none
Kterou službu Active Directory (AD) instalovat před instalací DHCP?

    Dotaz

  • MS udává, že pro správnou činnost DHCP musí běžet AD, ale neuvádí, která z nabízených služeb AD.

    More about authorizing DHCP servers in AD DS

    V nabídce možností instalací AD mám:
    - AD CS (Certicate Services)
    - AD DS (Domain Services)
    - AD FS (Federation Services) - nejspíše ne
    - AD LDS (Lightweight Directory Services)
    - AD RMS (Rights Management Services)
    Jedná se o malou jednoserverovou lokální síť s asi 30ti uživateli na MS Windows Server 2008 R2.
    Chceme mít pevně přidělené IP adresa (MAC) a správu uživatelských účtů (nejlépe vzdálenou, omezit dobu přihlašování).
    Jednoduchý náhled na provoz (loginy, vytížení na síťové kartě, vytížení CPU).

    Děkuji za radu, případně za konkrétní odkaz.

    obr. Active Directory DHCP seznam k instalaci

    19. května 2015 6:35

Odpovědi

  • Zdravím.

    Pro DHCP server není nutné mít zprovozněnou AD. Nicméně pokud chcete správu uživatelských účtů, tak to už je záležitost AD, konkrétně ADDS (Active Directory Domain Services).

    19. května 2015 6:42
  • DHCP server v AD musi byt autorizovan, aby smel bezet. 

    Nicmene ... asi na to jdes ze spatneho konce. Predpokladam, ze chces/potrebujes Active Directory. Nicmene AD s jedinym serverem (radicem domeny).... naproste minimum jsou 2, idealni minimum 3. S jednim serverem ... jak budes resit jeho restart? Nevadi, ze se uzivatele neprihlasi do site po dobu vypadku serveru?

    MP

    19. května 2015 6:56
    Moderátor
  • 1. Obavam se, ze se vydavate na spatnou cestu. Zvlast pokud nemate zkusenosti s AD. My vam tu neco poradime a nakonec zjistite, ze vam neco duleziteho uniklo a system nefunguje tak jak ma. Stavet system jako vlastovci hnizdo je cesta do pekel. Pokud nemate zkusenosti s AD a predchozi zkusenosti jsou pouze s praci ve skupine, neni toho mnoho, co muzete z predchoziho prenest do soucasne situace. Budete si muset o AD neco precist a take vyzkouset. Zkouset se da dobre s trial verzi, kterou ziskate na 180dnu (mel byste skoncit s testovanim drive - z jinych duvodu, nez je expirace.) https://www.microsoft.com/en-us/download/details.aspx?id=11093

    2. Na netu existuje cela rada peknych navodu typu step by step. Srovnanim nekolika navodu zjistite, co je dulezite. Treba zde

    http://www.rackspace.com/knowledge_center/article/installing-active-directory-domain-services-on-windows-server-2008-r2-enterprise-64-bit
    http://www.rebeladmin.com/2011/03/step-by-step-guide-to-setup-active-directory-windows-server-2008/

    3. Mel byste zjistit, co je pricinou problemu s routerem. Jeho sluzeb DNS a DHCP (popripade nekterych dalsich) vyuzivat nebudete. Na pocitacich bude figurovat vnitrni adresa routeru jako defaultni brana. Klienti (PC) se "obraceji" na lokalni DNS a DHCP (DHCP prinasi informaci o DNS a DG), pokud nejsou IP adresy a masky stanovene staticky.

    4. MAC adresy zjistite tak, ze na vsechny pocitace "pingnete" a spustite prikaz arp -a (na stejnem subnetu)

    5. Az budete mit nainstalovane role potrebne pro funkci AD vcetne DNS, overite funkcnost pomoci dcdiag (viz Technet)

    6. Pridate roli DHCP, nakonfigurujete a autorizujete v AD.

    7. Jina kapitola jsou uzivatele a preneseni profilu. Idealni by byla cista instalace. Oproti W XP se pripravuje instalace pro W 7 trochu jinak a "predpis" pro sysprep by mel obsahovat parametr copyprofile, aby se spravne vytvarely uzivatelske profily. Vice se doctete v manualech k Windows ADK.

    Je to dost prace a hlavne si musite uvedomit nektere souvislosti, abyste se nedostal nekam, odkud se budete tezko vymotavat.

    M.

    19. května 2015 17:05
    Moderátor
  • Ad 1.) Pokud externí firmě dáš zadání "rozchodit AD", tak by k tomu neměli potřebovat moc dalších informací. Resp. na potřebné věci se Tě sami doptají.

    Ad 3.) Ve vlastnostech TCP/IP na staniciích musí být jako DNS server uveden řadiče domény. Na řadičích se pak jako primární DNS server uvádí druhý řadič a jako sekundár localhost (127.0.0.1). NIKDY V PROSTŘEDÍ AD NEPOUŽÍVEJ EXTERNÍ DNS SERVERY!!!

    Ad 7.) Proč chceš nastavovat pevné IP adresy, když budeš mít nový DHCP server? Na starém v předstihu zkrať lease time na nějaký krátký čas (pár hodin), pak jenom odstavíš staré DHCP a zapneš nové. Stanice si samy získají IP z nového DHCP.

    BTW, vy máte až hodinové výpadky konektivity a provider tvrdí, že to vyřeší přechod na AD? Vyměňte providera.


    BB

    20. května 2015 6:24

Všechny reakce

  • Zdravím.

    Pro DHCP server není nutné mít zprovozněnou AD. Nicméně pokud chcete správu uživatelských účtů, tak to už je záležitost AD, konkrétně ADDS (Active Directory Domain Services).

    19. května 2015 6:42
  • DHCP server v AD musi byt autorizovan, aby smel bezet. 

    Nicmene ... asi na to jdes ze spatneho konce. Predpokladam, ze chces/potrebujes Active Directory. Nicmene AD s jedinym serverem (radicem domeny).... naproste minimum jsou 2, idealni minimum 3. S jednim serverem ... jak budes resit jeho restart? Nevadi, ze se uzivatele neprihlasi do site po dobu vypadku serveru?

    MP

    19. května 2015 6:56
    Moderátor
  • Děkuji za oba příspěvky. Nově jsem nastoupil do organizace, která provozuje ekonomický systém na jediném serveru (HW) s diskovým polem. V současnosti jim IP adresy přiděluje router a mají s tímto způsobem problémy (současně routuje i přístup na Internet pro jiné služby - VoIP, ...).

    Zpět k ověření dotazu.

    1. Instalovat službu AD DS (Domain Services).

    2. Následně instalovat Server DHCP.

    Přidělovat práva a pevné IP adresy znám. V dřívějším zaměstnání jsem spravoval účty v lokalitě s právy místního správce na rozsáhlé síti. Rád si vyslechnu i další rady.

    Hezký den.



    • Upravený RegineCZ 19. května 2015 8:57
    19. května 2015 8:56
  • 1. Obavam se, ze se vydavate na spatnou cestu. Zvlast pokud nemate zkusenosti s AD. My vam tu neco poradime a nakonec zjistite, ze vam neco duleziteho uniklo a system nefunguje tak jak ma. Stavet system jako vlastovci hnizdo je cesta do pekel. Pokud nemate zkusenosti s AD a predchozi zkusenosti jsou pouze s praci ve skupine, neni toho mnoho, co muzete z predchoziho prenest do soucasne situace. Budete si muset o AD neco precist a take vyzkouset. Zkouset se da dobre s trial verzi, kterou ziskate na 180dnu (mel byste skoncit s testovanim drive - z jinych duvodu, nez je expirace.) https://www.microsoft.com/en-us/download/details.aspx?id=11093

    2. Na netu existuje cela rada peknych navodu typu step by step. Srovnanim nekolika navodu zjistite, co je dulezite. Treba zde

    http://www.rackspace.com/knowledge_center/article/installing-active-directory-domain-services-on-windows-server-2008-r2-enterprise-64-bit
    http://www.rebeladmin.com/2011/03/step-by-step-guide-to-setup-active-directory-windows-server-2008/

    3. Mel byste zjistit, co je pricinou problemu s routerem. Jeho sluzeb DNS a DHCP (popripade nekterych dalsich) vyuzivat nebudete. Na pocitacich bude figurovat vnitrni adresa routeru jako defaultni brana. Klienti (PC) se "obraceji" na lokalni DNS a DHCP (DHCP prinasi informaci o DNS a DG), pokud nejsou IP adresy a masky stanovene staticky.

    4. MAC adresy zjistite tak, ze na vsechny pocitace "pingnete" a spustite prikaz arp -a (na stejnem subnetu)

    5. Az budete mit nainstalovane role potrebne pro funkci AD vcetne DNS, overite funkcnost pomoci dcdiag (viz Technet)

    6. Pridate roli DHCP, nakonfigurujete a autorizujete v AD.

    7. Jina kapitola jsou uzivatele a preneseni profilu. Idealni by byla cista instalace. Oproti W XP se pripravuje instalace pro W 7 trochu jinak a "predpis" pro sysprep by mel obsahovat parametr copyprofile, aby se spravne vytvarely uzivatelske profily. Vice se doctete v manualech k Windows ADK.

    Je to dost prace a hlavne si musite uvedomit nektere souvislosti, abyste se nedostal nekam, odkud se budete tezko vymotavat.

    M.

    19. května 2015 17:05
    Moderátor
  • Děkuji M. za uvedené příspěvky. K jednotlivým bodům.

    1. Uvažuji s ředitelem společnosti o profesionální výpomoci.
    Potřebuji se ale naučit ovládat systém (jak "široce" systém nastavovat, kolik potřebných služeb spustit na tak malé síti). Externí firma určitě bude chtít zadání.

    2. Děkuji za nabídku dokumentace. Již jsem dost zvládl z technet.microsoft.com a jiných zdrojů (RebelAdmin, Rusty Hann a jiné)

    3. Problémy s router-em řeší její dodavatel a poskytovatel připojení na Internet (provider).
    Nemůže přijít na důvod někdy hodinových výpadků. Snad útoky na síť nebo jiné důvody.
    Vlastně oni nás přesvědčují o potřebě přejít na AC a DHCP na MS Windows Server.

    Jen dotaz pokud v současnosti jsou IP adresy (samozřejmě teď jsem je vymyslel pro příklad):
    - pro router
    IP routeru na Internet = 99.99.888.33
    IP routeru na interní síť (LAN) = 192.168.1.1
    - pro server
    Adresa IPv4:  192.168.1.100
    Maska podsítě: 255.255.255.0
    Výchozí brána: 192.168.1.1
    Servery DNS:   192.168.1.1
    Jde mi o to, zde mají (mohou) být IP adresy totožné "IP routeru na interní síť (LAN)" a "Výchozí brána" a "Servery DNS". Ony tři IP adresy jsou shodně v současnosti nastaveny.

    4. MAC. Celou síť mám zmapovanou použitím SW "Advanced IP Scanner", vyexportováno do Excel tabulek.

    5. Díky za "dcdiag".
    Zatím jsem neznal. Nastuduji.
    Mám nějaký návod, co kontrolovat po instalaci AD a DHCP; zběžně.

    6. Připravuji si plán přechodu, jednotlivé postupné kroky.

    7. Uživatelé se všichni v současnosti přihlašují dynamicky.
    Budu muset stejně všechny kompy obejít a nastavit na pevné IP.
    Případně užít:
    ipconfig /release
    ipconfig /renew

    • Upravený RegineCZ 20. května 2015 8:31
    20. května 2015 6:01
  • Ad 1.) Pokud externí firmě dáš zadání "rozchodit AD", tak by k tomu neměli potřebovat moc dalších informací. Resp. na potřebné věci se Tě sami doptají.

    Ad 3.) Ve vlastnostech TCP/IP na staniciích musí být jako DNS server uveden řadiče domény. Na řadičích se pak jako primární DNS server uvádí druhý řadič a jako sekundár localhost (127.0.0.1). NIKDY V PROSTŘEDÍ AD NEPOUŽÍVEJ EXTERNÍ DNS SERVERY!!!

    Ad 7.) Proč chceš nastavovat pevné IP adresy, když budeš mít nový DHCP server? Na starém v předstihu zkrať lease time na nějaký krátký čas (pár hodin), pak jenom odstavíš staré DHCP a zapneš nové. Stanice si samy získají IP z nového DHCP.

    BTW, vy máte až hodinové výpadky konektivity a provider tvrdí, že to vyřeší přechod na AD? Vyměňte providera.


    BB

    20. května 2015 6:24
  • 1. Pokud byste to zadali externí firmě, pak nepotřebujete nějaké velké znalosti. Vhodnou konfiguraci by měli navrhnout oni na základě auditu ve firmě a společné diskuzi. V tom bych problém neviděl.

    3. Pokud se router stará o DHCP a DNS, tak je to v pořádku. Tohle je běžná konfigurace pro málé firemní sítě bez serveru a domácnosti. Až budete mít připravený server s DNS a DHCP, pak budou adresy směřovat na server (192.168.1.100) a GW zůstane stále na routeru (pokud se routerem nestane také server).

    7. Co znamená, že se uživatelé přihlašují dynamicky? Pevné IP adresy pro koncové počítače nejsou k ničemu potřeba. A pokud mají počítače statickou IP konfiguraci, pak release a renew nepomůže.

    20. května 2015 6:30
  • To: BB. Díky.
    Jestli jsem pochopil dobře Ad 3.)
    tak nastavení na kompech s Windows 8.1:
    * Získat IP adresu ze serveru DHCP automaticky (ano)
    -
    * Použít následující adresy serverů DNS:
    Upřednostňovaný server DNS: 192.168.1.1
    Alternativní server DNS: 127.0.0.1
    Přiložený obrázek.
    DNS_client_Windows_8_IP_adresy.jpg

    -> "sekundár localhost" je "Alternativní server DNS"?

    _____________________________________________

    Mám neujasněnost.
    Na IP 192.168.1.1 poběží i propojení router-server.
    Nebude tímto vznikat kolizní stav?
    Jistě, přidělování IP adres na routeru bude vypnuto (DHCP -off pro 192.168.1.1/255.255.255.0), ale červík vrtá v mé mysli. Na routeru běží ještě DHCP na 10.1.1.1 až 10.2.1.255 pro VoIP a bezpečnostní kamery.





    • Upravený RegineCZ 20. května 2015 8:43
    20. května 2015 8:31
  • Proč chceš nastavovat DNS servery na klientech staticky, když si adresu budou brát z DHCP?

    Nerozumím větě, že na 192.168.1.1 poběží propojení router-server. Co si pod tím mám představit?

    Abys získal představu, tak IP adresy můžeš zvolit takto (je to jen příklad):

    Vycházejme z faktu, že LAN máš postavenu na síti 192.168.1.0 / 24 (subnet mask je tedy 255.255.255.0). Adresace bude následující:

    1. Router LAN port: 192.168.1.1.

    2. AD server 1 : 192.168.1.10

    3. AD server 2: 192.168.1.11

    4. DHCP pool (rozsah přidělovaných adres): 192.168.1.100 - 192.168.1.254

    5. AD server 1 bude mít nastaven jako DNS server: primární 192.168.1.11 a sekundární 127.0.0.1

    6. AD server 2 bude mít nastaven jako DNS server: primární: 192.168.1.10 a sekundární 127.0.0.1

    7. Klientské stanice budou mít jako DNS servery nastaveny adresy 192.168.1.10 a 192.168.1.11 (lhostejno, která bude primár a která sekundár).

    8. Všechny servery i klientské stanice budou mít nastaven default gateway 192.168.1.1.


    BB


    20. května 2015 8:41
  • IP adresa není spojení, IP adresa je adresa jednoho z koncových bodů toho spojení. Tedy tvrzení "Na IP 192.168.1.1 poběží i propojení router-server." nedává smysl. Router bude mít 192.168.1.1 (na LAN), server bude mít (naříklad) 192.168.1.100. Nevidím v tom problém.

    Co se týče nastavení DNS na koncových stanicích, nech zisk konfigurace z DHCP, stejně jako u IP konfigurace. Není důvod zadávat adresy ručně. A určitě tam nedávaj adresu localhostu, nech tam jen adresu (adresy) existujících DNS serverů (resolverů), tedy buď router nebo fyzický server, až bude fungovat. V AD prostředí bys měl používat na klienstkých stanicích VŽDY jen adresy doménových řadičů.

    VoIP nech ležet, s tím by se nic měnit nemělo.

    Co se týče nastavení DNS na doménových řadičích, upřednostňuji jinou verzi, než navrhl Bohdan - jako primární je vlastní adresa toho serveru (nikoliv 127.0.0.1, ale skutečná adresa) a jako sekundární je adresa dalšího řadiče.

    20. května 2015 9:00