Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00302 004656 22932178 na godz. na dobę w sumie
Egzamin 70-742: Tożsamość w Windows Server 2016 - ebook/pdf
Egzamin 70-742: Tożsamość w Windows Server 2016 - ebook/pdf
Autor: Liczba stron:
Wydawca: Promise Język publikacji: polski
ISBN: 978-83-7541-341-0 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> serwery internetowe
Porównaj ceny (książka, ebook, audiobook).

Przygotuj się do egzaminu Microsoft 70-742 i udowodnij biegłość w obsłudze funkcji związanych z tożsamością w systemie Windows Server 2016. Ten podręcznik został opracowany z myślą o doświadczonych specjalistach z branży IT, pragnących rozwijać swoje umiejętności. Koncentruje się na rozwijaniu umiejętności krytycznego myślenia i podejmowania decyzji, które są kluczowe do osiągnięcia sukcesu na poziomie MCSA.
Książka pozwala zdobyć następujące umiejętności:
Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory (AD DS)
Zarządzanie i utrzymywanie AD DS
Tworzenie i zarządzanie zasadami grupy
Implementowanie usług certyfikatów w usłudze Active Directory
Implementowanie federacji tożsamości i rozwiązań dostępu
Cechy tego podręcznika:
Porządkuje wiadomości według zagadnień egzaminacyjnych.
Zawiera strategiczne scenariusze „co się stanie, jeśli”, stawiające wyzwania przed użytkownikami.
Zakłada, że czytelnik ma już doświadczenie w obsłudze systemu Windows Server i klientów Windows oraz zna zagadnienia związane z wirtualizacją; czytelnik powinien również znać podstawowe technologie sieciowe i podstawy najlepszych praktyk związanych z zabezpieczeniami.
O tym egzaminie
Egzamin 70-742 koncentruje się na umiejętnościach i wiedzy, potrzebnej do zaimplementowania i skonfigurowania funkcji związanych z tożsamością, dostępnych w systemie
Windows Server 2016.
O certyfikacji Microsoft
Po zaliczeniu tego egzaminu uzyskasz punkty, niezbędne do zdobycia certyfikatu Microsoft Certified Solutions Associate (MCSA). Potwierdza on doskonałe opanowanie umiejętności związanych z Windows Server 2016, które umożliwiają obniżenie kosztów IT i dostarczenie wyższej wartości biznesowej.
Certyfikat MCSA: Windows Server 2016 wymaga także zaliczenia egzaminu 70-740 (Instalacja, przechowywanie i obliczenia w Windows Server 2016) i 70-741 (Windows Server 2016 – Praca w sieci).


O autorze
Andrew James Warren pracował jako ekspert na kursach obsługi systemu Windows Server 2016 jako kierownik techniczny kursów dotyczących systemu Windows 10 oraz jako współtwórca sesji TechNet, dotyczących usługi Microsoft Exchange Server. Ma ponad 30 lat doświadczenia w branży IT.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Andre Warren Egzamin 70-742 Tożsamość w Windows Server 2016 Przekład: Joanna Zatorska APN Promise, Warszawa 2017 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Egzamin 70-742: Tożsamość w Windows Server 2016 Authorized Polish translation of the English language edition entitled: Exam Ref 70-742 Identity with Windows Server 2016, by Andrew James Warren, ISBN: 978-0-7356-9881-9 Copyright © 2017 by Pearson Education Inc. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc. Polish language edition published by APN PROMISE SA Copyright © 2017 Autoryzowany przekład z wydania w języku angielskim, zatytułowanego: Exam Ref 70-742 Identity with Windows Server 2016, by Andrew James Warren, ISBN: 978-0-7356-9881-9 Wszystkie prawa zastrzeżone. Żadna część niniejszej książki nie może być powielana ani rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (elektroniczny, mechaniczny), włącznie z fotokopiowaniem, nagrywaniem na taśmy lub przy użyciu innych systemów bez pisemnej zgody wydawcy. APN PROMISE SA, ul. Domaniewska 44a, 02-672 Warszawa tel. +48 22 35 51 600, fax +48 22 35 51 699 e-mail: mspress@promise.pl Przykłady firm, produktów, osób i wydarzeń opisane w niniejszej książce są fikcyjne i nie odnoszą się do żadnych konkretnych firm, produktów, osób i wydarzeń, chyba że zostanie jednoznacznie stwierdzone, że jest inaczej. Ewentualne podobieństwo do jakiejkolwiek rzeczywistej firmy, organizacji, produktu, nazwy domeny, adresu poczty elektronicznej, logo, osoby, miejsca lub zdarzenia jest przypadkowe i niezamierzone. Nazwa Microsoft oraz znaki towarowe wymienione na stronie http://www.microsoft.com/ about/legal/en/us/IntellectualProperty/Trademarks/EN-US.aspx są zastrzeżonymi znakami towarowymi grupy Microsoft. Wszystkie inne znaki towarowe są własnością ich odnośnych właścicieli. APN PROMISE SA dołożyła wszelkich starań, aby zapewnić najwyższą jakość tej publikacji. Jednakże nikomu nie udziela się rękojmi ani gwarancji. APN PROMISE SA nie jest w żadnym wypadku odpowiedzialna za jakiekolwiek szkody będące następstwem korzystania z informacji zawartych w niniejszej publikacji, nawet jeśli APN PROMISE została powiadomiona o możliwości wystąpienia szkód. ISBN: 978-83-7541-328-1 Przekład: Joanna Zatorska Redakcja: Marek Włodarz Korekta: Ewa Swędrowska Skład i łamanie: MAWart Marek Włodarz ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Spis treści 1 Wstęp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii Ważne: Jak używać tej książki podczas przygotowania do egzaminu . . . . . . . . . . xi Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Zagadnienie 1.1: Instalowanie i konfiguracja kontrolerów domeny . . . . . . . . . . . . 2 Podstawy AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Instalowanie nowego lasu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Dodawanie lub usuwanie kontrolera domeny . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Instalowanie usługi AD DS w instancji Server Core . . . . . . . . . . . . . . . . . . . . . . . . 20 Instalowanie kontrolera domeny za pomocą funkcji Install from Media . . . . . . 21 Instalowanie i konfigurowanie kontrolera domeny tylko do odczytu . . . . . . . . . 24 Konfigurowanie serwera wykazu globalnego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Konfigurowanie klonowania kontrolera domeny . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Aktualizacja kontrolerów domeny . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Transferowanie i przejmowanie ról wzorca operacji . . . . . . . . . . . . . . . . . . . . . . . . 41 Rozwiązywanie problemów z rejestracją rekordów DNS SRV . . . . . . . . . . . . . . . . 47 Zagadnienie 1.2: Tworzenie i zarządzanie użytkownikami i komputerami w usłudze Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Tworzenie, kopiowanie, konfigurowanie oraz usuwanie użytkowników i komputerów Implementowanie dołączenia do domeny offline . . . . . . . . . . . . . . . . . . . . . . . . . 65 Konfigurowanie praw użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Wykonywanie zbiorczych operacji w usłudze Active Directory . . . . . . . . . . . . . . 68 Zagadnienie 1.3: Tworzenie i zarządzanie grupami i jednostkami organizacyjnymi Tworzenie grup i zarządzanie nimi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Tworzenie jednostek organizacyjnych i zarządzanie nimi . . . . . . . . . . . . . . . . . . . 80 Delegowanie zarządzania usługą Active Directory za pomocą grup i jednostek organizacyjnych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 50 71 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== iii iv Spis treści 2 Zarządzanie i utrzymywanie usługi AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Zagadnienie 2.1: Konfiguracja uwierzytelniania usługi i zasad konta . . . . . . . . . 90 Tworzenie i konfigurowanie kont MSA i gMSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Zarządzanie nazwami SPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Konfigurowanie delegowania protokołu Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . 95 Konfigurowanie kont wirtualnych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Konfigurowanie zasad konta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Konfigurowanie i stosowanie obiektów ustawień hasła . . . . . . . . . . . . . . . . . . . . 104 Delegowanie zarządzania ustawieniami hasła . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Zagadnienie 2.2: Utrzymywanie usługi Active Directory . . . . . . . . . . . . . . . . . . . . 111 Zarządzanie offline usługą Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Tworzenie kopii zapasowych i odzyskiwanie Active Directory . . . . . . . . . . . . . . 118 Zarządzanie kontrolerami domeny tylko do odczytu . . . . . . . . . . . . . . . . . . . . . 127 Zarządzanie replikacją AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Zagadnienie 2.3: Konfiguracja usługi Active Directory w złożonym środowisku przedsiębiorstwa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Konfigurowanie infrastruktury AD DS z wieloma domenami i lasami . . . . . . . 138 Wdrażanie kontrolerów domeny systemu Windows Server 2016 w istniejącym środowisku AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Aktualizacja istniejących domen i lasów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Konfiguracja poziomów funkcjonalności domeny i lasu . . . . . . . . . . . . . . . . . . . 140 Konfigurowanie wielu sufiksów głównych nazw użytkowników . . . . . . . . . . . . 142 Konfigurowanie relacji zaufania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Konfigurowanie lokacji i podsieci AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 3 Tworzenie zasad grupy i zarządzanie nimi . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Zagadnienie 3.1: Tworzenie obiektów zasad grupy i zarządzanie nimi . . . . . . . 170 Konfigurowanie wielu lokalnych zasad grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Przegląd obiektów GPO opartych na domenie . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Zarządzanie początkowymi obiektami GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Konfigurowanie połączeń obiektów GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Tworzenie kopii zapasowych, odzyskiwanie, importowanie i kopiowanie obiektów GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Tworzenie i konfigurowanie tabeli migracji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Resetowanie domyślnych obiektów GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Delegowanie zarządzania zasadami grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Spis treści v Wykrywanie problemów kondycji za pomocą pulpitu Group Policy Infrastructure Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Zagadnienie 3.2: Konfigurowanie przetwarzania zasad grupy . . . . . . . . . . . . . . . 206 Konfigurowanie kolejności i pierwszeństwa przetwarzania . . . . . . . . . . . . . . . . 208 Konfigurowanie dziedziczenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Konfigurowanie filtrowania zabezpieczeń i filtrowania WMI . . . . . . . . . . . . . . . 215 Konfigurowanie przetwarzania sprzężenia zwrotnego . . . . . . . . . . . . . . . . . . . . 224 Konfigurowanie i zarządzanie przetwarzaniem powolnych połączeń i zapisywaniem zasad grupy w pamięci podręcznej . . . . . . . . . . . . . . . . . . . . . 226 Konfigurowanie zachowania rozszerzeń klienta . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Wymuszanie aktualizacji zasad grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 Zagadnienie 3.3: Konfigurowanie ustawień zasad grupy . . . . . . . . . . . . . . . . . . . 232 Konfigurowanie instalacji oprogramowania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 Konfigurowanie skryptów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Importowanie szablonów zabezpieczeń . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Konfigurowanie przekierowania folderu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Konfigurowanie szablonów administracyjnych . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 Zagadnienie 3.4: Konfigurowanie preferencji zasad grupy . . . . . . . . . . . . . . . . . . 259 Konfigurowanie preferencji zasad grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Konfigurowanie określania wartości docelowej na poziomie elementu . . . . . . 271 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 4 Implementowanie usług certyfikatów Active Directory . . . . . . . . . . . . 277 Zagadnienie 4.1: Instalowanie i konfigurowanie AD CS . . . . . . . . . . . . . . . . . . . . 278 Wybieranie między autonomicznym urzędem certyfikacji a urzędem certyfikacji przedsiębiorstwa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Instalowanie autonomicznych urzędów certyfikacji . . . . . . . . . . . . . . . . . . . . . . . 283 Instalowanie urzędu certyfikacji przedsiębiorstwa zintegrowanego z usługą AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Instalowanie głównych urzędów certyfikacji offline oraz podrzędnych urzędów certyfikacji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Instalowanie i konfigurowanie obiektu odpowiadającego w trybie online . . . 307 Implementowanie separacji ról administracyjnych . . . . . . . . . . . . . . . . . . . . . . . . 310 Konfigurowanie kopii zapasowych i przywracania urzędów certyfikacji . . . . . 314 Zagadnienie 4.2: Zarządzanie certyfikatami . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Zarządzanie szablonami certyfikatów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== vi Spis treści 5 Implementowanie i zarządzanie wdrażaniem, weryfikacją i odwoływaniem certyfikatów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Konfigurowanie i zarządzanie archiwizacją i odzyskiwaniem klucza . . . . . . . . . 331 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Implementowanie federacji tożsamości i rozwiązań dostępu . . . . . . . 339 Zagadnienie 5.1: Instalowanie i konfigurowanie usług AD FS . . . . . . . . . . . . . . . 340 Sprawdzanie wymagań usługi AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Instalowanie roli serwera AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 Konfigurowanie roli serwera AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Implementowanie uwierzytelniania opartego na oświadczeniach włącznie z zaufaniem jednostki zależnej . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 Konfigurowanie zasad uwierzytelniania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Implementowanie i konfigurowanie rejestracji urządzeń . . . . . . . . . . . . . . . . . . 360 Konfigurowanie w celu użycia z usługą Microsoft Azure i pakietem Microsoft Office 365 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Konfigurowanie AD FS w celu włączenia uwierzytelnienia użytkowników przechowywanych w katalogach LDAP . . . . . . . . . . . . . . . . . . 364 Aktualizacja i migracja wcześniejszych obciążeń usługi AD FS do serwera Windows Server 2016 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 Zagadnienie 5.2: Implementowanie serwera proxy aplikacji sieci Web . . . . . . . 368 Instalowanie i konfigurowanie serwera proxy aplikacji sieci Web . . . . . . . . . . . 368 Integrowanie serwera proxy aplikacji seci Web z usługą AD FS . . . . . . . . . . . . 371 Implementowanie serwera proxy aplikacji sieci Web w trybie przekazywania 376 Publikowanie aplikacji bramy usług pulpitu zdalnego . . . . . . . . . . . . . . . . . . . . 377 Zagadnienie 5.3: Instalowanie i konfigurowanie usługi AD RMS . . . . . . . . . . . . 381 Omówienie usługi AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 Wdrażanie serwera AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 Zarządzanie szablonami zasad praw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 Konfigurowanie zasad wykluczania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 Tworzenie kopii zapasowych i przywracanie AD RMS . . . . . . . . . . . . . . . . . . . . . 398 Podsumowanie rozdziału . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Eksperyment myślowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Odpowiedzi do eksperymentu myślowego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 Indeks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 O autorze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Wstęp Egzamin 70-742 koncentruje się na funkcjonalnościach związanych z tożsamością, dostępnych w systemie Windows Server 2016. Obejmuje instalację i konfigurację usług domenowych w usłudze Active Directory (AD DS) oraz zarządzanie i utrzymy- wanie usług AD DS, włącznie z konfigurowaniem AD DS w złożonym środowisku przedsiębiorstwa. Znaczna część zagadnień egzaminacyjnych dotyczy zarządzania zasadami grupy. Egzamin obejmuje też zagadnienia związane z implementacją usług Active Directory Certificate Services (AD CS), federacji tożsamości oraz rozwiązań dostępu, wraz z usługami Active Directory Federation Services (AD FS), serwerem proxy aplikacji sieci Web oraz z usługami Active Directory Rights Management Services (AD RMS). Ta książka została opracowana z myślą o administratorach AD DS, którzy potrze- bują szkolenia z zakresu technologii związanych z tożsamością i dostępem w systemie Windows Server 2016. Tematyka tej książki obejmuje wdrażanie i konfigurację AD DS w środowisku rozproszonym oraz implementowanie zasad grupy. Ponadto opisuje wdrażanie usług AD FS, AD RMS i AD CS. Ta książka opisuje wszystkie ważniejsze zagadnienia objęte egzaminem, ale nie zawiera odpowiedzi na wszystkie pytania egzaminacyjne. Tylko zespół egzaminacyjny firmy Microsoft ma dostęp do pytań egzaminacyjnych, a firma Microsoft regularnie dodaje nowe pytania do egzaminu, co uniemożliwia uwzględnienie w książce wszyst- kich pytań. Powinieneś traktować tę książkę jako uzupełnienie swojego praktycznego doświadczenia i innych materiałów szkoleniowych. Jeśli natkniesz się tu na zagad- nienie, którego w pełni nie zrozumiałeś, skorzystaj z łączy dostępnych w sekcjach „Dodatkowe materiały”, aby uzyskać więcej informacji i poświęć nieco czasu na prze- studiowanie zagadnienia. Wiele przydatnych informacji można znaleźć w witrynach MSDN i TechNet oraz na blogach i forach. Organizacja tej książki Ta książka jest zorganizowana według listy „Sprawdzane umiejętności”, opublikowanej dla tego egzaminu. Lista ta jest dostępna dla każdego egzaminu i można ją znaleźć w witrynie Microsoft Learning, pod adresem: https://aka.ms/examlist. Każdy rozdział w tej książce odpowiada jednemu z głównych zagadnień na liście, a techniczne zadania vii ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== viii Wstęp w każdym zagadnieniu determinują organizację rozdziału. Jeśli egzamin obejmuje na przykład sześć większych zagadnień, książka będzie zawierać sześć rozdziałów. Certyfikaty firmy Microsoft Certyfikaty firmy Microsoft wyróżniają osoby, które wykazały się znajomością szero- kich zagadnień oraz doświadczeniem w korzystaniu z bieżących produktów i techno- logii firmy Microsoft. Egzaminy i odpowiadające im certyfikaty są opracowywane, aby zweryfikować doskonałą znajomość krytycznych kompetencji z zakresu projektowania i rozwijania, lub implementowania i wspierania rozwiązań z wykorzystaniem produk- tów i technologii firmy Microsoft, zarówno w infrastrukturze lokalnej, jak i w chmu- rze. Program certyfikacyjny przynosi wiele korzyści osobom indywidualnym, praco- dawcom oraz organizacjom. DoDatkowe informacje Wszystkie certyfikaty firmy Microsoft Więcej informacji o certyfikatach firmy Microsoft, włącznie z listą wszystkich dostępnych certyfikatów, znajdziesz pod adresem https://www.microsoft.com/learning. Podziękowania Andrew Warren Gdy zaczynam pisać książkę, przez chwilę siedzę przed ekranem komputera, obserwując migający kursor. W końcu dochodzę do wniosku, że książka nie napisze się sama i zabieram się do pracy. Ale autor jest tylko pierwszym ogni- wem tego procesu. Bez mojej redaktorki Triny MacDonald oraz zespołu wydawnictwa Pearson mój kursor nadal by migał na ekranie. Chciałbym także podziękować swojej żonie i córce za to, że dbały, aby w ekspresie do kawy nigdy nie brakowało ziaren. Darmowe ebooki wydawnictwa Microsoft Press Darmowe ebooki wydawnictwa Microsoft Press obejmują szeroki zakres tematów, począwszy od przeglądów technicznych do szczegółowych informacji o konkretnych zagadnieniach. Te ebooki są dostępne w formatach PDF, EPUB oraz Mobi dla urządzeń Kindle i można je pobrać ze strony: https://aka.ms/mspressfree Zachęcamy do częstego zaglądania i sprawdzania, czy nie pojawiło się coś nowego! ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Microsoft Virtual Academy ix Microsoft Virtual Academy Poszerz swoją znajomość technologii firmy Microsoft, korzystając z bezpłatnych, pro- wadzonych przez ekspertów szkoleń online, dostępnych w Microsoft Virtual Academy (MVA). MVA zawiera obszerną bibliotekę wideo, wydarzeń na żywo i innych materia- łów, które ułatwią naukę najnowszych technologii oraz przygotowanie do egzaminów certyfikacyjnych. Tutaj znajdziesz potrzebne informacje: https://www.microsoftvirtualacademy.com Errata, aktualizacje i wsparcie do książki Dołożyliśmy wszelkich starań, aby zagwarantować dokładność tej książki i towarzy- szących jej materiałów dodatkowych. Aktualizacje do książki są dostępne – w postaci listy nieścisłości i poprawek – na stronie: https://aka.ms/examref742/errata W przypadku odkrycia błędu, który nie został jeszcze uwzględniony, można go zgłosić korzystając z tej samej witryny. Jeśli potrzebne jest dodatkowe wsparcie, napisz e-mail do działu Microsoft Press Book Support, na adres mspinput@microsoft.com. Należy pamiętać, że podane powyżej adresy nie służą do otrzymania wsparcia dla oprogramowania i sprzętu produkowanego przez firmę Microsoft. Pomoc zwią- zana z oprogramowaniem lub sprzętem firmy Microsoft jest dostępna na stronie https://support.microsoft.com. Chcemy poznać Twoją opinię W wydawnictwie Microsoft Press Twoja satysfakcja jest dla nas najważniejsza, a Twoja opinia jest dla nas niezwykle cenna. Napisz nam, co sądzisz o tej książce: https://aka.ms/tellpress Wiemy, że jesteś zajęty, dlatego uprościliśmy nasz formularz, który zawiera tylko kilka pytań. Odpowiedzi zostaną przesłane bezpośrednio do redaktorów w wydawnictwie Microsoft Press. (Nie pytamy o żadne dane osobowe.) Z góry dziękujemy za Twój udział w ankiecie! ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== x Wstęp Pozostańmy w kontakcie Podtrzymajmy kontakt! Znajdziesz nas na Twitterze: http://twitter.com/MicrosoftPress. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Ważne: Jak używać tej książki podczas przygotowania do egzaminu Egzaminy certyfikacyjne weryfikują Twoją wiedzę praktyczną i znajomość produktu. Ten podręcznik pomoże ci się przekonać, czy jesteś gotów do przystąpienia do egzami- nu, sprawdzając Twoją znajomość zagadnień wchodzących w jego skład. Dzięki niemu możesz określić, które tematy znasz doskonale, a które obszary wymagają dodatkowej pracy. Aby ułatwić odświeżenie umiejętności z określonych dziedzin, dołączyliśmy też wskazówki „Szybki przegląd”, kierujące do dodatkowych, zewnętrznych źródeł informacji. Podręcznik ten nie może zastąpić doświadczenia praktycznego. Książka ta nie ma na celu uczenia nowych umiejętności, ale utrwalenie i uporządkowanie już posiadanej wiedzy. Zalecamy, aby w trakcie przygotowań do egzaminu korzystać z wielu dostępnych materiałów szkoleniowych. Więcej informacji na temat dostępnych szkoleń można zna- leźć pod adresem https://www.microsoft.com/learning. Dla wielu egzaminów dostępne są Microsoft Official Practice Tests – ich spis można znaleźć pod adresem https://aka. ms/practicetests. Dostępne są również darmowe szkolenia online i wykłady na żywo w Microsoft Virtual Academy, pod adresem https://www.microsoftvirtualacademy.com. Książka ta została uporządkowana według listy mierzonych umiejętności (Skills measured) dla tego egzaminu. Lista taka dla każdego egzaminu jest dostępna w witry- nie Microsoft Learning: https://aka.ms/examlist. Warto odnotować, że niniejsza książka opiera się na publicznie dostępnych infor- macjach na temat egzaminów oraz doświadczeniach autorów. W celu zachowania peł- nej poufności autorzy nie mieli dostępu do treści rzeczywistych egzaminów. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== xi ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== ROZDZIAŁ 1 Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory Usługi domenowe w usłudze Active Directory (AD DS – Active Directory Domain Services) stanowią sedno rozwiązań związanych z tożsamością i dostępem w syste- mie Windows Server 2016. To dlatego należy poznać zasady implementacji infrastruk- tury AD DS, aby skutecznie zaspokoić potrzeby organizacji dotyczące tożsamości. W tym rozdziale zostaną poruszone zagadnienia związane z instalowaniem i kon- figurowaniem kontrolerów domeny, tworzeniem i konfigurowaniem użytkowników, grup, komputerów i jednostek organizacyjnych (OU – organizational unit). Są to umie- jętności niezbędne podczas implementacji usług AD DS. Zagadnienia egzaminacyjne omawiane w tym rozdziale: ■■ Zagadnienie 1.1: Instalowanie i konfiguracja kontrolerów domeny 2 ■■ Zagadnienie 1.2: Tworzenie i zarządzanie użytkownikami i komputerami w usłudze Active Directory 50 ■■ Zagadnienie 1.3: Tworzenie i zarządzanie grupami i jednostkami organizacyjnymi 71 ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 1 2 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory Zagadnienie 1.1: Instalowanie i konfiguracja kontrolerów domeny Kontrolery domeny są hostem roli serwera AD DS w Windows Server 2016. Zapewniają usługi uwierzytelnienia i pokrewne komputerom organizacji oraz innym urządze- niom sieciowym. Zanim będzie można poprawnie zinterpretować scenariusze wdra- żania kontrolerów domeny AD DS, trzeba najpierw zrozumieć podstawy dotyczące usługi AD DS, a w szczególności pojęcia lasów, drzew, domen, witryn i jednostek organizacyjnych. W tym podrozdziale zostaną omówione następujące zagadnienia: ■■ Podstawy AD DS ■■ Instalowanie nowego lasu ■■ Dodawanie lub usuwanie kontrolera domeny ■■ Instalowanie usługi AD DS w instancji Server Core ■■ Instalowanie kontrolera domeny za pomocą funkcji Install from Media (Instalowanie z nośnika) ■■ Instalowanie i konfigurowanie kontrolera domeny tylko do odczytu ■■ Konfigurowanie serwera wykazu globalnego ■■ Konfigurowanie klonowania kontrolera domeny ■■ Aktualizacja kontrolerów domeny ■■ Transferowanie i przejmowanie ról wzorca operacji ■■ Rozwiązywanie problemów związanych z rejestracją rekordów DNS SRV Podstawy AD DS AD DS opiera się zarówno na komponentach logicznych, jak i fizycznych. Komponent fizyczny jest czymś namacalnym, na przykład kontrolerem domeny, natomiast las AD DS jest niematerialnym komponentem logicznym. AD DS zawiera następujące kom- ponenty logiczne: ■■ Las Las jest kolekcją domen AD DS o wspólnym schemacie, które są połączone dwukierunkową relacją zaufania, utworzoną automatycznie. Większość organiza- cji implementuje AD DS z jednym lasem. Decyzja o implementacji kilku lasów może wynikać z następujących wymagań: ■❐ Zapewnienie całkowitej separacji administracyjnej między różnymi oddziałami organizacji. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 3 ■❐ Wsparcie różnych typów obiektów i atrybutów w schemacie AD DS, w zależ- ności od istniejących oddziałów organizacji. ■■ Domena Domena jest logiczną jednostką administracyjną, która zawiera użyt- kowników, grupy, komputery i inne obiekty. Wiele domen może wchodzić w skład jednego lub kilku lasów, w zależności od potrzeb organizacji. Strukturę domeny definiują relacje rodzic-dziecko oraz relacja zaufania. WSKAZÓWKA EGZAMINACYJNA Domena nie zapewnia separacji administracyjnej, ponieważ wszystkie domeny w lesie mają tego samego administratora lasu  – uniwersalną grupę zabezpieczeń Enterprise Admins (Administratorzy przedsiębiorstwa). Aby uzyskać całkowitą separację admini- stracyjną, należy zaimplementować kilka lasów AD DS. ■■ Drzewo Drzewo jest kolekcją domen AD DS, które mają tę samą domenę kata- logu głównego i wspólny obszar nazw. Na przykład sales.adatum.com i marketing. adatum.com mają wspólny katalog główny adatum.com; mają też wspólny obszar nazw adatum.com. Las AD DS można zbudować na podstawie jednego lub wielu drzew. Za użyciem wielu drzew przemawia konieczność wsparcia wielu logicznych obszarów nazw w organizacji, na przykład ze względu na fuzje lub przejęcia. ■■ Schemat Schemat AD DS jest kolekcją typów obiektów i ich właściwości, nazy- wanych też atrybutami, która definiuje, jakie obiekty można utworzyć, przecho- wywać i zarządzać za pomocą lasu AD DS. Na przykład użytkownik jest typem obiektu logicznego, który ma kilka właściwości, takich jak imię i nazwisko, oddział i hasło. Relacja między obiektami i ich atrybutami jest przechowywana w schema- cie, a jego kopia znajduje się we wszystkich kontrolerach domeny w lesie. ■■ OU Jednostka organizacyjna (Organizational Unit) jest kontenerem w domenie, który zawiera użytkowników, grupy, komputery i inne OU. Jednostki organiza- cyjne upraszczają administrację. Dzięki nim można z łatwością oddelegować pra- wa administracyjne do kolekcji obiektów. W tym celu należy zgrupować obiekty w jednostce administracyjnej i przydzielić do niej prawa. Można też skorzystać z obiektów zasad grupy (GPO – Group Policy Object). W tym przypadku należy skonfigurować ustawienia użytkownika i komputera, a następnie połączyć usta- wienia obiektów GPO z jednostkami organizacyjnymi, upraszczając w ten spo- sób proces konfiguracji. Jedna jednostka organizacyjna – Domain Controllers (Kontrolery domeny) – jest tworzona domyślnie, podczas instalacji usługi AD DS i tworzenia domeny. ■■ Kontener Kolekcje obiektów można grupować nie tylko w jednostkach orga- nizacyjnych, ale również z kontenerach. Istnieje wiele wbudowanych kontene- rów, na przykład: Computers (Komputery), Builtin (Wbudowane) i Managed ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 4 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory Service Accounts (Zarządzane konta usługi). Obiektów GPO nie można łączyć z kontenerami. ■■ Lokacja Lokacja jest logiczną reprezentacją fizycznej lokalizacji w organizacji. Może reprezentować duży obszar fizyczny, taki jak miasto, lub mniejszy, taki jak kolekcja podsieci, zdefiniowana przez granice centrum danych. Dzięki lokacjom AD DS urządzenia podłączone do sieci mogą łatwiej określić swoją lokalizację względem usług, z którymi chcą się połączyć. Na przykład, komputer z systemem Windows 10 podczas uruchamiania próbuje znaleźć sąsiedni kontroler domeny za pomocą ustalonego położenia lokacji, aby wesprzeć logowanie użytkownika. Lokacje umożliwiają też kontrolę replikacji AD DS, poprzez konfigurację harmo- nogramu i interwałów między replikacjami przychodzącymi. WSKAZÓWKA EGZAMINACYJNA Podczas instalacji usługi AD DS i tworzenia pierwszego lasu powstaje domyślna lokacja Default-First-Site-Name. Należą do niej wszystkie kontrolery domeny, dopóki nie utwo- rzysz dodatkowych lokacji i nie przydzielisz do nich kontrolerów domeny. Jeśli zamie- rzasz utworzyć dodatkowe obiekty lokacji, powinieneś zmienić nazwę domyślnej lokacji. ■■ Podsieć Podsieć jest logiczną reprezentacją fizycznej podsieci w sieci. Definiując podsieci umożliwiasz komputerom w lesie AD DS określenie fizycznej lokalizacji względem usług dostarczanych przez las. Domyślnie nie istnieją żadne podsieci. Po utworzeniu podsieci należy je powiązać z lokacjami. Lokacja może zawierać kilka podsieci. ■■ Partycja AD DS jest fizycznie przechowywana w bazie danych we wszystkich kontrolerach domeny. Ponieważ niektóre części struktury AD DS nie zmieniają się zbyt często, a inne podlegają częstym zmianom, w bazie danych AD DS prze- chowywanych jest kilka osobnych partycji. Replikacja AD DS Uwaga Podczas zmian dokonywanych w AD DS należy też uaktualnić inne instancje zmienio- nych partycji. Ten proces nosi nazwę replikacji AD DS. Dzieląc bazę danych na kilka ele- mentów, redukujemy obciążenie związane z procesem replikacji. Dostępne są następujące partycje: ■❐ Schema (Schemat) Partycja na poziomie lasu, która rzadko się zmienia. Zawiera schemat lasu AD DS. ■❐ Configuration (Konfiguracja) Partycja na poziomie lasu, która rzadko się zmienia i zawiera dane konfiguracji lasu. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 5 ■❐ Domain (Domena) Partycja na poziomie domeny. Ta partycja zmienia się czę- sto, a kopia partycji z możliwością zapisu jest przechowywana we wszystkich kontrolerach domeny. Zawiera rzeczywiste obiekty, na przykład użytkowników i komputery, które istnieją w lesie. Kontrolery domeny tylko do odczytu Uwaga Kontrolery domeny tylko do odczytu (RODC – Read Only Domain Controller) zawierają kopię partycji domeny, która jest tylko do odczytu (nie może być modyfikowana na tym kontrolerze domeny). Partycje katalogu aplikacji Uwaga Można też utworzyć partycje, przeznaczone na aplikacje z włączoną usługą katalogo- wą, które wdrażasz w swoim lesie. Można na przykład tak skonfigurować system DNS, aby do celów replikacji strefy, zintegrowanej z usługą AD, korzystał z konkretnej partycji aplikacji. ■■ Trust relationships (Relacje zaufania) Relacja zaufania, czasem określana tak- że terminem zaufanie, jest umową dotyczącą bezpieczeństwa, zawieraną mię- dzy dwiema domenami w lesie AD DS, między dwoma lasami lub między lasem a zewnętrznym obszarem zabezpieczeń. Dzięki tej umowie użytkownik po jednej stronie relacji może uzyskać dostęp do zasobów drugiej strony. W relacji zaufania jedna strona jest uznawana za ufającą, a druga za zaufaną. Encja przechowująca zasoby jest stroną ufającą, a zaufana jest encja zawierająca użytkownika. Łatwiej można to zrozumieć, jeśli zastanowimy się, kto jest osobą zaufaną, a kto osobą ufającą w sytuacji, gdy pożyczamy komuś klucze do swojego samochodu. Instalowanie nowego lasu Aby zainstalować nowy las AD DS, musimy wdrożyć w tym lesie pierwszy kontroler domeny. W tym celu należy wdrożyć rolę serwera AD DS na komputerze z systemem Windows Server 2016, a następnie podwyższyć poziom serwera do kontrolera domeny i dodać nowy las. Aby utworzyć nowy las, zacznij od instalacji roli AD DS, wykonując następującą procedurę: 1. Zaloguj się na komputerze z systemem Windows Server 2016 jako administrator lokalny. 2. Uruchom konsolę Server Manager (Menedżer serwera), a następnie kliknij Add Roles And Features (Dodaj role i funkcje) w sekcji Dashboard (Pulpit nawigacyjny). ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 6 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory 3. Wykonaj kolejne kroki kreatora Add Roles And Features Wizard (Kreator doda- wania ról i funkcji), a następnie na karcie Server Roles (Role serwera), widocznej na rysunku 1-1, zaznacz opcję Active Directory Domain Services (Usługi dome- nowe w usłudze Active Directory), kliknij Add Features (Dodaj funkcje), po czym kliknij Next (Dalej). 4. Wykonaj kolejne kroki kreatora i na końcu kliknij Install (Zainstaluj). 5. Gdy instalacja dobiegnie końca, kliknij Close (Zamknij). Rysunek 1-1 Instalowanie roli serwera Active Directory Domain Services WSKAZÓWKA EGZAMINACYJNA Aby zainstalować potrzebne pliki, można też skorzystać z powłoki Windows PowerShell. W tym celu uruchom następujące polecenie w wierszu poleceń PowerShell z podwyższo- nym poziomem uprawnień: Install-WindowsFeature AD-Domain-Services. Po zainstalowaniu plików binarnych usługi AD DS należy utworzyć nowy las. W tym celu należy podwyższyć poziom pierwszego kontrolera domeny w lesie. Służy do tego następująca procedura: 1. W konsoli Server Manager kliknij żółtą trójkątną ikonę ostrzeżenia, znajdującą się w sekcji Notifications (Powiadomienia), a następnie kliknij Promote This Server ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 7 To A Domain Controller (Podnieś poziom tego serwera do poziomu kontrolera domeny). WSKAZÓWKA EGZAMINACYJNA Podwyższenia poziomu można też dokonać za pomocą powłoki Windows PowerShell. W tym celu uruchom cmdlet Install-ADDSDomainController. Na przykład polecenie Install-ADDSDomainController -InstallDns -DomainName adatum.com pozwala dodać lokalny serwer jako dodatkowy kontroler domeny do domeny Adatum.com i za- instalować rolę serwera DNS. 2. Na karcie Deployment Configuration (Konfiguracja wdrażania) kreatora Active Directory Domain Services Configuration Wizard (Kreator konfiguracji usług domenowych Active Directory), w sekcji Select The Deployment Operation (Wybierz operację wdrażania) kliknij Add A New Forest (Dodaj nowy las), a następnie wpisz nazwę głównego katalogu domeny lasu, jak pokazano na rysun- ku 1-2. Kliknij Next. Rysunek 1-2 Dodawanie nowego lasu 3. Na karcie Domain Controller Options (Opcje kontrolera domeny), widocznej na rysunku 1-3, skonfiguruj następujące opcje, po czym kliknij Next: ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 8 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory ■❐ Forest Functional Level (Poziom funkcjonalności lasu) Poziom funkcjonal- ności lasu określa, które funkcje na poziomie lasu są dostępne w lesie. Poziom funkcjonalności lasu definiuje też minimalny poziom funkcjonalności domeny w lesie. Jeśli ustawisz ten poziom na Windows Server 2012, wówczas mini- malny poziom funkcjonalności domeny również będzie odpowiadał poziomowi Windows Server 2012. Do wyboru mamy następujące opcje: ■❍ Windows Server 2008 ■❍ Windows Server 2008 R2 ■❍ Windows Server 2012 ■❍ Windows Server 2012 R2 ■❍ Windows Server 2016 ■❐ Domain Functional Level (Poziom funkcjonalności domeny) Określa funk- cje dotyczącej całej domeny, które są dostępne w tej domenie. Do wyboru mamy następujące opcje: ■❍ Windows Server 2008 ■❍ Windows Server 2008 R2 ■❍ Windows Server 2012 ■❍ Windows Server 2012 R2 ■❍ Windows Server 2016 DoDatkowe materiały Poziomy funkcjonalności w systemie Windows Server 2016 Więcej szczegółów dotyczących poziomów funkcjonalności domeny i  lasu w  syste- mie Windows  Server 2016 znajdziemy w  witrynie Microsoft TechNet, pod adresem https://technet.microsoft.com/windows-server-docs/identity/ad-ds/windows-server- 2016-functional-levels. ■❐ Domain Name System (DNS) Server (Serwer DNS) DNS służy do rozpozna- wania nazw i jest krytyczną składową usługi AD DS. Ta opcja jest domyślnie zaznaczona i nie należy tego zmieniać, chyba że skonfigurowałeś już infrastruk- turę DNS. ■❐ Global Catalog (GC) (Wykaz globalny) Wykaz globalny zapewnia usługi dotyczące całego lasu. Ta opcja jest domyślnie zaznaczona i nie można tego zmienić. Pierwszy (i jedyny) kontroler domeny musi być serwerem wykazu globalnego. Po dodaniu dodatkowych kontrolerów domeny można powrócić do tego ustawienia. ■❐ Read Only Domain Controller (RODC) (Kontroler domeny tylko do odczytu) Opcja ta określa, czy kontroler domeny jest tylko do odczytu. Ta opcja nie jest ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 9 domyślnie zaznaczona i nie jest dostępna dla pierwszego (i obecnie jedynego) kontrolera domeny w lesie. ■❐ Directory Services Restore Mode (DSRM) Password (Hasło trybu przywraca- nia usług katalogowych) Opcja ta jest wykorzystywana podczas uruchamia- nia kontrolera domeny w trybie odzyskiwania. Rysunek 1-3 Konfigurowanie opcji kontrolera domeny 4. Na karcie Additional Options (Opcje dodatkowe) zdefiniuj nazwę domeny NetBIOS. Protokół NetBIOS, który nie jest już powszechnie używany, jest oparty na niehierarchicznej strukturze nazw. Domyślną nazwą NetBIOS jest pierwsza część nazwy lasu AD DS. Jeśli na przykład las nosi nazwę Contoso.com, domyślną nazwą NetBIOS jest CONTOSO; ogólnie rzecz biorąc nie ma potrzeby jej zmiany. Kliknij Next. 5. Jak widać na rysunku 1-4, zdefiniuj miejsce przechowywania bazy danych AD DS, plików dziennika i zawartości SYSVOL, po czym kliknij Next. Ustawienia domyślne są następujące ■❐ Database folder (Folder bazy danych): C:\Windows\NTDS ■❐ Database folder (Folder plików dziennika): C:\Windows\NTDS ■❐ SYSVOL folder: C:\Windows\SYSVOL ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 10 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory Rysunek 1-4 Konfigurowanie ścieżek AD DS WSKAZÓWKA EGZAMINACYJNA Zwykle nie ma sensu zmieniać tych ścieżek. Jednak dzięki rozdzieleniu ścieżek SYSVOL, bazy danych i plików dziennika, można uzyskać nieco lepszą wydajność, o ile serwer ma zainsta- lowanych wiele fizycznych dysków twardych. W ten sposób możemy rozłożyć obciążenie. 6. Przejrzyj opcje konfiguracji i kliknij Next, aby zweryfikować wymagania wstępne. 7. Gdy pojawi się przycisk Install, kliknij go. Podczas instalacji komputer zostanie ponownie uruchomiony. 8. Zaloguj się na komputerze serwera za pomocą konta administratora domeny. DoDatkowe materiały Instalowanie usług domenowych w usłudze Active Directory Więcej szczegółów o wdrażaniu AD DS znajdziesz w witrynie Microsoft TechNet pod adresem https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/deploy/install- active-directory-domain-services--level-100-. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 11 Dodawanie lub usuwanie kontrolera domeny Po wdrożeniu pierwszego kontrolera domeny w lesie AD DS można dodać kolej- ne kontrolery domeny, które zapewnią niezawodność i zwiększą wydajność. Proces wdrażania dodatkowych kontrolerów domeny jest w dużej mierze identyczny jak w przypadku pierwszego kontrolera domeny: należy zainstalować rolę serwera AD DS (za pomocą konsoli Server Manager lub powłoki Windows PowerShell), a następnie podwyższyć poziom kontrolera domeny (również za pomocą konsoli Server Manager lub powłoki Windows PowerShell). Jednak opcje, jakie można wybrać podczas podwyższania poziomu różnią się w zależności od szczegółów wdrożenia. Na przykład dodawanie nowego kontrolera domeny do istniejącej domeny różni się nieco od dodawania go do nowej domeny. Dodawanie nowego kontrolera domeny może się odbywać według dwóch podsta- wowych scenariuszy: ■■ Dodawanie nowego kontrolera domeny do istniejącej domeny Aby wykonać ten proces, musisz się zalogować jako członek docelowej globalnej grupy zabez- pieczeń domeny Domain Admins (Administratorzy domeny). ■■ Dodawanie nowego kontrolera domeny do nowej domeny Aby wykonać ten proces, musisz się zalogować jako członek uniwersalnej grupy zabezpieczeń głów- nego katalogu lasu Enterprise Admins (Administratorzy przedsiębiorstwa). W ten sposób uzyskasz wystarczające uprawnienia, by zmodyfikować partycję konfigu- racji AD DS i utworzyć nową domenę, wchodzącą w skład drzewa istniejącej lub nowej domeny. Często nową domenę dodaje się, aby zdefiniować granice replikacji. Ponieważ więk- szość zmian w bazie danych AD DS dotyczy partycji domeny, to ta partycja generuje większość ruchu podczas replikacji AD DS. Rozdzielając swój las AD DS na wiele domen, można rozdzielić ilość zmian, a tym razem zredukować replikację między loka- cjami. Jeśli na przykład firma A. Datum ma wiele komputerów, zarówno w Europie, jak i w Kanadzie, twórcy mogliby utworzyć dwie osobne domeny w głównej dome- nie lasu Adatum.com: Europe.Adatum.com i Canada.Adatum.com. Zmiany w dome- nie Europe.Adatum.com nie zostaną zreplikowane w kontrolerach domeny Canada. Adatum.com i odwrotnie. Dodawanie nowego kontrolera domeny do istniejącej domeny Aby dodać nowy kontroler domeny do istniejącej domeny, zaloguj się jako administra- tor domeny, po czym wykonaj poniższą procedurę. 1. Dodaj rolę serwera Active Directory Domain Services. 2. W konsoli Server Manager kliknij Notifications, a następnie kliknij Promote This Server To A Domain Controller. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 12 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory WSKAZÓWKA EGZAMINACYJNA Jeśli ktoś loguje się jako członek globalnej grupy zabezpieczeń Domain Admins, zakłada się, że komputer serwera, którego poziom ma zostać podniesiony, jest członkiem do- meny docelowej. Jeśli nie jest, łatwiej będzie najpierw dodać komputer serwera do do- meny docelowej, a  następnie dokończyć procedurę. Jeśli zdecydujesz, że  nie chcesz dodawać komputera do domeny docelowej, musisz się zalogować jako administrator lokalny i podczas procesu podnoszenia podać dane dostępowe administratora domeny. Wymaga się także, aby komputer podnoszonego serwera mógł rozpoznawać nazwy za pomocą usługi DNS w lesie AD DS. 3. W kreatorze Active Directory Domain Services Configuration Wizard, na karcie Deployment Configuration, widocznej na rysunku 1-5, kliknij Add A Domain Controller To An Existing Domain (Dodaj kontroler domeny do istniejącej domeny). Rysunek 1-5 Wdrażanie dodatkowego kontrolera domeny w istniejącej domenie 4. Podaj nazwę domeny. Domyślna nazwa jest taka sama jak domena, do której nale- ży komputer serwera. Można jednak wybrać inną domenę dostępną w lesie. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 13 5. Wpisz dane dostępowe konta użytkownika o uprawnieniach, pozwalających na przeprowadzenie procesu podnoszenia poziomu. Domyślnie jest to konto bie- żącego użytkownika. Kliknij Next. 6. Na karcie Domain Controller Options skonfiguruj opcje serwera Domain Name System (DNS) (domyślnie włączona), Global Catalog (GC) (domyślnie włączona) i Read Only Domain Controller (RODC) (domyślnie wyłączona). Inaczej niż pod- czas podnoszenia pierwszego kontrolera domeny w lesie, można włączyć opcję Read Only Domain Controller (RODC), aby ten kontroler domeny był tylko do odczytu. 7. Z listy Site name (Nazwa witryny*), widocznej na rysunku 1-6, wybierz lokację, w której fizycznie znajduje się ten kontroler domeny. Domyślnie jest to Default- First-Site-Name. Dopóki nie utworzysz dodatkowych lokacji AD DS, jest to jedy- na dostępna lokacja. Po wdrożeniu można przenieść kontroler domeny do innej lokacji. Rysunek 1-6 Konfigurowanie opcji kontrolera domeny dla dodatkowego kontrolera domeny * W polskiej wersji interfejsu występuje tu błąd przekładu – chodzi nie o witrynę, ale o lokację  (w języku angielskim obydwa pojęcia określane są tym samym terminem „site”) (przyp. red. wyd.  polskiego). ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 14 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory 8. Wpisz hasło Directory Services Restore Mode (DSRM) i kliknij Next. 9. Na karcie Additional Options musisz skonfigurować sposób wypełniania bazy danych AD DS przez ten kontroler domeny. Można skonfigurować wstępne wypeł- nienie poprzez kontroler domeny online, wybierając Any Domain Controller (Dowolny kontroler domeny), jak na rysunku 1-7, lub podając konkretny kon- troler domeny. Inny sposób polega na wybraniu opcji Install From Media (IFM) (Instalowanie z nośnika). Kliknij Next. Rysunek 1-7 Konfigurowanie dodatkowych opcji kontrolera domeny 10. Jak wcześniej, skonfiguruj opcje w sekcji Paths (Ścieżki), a następnie przejdź przez kolejne kroki kreatora konfiguracji. 11. Gdy pojawi się przycisk Install, kliknij go. Podczas procesu podnoszenia kompu- ter serwera zostanie ponownie uruchomiony. Gdy proces podnoszenia dobiegnie końca, zaloguj się za pomocą konta administratora domeny. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 15 Dodawanie nowego kontrolera domeny do nowej domeny Aby dodać nowy kontroler domeny do nowej domeny w istniejącym lesie, zaloguj się jako członek uniwersalnej grupy zabezpieczeń lasu Enterprise Admin, a następnie wykonaj poniższą procedurę. WSKAZÓWKA EGZAMINACYJNA Jeśli ktoś loguje się jako członek uniwersalnej grupy zabezpieczeń Enterprise Admins, za- kłada się, że komputer serwera, którego poziom ma zostać podniesiony, jest członkiem jednej z domen lasu AD DS. Jeśli nie jest, łatwiej będzie najpierw dodać komputer serwera do głównej domeny lasu, a następnie dokończyć procedurę. Jeśli zdecydujesz się nie doda- wać komputera do głównej domeny lasu, musisz się zalogować jako administrator lokalny i podczas procesu podnoszenia podać dane dostępowe administratora przedsiębiorstwa. Ponadto podnoszony komputer serwera powinien móc rozpoznawać nazwy za pomocą usługi DNS w lesie AD DS. 1. Dodaj rolę serwera Active Directory Domain Services. 2. W konsoli Server Manager kliknij Notifications, a następnie kliknij Promote This Server To A Domain Controller. 3. W kreatorze Active Directory Domain Services Configuration Wizard, na kar- cie Deployment Configuration, widocznej na rysunku 1-8, kliknij Add A New Domain To An Existing Forest (Dodaj nową domenę do istniejącego lasu). 4. Następnie można wybrać sposób dodania nowej domeny. Do wyboru są następu- jące opcje: ■❐ Child Domain (Domena podrzędna) Po wybraniu tej opcji powstanie sub- domena podanej domeny nadrzędnej. Innymi słowy, nowa domena zostanie utworzona w drzewie istniejącej domeny. ■❐ Tree Domain (Domena drzewa) Wybierz tę opcję, jeśli chcesz utworzyć nowe drzewo w tym samym lesie. Nowe drzewo będzie mieć ten sam schemat lasu i tę samą główną domenę lasu, ale można zdefiniować nieciągły obszar nazw. Jest to przydatne, jeśli zamierzasz utworzyć wiele nazw domen DNS w infra- strukturze lasu AD DS, aby zaspokoić potrzeby swojej organizacji, ale nie potrzebujesz lub nie chcesz rozdzielać funkcji administracyjnych, co jest moż- liwe w przypadku osobnego lasu. Jeśli wybierzesz opcję Tree Domain, musisz zdefiniować domenę lasu, do której zostanie dodane drzewo. Domyślnie jest to las, do którego jesteś zalogowany. 5. Wpisz nazwę nowej domeny. W przypadku domeny podrzędnej nazwa zawiera przedrostek w postaci domeny nadrzędnej. Na przykład dodanie domeny Europe jako domeny potomnej Adatum.com spowoduje utworzenie domeny Europe. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 16 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory Adatum.com. Jeśli tworzysz nowe drzewo, można wpisać dowolną prawidłową nazwę DNS, która nie zawiera domeny głównej lasu. Kliknij Next. Rysunek 1-8 Dodawanie nowej domeny podrzędnej do istniejącego lasu 6. Na karcie Domain Controller Options wybierz poziom funkcjonalności domeny i skonfiguruj ustawienia DNS, GC i RODC. Wybierz odpowiednią nazwę lokacji, po czym wpisz hasło DSRM i kliknij Next. 7. Na karcie DNS, widocznej na rysunku 1-9, zaznacz opcję Create DNS Delegation (Utwórz delegowanie DNS). W ten sposób utworzysz delegację DNS dla subdo- meny w swoim obszarze nazw DNS. Kliknij Next. DoDatkowe materiały Na czym polega delegowanie strefy Więcej informacji na  temat delegacji DNS w  systemie Windows  Server znajdziesz w  witrynie Microsoft TechNet, pod adresem https://technet.microsoft.com/library/ cc771640(v=ws.11).aspx. 8. Podaj nazwę domeny NetBIOS, a następnie przejdź przez kolejne kroki kreatora. Gdy pojawi się przycisk Install, kliknij go. 9. Podczas procesu podnoszenia kontroler domeny zostanie ponownie uruchomiony. Po zakończeniu procesu zaloguj się jako administrator domeny. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 17 Rysunek 1-9 Dodawanie nowej domeny potomnej do istniejącego lasu Usuwanie kontrolerów domeny Od czasu do czasu należy wycofać z użytku i usunąć kontroler domeny. Jest to dość łatwy proces, który można wykonać za pomocą konsoli Server Manager. 1. Zaloguj się za pomocą konta o wystarczających uprawnieniach. Aby usunąć kon- troler domeny z domeny, zaloguj się jako administrator domeny. Aby usunąć całą domenę, zaloguj się jako członek uniwersalnej grupy zabezpieczeń Enterprise Admins. 2. Otwórz Server Manager i kliknij Remove Roles And Features (Usuń role i funkcje) w menu Manage (Zarządzaj). 3. W kreatorze Remove Roles And Features Wizard (Kreator usuwania ról i funkcji), na karcie Before You Begin (Zanim rozpoczniesz) kliknij Next. 4. Wybierz odpowiedni serwer na karcie Select Destination Server (Wybieranie ser- wera docelowego), a następnie kliknij Next. 5. Na karcie Remove Server Roles (Usuwanie ról serwera) usuń zaznaczenie opcji Active Directory Domain Services (Usługi domenowe w usłudze Active Directory), kliknij Remove Features (Usuń funkcje), a następnie kliknij Next. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 18 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory 6. W oknie dialogowym Validation Results (Wyniki sprawdzania poprawności), widocznym na rysunku 1-10, kliknij Demote This Domain Controller (Obniż poziom tego kontrolera domeny). Rysunek 1-10 Usuwanie AD DS 7. Na ekranie zostanie wyświetlony kreator Active Directory Domain Services Configuration Wizard, widoczny na rysunku 1-11. Jeśli to konieczne, na karcie Credentials (Poświadczenia) podaj dane dostępowe użytkownika, który ma wystar- czające uprawnienia do przeprowadzenia usunięcia. Nie zaznaczaj opcji Force The Removal Of This Domain Controller (Wymuś usunięcie tego kontrolera domeny), chyba że kontroler domeny uległ awarii i nie można się z nim połączyć. Kliknij Next. 8. Na karcie Warnings (Ostrzeżenia), widocznej na rysunku 1-12, zostaniesz popro- szony o potwierdzenie usunięcia DNS i ról GC. Zaznacz opcję Proceed With Removal (Kontynuuj usuwanie) i kliknij Next. 9. W oknie New Administrator Password (Hasło nowego administratora) wpisz i potwierdź hasło lokalnego administratora, po czym kliknij Next. 10. Zweryfikuj swoją konfigurację i kliknij Demote (Obniż). 11. Poziom serwera zostanie obniżony, po czym serwer zostanie ponownie urucho- miony. Zaloguj się za pomocą konta lokalnego administratora. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 19 Rysunek 1-11 Obniżanie poziomu kontrolera domeny Rysunek 1-12 Usuwanie komponentów opcjonalnych Teraz można zweryfikować powodzenie obniżenia poziomu i usunięcia roli. W kon- trolerze domeny: 1. Otwórz konsolę Active Directory Users And Computers. Zweryfikuj, że kontroler domeny o obniżonym poziomie nie znajduje się już na liście kontrolerów domeny jednostki organizacyjnej. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== 20 Rozdział 1: Instalowanie i konfigurowanie usług domenowych w usłudze Active Directory 2. Kliknij kontener Computers. Powinieneś ujrzeć komputer serwera o obniżonym poziomie. 3. Otwórz konsolę Active Directory Sites And Services (Lokacje i usługi Active Directory). Rozwiń katalog Sites, rozwiń Default-First-Site-Name, a następ- nie w sekcji Servers (Serwery) usuń obiekt reprezentujący serwer o obniżonym poziomie. WSKAZÓWKA EGZAMINACYJNA Jeśli serwer, który ma  zostać wycofany z  użytku, jest ostatnim kontrolerem domeny w domenie, musisz najpierw usunąć wszystkie pozostałe komputery z domeny, na przy- kład przenosząc je do innych domen w swoim lesie. Procedura wygląda wówczas tak jak opisano powyżej. Poziom można też obniżyć za pomocą powłoki Windows PowerShell. W tym celu uruchom następujące dwa cmdlety w wierszu poleceń powłoki Windows PowerShell: Uninstall-addsdomaincontroller Uninstall-windowsfeature AD-Domain_Services DoDatkowe materiały Obniżanie poziomu kontrolerów domeny Więcej informacji na temat obniżania poziomu kontrolerów domeny znajdziesz w witrynie Microsoft TechNet, pod adresem https://technet.microsoft.com/en-us/windows-server-docs/ identity/ad-ds/deploy/demoting-domain-controllers-and-domains--level-200-. Instalowanie usługi AD DS w instancji Server Core Rolę serwera AD DS można wdrożyć w instancji Server Core. Rolę tę można zainstalo- wać zdalnie za pomocą konsoli Server Manager lub cmdletu Install-WindowsFeature AD-Domain-Services powłoki Windows PowerShell. Po zainstalowaniu niezbędnych plików można uruchomić kreator Active Directory Domain Services Configuration Wizard za pomocą konsoli Server Manager, aby zdalnie skonfigurować instalację Server Core lub skorzystać z cmdletu Install- ADDSDomainController powłoki Windows PowerShell, aby ukończyć proces podno- szenia. Innymi słowy, proces instalowania AD DS w instancji Server Core systemu Windows Server 2016 jest taki sam jak na serwerze ze środowiskiem pulpitu. WSKAZÓWKA EGZAMINACYJNA Roli serwera AD DS nie można wdrożyć na serwerze Nano Server. Dlatego serwer Nano Server nie może służyć jako kontroler domeny. ##7#52#aSUZPUk1BVC1WaXJ0dWFsbw== Zagadnienie 1 .1: Instalowanie i konfiguracja kontrolerów domeny 21 Instalowanie kontrolera domeny za pomocą funkcji Install from Media Podczas wdrażania kontrolera domeny zawartość bazy danych AD DS jest replikowana do nowego kontrolera domeny. Ta replikacja obejmuje schemat, konfigurację partycji w całym lesie, a także odpowiednią partycję domeny. Po tej wstępnej synchronizacji replikacja między kontrolerami domeny odbywa się w zwykły sposób. W pewnych sytuacjach początkowa synchronizacja może stanowić wyzwanie, na przykład podczas wdrażania kontrolera domeny w lokacji, która jest połączona z infrastrukturą sieciową organizacji za pomocą łącza o niskiej przepustowości. W tej sytuacji początkowa synchronizacja może trwać bardzo długo lub może wykorzystać nadmierną część dostępnej przepustowości. Aby temu zaradzić, można się zdecydować na wdrożenie kontrolera domeny i prze- prowadzenie wstępnej synchronizacji AD DS za pomocą lokalnej kopii lub migawki bazy danych AD DS; ta procedura nosi nazwę Install from Media (IFM) (Instalowanie z nośnika). Ten proces składa się z następujących kroków. 1. W eksploratorze plików w istniejącym kontrolerze domeny utwórz nowy folder, na przykład C:\IFM, w którym zostanie zapisana migawka AD DS. 2. Otwórz wiersz poleceń z podwyższonym poziomem uprawnień i wykonaj pole- cenie
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Egzamin 70-742: Tożsamość w Windows Server 2016
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: