3.

1 Introducere

In capitolul trecut am discutat despre DNS. Una dintre cele mai importante zone ce se pot crea in sub
Windows Server 2012 R2 DNS o reprezinta zona integrata cu Active Directory.
Vom incepe cu singurul dezavantaj pe care il are integrarea unei zone cu Active Directory: o zona
integrata cu AD nu poate sa fie sustinuta decat de un controlor de domeniu. Deoarece aceasta zona are
nevoie de serviciile AD, este necesar ca serverul sa fie un controlor de domeniu
Avantajele integrarii unei zone cu Active Directory sunt:
-          Redundanta implicita: deoarece informatia folosita de DNS se afla in Active Directory, orice
controlor de domeniu are acea informatie si drept urmare poate rezolva interogarile.
-          Nu exista trafic in retea aditional: deoarece toate update-urile DNS sunt continute in
informatiile replicate intre controloarele de domeniu, nu este necesar trafic aditional pentru
replicarea informatiei din DNS;
-          Securitate replicarii: deoarece replicarile intre controloarele de domeniu sunt criptate,
informatiile DNS vor fi si ele criptate si inaccesibile;
-          Securitate informatiei: in conditiile in care este selectata doar metoda sigura de updatare, cum
am precizat in cursul anterior pentru DDNS, informatiile updatate vor fi acceptate doar daca vin
de la dispozitive ce au conturi in AD,fiind asadar membre ale domeniului, orice alta informatie
nu este acceptata.
-          Incarcarea zonei in fundal: un server DNS poate sa rezolve interogari, in timp ce informatia inca
se incarca in fundal.

3.2.1 Ce este Active Directory?

Active Directory este un serviciu director ce ne permite crearea unei corespondente intre
dispozitivele noastre din retea si un IP. Prin alocarea unui nume dispozitivelor si realizand corespondeta
cu un IP, putem controla si accesa multa mai usor infrastructura noastra si resursele ei.
Ca si la DNS, este mult mai usor sa recunoastem un computer dupa un nume, decat dupa un IP. Un ip
cum ar fi 10.99.2.11 s-ar putea sa nu ne spuna nimica. Insa un nume precum SECRETARIAT01 sau
FileServer01 ne-ar putea sa il identificam mult mai usor si sa cream o corespondenta in mintea noastra
intre ce este acel device si ce face.
Avantajele nu se opresc aici. Active Directory vine cu posibilitatea de a oferi o metoda centralizata de
autentificare, autorizare si contorizare sau AAA (authentication,authorization and accounting). Vom
putea asigna aceluiasi utilizator drepturi pe servere diferite, in aplicatii diferite. Vom putea cu o singura
parola sa accesam reteaua, serverul de fisiere, contul de email, internetul si aplicatia de ERP pe care o
folosim spre exemplu in companie.
O gramada de avantaje vin si pentru cei ce administreaza acest sistem. O consola centralizata pentru
acordarea drepturilor, o metoda de deployment centralizat pentru aplicatii pe statiile de lucru, o metoda
centralizata prin care putem sa le spunem dispozitivelor din retea cum sa se comporte cu ajutorul
politicilor de grup sau auditarea actiunilor ce se intampla la noi in retea din motive de securitate, pentru
a putea sti ce se intampla si cand si cine a folosit neautorizat resurse ale companiei.
 Pentru ajunge insa la configurarea acestori servicii trebuie sa instalam insa Active Directory Domain
Services.

3.2.2 Cerinte necesare

Pentru a putea instala un controlor de domeniu este important sa algem sistemul de fisiere
corespunzator. Este important din doua motive:
1.       Sistemul de fisiere trebuie sa asigure cel mai sigur nivel pentru informatiile stocate pe server
2.       Sistemul de fisiere trebuie sa poata sa faca managementul si trackingul pentru toate
informatiile de pe el.
Windows Server 2012R2 suporta doua tipuri de sistem de fisiere:
1.       NTFS
2.       ReFS
ReFS reprezinta acronimul pentru Resilient File System si vine cu urmatoarele avantaje:
-          Este foarte scalabil permitand volume cu marimi de pana la 2 la puterea 78 bytes, permitand
marimi de fisiere de 2 la puterea 64 bytes-1 si un numar de fisiere intr-un folder de 2 la puterea
64 si tot atatea foldere.
-          Disponibilitatea : in cazul coruperii de date, sistemul ReFS permite implementarea unei strategii
de salvare ce elimina informatia care a fost corupta; acest lucru permite folosirea informatiei
“sanatoase” fara a scoate harddiskul;
-          Update-uri de disk robuste: acest model permite evitarea unor probleme pe disk, prin scrierea
informatiei pe disk in locatii multiple;
-          Integritatea datelor: prin folosirea unui check-sum, ReFS verifica informatia asupra
corectitudinii ei.
NTFS, sau New Technology File System vine cu urmatoarele avantaje:
-          Criptare de fisiere ce permite ca informatiile sa fie ascunse chiar si de administratorii sistemului;
-          Cote de disk asignate per utilizator;
-          Volume dinamice, ce permit modificarile legate de disk, precum matrici RAID, fara  a restarta
sau reinstala sistemul de operare;
-          Foldere montate: aceasta caracteristica permite atasarea unui volum sau disk unui folder;
-          Spatiu de stocare la distanta: aceasta caracteristica permite arhivarea informatiilor rar folosite
catre locatii la distanta, fara a deveni indisponibile utilizatorilor;
-          Autorepararea: in versiunile precedente, metoda folosita pentru reparare era utilitarul numit
chkdsk.exe. Acesta presupunea resetarea sistemului, iar in cazului unui server care mai este si
controlor de domeniu acest lucru este de nedorit. Acum se poate incerca o reparare in timp ce
sistemul este in functiune.
-          Securitatea: NTFS permite o granulariate de pana la fisier pentru setarea drepturilor de
securitate.
 
Pentru suportul Active Directory, Microsoft a creat urmatoarele caracteristici:
 -          ADFS ( Active Directory Federation Services) ce permite autentificare si autorizarea in afara
granitelor organizatiei;
-          ADLDS (Active Directory Lightweight Directory Services) a fost dezvoltat pentru flexibilitate si
interoperabilitate pentru aplicatii ce permit integrarea cu servicii directoare, fara a creste
costurile.
-          ADRB (Active Directory Recycle Bin) ce permite restaurarea obiectelor sterse cu Active Directory
Domain Services pornit.
Odata cu pregatirea tehica a serverului, trebuie verificata configurarea pentru organizatia noastra a
Active Directory. Trebuie avut in vedere:
-          Nume DNS al domeniului
-          Numele NetBIOS al calcualtorului care va fi server
-          Ce fel de functie a domeniului va opera ( Windows Server 2012 R2 este compatibil inapoi pana
la Windows Server 2003 ca si functionalitate a domeniului)
-          Daca sunt disponibile sau nu servere DNS
-          Cate si ce servere DNS sunt disponibile in retea
In conditiile in care se instaleaza ca si controlor de domeniu aditional sau se adauga la o structura AD
existenta, trebuie avute urmatoarele informatii:
-          Daca ne vom alatura unui domeniu existent, trebuie sa stim numele domeniului;
-          Trebuie stiut daca domeniul se va alatura unui arbore existent, si daca da, numele arborelui;
-          Numele padurii la care se adauga, daca este cazul;
In cazul in care se instaleaza pentru prima oara intr-un domeniu, un server Windows Server 2012 R2
trebuie folosita comanda Adprep.
Se foloseste comanda Adprep /forestprep in cazul in care joinam o padure existenta pentru prima
oara cu un server Windows 2012 R2.  Utilizatorul ce ruleaza aceasta comanda trebuie sa faca parte din
grupurile Enterprise Admins, Schema Admins si Domain Admins pentru padurea existenta.
Se foloseste comanda Adprep /domainprep in cazul in care joinam un domeniu existent pentru prima
oara cu un server Windows 2012 R2. Utilizatorul ce ruleaza comanda trebuie sa faca parte din grupul
Domain Admins.
Se foloseste comanda Adprep /rodcprep pentru un controlor de domeniu Read Only care joineaza in
conditiile de mai sus. Nu se poate joina un controlor de domeniu in modul Read Only daca este singurul
controlor de domeniu. Utilizatorul trebuie sa faca parte din grupul Enterprise Admins.
Inainte de a se instala rolul de Active Directory Domain Services trebuie sa se indeplineasca
urmatoarele conditii:
-          Folosirea Adprep daca este cazul
-          Sa se cunoasca credentialele de Administrator daca se joineaza; daca nu se joineaza, ele se vor
defini;
-          Este necesar cel putin un server DNS; daca el nu exista, se va instala automat rolul;
-          Volumele ce contin baza de date, fisierele de log si folderul SYSVOL trebuie sa fie  NTFS;
-          Controloarele de Domeniu Read Only (RODC) pot fi instalate doar daca mai exista cel putin un
controlor de domeniu care nu este Read Only;
-          Trebuie setate configurarile corecte pentru retea.
Folosirea uneltelor administrative Active Directory
Odata cu promovarea ca si controlor de domeniu, urmatoarele unelte vor deveni accesibile:
-          Active Directory Administrative Center – acesta este un MMC ce permite realizarea mai multor
taskuri dintr-un mediu centralizat cum ar fi : resetarea de parole, crearea si managementul
utilizatorilor, a grupurilor, managementul conturilor de computer, crearea de OU-uri,
conectarea la unul sau mai multe controloare de domeniu din retea;
-          Active Directory Domain and Trusts
-          Active Directory Sites and Services: se foloseste pentru crearea si managementul site-urilor si
serviciilor pentru a crea o harta a infrastructurii fizice a organizatiei
-          Active Directory Users and Computers: Managementul utilizatorilor si  computerlor
-          Active Directory Module for Windows PowerShell: modulul ce permite configurarea si
managementul AD din linia de comanda din powershell;