinuti o DNS -u. Ovde je DCPROMO pokušao da prona Đe i kontaktira DNS server za vtsnis.edu.yu. Pojavile su se neke teškoće koje su dovele do ove nevolje. Ovaj ekran može da zna či jednu od dve stvari: DCPROMO ne može da dobije odgovor od DNS servera za vtsnis.edu.yu. U konkretnom slu čaju za vtsnis.edu.yu, treba registrovati domen kod neke od organizacija koje se bave time (Web hosting kompanije). Da bi se registrovao domen mora se re ći toj organizaciji IP adresa za dva računara koji će služiti kao DNS serveri domena. Primarni DNS će se nalaziti na ovom ra čunaru, koji još uvek nije podešen, tako da nema DNS servera koji radi. U slu čaju da je DNS server konfigurisan pre pokretanja programa DCPROMO, sprečio bi se prikaz ovog ekrana. Ovaj ekran će izaći i ukoliko ra čunar nije povezan sa internetom. DCPROMO je dobio odgovor od DNS servera za vtsnis.edu.yu , ali je pronašao da oni nisu prihvatili dinamičko ažuriranje. Pretpostavlja se sada da je ra čunar konfigurisan kao DNS server, ali je računar bio NT 4 server ili neki server koji ne podržava RFC 2136 [7] (dokument u kojem je opisan DNS ), jer je NT 4 izašao pre RFC 2136 dokumenta. RFC 2136 podržava ideju dinami čkog ažuriranja, koja je bitna za na čin na koji Windows 2000, 2003 upravlja informacijama o domenima i drugim Windows Serverima. Dinamičko ažuriranje je veoma bitno. DNS je samo baza podataka sa informacijama o adresama. Velika većina zapisa u svetu DNS baza podataka su jednostavni zapisi, stavke koje povezuju ra čunare sa IP adresama. Kada ljudi dodaju novi ra čunar na internet, zapisi tog ra čunara moraju nekako biti uba čeni u neki DNS server. Ranije je neko morao da sedne za ra čunar i da unosi IP brojeve. Aktivni direktorijum želi da može da doda nove podatke u DNS bazu bez restartovanja DNS -a. Ovo je trenutak kada dinami čko ažuriranje ulazi u igru. RFC 2136 definiše protokol za dodavanje, modifikaciju i brisanje DNS zapisa u letu. Aktivni direktorijum se zasniva na ovome tako da on mora imati RFC 2136 kompatibilan server za svoje domene. Rezultat je da kad DCPROMO pronaĐe DNS server domena, prva stvar koju ga pita je „da li podržavaš dinami čko ažuriranje?“. Ako to ne u čini, DCPROMO izbacuje grešku. Uglavnom Aktivni direktorijum neće raditi bez konfigurisanog DNS -a, ipak biramo opciju da želimo da ga kasnije konfigurišemo i kliknemo na Next . Sledeći okvir sa slike 4.14 omogu ćava serverima, koji su generacijski izašli pre Windows-a 2000, proveru autenti čnosti korisnika, gde je Windows 2000 morao malo da izgubi od svoje sigurnosti. Ovo nije prijatno jer donosi mnoštvo sigurnosnih problema koji su postojali kod NT-a 4. Stoga, ukoliko ste sigurni da nema servera sa ranijim verzijama druga opcija je bolja. Kliknemo na Next i pojavljuje se ekran sa slike 4.15 Jedna od opcija Windows-a 2003 je da prepravi ošte ćene baze Aktivnog direktorijuma. Nije poželjno da to može svako da uradi, jer ako se kaže Windows-u 2003 da ponovo napravi svoju bazu podataka, to je u osnovi isto kao da mu se kaže da je uništi. Zbog ovoga Windows 2003 traži lozinku koju će koristiti da prihvati onog ko želi da ponovo napravi bazu AD-a. Popuni se i klikne se na Next , nakon čega će se pojaviti ekran kao na slici 4.16. Ovaj poslednji ekran, treba pažljivo pro čitati i ako nešto nije kako smo želeli, postoji još uvek mogu ćnost da se vratimo i ispravimo ono što ne valja, pre nego što kliknemo na Finish. Potom se pojavljuje okvir kao na slici 4.17.
Administriranje mreža Taj okvir će potrajati na ekranu. Po nekim iskustvima najmanje 10 do 30 minuta. Ovaj proces može da se ubrza sa dva SCSI (Small Computer System Interface)[8] diska. Razlog zašto se mora biti u potpunosti siguran, pre nego što se klikne na Finish je što ukoliko se želi da se nešto promeni, najpre mora da se proĐe kroz ceo proces kreiranja Aktivnog direktorijuma, zatim da se restartuje server, nakon čega treba da se pokrene čarobnjak Active Directory Installation Wizard , da se uništi domen, a nakon toga treba da se ponovo restartuje ra čunar i na kraju ponovo pokrene čarobnjak Active Directory Installation Wizard , po treći put. Ovog puta treba zadati ta čne vrednosti i naravno kada se sve to odradi, potrebno je opet 1030 minuta čekanja i još jedno restartovanje. U svakom slu čaju, kada je direktorijum jednom spreman, čarobnjak završava sa ekranom koji je prikazan na slici 4.18 čime je završena instalacija Aktivnog direktorijuma.
5.4.1 Pružanje „servisa za proveru autentičnosti“: kontroleri domena Kada pokušamo da pristupimo nekom deljenom direktorijumu ili deljenom štampa ču, aktivni direktorijum će izvršiti proveru naše validnosti. Preciznije govore ći, ako sedimo za ra čunarom A i pokušavamo da pristupimo odre đenom fajlu sa deljenog direktorijuma na članskom serveru B, onda će B zatražiti od A odgovor na pitanje ko smo mi uopšte, kako bi B mogao da odlu či da li da nam dozvoli pristup željenom fajlu ili ne. A i B će na kraju zajedno oti ći do kontrolera domena, kako bi proverili našu validnost. Prema tome, AD obezbe đuje jednu centralnu bazu podataka o korisni čkim nalozima, na koju se svi Microsoftovi fajl serveri oslanjaju po pitanju provere autenti čnosti. Pretpostavimo da imamo 10.000 korisnika, 10.000 radnih stanica (me đu kojima je i naš ra čunar A) i 500 servera (me đu kojima je i naš server B). Svaki od ovih 10.000 korisnika trebalo bi da ima mogućnost da do đe do bilo kog od ovih servera i potencijalno fajlovima ili štampa čima na tom serveru, osim ukoliko smo mu eksplicitno zabranili pristup odre đenim resursima. Pored toga, svaki od ovih 10.000 korisnika trebalo bi da može da sedne za bilo koju od 10.000 radnih stanica, da se na njoj prijavi za rad (loguje) i da obavi neki posao. Kako bi to postigli bez upotrebe domena? Morali bi da odgovaraju će zapise, za svih 10.000 korisnika, ru čno da unosimo u SAM fajlove na svakoj radnoj stanici posebno i u SAM fajlove na serverima. Lepota upotrebe domena sastoji se u tome što jednom malom broju servera možemo dati blagoslov za čuvanje podataka o korisnicima i njihovim lozinkama – NTDS:DIT fajl – pa zatim, ostatku mreže omogućiti upotrebu odgovarju ćih servisa, tako da bilo koji ra čunar može reći, na primer, slede će: „Hej, ja sam server B, a jedan momak koji sedi za radnom stanicom A tvrdi da je Mark, da li je on zaista Mark?“ Radi se , dakle, o jednom centralnom servisu, koji je veoma sli čan f ajl servisu, ili servisu za štampanje, ili servisu baze podataka, ili web servisu. Grupa servera, koji pružaju ove usluge, naziva se kontrolerima domena (domain controllers), što se obi čno skraćuje u DC’s. Prema tome, kontroleri domena su ra čunari: Na kojima je instalirana neka verzija NT Servera – da bi se iskoristile najnovije karakteristike aktivnog direktorijuma, kontroleri domena moraju se instalirati na Windows server 2003 računarima. Na kojima se čuva baza podataka o domenskim informacijama. Koji obezbeđuju da njihove kopije domenskih informacija budu veoma kozistente: ako na svojoj mreži imamo pet DC-a , onda će jedan od zadatka koji ovi DC-i obavljaju odnositi na proces pod nazivom replikacija (replication), u kome DC-i jedan drugog me đusobno ažuriraju po pitanju izmena u njihovim bazama podataka, koje nastaju kada kreiraamo neki novi korisni čki nalog, kreiramo novu lozinku i sl. Koji pružaju servis za proveru autenti čnosti, no koji se ostali ra čunari oslanjaju prilikom prijavljivanja korisnika.
5.1.1 Definisanje domena „poverenje“ Sada, dakle, imamo server koji može vršiti proveru autenti čnosti korisnika, to jest, imamo DC. Ali,čiju će proveru autenti čnosti on vršiti? Svakako, on to ne će vršiti za bilo koji ra čunar. Neki PC (bilo da je u pitanju server ili radna stanica) može upotrebit DC na nekom domenu radi prover autenti čnoti, jedino ukolikko se taj PC „pridruži“ (join) domenu i postane „ član domena“ (domani member). Ra čunari koji nisu članovi njednog domena, proveru autenti čnosti mog vršiti upotrebm korisni čkih naloga iz svog
Administriranje mreža lokalnog SAM fajla; nasuprot tome, ra čunar koji su punopravni članovi nekog domena, proveru autentičnosti nekog korisnika mogu vršiti bilo upotrebom ovih lokalnih SAM naloga, ili tako što će od kontrolera tog domena zatražiti proveru autenti čnosti tog korisnika. U svetu Microsoftovih mreža, kažemo da ra čunari koji nisu članovi nijednog domena, veruju (trust) samo svom lokalnom SAM-u, dok računari koji su članovi nekog domena veruju svom SAM fajlu, kao i DC-ima na svom domenu. Prilikom pridruživanja domenu, uspostavlja se „odnos poverenja“ (trust relationship) izme đu PC-ja i DC-a. Pre nego što radna stanica poveruje kontroleru domena koji će joj obezbediti koriš ćenje prijavnih servisa, i pre nego što domen kontroler bude dovoljno verovao radnoj stanici da bi joj pružio ove prijavne servise, MIcrosoftov softver zahteva postojanje dogovora izme đu administratora na nivou domena i administratora na nivou radne stanice. Kada neku mašinu prijavljujete domenu, obi čno smo na nju prijavljeni preko jednog naloga, koji radna stanica prepoznaje kao nalog lokalnog administratora, ali kad zaista uspostavimo zahtev za nje prijem u članstvo domen, domen će nam odgovoriti: „Sada želim da mi pokažete nalog administratora koji može biti prepoznat na domenu“. Ali, odnosi poverenja mogu i ći dalje od toga, mogu će je kreirati odnose poverenja ne samo između mašina i domena, ve ć i između domena i nekog drugog domena. Dakle, Domen predstavlja grupu ra čunara koji veruju DC-ima datog domena, i Različiti domeni mogu biti konfigurisani tako da veruju jedan drugom. Tako dolazimo do još jedne prednosti aktivnog direktorijuma: automatski odnosi poverenja. Aktivni direktorijum omogu ćava izgradnju ve ćih mreža, tako što kreiranje i održavanje multi domenskih mreža čini znatno jednostavnijim. Dok je, nekada, adminidtrator neke multidomenske mreže morao da izgradi i stalno održava kompleksan sistem me đusobnih odnosa poverenja, aktivni direktorijum nam sada daje mogućnost da kreiramo sistem domena pod nazivom šuma (forest). Osnovna prednost šuma se sastoji u tome što će, kad neka grupa domena bude jednom ugra đena u šumu, kreiranje i održavanje njihovih odnosa biti potpuno automatizovano. Pored toga, postoje i manje multi-domenske strukture, pod nazivom stabla (trees), kod kojih se tako đe koristi karakteristika auatomatskog uspostavljanja poverenja.
5.1.2 Izgradnja multi-domenskih struktura Stabla Praktično iskustvo u upotrebi NT-a , pokazalo je da su ljudi prilikom izgaradnje multidomenskih mreža, obično kreirali hjerarhije domena, koje ra čunarski stručnjaci nazivaju strukturom stabla, uprkos činjenici da se kod ovih ra čunarskih stabala korenje nalazi na vrhu, a „liš će“ na dnu. Prvi domen koji kreiramo naziva se korenom (root) stabla. Pretpostavimo da naziv roota galsi bigfirm.biz. domeni ispod njega nazivaju se deca-domeni (child domains). Prilikom podele organizacije, to možemo učiniti, na primer, po geografskom principu – istocni.bigfirm.biz i zapadni.bigfirm.biz. Prema tome, pravilo za davanje naziva deci-domenima glasi: dete-domen mora imati naziv u obliku naziv.nazivroditeljskogdirektorijuma.
Osnovna prednost upotrebe stabala odnosi se, pre svega, na automatsko uspostavljanje odnosa poverenja, što je zaista sjajna osobina. Šume Pretpostavimo, sada, da je naša kompanija Root(.) podeljena na domene bigfirm.biz i apex.com. Na dalje,ome pretpostavimo da smo odlu čili da zadržimo multi-domensku strukturu, pri čemu želimo da jedan njen deo zadrži naziv bigfirm.biz, a da drugi nastavi da egzistira pod nazivom bigfirm.biz apex.com. Nalazimo se, dakle, u slede ćoj situaciji: prvo, imamo dav domena, i drugo, ova dva domena se ne mogu uklopiti u jedno stablo. Od ova dva domena možemo, doduše, kreirati jednu jedinstvenu strukturu, ali ona ne može imati istocni.bigfirm.biz zapadni.bigfirm.biz oblik stabla, zbog njihovih razli čitih naziva. Umesto toga, trebalo bi da kreiramo takozvanu
apex.com
Administriranje mreža šumu. Kao što se vidi sa slike, šuma ne predstavlja ništa drugo do grupu stabala. Slika 3.3 Šematski prikaz šume Na slici je prikazana šuma koja je izgra đena od bigfirm.biz i apex.com stabala. Izuzev različitih nazivnih hijerarhija, sva stabla u šumi se,sa aspekta me đusobnih odnosa poverenja, mogu posmatrati kao jedno stablo – aktivni direktorijum će automatski kreirati tranzitivne odnose poverenja. Tako, na primer, pošto istocni.bigfirm.biz veruje domenu bigfirm.biz, a bigfirm.biz veruje domenu apex.com, to će i istocni.bigfirm.biz – potpuno automatski – verovati domenu apex.com.
5.1.3 Provera auentičnosti za veliki broj različitih proizvođača Microsoft je odlučio da svoj aktivni direktorijum opremi standardnim interfejsom, pod nazivom Lightweight Directory Acces Protocol (LDAP). Postavljanjem LDAP interfejsa na svoj aktivni direktorijum, Microsoft je širom otvorio vrata za programere svih ostalih proizvo đača. Postojanje LDAPa znači da je (bar teoretski) mogu će izgraditi alate pomo ću kojih se može kreirati struktura aktivnog direktorijuma – domeni, stabla, šume, organizacione jedinice, korisni čki nalozi i sve ostale komponente. Drugim rečima, to znači da, ako nam se dopada AD, ali strašno mrzimo Microsoftove alate za administraciju, onda neka inteligentna nezavisna firma može jednostavno uleteti sa ponudom svojih alata, koji će biti izraženi na temelju LDAP interfejsa. 5.1.4 Problemi vezani za konektivnost i replikaciju Sve veći broj kompanija jednostavno ne živi više samo u jednom gradu. Kupili su, recimo, neku drugu firmu sa drugog kraja zemlje, tako da ono što je neka predstavljalo dve odvojene mreže lokalnog područ ja, sada prestavlja jednu organizaciju sa potrebom za kreiranje WAN mreže. Ukoliko je ovaj WAN link dovoljno brz, nijedan mrežni dizajn ne će izazivati nikakvu glavobolju: kada povežemo dve izdvojene kancelarije uz pomo ć T1 linka, od tog trenutka ih možemo, u suštini, tretirati kao jednu kancelariju. Od toga možemo imati velike koristi, jer će svaki sajt (lokacija) obi čno sadržati svoj kontroler domena. Ali, ovi kontrolerori domena moraju komunicirati me đusobno, kad god do đe do nekih izmena u bazi, kao na primer, kada korisnik promeni svoju lozinku ili kada administrator kreira novi korisni čki nalog. Ovaj proces se naziva replikacijom aktivnog direktorijuma. Pretpostavimo, međutim, da smo, pod operativnim sistemom NT4, imali dve izdvojene kancelarije, međusobno konektovane sporim WAN linkom. Nadalje, pretpostavimo da je u svakoj od ovih kancelarija postojao po jedan kontroler domena. Između ovih kontrolera domena morala je da se redovno obavlja replikacija njihovih SAM baza podataka. Ažuriranje NT4 kontrolera domena obavljalo se svakih pet minuta. To zanči da će svaki kontroler domena uporno pokušavati da sve svoje izmene replikuje na kontroler domena, bez obzira što su oni povezani samo jednim veoma sporim WAN linkom. Sve to njihovo ćaskanje moglo bi u velikoj meri zagušititi WAN link i spre čititi prolazak nekog drugog, mnogo važnijeg saobra ćaja. AD i ovde donosi veoma zna čajno poboljšanje, tko što nam omogu čava da našim WIndows 2000 i Server 2003 kontrolerima domena saop čtimo koliko su oni me đusobno dobro konektovani. Ideja se saatoji u tome da svoje preduze će opisujemo uz pomo ć termina sajtovi (sites), koji u osnovi ne predstavljauju ništa drugo do grupu servera sa brzom me đusobnom konekcijom – odnosno, grupu servera koji egzistiraju na istoj LAN mreži. Nakon toga, možemo definisati koliko su brze (ili, verovatnije, spore) konekcij između ovih sajtova, kako bi AD mogao pametnija da koristi ove konekcije. Konkretno, serveri aktivnog direktorijuma Windowsa 2000 će obaviti kompresiju podataka pre nego što ih pošalje preko sporih WAN linkova. Doduše, ova kompresija će oduzeti malo procesorske snage ali će se višestruko isplatiti, jer AD može posti ći stepen kompresije od čak 10:1. Ali, neki ljudi ne bi voleli da AD ne troši uludo snagu svog procesora na kompresiju i dekompresiju podataka, jer poseduju dovoljno veliki propusni opseg WAN linka. I za ovakve korisnike, AD servera 2003 nudi adekvaatno poboljšanje: sada imamona raspolaganju opciju za isklju čenje kompresije. Ne samo što se često suočavamo sa sporim linkovima, ve ć često moramo da se pomirimo sa neminovnošću upotrebe nepouzdanih linkova, onih koji čas rade čas ne rade, odnosno onih koji svakog dana rade samo tokom kratkog vremenskog perioda. Aktivni direktorijum omogu ćava da definišemo ne samo brzinu WAN linka, ve ć i vreme kada je on obi čno dostupan.
