Téma 3 - horalek.org

Téma 3 - řešení s obrázky
Hlavním cílem tohoto cvičení je vytvořit doménovou strukturu, kterou je možné vidět na obrázku 1.
Seznámit se a prozkoumat základní administrační prostředky služby AD, vytvořit vyhledávací dotaz.
Dále si vyzkoušíte vytvořit vztah důvěryhodnosti mezi doménami a roli globálního katalogu.
Nakonec bude odchycen Logon proces programem Wireshark. Servery, které budete importovat,
mají nastavený pouze název ve tvaru S-ITAcademy, S-SW-ITAcademy…
Obrázek 1 - doménová struktura
1. Importujte servery Server-ITAcademy, Server-SW-ITAcademy,Server-HW-ITAcademy, ServerIT a klientskou stanici Windows 7 do prostředí Hyper-V tak, jak jste se naučili v předešlém
cvičení.
2. Spusťte servery,přihlašte se jako Administrator (heslo 7Cisco14) a postupně všem přidělte
statickou IP adresu : (Start->Ovládací panely->Centrum síťových připojení a sdílení->Změnit
nastavení adaptéru->Pravý tl. myši nad adaptérem->Vlastnosti->Protokol IP verze 4
(TCP/IPv4)->Vlastnosti)
a. Server-ITAcademy: 10.11.12.1/24
b. Server-SW-ITAcademy: 10.11.12.2/24
c. Server-HW-ITAcademy: 10.11.12.3/24
d. Server-IT: 10.11.12.4/24
e. Stanice Windows7: 10.11.12.5/24
3. Na Server-ITAcademy přidejte roli AD DS (Active Directory Domain Services)(Správce
serveru->Přidat role->AD DS(Active Directory Domain Services)-> (Přidání funkcí potvrďte))
4. Vytvořte ze serveru Server-ITAcademy řadič kořenové domény ITAcademy.local dle
následující konfigurace: (Správce serveru->Role->Služba AD DS(Active Directory Domain
Services)->Spusťte průvodce instalací služby Active Directory Domain Services(dcpromo.exe)
a. Použijte rozšířený režim instalace
b. Úroveň funkčnosti nastavte pro Windows Server 2008 R2
c. Nainstalujte DNS server
d. Heslo nastavte 7Cisco14
e. Po dokončení restartujte!
5. Všimněte si, co se stalo s lokálním účtem Administrator
6. Zjistěte úplný název počítače (Správce serveru -> Úplný název počítače)
7. Na serveru Server-SW-ITAcademy přidejte roli AD DS stejně jako u serveru ServerITAcademy
8. Nastavte adresu DNS na server Server-ITAcademy (Start->Ovládací panely->Centrum
síťových připojení a sdílení->Změnit nastavení adaptéru->Pravý tl. myši nad adaptérem>Vlastnosti->Protokol IP verze 4 (TCP/IPv4)->Vlastnosti)
9. Ze serveru Server-SW-ITAcademy vytvořte řadič podřízené domény SW.ITAcademy.local
nadřízené kořenové domény ITAcademy.local. Konfiguračního průvodce spusťte přes
příkazovou řádku. (Start->cmd->příkaz dcpromo). Neinstalujte DNS! Ostatní nastavení
zůstávají stejná. Při delegování pověření použijte ůčet Administrator s heslem 7Cisco14.(Níže
obsažené screeny neobsahují screeny, které se již vyskytli při konfiguraci serveru ServerITAcademy)
10. Absolutně stejným způsobem vytvořte ze serveru Server-HW-ITAcademy doménový řadič
podřízené domény HW.ITAcademy.local nadřízené kořenové domény ITAcademy.local.
11. Ze serveru Server-IT vytvořte doménový řadič domény IT.local, která je novým kořenem
aktuální doménové struktury. (Nastavení DNS adresy, Přidat roli AD DS, Spustit
konfiguračního
průvodce
dcpromo.exe…(DNS
server
instalovat))
12. Prozkoumejte strukturu Active Directory DS na serveru Server-ITAcademy a ověřte, že jsou
přítomny všechny doménové řadiče(Správce serveru- >Role->Služba AD DS->Lokality a služby
Active Directory->Sites->Default-First-Site-Name->Servers)
13. Na stejném serveru otevřete Centrum správy služby Active Directory ( Start -> Nástroje pro
správu->Centrum správy Active Directory)
14. Přidejte navigační uzel domény SW.ITAcademy.local (Přidat navigační uzly)
15. Vyhledejte uživatele Administrator pomocí Globálního hledání, prozkoumejte kritéria, která
jsou možná a prozkoumejte vlastnosti uživatele( Levá část Centra správy služby AD >Globální hledání (Přidat kritéria, Vlastnosti (Pravá část Centra správy služby AD)) )
16. Na Serveru_ITAcademy otevřete Domény a vztahy důvěryhodnosti služby Active Directory
(Start -> Nástroje pro správu-> Domény a vztahy důvěryhodnosti služby Active Directory)
17. Zjistěte, kterým doménám doména SW.ITAcademy.local důvěřuje. (Uzel ITAcademy.local >Pravý tl.myši nad SW.ITAcademy.local->Vlastnosti->Vztah důvěryhodnosti)
18. Vytvořte nový jednosměrný příchozí vztah důvěryhodnosti domény SW.ITAcademy.local s
doménou IT.local s heslem 7Cisco14(Záložka Vztahy důvěryhodnosti -> Nový vztah
důvěryhodnosti…(Dole))
19. Otevřete Uživatelé a počítače služby Active Directory (Star->Nástroje pro správu-> Uživatelé
a počítače služby Active Directory)
20. Vytvořte a uložte vyhledávací dotaz, který v doméně ITAcademy vyhledá všechny skupiny,
která začínají na písmeno A. ( Pravý tl. myši nad Uložené dotazy ->Nová položka->Dotaz)
21. Přidejte klientskou stanici Windows7 do domény SW.ITAcademy.local (Start->Pravý tl.myši
nad Computer->Properties->Change settings->Change)
22. Zkuste suspendovat hlavní řadič doménové struktury Server_ITAcademy a z klientské stanice
Windows 7 se přihlásit na účet Administrátora v doméně HW.ITAcademy.local. Bude
přihlášení úspěšné bez Serveru_ITAcademy? Nebude, jelikož globální katalog není přítomný.
Řadič domény Server_SW_ITAcademy nezná uživatele Administrator z domény HW. V tomto
případě se obrací na globální katalog, ten ale není v této chvíli přístupný a proto přihlášení
selže.
23. Vraťte Server_ITAcademy do provozu.
24. Odhlaste se ze stanice Windows 7 (Start->Logoff)
25. Nyní se pokuste zachytit Logon proces uživatele Administrator v doméně
SW.ITAcademy.local pomocí programu Wireshark (Spustit Wireshark na serveru
Server_SW_ITAcademy->Vybrat síťový adaptér->Na stanici Windows 7 připravit přihlášení
uživatele Administrator do domény SW.ITAcademy.local->Stiskněte v programu Wireshark
Start a poté se přihlašte na stanici Windows7->Po přihlášení zastavte analyzér)
26. V programu Wireshark vyfiltrujte protokol Kerberos a prozkoumejte, jaké informace se
přenáší ( Filter->Kerberos; zaměřte se na položky s popisem AS-REQ,AS-REP,TGS-REQ,TGSREP)
Pro maximálně detailní informace doporučuji - http://www.samuraj-cz.com/clanek/kerberosprotokol-a-single-sign-on/
27. Na serveru Server_ITAcademy spusťte Diagnostiku stavu řadičů domény, doménových
struktur a instancí služby AD LDS pro server Server-ITAcademy (Start->cmd->dcdiag.exe)
28. Prozkoumejte a dle časových možností vyzkoušejte existující Rozšířené nástroje služby AD
(Správce serveru->Role->Služba AD DS->Sjet dolů až na Rozšířené nástroje)