Folytatjuk a Windows Server 2022 konfigurálását, DNS, DHCP, AD beállításaival.
DNS szerepkör (role) beállítása
Domain Name System (DNS) szolgáltatás a Windows Server 2022-ben is kritikus szerepet játszik, mivel ez felelős a névfeloldásért (tartománynevek IP-címekké alakításáért, és fordítva). A DNS különösen nélkülözhetetlen az Active Directory Domain Services (AD DS) működéséhez, mivel a tartományvezérlők (DC) és a kliensek ezt használják a tartományi szolgáltatások és egymás megkeresésére.
Külső Névfeloldás (Forwarders): beállítható a DNS-szerver, hogy továbbítsa a helyi zónán kívüli lekérdezéseket (pl. internetes címekre vonatkozó lekérdezéseket) egy külső, megbízható DNS-szolgáltatónak (pl. Google DNS: 8.8.8.8 és 8.8.4.4). Ha nincs beállítva forwarder, a szerver a Root Hints (gyökér mutatók) segítségével oldja fel a neveket, ami lassabb lehet.
Amikor AD DS-t (tartományvezérlőt) telepítünk, a DNS szerepkör automatikusan települ és beállításra kerül, létrehozva a tartományi DNS-zónát. Ez az AD-integrált zóna biztosítja a DNS-adatok replikációját a többi DC között. A DNS tárolja az Active Directory szolgáltatások helyét jelölő Service Locator (SRV) rekordokat is (pl. LDAP, Kerberos), amelyek nélkül a tartományi kliensek nem találnák meg a DC-ket.
| Rekord típusa | Leírás | |
| A | IPv4 cím hozzárendelése egy domainhez | server >> 192.168.1.1 |
| AAAA | IPv6 cím hozzárendelése egy domainhez | server >>2001:db88::1 |
| CNAME | Alias, másik névre mutat | www.server.com >> server.com |
| MX | Mail Exchange, e-mail szerverek címei | mail.demo.local |
| NS | Name Server, a zóna névszervereinek megadása | server.demo.local |
| PTR | Reverse DNS, IP → domain név | 192.168.1.1 >> server.demo.local |
| TXT | Szöveges információk (pl. SPF, DKIM) | Hitelesítés, biztonsági beállítások |
| SRV | Szolgáltatás rekord (port és protokoll) | Pl. VoIP, LDAP szolgáltatások |
| SOA | Start of Authority, zóna alapadatai | zóna adminisztrációs információk |
Forward lookup zone – címkeresési zóna: Tartománynévből (pl. szerver.sajatdomain.local) oldja fel az IP-címet (A és AAAA rekordok). Ez az alapvető működés.
Reverse lookup zone – névkeresési zóna. IP-címből oldja fel a tartománynevet/állomásnevet (PTR rekordok). Ez elengedhetetlen a biztonsági ellenőrzésekhez (pl. e-mail szervereknél) és a naplózáshoz.
Ezt nem csinálja meg automatikusan, tehát létre kell hozni egy új zónát. Ha kész, akkor még egy PTR rekordot is felveszünk, ez teszi lehetővé a fordított DNS-feloldást (Reverse DNS Lookup). Ellenőrizni parancssorból az nslookup paranccsal tudjuk.
Másodlagos DNS zóna megadásához kellene egy másik szerver, amin van DNS szerepkör, ugyanazon a hállózaton. Később lesz róla szó.
DHCP beállítása
A Dynamic Host Configuration Protocol (DHCP) szerepkör automatizálja az IP-címek és egyéb hálózati konfigurációs paraméterek (pl. alhálózati maszk, alapértelmezett átjáró, DNS-szerver címe) kiosztását a hálózaton lévő kliensek (számítógépek, telefonok, nyomtatók) számára.
DHCP-szolgáltatást futtató szervernek mindig statikus IP-címet kell kapnia!
Készítsünk IPv4-es DHCP hatókört! Meg kell adni a kiosztható tartomány címeit, dns szerver címét, átjáró címét. Arra kell figyelni, hogy ha nem zöld az ikonja, akkor nem működik! Engedélyezni kell, majd frissíteni F5-tel a nézetet, és máris kizöldül!
+ fenntartások kezelése
+ módosítás
AD konfigurálása
A Szervezeti Egység (OU) az Active Directory (AD) struktúra egyik legalapvetőbb építőköve, amely egy olyan konténer objektum, ami a tartományon (Domain) belül helyezkedik el. Fő szerepe, hogy egy magasabb szintű tartományon belüli hierarchiát és logikai struktúrát hozzon létre.
Delegálás: Az OU lehetővé teszi a jogosultságok delegálását. Például ahelyett, hogy tartományi rendszergazda jogokat adnánk egy felhasználónak a teljes tartományra, adhatunk neki csak arra az OU-ra vonatkozó jogokat, amely a saját részlegét (pl. WEBDESIGN) tartalmazza. Így az adminisztrátor csak az adott egységen belüli felhasználókat kezelheti.
Szabályok (házirendek) alkalmazása: A GPO-kat az OU szintjén lehet összekapcsolni. Ez azt jelenti, hogy a szervezet különböző részei (pl. Pénzügy, IT, Gyártás) eltérő asztali beállításokat, biztonsági konfigurációkat vagy szoftvertelepítéseket kaphatnak, miközben mindannyian ugyanabban a tartományban vannak.
Példa: Az IT OU-ban lévő felhasználók megkaphatnak egy GPO-t, amely lehetővé teszi számukra a parancssor használatát, míg a Pénzügy OU-ban lévő felhasználóknak ez tiltva lehet.
A szervezeti egyság segít rendet tartani az AD-ban, szétválasztva a felhasználókat, számítógépeket, csoportokat és szolgáltatásfiókokat logikus egységek szerint (pl. részlegek, irodák, földrajzi helyek, szerepkörök).
Csoportok típusai:
Security Group (Biztonsági csoport): Ez a leggyakrabban használt típus. Célja, hogy engedélyeket (jogosultságokat) rendeljen egy erőforráshoz (pl. fájlmegosztáshoz, nyomtatóhoz) a csoport összes tagja számára. Használható e-mail küldésre is, de elsősorban a biztonságkezelés a feladata.
Distribution Group (Terjesztési csoport): Ezt a típust kizárólag e-mail címzettek csoportosítására használják (levelezőlistaként). Nem lehet hozzájuk engedélyeket rendelni fájlokhoz vagy mappákhoz.
Csoport hatókörök (Scope): Domain Local, Global, Universal
A csoport hatóköre határozza meg, hogy a csoport tagjai honnan származhatnak (melyik tartományból) és mely erőforrásokhoz (mely tartományokban) kaphatnak hozzáférést.
Domain Local (Tartományi helyi)
Cél: Erőforrásokhoz való hozzáférés biztosítása egy adott tartományon belül.
Tagok (Ki lehet a tagja?): Felhasználók, számítógépek, és Global vagy Universal csoportok bármely tartományból az erdőn belül. Más Domain Local csoportok ugyanabból a tartományból.
Jogosultságok hozzárendelése (Hol használható?): Csak abban a tartományban lévő erőforrásokhoz rendelhető hozzá jogosultság, ahol a csoportot létrehozták.
Global (Globális)
Cél: Csoportosítani tartományon belüli felhasználókat és más Global csoportokat.
Tagok (Ki lehet a tagja?): Csak felhasználók, számítógépek és más Global csoportok ugyanabból a tartományból, ahol a csoportot létrehozták.
Jogosultságok hozzárendelése (Hol használható?): Hozzárendelhető jogokhoz bármely tartományban az erdőn belül (általában Domain Local vagy Universal csoportba ágyazva).
Universal (Univerzális)
Cél: Hozzáférés biztosítása több tartományban lévő erőforrásokhoz, és a csoport tagságát az egész erdőn belül elérhetővé tenni.
Tagok (Ki lehet a tagja?): Felhasználók, számítógépek, Global és más Universal csoportok bármely tartományból az erdőn belül.
Jogosultságok hozzárendelése (Hol használható?): Hozzárendelhető jogokhoz bármely tartományban az erdőn belül.
ajánlott Csoportkezelési Modell: A-G-D-L (Accounts – Global – Domain Local)
Accounts (Fiókok): Hozd létre a felhasználói fiókokat.
Global (Globális): Helyezd a felhasználói fiókokat Global csoportokba (pl. „IT_Global”).
Domain Local (Tartományi Helyi): Helyezd a Global csoportokat Domain Local csoportokba (pl. „IT_WEB_DL”).
Assign Permissions (Jogosultságok Hozzárendelése): Rendelj engedélyeket a Domain Local csoporthoz az erőforráson (fájlmegosztás, stb.).
