SATAKUNNAN AMMATTIKORKEAKOULU. Iiro Sammalkorpi Windows Active Directory, käyttöönotto ja hallinta

Transkriptio

1 SATAKUNNAN AMMATTIKORKEAKOULU Iiro Sammalkorpi Windows Active Directory, käyttöönotto ja hallinta Liiketalous, matkailu, tietojenkäsittely ja viestintä Pori Tietojenkäsittelyn koulutusohjelma TK

2 TIIVISTELMÄ WINDOWS ACTIVE DIRECTORY, KÄYTTÖÖNOTTO JA HALLINTA Iiro Sammalkorpi Satakunnan ammattikorkeakoulu Liiketalous, matkailu, tietojenkäsittely ja viestintä Pori Tietojenkäsittelyn koulutusohjelma Kesäkuu 2005 Opinnäytetyön ohjaaja Jukka Grönholm Avainsanat: aktiivihakemisto, nimipalvelu, nimenselvennös, toimintatila, ryhmäkäytännöt UDK: , sivua Tässä opinnäytetyössä tutkittiin Windows Active Directory -hakemistopalvelua, joka ensimmäisen kerran esiteltiin vuonna 2000 julkistetun Windows palvelinkäyttöjärjestelmän yhteydessä. Hakemistopalvelua käsiteltiin hyvin teoreettisesti ilman todellista asiakasyritystä. Suuriinkin käyttöympäristöihin skaalautuva aktiivihakemisto mahdollistaa maailmanlaajuisten yritysten, joissa aiemmin on ollut useita toimialueita, yhdistää toimialueensa yhteen hakemistoon. Näin saadaan erilaiset resurssit käyttöön, sijaitsevatpa ne missä päin organisaatiota tahansa. Todettiin aktiivihakemiston mahdollistavan keskitetyn Active Directory - objektien hallinnan ja toisaalta myös niiden hallinnan delegoimisen useammalle taholle. Näin esimerkiksi tietyn organisaatioyksikön hallinta on mahdollista antaa esimerkiksi yrityksen eri osastojen tietotekniikkavastaaville, pois varsinaisesta järjestelmähallinnosta, jolloin säästetään järjestelmänhallintaan kuluvaa aikaa ja kuluja. Työssä tutkittiin aktiivihakemiston perusteita ja perehdyttiin sen terminologiaan, erityisesti sen rakennetta, suunnittelua ja hallintaa koskeviin seikkoihin. Todettiin, että ennen aktiivihakemistoprojektin toteuttamista, on suunniteltava toimialueen rakenne ja nimiavaruus huolellisesti koska huonon suunnittelun aiheuttamien ongelmien korjaaminen jälkikäteen on erittäin hankalaa ja työlästä.

3 ABSTRACT WINDOWS ACTIVE DIRECTORY, IMPLEMENTATION AND ADMINISTRATION Iiro Sammalkorpi Satakunta Polytechnic School of Business, Tourism, Business Information Systems, Media and Communication Pori Degree Programme in Business Information Systems June 2005 Supervisor Jukka Grönholm Keywords: Active Directory, DNS, name resolution, function level, group policy UDK: , pages This thesis was a study on Windows Active Directory service, which was first introduced in 2000 with Windows 2000 operating system for servers. In the thesis the directory service was examined theoretically without an actual client company. In large, international companies with previously several domains, the directory service allows the merging of several domains into one directory. It thus enables the use of all resources needed regardless of their location in the organization. In this study it was discovered that Active Directory allows both the centralized management of Active Directory objects and their wide delegation to relevant stakeholders. As a result, it is possible to for example delegate the administration of a certain organizational unit directly to the relevant departments and the information technology experts there. By removing this responsibility from the company's centralized data administration department, both time and money can be saved. The study was focused on examining the principles of Active Directory as well as its terminology especially regarding the structure, design and administration. It was established that before implementing an Active Directory project, the domain structure and DNS-naming space must carefully be planned as fixing problems caused by poor design afterwards is extremely difficult and time-consuming.

4 SISÄLLYS 1 JOHDANTO VERKKOKÄYTTÖJÄRJESTELMÄT UNIX/Linux NetWare Windows NT ACTIVE DIRECTORY Active Directoryn versiot LDAP Active Directoryn rakenne ja käsitteistöä Organizational unit (organisatorinen yksikkö) Domain (toimialue) Site (palvelinjoukko/toimipaikka) Forest (metsä) Replikointi Toimipaikan sisäinen replikointi Toimipaikkojen välinen replikointi Global Catalog Operations master -palvelimet Schema Master Domain Naming Master RID Master Infrastructure Master PDC Emulator Active Directoryn toimintatilat Toimialueen toimintatilat Metsän toimintatilat Active Directoryn suunnittelu... 37

5 3.9 Active Directoryn asentaminen ja määrittely Verkkoasetukset NIMIPALVELU Windows Internet Naming Service (WINS) Domain Name System (DNS) Hierarkkinen rakenne Nimenselvennys DNS ja Active Directory Nimipalvelimen asennus Dynaaminen DNS (DDNS) ACTIVE DIRECTORYN HALLINTA Group Policy (ryhmäkäytäntö) Hallintatyökalut YRITYS OY Yrityksen perustiedot Active Directoryn suunnittelu DNS-nimiavaruus Active Directoryn rakenne YHTEENVETO LÄHDELUETTELO... 63

6 1 JOHDANTO Tässä opinnäytetyössä esitellään Windows Active Directoryn käyttöönottoa ja sen tarjoamia mahdollisuuksia tehokkaakseen verkkoympäristön hallintaan sekä suunnittelussa, käyttöönotossa ja hallinnassa mahdollisia vastaantulevia ongelmia. Aluksi käsitellään teoreettisella tasolla Active Directoryn perusteita, sen rakennetta ja siihen liittyvää yleistä terminologiaa, lähinnä Windows 2003 Server - ympäristön näkökulmasta, joka on tuonut hieman muutoksia verrattuna Windows Active Directoryyn. Suurelta osa teoria on kuitenkin täysin samaa, käytetystä käyttöjärjestelmän versiosta riippumatta. Opinnäytetyö käsittelee kuvitteellisen Yritys Oy:n nykyisen Windows NT4 - verkkoympäristön muutosta uuteen Windows 2003 Active Directoryyn ja mitä erilaisia mahdollisuuksia tämän toteuttamiseen on. Tarkoitus on suunnitella Active Directoryn rakenne ja tutkia miten erilaiset ryhmäkäytännöt ja niiden tarjoamat mahdollisuudet voidaan tehokkaasti hyödyntää. Työasemien asetusten vakiointi on myös huomattavasti aiempaa helpompaa uusien ryhmäkäytäntöjen avulla. Tietoturvamielessä oikein suunniteltujen ryhmäkäytäntöjen hyödyntäminen on myös yrityksen kannalta tärkeää, koska näin saadaan rajattua tehokkaasti käyttäjien oikeuksia työasemiinsa ja käyttöympäristöönsä. Yritys Oy on pieni yritys ja se on ollut hyvin hallittava myös Windows NT4 - ympäristössä, mutta ohjelmistojen ja laitteistojen päivittymisen vuoksi on päädytty siihen tulokseen, että yrityksessä siirrytään samalla uuteen palvelinkäyttöjärjestelmäversioon ja sen johdosta Active Directoryn käyttöönottoon. Active Directoryn uusi hakemistomalli poikkeaa selkeästi vanhasta NT-toimialuemallista, joten koko verkkoympäristön suunnittelutyö joudutaan tekemään alusta uudelleen.

7 7 2 VERKKOKÄYTTÖJÄRJESTELMÄT 2.1 UNIX/Linux UNIXin historia alkaa vuodesta 1957, jolloin Bell Labs huomasi tarvitsevansa käyttöjärjestelmää tietokonekeskukseensa ja kehitti tarpeisiinsa BESYSkäyttöjärjestelmän, jonka kanssa edettiin vuoteen 1965, jolloin Bell Labs hankki kolmannen sukupolven tietokonelaitteiston ja ryhtyi yhteistyöhön General Electricin ja MIT:n kanssa kehittääkseen Multics-käyttöjärjestelmän (Multiplexed information and Computing Service). Huhtikuussa 1969 AT&T päätti lopettaa Multicsin kehityksen. Multicsin kehityksen loputtua Ken Thompson ja Dennis Ritchie kirjoittivat uuden käyttöjärjestelmän, joka sai nimekseen UNICS (UNiplexed Information and Computing Service). (Computer Hope 2005, [verkkodokumentti].) Kesällä 1969 kehitettiin UNIX, jonka ensimmäinen versio julkaistiin marraskuun 11. päivänä Samana päivänä julkaistiin myös ensimmäinen versio Ken Thompsonin ja Dennis Ritchien teoksesta Unix Programmers Manual, joka sisälsi 60 komentoa. Suurin puute oli komentojen putkituksen puute. (Computer Hope 2005, [verkkodokumentti].) UNIX-käyttöjärjestelmästä on olemassa lukuisia variantteja, joista tässä tunnetuimmat: AIX/AIXL BSD DUNIX DYNIX/ptx HP-UX IRIX MINIX OSF/1 QNX SCO Sun Solaris System V Tru64 UNIX Ultrix Unisys UnixWare Xenix (Computer Hope 2005, [verkkodokumentti].)

8 8 Vuonna 1991 suomalainen Linus Thorvalds laittoi Internetin comp.os.minixuutisryhmään viestin kehittämästään käyttöjärjestelmästä, joka oli UNIXin kaltainen, mutta mikrotietokoneympäristöön tarkoitettu. Myöhemmässä vaiheessa käyttöjärjestelmä sai nimekseen LINUX. Kuten UNIXista, myös Linuxista on lukuisia eri jakeluversioita. Tässä eniten käytetyt: Caldera Linux Corel Linux Debian Linux Kondara Linux Red Hat Linux Mandrake Linux Slackware Linux SuSE Linux Turbolinux Vector Linux (Computer Hope 2005, [verkkodokumentti].) Sekä UNIX että Linux ovat jo alun perin suunniteltu monen käyttäjän käyttöjärjestelmäksi verkkoympäristöön ja jotka natiivisti tukevat TCP/IPtietoliikenneprotokollaa. Linuxin etuina UNIXiin verrattuna on suurempi valikoima käytettäviä sovelluksia, mutta Microsoftin Windows -alustalle niitä on vielä suurempi määrä, johtuen Windowsin suuremmasta levinneisyydestä. Suurin etu Linuxin hyväksi on, että mahdolliset virheiden korjaukset tapahtuvat yleensä äärimmäisen nopeasti, johtuen käyttöjärjestelmän avoimuudesta. Tästä johtuen korjauksia voi tehdä kuka tahansa ohjelmoija ympäri maailman, eikä kuten UNIXin tai Windowsin tapauksessa, jolloin ainoat korjauksia tekevät tahot ovat valmistajan ohjelmoijat. Linux tukee oletuksena myös Novellin IPX/SPX-protokollaa, jonka avulla Linux on mahdollista konfiguroida toimimaan esimerkiksi IPX-reitittimenä tai -siltana ja vaikka Novell-tulostinpalvelimena. Linux sisältää myös täysimittaisena Applen AppleTalk-tietoliikenneprotokollan, jonka avulla Linux voi toimia Apple-

9 9 ympäristön palvelimena tai asiakaskoneena. Protokollan nimi Linuxissa on Nettalk. (Koski 2000, 9-10.) UNIX/Linux-verkkoympäristössä käyttäjät voivat käyttää mitä tahansa työasemaa, josta vain on TCP/IP-yhteys UNIX/Linux-palvelimeen, kirjautumiseen palvelimeen. Kirjautumisensa jälkeen käyttäjälle avautuu ns. shell-istunto, joka on täysin komentorivipohjainen. UNIX-Linux-ympäristöön on olemassa myös Windowsin tapaisia graafisia työpöytäympäristöjä, joilla käyttäjä voi käyttää erilaisia ohjelmia tuntematta komentorivikomentoja. 2.2 NetWare Novellin NetWare esiteltiin nimellä ShareNet jo 1980-luvun alussa ja on näin yksi pisimpään markkinoilla oleva verkkoliikennetuote, jonka päivittämistä Novell jatkaa yhä tänä päivänäkin. ShareNet teki mahdolliseksi tiedostojen ja tulostinten jakamisen verkossa PC-käyttäjien kesken. Verkon palvelujen hyödyntämiseen ja kirjautumiseen NetWaren eri versiot käyttävät erilaisia mekanismeja. (Ogletree 2001, 330.) NetWaren versioissa 2.x ja 3.x oli käytössä toiminto nimeltään bindery, joka koostui ASCII-muotoisista tekstitiedostoista, joihin oli tallennettu asiat, joihin liittyi tietoturvaa, kuten käyttäjiin, käyttäjäryhmiin sekä tulostusjonoihin liittyvää informaatiota. Verkon jokaisella NetWare-palvelimella piti olla omat binderytiedostonsa. Tästä seurasi, että voidakseen käyttää palvelimen palveluja, piti käyttäjällä olla tunnukset jokaiselle palvelimelle ja käyttäjän autentikoinnin tuli tapahtua jokaiselle palvelimelle erikseen. Tilanne, jossa käyttäjien piti kirjautua jokaiselle palvelimelle erikseen, ei ollut käyttäjien kannalta mitenkään mukava. (Ogletree 2001, 332.) Versiossa 4.x Novellin esitteli binderyn korvaavan NDS-hakemistopalvelun (Net- Ware Directory Services), joka jo silloin muistutti rakenteeltaan ja toiminnaltaan hyvin paljon nykyistä Windows Active Directoryä (Ogletree 2001, 330). NDShakemistopalvelu mahdollisti käyttäjien kirjautumisen verkkoon keskitetysti ha-

10 10 kemiston kautta, jolloin ei enää tarvittu kirjautumista jokaiselle palvelimelle erikseen. Tätä kirjoitettaessa NetWare on edennyt jo versioon 6.5. NDS, kuten Windowsin Active Directorykin, on hajautettu tietokantajärjestelmä, jossa kaikki verkkoon liittyvä informaatio on puurakenteisessa, hierarkkisessa, muodossa. NDS-puu jaetaan osiin, joita kutsutaan osioiksi (partition), jotka vikasietoisuuden vuoksi replikoidaan verkon kaikille palvelimille. Näin käyttäjän autentikointi voidaan hoitaa vaikka joku palvelin olisikin poissa toiminnasta. Tiedot NDS-hakemistossa ovat objekteina, joita voi olla kolmenlaisia: juuri (root), säiliö (container) ja lehtiobjekti (leaf objects). NDS-puun rakenne alkaa juuresta ja haarautuu säiliöihin, jotka taas voivat sisältää alisäiliöitä ja lehtiobjekteja. (Ogletree 2001, 333.) Nykyisin NDS:stä on olemassa seuraava versio, edirectory, joka pystyy toimimaan Linux, NetWare, Windows, Solaris, AIX ja HP-UXkäyttöjärjestelmäalustoilla. edirectory toimii täysin LDAP v3 -protokollalla ja pystyy skaalautumaan todella suuriin verkkoihin. Vuonna 1999 Novell demonstroi edirectoryn skaalautuvuutta miljardin objektin hakemistolla. (Novell, Inc. 2004, [verkkodokumentti].) 2.3 Windows NT Microsoftin LAN Manager -käyttöjärjestelmää seurasi Windows NT, jonka teknologiaan myös Windows 2000 pohjautuu. Kyseessä oli puhtaasti 32-bittinen käyttöjärjestelmä palvelimiin ja työasemiin, jonka kehittämisen yhtenä tavoitteena oli skaalautuvuus eli mahdollisuus käyttää useampaa prosessoria (SMP, Symmetric Multi Processing). Windows NT:n palvelinversio oli optimoitu palvelinkäyttöön ja työasemaversio työasemakäyttöön. Yhteensopivuutta vanhan Työryhmä- Windowsin ja LAN Managerin kanssa pidettiin tärkeänä ja se haluttiin säilyttää. (Kivimäki 2004, 1.) Windows NT:n kehitys alkoi 1980-luvun loppupuolella ja toukokuussa 1993 siitä virallisesti julkaistiin versio 3.1, jossa oli Windows 3.1 -tyyppinen käyttöliittymä.

11 11 Syyskuussa 1994 julkaistiin versio 3.5 ja elokuussa 1995 versio 3.51, jossa muistinkulutusta oli onnistuttu vähentämään entisestä. Käyttöliittymä molemmissa uusissa versiossa oli peräisin vielä vanhasta Windows 3.1:stä. (Järvinen 1997, 34.) Vuonna 1996 julkaistiin viimeisin Windows NT:stä versioltaan 4.0, joka oli saanut käyttöliittymänsä vuonna 1995 julkaistusta Windows 95:sta. (Järvinen 1997, 34.) Koska tietoturvan merkitys on jatkuvasti kasvanut, tähdättiin Windows NT:n kehittelyssä jo alusta lähtien C2-tason tietoturvaan ja siitä johtuen Windows NT olikin aiempia Windows-versioita huomattavasti turvallisempi. Tietoturvatason määritelmä on peräisin Yhdysvaltain puolustusministeriön oranssista kirjasta (orange book), jossa tietosuoja jaetaan A-, B-, C- ja D-luokkiin niin, että luokka A on luotettavin ja luokka D epäluotettavin. Luokan C2-turvallisuus kattaa kuitenkin vain työaseman, eikä verkkokäyttöä ollenkaan. Tietoturvan huomaa jo kirjautumisessa, joka Windows NT -ympäristössä tapahtuu painamalla yhtäaikaisesti näppäimet Ctrl+Alt+Del. Tällä mahdollistetaan, ettei edellinen käyttäjä ole jättänyt ruudulle käymään esimerkiksi kirjautumista jäljittelevää valeohjelmaa, joka saattaisi taltioida seuraavan käyttäjän salasanan muistiin. (Järvinen 1997, ) Verkko-ominaisuuksiltaan Windows NT oli paljon parempi kuin aiemmat Windows-versiot ja siitä löytyy vakiona tuki yleisimmille verkkoprotokollille: TCP/IP, NetBEUI, SPX/IPX. Myös tiedostojen ja tulostinten jakaminen verkkoon muille käyttäjille oli mahdollista Windows NT:ssä. (Järvinen 1997, 44.)

12 12 3 ACTIVE DIRECTORY Active Directory -hakemistopalvelu yksinkertaisuudessaan on tietokanta, joka voi sisältää tietoja erityyppisistä verkon objekteista, kuten esimerkiksi tietokoneista, tulostimista, käyttäjistä sekä käyttäjäryhmistä, jotka jollain tavalla ovat suhteessa toisiinsa. Jokaisella objektilla on myös tietty määrä attribuutteja. Toisin oli Windows NT -ympäristössä, jossa vastaavat asiat olivat omissa paikoissaan, eivätkä keskitetysti koottuna yhteen paikkaan. Active Directoryssä eri resursseja voidaan hallita yhtenäisillä rajapinnoilla ja palveluilla. Sen avulla on mahdollista hallita esimerkiksi Windows-käyttäjätietoja ja Exchange-sähköpostitietoja samasta paikasta. (Kivimäki 2004, 6.) Kaikilla Active Directoryn objekteilla on oltava yksikäsitteinen nimi, distinguished name, joka on objektin LDAP-nimi. Esimerkkinä vaikka toimialueen YRITYS.FI ohjauspalvelin SERVERI, jonka LDAP-nimi Active Directoryssä on CN=SERVERI,OU=Domain Controllers,DC=YRITYS,DC=FI. Kyseinen tieto on talletettuna attribuutin distinguishedname arvoksi. DistinguishedName on tärkein LDAP-attribuutti koska se yksilöi Active Directoryssä olevan objektin yksiselitteisesti. Edellisessä LDAP-nimiesimerkissä esiintyvät LDAP-attribuutit tarkoittavat seuraavaa (Thomas, [verkkodokumentti]): CN = common name (yleinen nimi). Käyttäjän ollessa kyseessä, muodostuu CN-attribuutti kahdesta erillisestä attribuutista: givenname (etunimi) ja sn (sukunimi). OU = organizational unit (oraganisatorinen yksikkö). Yllä olevassa esimerkissä OU on toimialueella oletuksena oleva Domain Controllers, johon kaikki toimialueen ohjauspalvelimet kuuluvat. Organisatorisista yksiköistä lisää kappaleessa DC = domain component. Ei ole itsessään attribuutti vaan ilmaisee osat, joista toimialueen yksilöllinen nimi (distinguishedname, DN) muodostuu.

13 13 Esimerkin toimialueen yksilöllinen nimi on DC=YRITYS,DC=FI ja on siis väärin kirjoittaa seuraavasti: DC=YRITYS.FI. Koska kyseessä on keskitetty hakemisto, helpottaa se olennaisesti käyttäjä- ja tietokonetilien hallintaa, koska kaikki löytyvät yhdestä tietokannasta. Active Directory sisältää lukemattoman määrä erilaisia attribuutteja, joiden perusteella eri objekteja voidaan hakea, esimerkiksi käyttäjän sähköpostiosoite tai vaikka tulostimen sijaintipaikka. Kuvassa 3.1 esimerkki hausta, jossa haetaan Active Directorystä käyttäjää sähköpostiosoitteen avulla. Tarkemmin sanottuna kyseessä on käyttäjäkohtainen attribuutti mail, jonka arvona on käyttäjän sähköpostiosoite. Kuva 3.1 Henkilön haku Active Directorystä sähköpostiosoitteen avulla. 3.1 Active Directoryn versiot Microsoft julkaisi ensimmäisen version Active Directorystä yhdessä Windows palvelinkäyttöjärjestelmän kanssa ja se onkin Windows 2000 Serverin sekä Windows Server 2003:n perusta, joka perustuu internetin standardisoituihin pro-

14 14 tokolliin ja sen avulla on mahdollista määrittää verkon rakenne selkeästi. (Stanek 2003, 133.) Windows Server käyttöjärjestelmän mukana Active Directorykin sai uuden version, jossa on useita muutoksia aiempaan, Windows 2000:n Active Directoryyn verrattuna. Seuraavassa joitain merkittävimpiä muutoksia: mahdollisuus nimetä uudelleen toimialueen ohjauspalvelin, ilman että sen ohjauspalvelinrooli pitää ensin poistaa. minkä tahansa toimialuemetsän alitoimialueen tai metsän itsensä uudelleennimeämismahdollisuus. Sekä NetBIOS-, että DNS-nimi on mahdollista muuttaa. metsien välisten kaksisuuntaisten luottosuhteiden luominen mahdollista. käyttäjä- ja tietokonetileille mahdollista määrittää oletussijainti. toimialuemetsän rakenteen muutos mahdollista. Jo olemassa olevia toimialueita pystyy siirtämään uuteen paikkaan toimialuehierarkiassa. global catalogin replikointi tehostunut, joka vähentää näin replikoinnin aiheuttamaa tietoliikennekuormaa. mahdollisuus asettaa quota eli kokorajoitus Active Directoryn objekteille. Domain Admins ja Enterprise Admins -käyttäjäryhmät ovat vapautettuja kokorajoituksesta. Tämä ominaisuus on käytettävissä vasta Windows Server 2003 Service Pack 1:n asennuksen jälkeen. suojattu LDAP-tietoliikenne. Ominaisuus on käytettävissä Windows Server 2003 Service Pack 1:n asennuksen jälkeen. operations master -palvelinten terveyden ja tilan raportointi. Jos FSMOroolin omaava ohjauspalvelin ei saa tiettyä tehtävää suoritettua, raportoi se siitä Active Directoryn logiin. Ominaisuus on käytettävissä Windows Server 2003 Service Pack 1:n asennuksen jälkeen. (Microsoft 2005, [verkkodokumentti]).

15 LDAP Active Directoryn objekteilla on omat nimeämismenetelmänsä, kuten LDAPnimet (Lightweight Directory Access Protocol) (Kivimäki 2004, 12). LDAP taas on standardoitu, x.500-protokollaan perustuva hakemistoprotokolla, josta käytössä tällä hetkellä versio 3. LDAP-protokollan määrittelyt löytyvät useasta RFCdokumentista (Network Sorcery 2005, [verkkodokumentti]). Windows 2003:n Active Directory tukee LDAP:n versioita 2 ja 3. RFC-dokumentit (Request For Comments) eivät ole virallisia standardeja, mutta käytännössä niitä käytetään standardin asemassa. Kuten nimikin kertoo, ovat nämä dokumentit vapaasti kenen tahansa kommentoitavissa. Dokumentit numeroidaan juoksevalla numerolla kirjoittamisjärjestyksen mukaan siten, että jokainen uusi tai korjattu dokumentti saa uuden numeron. RFC-dokumenttien lukijan vastuulle siis jää, että hän hankkii uusimman aihetta koskevan version (Comer 2002, 11). Ensimmäinen RFC-dokumentti julkistettiin jo vuonna 1969, ja tätä kirjoitettaessa niitä on jo 4071 kpl (RFC Editor 2005, [verkkodokumentti]). LDAP:n avulla voidaan etsiä erilaisia tietoja Active Directorystä. Windows 2000 ja palvelinkäyttöjärjestelmien Support Tools -työkaluohjelmavalikoimaan kuuluu ohjelma ldp.exe, jolla voidaan Active Directorystä etsiä tietoja suoraan LDAP-protokollalla. 3.3 Active Directoryn rakenne ja käsitteistöä Vaikka Active Directory onkin yksi suuri tietokanta, se sisältää rakenteellisesti erilaisia pienempiä osia. Yksinkertaisimmillaan asennuksen jälkeen Active Directory muodostaa metsän ja samalla ns. juuritoimialueen, joista enemmän kappaleessa Näiden lisäksi se voi sisältää muitakin, sekä loogisia että fyysisiä rakenteita. Active Directoryn tietokannan rakenne määritellään schemassa, joka siis määrittelee, mitä tietoja erilaisista objekteista Active Directoryyn voidaan tallentaa. Schemaan sisältyy oletuksena määrätyt kentät, mutta tarvittaessa niitä on mahdollista lisätä. Schema on yhtenäinen koko Active Directory -metsän alueella

16 16 ja sitä ylläpitää ohjauspalvelin, jonka rooliksi on määritelty schema master. Tästä ja muista Active Directoryssä tärkeistä palvelinrooleista lisää kappaleessa 3.6. Tietyt ohjelmistot asennettaessa lisäävät myös omia kenttiään schemaan eli laajentavat sitä. Eräs esimerkki tällaisesta schemaa laajentavasta ohjelmistosta on Microsoft Exchange -sähköpostipalvelinohjelmisto, jonka ja 2003-versiot eivät edes toimi vanhassa Windows NT -ympäristössä vaan ne vaativat toimiakseen Active Directoryn. Active Directoryn loogisia rakenteita ovat toimialuemetsät, toimialuepuut, toimialueet sekä organisatoriset yksiköt. Fyysisiä rakenteita taas ovat toimipaikat ja aliverkot. (Stanek 2003, 135.) Suositus on, että yhdellä toimialueella olisi useampia ohjauspalvelimia. Vikasietoisuutta tarjoaa jo vähintään kaksi ohjauspalvelinta toimialuetta kohti. Näin on mahdollista, että useampi ohjauspalvelin voi hoitaa Active Directoryn päivityksiä ja toisaalta toimialuelaajuiset palvelinroolit voivat sijaita missä tahansa ohjauspalvelimissa toimialueella (Kivimäki 2004, 33). Jos ohjauspalvelimia on useampi kuin yksi, niiden välille muodostuu replikointiyhteyksiä ja ne replikoivat automaattisesti tietojaan Organizational unit (organisatorinen yksikkö) Organisatorisista yksiköistä käytetään usein yksikertaisempaa nimeä organisaatioyksikkö, jota käytetään tässä opinnäytetyössä jatkossa. Organisaatioyksiköt ovat toimialueen aliryhmiä, joiden rakenne ja sisältö hyvin usein vastaavat organisaation liiketoiminnallista tai toiminnallista rakennetta. Ne voivat sisältää erityyppisiä Active Directoryn sisältämiä objekteja: käyttäjiä, palvelimia, työasemia, tulostimia sekä toisia organisaatioyksiköitä. Organisaatioyksikkö voidaankin ajatella pelkkänä loogisena säiliönä, joka voi sisältää erilaisia objekteja, tosin vain omasta isätoimialueestaan. (Stanek 2003, 137.)

17 17 Organisaation liiketoiminnalliseen tai toiminnalliseen rakenteeseen liittyvien objektien organisointi on yksinkertaisempaa organisaatioyksiköiden avulla. Organisaatioyksiköiden avulla on myös mahdollista määrittää ryhmäkäytäntö koskemaan ainoastaan toimialueen pientä resurssijoukkoa varten. Organisaatioyksiköt muodostavat pieniä, helpommin hallittavia kokonaisuuksia toimialueen objekteista ja helpottavat resurssien hallintaa. (Stanek 2003, 138.) Valvonnan delegointi ja hallinta on myös mahdollista organisaatioyksiköiden avulla. Tietylle käyttäjälle tai käyttäjäryhmälle voidaan esimerkiksi sallia vain jonkun tietyn organisaatioyksikön hallinta, jolloin saadaan osa tietyistä hallintatoimenpiteistä pois tietohallinnolta ja säästetään tietohallinnon kuormaa (Stanek 2003, 138.) Domain (toimialue) Active Directory -toimialue on vain ryhmä verkossa olevia tietokoneita, jotka käyttävät yhteistä hakemistopalvelua. Tietokoneen tai käyttäjän on mahdollista kirjautua toimialueelle mistä päin toimialuetta tahansa. Toimialueiden nimien tulee olla yksilöllisiä. Toimialueen toimiessa yksityisen verkon osana, ei sen nimi saa olla ristiriidassa minkään samassa verkossa jo olemassa olevan toimialueen nimen kanssa. Mikäli toimialue on julkisessa verkossa ja siten osana maailmanlaajuista Internetiä, ei se saa olla ristiriidassa minkään Internetissä jo olevan toimialueen nimen kanssa. Haluttaessa perustaa uusi isätoimialue, jonka halutaan tulevan näkyviin julkiseen verkkoon, tulee se rekisteröidä ennen käyttöönottoa. Yksityisessä verkossa olevia ja sen ulkopuolelle näkymättömiä toimialuenimiä ei tarvitse rekisteröidä. Toimialueen nimeämisessä on tarjolla erilaisia käytäntöjä, voidaan käyttää rekisteröityä julkista nimiavaruutta sekä yrityksen julkisessa, että sisäisessä verkossa tai sitten käyttää rekisteröityä nimiavaruutta julkisessa ja yksityistä nimiavaruutta sisäverkossa. Tällöin sisäverkon nimiavaruus voi olla internetin nimiavaruuksista poikkeava, yrityksen nimiavaruus julkisessa verkossa voi olla esimerkiksi yritys.fi

18 18 ja sisäverkossa yritys.local. Tässä esimerkissä.local ei ole mikään virallinen rekisteröitävä toimialuetunnus. (Kivimäki 2004, 13.) Internetin toimialuenimien rekisteröintiä hallinnoi InterNIC ( ja muut valtuutetut rekisteröijät (Stanek 2003, 135). Suomessa toimialuenimien rekisteröintiä hallinnoi Viestintävirasto ( fi-domainien osalta. Toimialue voi sisältää useamman fyysisen sijaintipaikan, joka tarkoittaa, että yhdellä toimialueella voi olla useampia toimipaikkoja ja aliverkkoja, mutta kaikki käyttävät kuitenkin toimialueen yhteistä hakemistotietokantaa yhteisine objekteineen. (Stanek 2003, 135.) Site (palvelinjoukko/toimipaikka) Palvelinjoukko, on nimensä mukaisesti joukko tietokoneita, jotka voivat kuulua yhteen tai useampaan aliverkkoon. Palvelinjoukosta käytetään usein myös nimitystä toimipaikka, jota tulen tässä opinnäytetyössä jatkossa käyttämään. Toimipaikkojen avulla voidaan määritellä verkon fyysistä rakennetta ja toimipaikkojen määrittely on täysin riippumaton loogisista toimialuerakenteista. Activer Directoryn avulla on mahdollista luoda yhden toimialueen sisälle monta toimipaikkaa tai toisaalta yksi toimipaikka, joka palvelee useampia toimialueita. (Stanek 2003, 138.) Toimialueen nimiavaruudessa ja toimipaikassa käytettyjen IP-osoiteavaruuksien välillä ei ole mitään yhteyttä. toimipaikka voi sisältää useita IP-osoiteavaruuksia, mutta aliverkolla on aina tietty IP-osoitealue ja aliverkon peite. Aliverkkojen nimet muodostuvat verkko-osoitteesta ja aliverkon peitteestä, esimerkiksi aliverkko /24. Tässä esimerkissä verkko-osoite on ja aliverkon peite 24-bittiä eli , jotka yhdessä muodostavat aliverkon /24. Toimipaikkoihin tietokoneet sijoitellaan sen mukaan, miten ne sijaitsevat aliverkossa tai aliverkkojoukossa. Yhteyttä kutsutaan hyvin toimivaksi, jos aliverkkoon kuuluvat tietokoneet voivat keskustella tehokkaasti toistensa kanssa verkon kaut-

19 19 ta. Ideaalisessa tilanteessa tavoitellaan hyvin toimivaa verkkoyhteyttä, mutta joskus tietokoneet eivät ole hyvin yhteydessä verkkoon ja tällaisessa tapauksessa voidaan joutua määrittelemään useita toimipaikkoja. (Stanek 2003, 139.) Yhteen toimipaikkaan tulisi yhdistää vain sellaiset aliverkot, joissa on vähintään 512 kb/s ja luotettavat verkkoyhteydet. Oletuksena käytössä on vähintään yksi toimipaikka, Default-First-Site-Name. (Kivimäki 2004, 893.) Useiden toimipaikkojen määrittelyllä voidaan hyvin toimivassa verkossakin saavuttaa useita etuja: asiakkaan kirjautuessa toimialueelle, valtuutusprosessi hakee ensisijaisesti toimialueen ohjauspalvelinta samasta toimipaikasta, johon asiakas kuuluu. Tällä säästetään verkkoliikenteen kuormaa, koska verkkoliikenne pysyy paikallisena ja saattaa nopeuttaa valtuutusprosessia. Active Directoryn hakemistotietojen replikointi tapahtuu tiheämmin toimipaikan sisällä olevien palvelinten välillä kuin toimipaikkojen välillä. Tällä säästetään tietoliikennekuormaa ja varmistetaan samalla, että toimipaikan sisällä olevat toimialueen ohjauspalvelimet päivittyvät nopeasti, jos tule muutoksia. Toimipaikkojen ja aliverkkojen hallinta tapahtuu Active Directory Sites and Services -konsolissa, joka näkyy kuvassa 3.2. Kyseessä on MMC-hallintakonsolin lisäohjelma, jonka voi lisätä mihin tahansa työasemaan tai palvelimeen.

20 20 Kuva 3.2 Active Directory Sites and Services -hallintakonsolin näkymä Forest (metsä) Metsää kutsutaan myös juuritoimialueeksi ja sillä tulee olla DNS-nimi, kuten microsoft.com. Kun yksi tai useampi toimialue jakaa yhden Active Directoryn hakemistotiedot, kutsutaan niitä yhteisesti metsäksi. Kun metsän toimialueilla on yhtenäinen DNS-nimirakenne, sanotaan niiden olevan samassa toimialuepuussa, kuten näemme kuvassa 3.3. (Stanek 2003, 136.)

21 21 firma.fi myynti.firma.fi osto.firma.fi a.myynti.firma.fi b.myynti.firma.fi a.osto.firma.fi b.osto.firma.fi Kuva 3.3 Samassa toimialuepuussa olevilla toimialueilla on yhtenäinen DNS-nimirakenne. Kuvassa 3.4 voimme nähdä miten samaan toimialuemetsään kuuluvat toimialuepuut käyttävät epäjatkuvia DNS-nimiä ja näin muodostavat metsän sisään erillisiä toimialuepuita. (Stanek 2003, 136.) Kuva 3.4 Kaksi toimialuepuuta, joilla eriävät DNS-nimirakenteet.

22 Replikointi Jokaiseen Windows tai Windows toimialueella on vähintään yksi tai useampia toimialueen ohjauspalvelimia, joista jokaisessa on Active Directoryn tietokanta täydellisenä. Jokainen ohjauspalvelin on tasavertaisesti vastuussa Active Directoryn muutosten ja päivitysten hallinnasta. (Kivimäki 2004, 893.) Rengasmaisella rakenteella saadaan varmistettua, että vähintään kaksi replikointireittiä ohjauspalvelimelta toiselle on käytettävissä vaikka jokin ohjauspalvelin olisikin tilapäisesti poissa käytöstä. Replikoinnin häiriötön toiminta on ehdoton edellytys hyvin toimivalle Active Directory -ympäristölle koska jos se ei toimi oikein, eivät tiedot ole ajan tasalla eri ohjauspalvelimilla. Windows NT -ympäristössä käytössä oli ns. singlemaster-replikointi, jossa pääohjauspalvelin toimi isäntänä ja jolta päivitykset keskitetysti hoidettiin varaohjauspalvelimille. Active Directory -palvelut puolestaan käyttävät ns. multimasterreplikointia, jossa kaikki toimialueen ohjauspalvelimet ovat keskenään tasavertaiset. Active Directoryn palvelut analysoivat replikointitopologiaansa tietyin väliajoin voidakseen varmistaa, että replikointi toimii mahdollisimman tehokkaasti. Mikäli toimialueelta tai verkosta poistetaan tai niihin lisätään ohjauspalvelimia, konfiguroituvat palvelut automaattisesti uutta topologiaa vastaavaksi. (Kivimäki 2004, 893.) Prosessi, joka luo ja ylläpitää toimipaikan sisäisen rengasmuotoisen replikointitopologian, on nimeltään KCC (Knowledge Consistency Checker) (Kivimäki 2004, 894). Oletuksena KCC-prosessi käynnistyy 15 minuutin välein, mutta se voidaan käynnistää haluttaessa myös manuaalisesti. Replikointipalvelu, joka Windows ja ympäristössä hoitaa tiedostojen replikoinnin, on nimeltään FRS (File Replication Service), joka asentuu automaattisesti kaikkiin Windows-palvelimiin. FRS-palvelu asentuu automaattisesti käynnistyväksi toimialueen ohjauspalvelimissa ja manuaalisesti käynnistyväksi muissa palvelimissa. FRS:n avulla replikoidaan Windows 2000/2003:n järjestelmäosio

23 23 (SYSVOL) toimialueen jokaiseen ohjauspalvelimeen. Active Directoryn replikointi ja FRS ovat toisistaan riippumattomia, mutta ne molemmat käyttävät samaa replikointitopologiaa ja -menetelmiä. Toimialueen ohjauspalvelinten hakemistojen tahdistus tapahtuu juuri FRS:n avulla. (Kivimäki 2004, 893.) Toimipaikan sisäinen replikointi Active Directoryn palvelut luovat automaattisesti toimipaikan sisäisen replikointitopologian, joka on renkaan muotoinen, ohjauspalvelinten välistä replikointia varten. Tämä topologia määrittää reitin, jota pitkin ohjauspalvelinten väliset hakemistopäivitykset suoritetaan ohjauspalvelimelta toiselle, kunnes kaikkien ohjauspalvelinten hakemisto on päivittynyt. (Kivimäki 2004, 893.) Toimipaikan sisäinen replikointi tapahtuu seuraavasti: tapahtuu toimipaikan sisällä olevien ohjauspalvelinten välillä, eikä replikoitavia tietoja pakata. replikointi tapahtuu oletuksena 5 minuutin välein. (Kivimäki 2004, 894.) Toimipaikkojen välinen replikointi Toimipaikkojen välinen replikointi puolestaan tapahtuu seuraavasti: eri toimipaikkoihin kuuluvien ohjauspalvelinten välinen replikointi tapahtuu käyttäen ns. bridgehead server -palvelimia. Oletusarvoisesti toimipaikkojen välinen replikointi tapahtuu 180 minuutin välein, mutta replikointitaajuutta on mahdollista muuttaa. Replikointiprotokollina voidaan käyttää IP:tä (RPC) tai SMTP ja replikoitava tieto kulkee pakattuna käytettävästä protokollasta riippumatta. Pakkaamisella saadaan vähennettyä verkossa siirrettävän tiedon määrää jopa 90 prosenttia. (Kivimäki 2004, 894.)

24 Global Catalog Palvelua, jonka avulla käyttäjän on mahdollista löytää Active Directorystä kaikki objektit, joihin hänellä on käyttöoikeus, kutsutaan Global Catalogiksi. Palvelu on metsän laajuinen ja sen avulla voidaan etsiä Active Directorystä mitä tahansa objektia, kuten palvelimia tai käyttäjiä. Koska LDAP-nimet ovat hyvin monimutkaisia, helpottaa Global Catalog -palvelu huomattavasti, koska näin ei tarvitse muistaa LDAP-nimiä vaan voidaan etsiä objekteja hakukriteerien avulla. Global Catalog -palvelu voi periaatteessa sijaita vaikka jokaisella ohjauspalvelimella, mutta suorituskyvyllisesti olisi hyvä, jos ainakin vähintään yksi Global Catalog -palvelin olisi yhtä toimipaikkaa kohti. Global Catalog pitää sisällään tiedot toimialuemetsän kaikista objekteista, mutta vain osan niiden attribuuteista. Vain noin 140 kaikista Active Directoryn scheman sisältämistä yli 800 attribuutista on tallennettuna Global Catalogiin. (Kivimäki 2004, 692.) 3.6 Operations master -palvelimet Active Directory -toimialueilla on erityyppisiä ohjauspalvelimia, joilla on tiettyjä tärkeitä tehtäviä. Kaikki toimialueen ohjauspalvelimet ovat periaatteessa samantasoisia, lukuun ottamatta operations master -palvelimia, joilla on Active Directoryssä aivan erityiset roolit. Operations master -ohjauspalvelinten tehtävä on ylläpitää hakemisto toimintakunnossa, hoitamalla tiettyjä tehtäviä, joita muut ohjauspalvelimet eivät voi suorittaa. Puhutaan myös ns. FSMO-rooleista (Flexible Single Master Operations), joita Active Directoryssä on viisi kappaletta (Minasi, Anderson, Smith & Toombs 2001, 609.): Schema Master Domain Naming Master Infrastrucure Master RID Master PDC Emulator

25 25 Operations master -palvelinten tulee sijaita alueilla, jossa verkko toimii luotettavasti, koska ne ovat hakemiston toiminnan kannalta kriittisiä ja niiden pitää olla aina niiden palveluita tarvitsevien asiakkaiden ja ohjauspalvelinten käytettävissä. Operations master -palvelimista ja niiden roolijaosta Active Directoryn asennuksen yhteydessä enemmän asennusta käsittelevässä kappaleessa 3.9. Palvelimen Support Tools -ohjelmavalikoimaan sisältyvää komentoriviapuohjelmaa NETDOM käyttäen, komenolla netdom query fsmo saadaan selville millä palvelimilla sen hetkiset fsmo-roolit ovat, kuten näemme kuvassa 3.5 (Kivimäki 2004, 49). Kuva 3.5 Esimerkissä näemme roolien olevan samalla palvelimella. Infrastrucuture master -, PDC emulator - ja RID master -roolien siirto ohjauskoneelta toisella tapahtuu Active Directory Users and Computers (ADUC) - työkaluohjelmalla, kuten kuvassa 3.6.

26 26 Kuva 3.6 Roolien siirto Active Directory Users and Computers -työkalulla Schema Master Active Directory -metsässä voi olla ainoastaan yksi schema master -roolin omaava ohjauspalvelin, jonka tehtävänä on ylläpitää kaavaosiota (schema directory partition) ja sen rakenteeseen tehtäviä muutoksia. Scheman rakenteen muuttaminen on suhteellisen harvinaista, eikä kuulu ihan päivittäisiin ylläpitotoimintoihin, joten sitä joutuu aika harvoin tekemään. Voidakseen muuttaa schemaa, käyttäjän on kuuluttava Schema Admins -käyttäjäryhmään (Minasi ym. 2001, 613). Muutettaessa schemaa replikoidaan muutokset metsän laajuisesti sen jokaiseen ohjauspalvelimeen. Scheman rakennetta, sen sisältämiä luokkia ja attribuutteja, voi tarkastella Active Directory Schema -työkalulla, joka tosin ei oletuksena ole asennettu ohjauspalvelimen ohjelmavalikoimaan. Samalla työkaluohjelmalla voidaan myös siirtää schema mastrer -rooli toiselle ohjauspalvelimelle. Tyäkaluohjelman saa käyttöön avaamalla mmc-hallintakonsolin komennolla mmc, joka avaa hallintakonsolin ja tämän jälkeen Add/Remove Snap-In -valinnan kautta voidaan asentaa kyseinen työkaluohjelma. Kuvassa 3.7 voidaan nähdä kyseisen työkaluohjelman näkymä

27 27 Active Directorystä. Suorituskykysyistä johtuen Schema Master - ja Domain Naming Master -roolien tulisi olla samalla ohjauspalvelimella (Kivimäki 2004, 33). Kuva 3.7 Active Directory Schema -ohjelman näkymä Domain Naming Master Tämä rooli on pelkästään yhdellä ohjauspalvelimella Active Directory -metsässä. Ohjauspalvelimien rooliin kuuluu ylläpitää konfiguraatio-osiota (configuration directory partition), jossa ylläpidetään tiedot toimialueiden nimeämisistä. (Kivimäki 2004, 725.) Domain Naming Master -palvelimen tulisi olla myös Global Catalog -palvelin, koska näin toimialueiden nimien tarkistukset toimivat nopeammin. Voidakseen muuttaa Domain Naming Master -roolia palvelimelta toiselle, tulee käyttäjän olla Enterprise Admin -käyttäjäryhmän jäsen. (Minasi ym. 2001, 616.)

28 28 Näemme kuvista 3.8 ja 3.9, kuinka roolin muuttaminen tapahtuu Active Directory Domains and Trusts -työkalulla. Työkaluohjelman Action-valikosta löytyy kohta Operation Master, josta näkyy roolin senhetkinen haltija ja Change-painikkeesta voidaan rooli osoittaa toiselle ohjauspalvelimelle. Kuva 3.8 Active Directory Domains and Trusts -työkaluohjelman näkymä. Kuva 3.9 Domain Naming Master -roolin muuttaminen.

29 RID Master RID on suhteellinen suojaustunniste, joita RID Master jakaa toimialueen muille ohjauspalvelimille varmistaakseen, että toimialueen suojaustunnisteilla (Security Identifier, SID) on yksilöllinen tunnus. Toimialueen jokaisella ohjauspalvelimella on 500 RID:n varasto (Minasi ym. 2001, 616). Kun RID-varaston määrä laskee alle 100, ohjauspalvelin pyytää RID Master -palvelimelta niitä lisää. (Kivimäki 2004, 734.) Jokaisessa metsän toimialueessa on oltava yksi ohjauspalvelin, jolla on RID (relative identifier) Master -rooli, eikä rooli voi olla kuin yhdellä toimialuetta kohti. (Kivimäki 2004, 728.) Windows NT/2000/2003 -maailmassa kaikilla käyttäjillä ja tietokoneilla on suojaustunniste, SID, joka muodostuu toimialueen suojaustunnisteen etuliitteestä ja RID:stä (Kivimäki 2004, 391). SID voi näyttää esimerkiksi seuraavalta: S D1-D2-D3-RID Esimerkissä S ilmaisee, että kyseessä on SID ja on yhteinen kaikille SID:eille. Esimerkissä D1, D2 ja D3 ovat kukin 32-bittisiä satunnaisesti generoituja lukuja ja RID on RID-varastosta otettu ensimmäinen vapaa RID. Kun Active Directoryyn luodaan toimialue, generoidaan nuo esimerkin kolme 32-bittistä satunnaislukua ja ne ovat jatkossa yhteisiä kaikille SID:eille kyseisellä toimialueella. (Minasi ym. 2001, ) Infrastructure Master Jokaisessa metsän toimialueessa on oltava myös yksi Infrastructure Master -roolin omaava ohjauspalvelin, jonka tehtäviin kuuluu ylläpitää luetteloa oman toimialueensa muiden toimialueryhmien suojauspääobjekteista. (Kivimäki 2004, 728.)

30 30 Mikäli Active Directoryn jokin objekti viittaa toiseen objektiin, joka ei löydykään saman toimialueen tietokannasta, joudutaan käyttämään ns. varjo- eli phantomtietuetta, joka edustaa a.o. objektia ja sisältää kyseisen objektin GUID:n, DN:n (distinguished name) ja mahdollisesti myös SID:n. Jos objektin tiedot muuttuvat, replikoi infrastructure master muuttuneet tiedot muiden toimialueiden infrastructure mastereille. Määräajoin infrastructure master tutkii tietokantaansa ja mikäli objektia ei ole paikallisessa hakemistotietokannassa, tarkastaa se global catalogista, onko kyseistä objektia olemassa ja onko sen tiedot vielä oikeat. (Kivimäki 2004, 736.) Roolin vaihto tapahtuu valitsemalla Active Directory Users and Computers - työkaluohjelmasta Action-valikosta Operations Masters ja kuvan 3.10 mukaisesti sieltä Infrastructure-välilehti, josta näkyy kyseisen roolin haltija sillä hetkellä. Change-painikkeesta voidaan rooli siirtää toisella ohjauspalvelimelle. Kuva 3.10 Infrastructure master -roolin muuttaminen ohjauspalvelimelta toiselle.

31 PDC Emulator Vanhassa NT-toimialuemallissahan oli kahdenlaisia toimialueen ohjauspalvelimia, pääohjauspalvelin (PDC, Primary Domain Controller) ja varaohjauspalvelin (BDC, Backup Domain Controller), joista yhdessä toimialueessa saattoi olla vain yksi pääohjauspalvelin. Varaohjauspalvelimet eivät ole pakollisia toimialueella, mutta niiden avulla saadaan vikasietoisuutta, mikäli pääohjauspalvelin jostain syystä on poissa toiminnasta. Varaohjauspalvelimia voi olla yksi tai useampi samallakin toimialueella. Koska Active Directory -ympäristössäkin on mahdollista, sen toimintatilasta riippuen, olla alemman tason ohjauspalvelimia, esimerkiksi Windows NT4 - ohjauspalvelimia, on PDC-emulaattorilla tässä toteutuksessa tärkeä rooli. Nimensä mukaisesti PDC-Emulator emuloi vanhan NT-toimialuemallin PDC:tä, jos toimialueella on vielä vanhoja NT4-ohjauspalvelimia. Esimerkiksi kaikki replikointipyynnöt, jotka tulevat Windows NT4 -varaohjauspalvelimilta, käsittelee PDCemulaattorin roolissa oleva ohjauspalvelin. Tällainen ns. LAN Manager - replikointi on mahdollista vain Windows 2000 mixed - tai Windows Server 2003 interim -toimintatiloissa, joista lisää kappaleessa (Kivimäki 2004, 732.) Windows ja Windows toimialueilla esimerkiksi käyttäjien hallinta on toteutettu Active Directoryn avulla ja tätä varten pitää olla menetelmä, jolla välittää käyttäjätilien tiedot ja muutokset NT4-varaohjauspalvelimille. Tämä onkin eräs PDC-emulaattorin tehtävistä. (Kivimäki 2004, 732.) 3.7 Active Directoryn toimintatilat Actice Directoryn toimintatiloja käsiteltäessä on eroteltava metsän ja toimialueen toimintatilat toisistaan koska ne voivat olla keskenään eritasoisia. Alemman toimintatilan metsä esimerkiksi voi sisältää ylemmän toimintatilan toimialueita, mutta metsän toimintatilaa ei voi nostaa korkeammalle tasolle kuin yksikään sen alapuolella olevista toimialueista on. Active Directory sisältää erilaisia toimintatiloja sen mukaan, millä käyttöjärjestelmällä varustettuja domain controllereita eli toi-

32 32 mialueen ohjauspalvelimia siinä halutaan olevan. Esimerkkeinä tässä käytetään Windows 2003:n toimintatiloja, joihin sisältyy samat toimintatilat kuin Windows 2000:eenkin, mutta joka tuo mukanaan myös uusia toimintatiloja. Kun Active Directory asennetaan, toimialue asentuu oletuksena Windows 2000 Mixed - ja toimialuemetsä Windows toimintatilaan, myös tehtäessä asennus Windows Server ympäristöön. Asennuksen jälkeen toimintatiloja voidaan nostaa, mutta nostamisen jälkeen toimintatilaa ei enää ole mahdollista laskea, ilman koko toimialueen uudelleenasentamista. Toimialueen ja etenkin toimialuemetsän toimintatilan korottaminen saattaa kuormittaa verkkoa hyvin paljon, koska tietoja replikoidaan koko verkon laajuisesti, suositellaankin toimintatilan korottamista normaalin käyttöajan ulkopuolella, jolloin muu verkossa tapahtuva liikennöinti on vähäisempää. Sovellusten testaaminen päivitetyssä ympäristössä on syytä tehdä huolellisesti ennen päivittämistä, johtuen juuri siitä, että toimintatilan nostamista ei voida peruuttaa. (Kivimäki 2004, 264.) Toimialueen toimintatilat Luotaessa Windows Active Directory -toimialue, on sillä aina tietty toimintatila, joita on olemassa useaa eri tyyppiä. Toimialueen toimintatiloja on Windows ympäristössä kaksi: Windows 2000 mixed Windows 2000 native Ja edellisten lisäksi Windows Server ympäristössä vielä kaksi uutta toimialueen toimintatilaa: Windows Server 2003 interim Windows Server 2003

33 33 Toimialueen oletustoimintatila sekä Windows että Windows Server ympäristössä on Windows 2000 mixed, joka tukee toimialueen ohjauspalvelimissa Windows NT4, Windows 2000 ja Windows Server käyttöjärjestelmiä. Windows ympäristössä korkein mahdollinen toimialueen toimintatila on Windows 2000 native, jossa voi olla ohjauspalvelimina Windows ja Windows Server palvelimia. Toimintatila mahdollistaa tiettyjä uusia ominaisuuksia verrattuna Windows 2000 mixed -toimintatilaan (Petri 2005, [verkkodokumentti.]: sisäkkäiset käyttäjäryhmät. universaalit käyttäjäryhmät, jotka voivat sisältää käyttäjiä miltä tahansa toimialuemetsän toimialueelta. SIDHistory-attribuutti. Tarpeellinen siirrettäessä käyttäjiä Windows NT 4 -toimialueelta Windows toimialueelle. Attribuuttiin tallennetaan käyttäjän SID Windows NT4 -toimialueelta, jonka kautta hän saa käyttöoikeudet entisiin resursseihin uudella toimialueella. käyttäjäryhmien konvertointi suojausryhmästä (security group) jakeluryhmäksi (distribution group) ja päinvastoin. käyttäjäryhmän muuttaminen Domain local, Global ja Universal-ryhmien välillä. Windows NT4 - toimialueella ja Windows 2000 mixed - toimintatilassa käyttäjäryhmän tyyppi määritellään ryhmää tehtäessä, eikä tuota määritystä voi muuttaa myöhemmin. Nostettaessa toimialueen toimintatila Windows Server 2003 interim -moodiin, tuetut ohjauspalvelinten käyttöjärjestelmät ovat Windows NT4 ja Windows Server Korkein toimialueen toimintatila on Windows Server 2003, jonka ohjauspalvelimina voivat toimia ainoastaan Windows Server käyttöjärjestelmällä varustetut palvelimet. Uusista ominaisuuksista voidaan mainita mahdollisuus sekä toi-

34 34 mialueen, että ohjauspalvelinten uudelleennimeämiseen (Kivimäki 2003, 264; Petri 2005, [verkkodokumentti]) Metsän toimintatilat Windows Server ympäristössä myös toimialuemetsällä voi olla erilaisia toimintatiloja, toisin kuin Windows ympäristössä, jossa metsän toimintatila ei ole erillinen vaan ainoastaan toimialueiden toimintatilat ovat muutettavia. Active Directory -toimialuemetsän toimintatiloja Windows Server ympäristössä on kolme: Windows 2000 Windows Server 2003 interim Windows Server 2003 Toimialuemetsän toimintatilojen muutokset tehdään Active Directory Domains and Trusts -työkaluohjelmalla. Toimialuemetsän toimintatilan muutos pitää tehdä toimialueen ohjauspalvelimella, jolla on schema master -rooli ja muuttajan täytyy kuulua Enterprise Admins -käyttäjäryhmään. Windows toimintatila on toimialuemetsän oletustoimintatila sekä Windows , että Windows ympäristössä. Windows toimintatila on alin toimialuemetsän toimintatila ja siinä voi olla Windows NT4 -, Windows 2000 Server - ja Windows Server ohjauspalvelimia (Petri 2005, [verkkodokumentti]). Windows NT4 -ohjauspalvelimet voivat toimia vain varaohjauspalvelimina, jotka synkronoivat tietonsa PDC Emulator -roolin omaavalta ohjauspalvelimelta. Toimialuemetsän ollessa Windows toimintatilassa, siinä olevat jäsentoimialueet voivat olla missä tahansa toimialueen toimintatilassa.

35 35 Otettaessa käyttöön toimialuemetsän Windows Server 2003 interim -toimintatila, siinä voi olla ainoastaan Windows NT4 - tai Windows Server ohjauspalvelimia eli jos toimialuemetsän toimintatilaa halutaan nostaa Windows toimintatilasta Windows Server 2003 interim -toimintatilaan. Windows Server 2003 interim -toimintatilan ottaminen käyttöön ei ole mahdollista Active Directory Domains and Trusts -työkaluapuohjelmalla, kuten muiden toimintatilojen vaan se pitää tehdä esimerkiksi ADSI Edit -apuohjelmalla, joka pitää erikseen asentaa Snap-in-ohjelmana MMC-hallintakonsoliin (Microsoft 2003, [verkkodokumentti]). Kuvassa 3.11 näemme miten ADSI Edit -ohjelmassa on otettu LDAP-yhteys ohjauspalvelimen Configuration-osioon, joka laajennetaan ja sieltä valitaan aktiiviseksi objekti Partition, jonka ominaisuuksista löytyy attribuutti nimeltään msds-behavior-version, joka on kokonaislukutyyppiä ja jonka arvoksi pitää muuttaa 1. Kuva 3.11 Metsän muuttaminen Windows Server 2003 interim -toimintatilaan.

36 36 Tämän muutoksen seurauksena toimialuemetsän toimintatilana on Windows Server 2003 interim, joka tämän jälkeen nähdään myös Active Directory Domains and Trusts -työkalulla katsottaessa, kuvan 3.12 mukaisesti. Muutoksen jälkeen toimialuemetsään ei ole mahdollista liittää enää Windows 2000 ohjauspalvelimia. Nostettaessa metsän toimintatila Windows Server 2003 interim -tasolle, nousevat metsän kaikki jäsentoimialueet automaattisesti Windows Server 2003 interim - toimintatilaan (Petri 2005, [verkkodokumentti]). Kuva 3.12 Toimialuemetsä Windows Server 2003 interim -toimintatilassa. Toimialuemetsän korkein toimintatila, jossa ainoastaan Windows Server käyttöjärjestelmällä varustetut palvelimet voivat toimia ohjauspalvelimina, on Windows Server toimintatila. On käytettävissä ainoastaan mikäli kaikki metsän toimialueet ovat Windows Server toimintatilassa, eikä toimialuemetsässä näin ollen ole muita kuin Windows Server ohjauspalvelimia. Toimintatila mahdollistaa kaikkien Windows Server 2003 Active Directoryn ominaisuuksien hyödyntämisen täysimittaisesti.

37 Active Directoryn suunnittelu Ensimmäinen asia Active Directoryn suunnittelussa on DNS-nimiavaruus, joka sisältää samalla toimialuehierarkian ja luottosuhteet. Seuraavaksi on vuorossa tarpeisiin sopivan organisaatioyksikkörakenteen suunnittelu ja lopuksi mahdollisten toimipaikkojen suunnittelu, joiden avulla saadaan replikointi- ja sisäänkirjautumisliikennettä optimoitua. Yhden toimialueen sisällä käyttäjät ja resurssit saadaan järjesteltyä yksinkertaisimmillaan soveltuvaa organisaatioyksikkörakennetta käyttämällä. (Kivimäki 2004, 13.) Windows ympäristössä nimiavaruuden suunnittelu ja sopivan nimen päättäminen oli vielä Windows Server ympäristöäkin tärkeämpää, koska annettua nimeä ei ollut mahdollista jälkeenpäin muuttaa, asentamatta koko toimialuetta uudelleen. Oltaessa Windows Server toimintatilassa on toimialueen nimen muuttaminen mahdollista ilman toimialueen uudelleenasentamista, kuten kappaleessa aiemmin todettiin. DNS-nimiavaruutta suunniteltaessa, tärkein asia on päättää, tuleeko Active Directoryn käyttöön mahdollisesti yrityksellä käytössä oleva ja rekisteröity Internettoimialuenimi vai otetaanko käyttöön erillinen sisäinen nimiavaruus. Mahdollisuus on myös ottaa käyttöön Internet-toimialueen alitoimialue. (Kivimäki 2004, 14.) Jos yrityksellä on rekisteröity esimerkiksi Internet-toimialuenimi YRITYS.FI, voidaan se ottaa Active Directoryn käyttöön sellaisenaan tai perustaa alitoimialue, nimeltään vaikka TEHDAS.YRITYS.FI tai kolmantena vaihtoehtona ottaa käyttöön kokonaan sisäinen nimiavaruus, esimerkiksi YRITYS.LOCAL.

38 38 Käytettäessä sisäisessä ja ulkoisessa nimiavaruudessa eri nimiä, pysyvät sisäiset ja ulkoiset resurssit selkeästi erillään ja verkonhallinta on näin helpompaa. Haittana tässä ratkaisussa on se, että toimialueen kirjautumisessa käytettävä nimi ja sähköpostinimi ovat erilaiset. Asia voidaan korjata kuvassa 3.13 näkyvällä tavalla, määrittämällä Active Directory Domains and Trusts -työkaluapuohjelmalla vaihtoehtoinen UPN-suffiksi (User Principal Name), jolla kirjautumistunnus saadaan samaksi kuin ulkoisessa nimiavaruudessa oleva sähköpostitunnus. (Kivimäki 2004, 15.) Kuva 3.13 Vaihtoehtoisen UPN-suffiksin määrittely.

39 39 Kuvassa 3.14 näkyvän UPN-suffiksin muutoksen jälkeen käyttäjän ominaisuuksissa on valittavissa kuvan 3.14 mukaisesti. Kuva 3.14 Vaihtoehtoinen UPN-nimi käyttäjän ominaisuuksissa. Organisaatioyksikköjen tulisi seurata yrityksen liiketoiminnan tai organisaation rakennetta. Organisaatioyksikköjä voidaan luoda halutessa delegoida hallintaa tietyille tahoille. Organisaatioyksiköt tulisi järjestellä loogisesti niin, että ne sopivat yrityksen toimintatapaan ja rakenteeseen. (Kivimäki 2004, 17.) Toimialueen ja ylemmän tason organisaatioille määrätyt group policyt eli ryhmäkäytännöt periytyvät automaattisesti alemman tason organisaatioyksiköille, ellei sitä nimenomaisesti haluta estää. Group Policyistä enemmän kappaleessa 5.

40 Active Directoryn asentaminen ja määrittely Asennettaessa Active Directorya, asennetaan palvelimeen Windows 2000 Server tai Windows Server käyttöjärjestelmä. Palvelin on asennuksen jälkeen oletuksena ns. stand alone -tilassa. Palvelimeen voidaan asentaa DNS-palvelut tai niiden on oltava käytettävissä joltain toiselta palvelimelta, mutta ilman niitä Active Directoryn toiminta ei ole mahdollista (Stanek 2003, 134). Käytettävän DNSpalvelimen on tuettava dynaamista DNS:ää ja sen on oltava valtuutettu ylläpitämään DNS-toimialuetta (Kivimäki 2004, 24). Mikäli edellä mainituista jompikumpi ehto ei täyty, ehdottaa asennusvelho DNS-palvelimen asennusta kyseiseen palvelimeen. Asennettaessa toimialuemetsän ensimmäistä ohjauspalvelinta, on luonnollista asentaa DNS-palvelut siihen. DNS-palvelimen asennuksesta yksityiskohtaisemmin kappaleessa Kuvassa 3.15 nähdään kuinka sekä DNS- että DHCPpalvelu asennetaan palvelimelle. Kuva 3.15 DNS- ja DHCP-palvelujen asentaminen palvelimelle.

41 41 Kun DNS on määritelty, tai on päätetty jättää se asennusvelhon konfiguroitavaksi, voidaan aloittaa Active Directoryn asennus komentorivikomennolla dcpromo, joka käynnistää Active Directory Installation Wizardin. Mikäli verkossa ei ole vielä määritelty toimialuetta, asennusvelho auttaa toimialueen luomisessa ja Active Directoryn määrittämisessä. (Stanek 2003, 134.) Luotaessa ensimmäistä ohjauspalvelinta Active Directory -metsään, rakentuu seuraavat partitiot: schema directory partition, configuration directory partition sekä domain directory partition. Mikäli taas kyseessä ei ole toimialuemetsän tai toimialueen ensimmäinen ohjauspalvelin, kysytään asennuksen yhteydessä halutaanko palvelimesta luoda ohjauspalvelin uuteen toimialueeseen vai lisäohjauspalvelin jo olemassa olevaan toimialueeseen. Mikäli valitaan uusi toimialue, tulee seuraavaksi valittavaksi, onko kyseessä uusi toimialuemetsä vai toimialuepuu jo olemassa olevaan toimialuemetsään. Kolmantena mahdollisuutena on perustaa alitoimialue jo olemassa olevaan toimialueeseen (Kivimäki 2003, 21). Mikäli valitaan uuden toimialuemetsän perustaminen, kysytään seuraavaksi perustettavan toimialueen FQDN- ja NetBIOS-nimet. Seuraavaksi määritellään myös tietokannan ja lokien sekä jaetun järjestelmähakemiston (sysvol) sijainti. Tietokantaan tallennetaan tiedot toimialueen hakemistopalveluista ja lokitiedostoa käytetään tietojen väliaikaisessa tallennuksessa tapahtumalokina. Oletuksena tietokanta ja lokit sijaitsevat käyttöjärjestelmän juurihakemistossa olevassa alihakemistossa (%SystemRoot%\NTDS). Sysvol-hakemiston (%SystemRoot%\SYSVOL) on sijaittava levyasemassa, joka käyttää NTFS 5.0 -tiedostojärjestelmää. (Kivimäki 2003, ) Seuraavaksi asennusvelho yrittää löytää DNS-palvelinta kyselemällä SOAtietuetta (Start of Authority) ja mikäli sellaista ei löydy, tulee virheilmoitus. Tässä vaiheessa voidaan valita ratkaistaanko ongelma manuaalisesti vai annetaanko asennusvelhon asentaa ja konfiguroida DNS-palvelut asennettavaan ohjauspalvelimeen. Varminta on antaa asennusvelhon konfiguroida DNS-palvelin automaattisesti koska näin se tulee ainakin onnistuneesti konfiguroitua. DNS-palvelimen asennuksesta ja sen ylläpitämistä tiedoista enemmän kappaleessa

42 Verkkoasetukset Active Directory ei toimiakseen tarvitse muita tietoliikenneprotokollia kuin TCP/IP:n, jonka vaatimat asetukset voidaan käytännössä määrittää laitteelle kahdella tavalla, joko manuaalisesti tai dynaamisesti. Tyypillisesti palvelimille, varsinkin ohjauspalvelimille, määritellään kiinteät verkkoasetukset, mutta työasemissa voidaan hallintaa helpottaa huomattavasti käyttämällä DHCP:tä. DHCP-palvelimeen on mahdollista konfiguroida IP-osoitevarauksia tietokoneen MAC-osoitteen perusteella, jolloin tietyn MAC-osoitteen omaava tietokone saa DHCP-palvelimelta aina saman IP-osoitteen. Tätä ominaisuutta voidaan käyttää palvelimille, jos ei jostain syystä haluta määritellä aidosti kiinteitä IP-osoitteita niille. Aidosti kiinteät IP-osoittet tulee olla DHCP-, DNS- ja WINS-palvelimilla. (Minasi ym. 2001, 360.) Jokaisella verkon laitteella on tarkka fyysinen osoite (MAC, Media Access Control), joka on kiinteästi ohjelmoitu tiettyyn verkkoliitäntään. MAC-osoite on 48- bittinen heksadesimaaliluku, esimerkiksi DA MAC-osoitteen ensimmäiset 24 bittiä ilmaisee verkkokortin valmistajan, joka tässä esimerkissä (00-50-DA) osoittaa valmistajaksi 3Com Corporation -nimisen tunnetun verkkolaitevalmistajan (IEEE 2005, [verkkodokumentti]). Kahta samanlaista MAC-osoitetta ei voi olla olemassa. Pakolliset verkkoasetukset, riippumatta siitä konfiguroidaanko ne manuaalisesti vai dynaamisesti, ovat IP-osoite, aliverkkomaski sekä oletusyhdyskäytävä, joita ilman TCP/IP-protokollan ei ole mahdollista toimia oikein. Active Directory vaatii ehdottomasti myös nimipalvelun toimivuuden, joten myös vähintään yksi nimipalvelinosoite on konfiguroitava, Dynaaminen määrittely Windows-käyttöjärjestelmäympäristössä hoidetaan pääosin DHCP-protokollalla, jonka asentaminen Windows-palvelimeen näkyi kuvassa Menetelmä toimii siten, että verkossa on DHCP-palvelin, jolta laite saa IP-osoitteen. Dynaamisen määrittämisen etuna on, että esimerkiksi kannettava tie-

43 43 tokone voidaan viedä verkosta toiseen, ja aina sen IP-osoite on automaattisesti oikea kyseiseen verkkoon. Näin ollen DHCP-palvelin ylläpitää tietoa, mitkä verkon IP-osoitteista ovat käytössä ja ettei päällekkäisiä IP-osoitteita tule käyttöön ja näin säästyy myös ylläpidon vaivaa huomattavasti. DHCP-palvelimelle pitää määrittää tietty IP-osoiteavaruus, jolta palvelin jakaa osoitteita niitä pyytäville. Lisäksi mukana jaetaan vähintäänkin aliverkon peite, sekä oletusreitittimen IP-osoite. DHCP-palvelin voi antaa myös tiedot nimipalvelinten osoitteista sekä lukuisia muita työaseman verkkoasetuksiin liittyviä asioita. DHCP-palvelin myös määrää annetulle IP-osoitteelle tietyn voimassaoloajan. Tuon voimassaoloajan sisällä DHCP-palvelin ei anna kyseistä osoitetta millekään toiselle laitteelle, joka siltä IP-osoitetta kyselee. (Comer 2002, 450.) IP-osoitteen saamisessa DHCP-palvelimelta on seuraavat vaiheet (Comer 2002, ; Lee & Davies 2000, ): 1. Asiakaskoneen käynnistyessä se menee ensin INITIALIZE-tilaan, jonka jälkeen se aloittaa IP-osoitteen hankintaprosessin. 2. Ensimmäisenä asiakas lähettää verkkoon yleislähetyksenä DHCPDISCOVER-sanoman, jolla se tavoittelee verkossa olevia DHCPpalvelimia. DHCPDISCOVER-viestin asiakas lähettää UDP-protokollalla. Tämän jälkeen asiakas siirtyy SELECT-tilaan. 3. Kaikki verkossa olevat DHCP-palvelimet vastaanottavat sanoman ja se tai ne niistä, jotka on ohjelmoitu vastaamaan kyseiselle asiakkaalle, lähettävät DHCPOFFER-sanoman, jossa ne antavat asetustiedot. Ollessaan SELECT-tilassa asiakas kerää kaikilta DHCP-palvelimilta tulevat DHCPOFFER-sanomat. 4. Asiakkaan pitää valita mahdollisista tarjokkaista yksi tarjous. Valinnan jälkeen se lähettää DHCREQUEST-sanoman palvelimelle neuvotellakseen IP-osoitteen käyttöluvasta. Tämän jälkeen asiakas siirtyy REQUESTtilaan.

44 44 5. Palvelin kuittaa saatuaan pyynnön ja lähettää tiedon osoitteen käyttöönotosta lähettämällä DHCPACK-sanoman asiakkaalle. Jos palvelin ei hyväksy pyyntöä, lähettää se asiakkaalle DHCPNACK-sanoman. 6. Vastaanotettuaan palvelimelta tulleen DHCPACK-sanoman, asiakas siirtyy BOUND-tilaan ja alkaa käyttää saamaansa osoitetta ja asetuksia.

45 45 4 NIMIPALVELU Verkossa olevien tietokoneiden IP-osoitteiden ja tietokonenimien yhdistämiseen tarvitaan nimipalvelua, joita on Windows-ympäristössä kaksi: WINS ja DNS. Tietokoneet käyttävät kahdenlaisia nimiä: NetBIOS-nimiä ja FQDN-nimiä (Fully Qualified Domain Name) (Kivimäki 2003, 935). Esimerkiksi, jos tietokoneen Net- BIOS-nimi on TIETOKONE ja toimialue, jolla se sijaitsee, YRITYS.FI, on sen FQDN-nimi TIETOKONE.YRITYS.FI 4.1 Windows Internet Naming Service (WINS) Windows versiota edeltävien NetBIOSia TCP/IP:n päällä käyttävien järjestelmien tukemiseen tarvitaan WINS-nimipalvelua. Esimerkiksi NETkomentoriviapuohjelmat käyttävät NetBIOSia. Mikäli verkossa ei käytetä Windows 2000:tta edeltäviä käyttöjärjestelmäversioita tai vanhoja sovelluksia, on WINS-palvelu tarpeeton. (Stanek 2003, 469.) NetBIOS on oikeastaan sovellusrajapinta (API, Application Programming Interface), joka mahdollistaa WINS-nimenselvennyksen ja sitä kautta tietokoneiden välisen kommunikoinnin. NetBEUI (NetBIOS Enhanced User Interface) ja NBT (NetBIOS over TCP/IP) ovat yleisimmin NetBIOSiin liitettäviä protokollia. Windows Server 2003:ssa WINS-palvelua ei asenneta automaattisesti, joten se pitää tarvittaessa erikseen asentaa. Asennuksen jälkeen se käynnistyy automaattisesti aina käyttöjärjestelmän käynnistyessä. (Stanek 2003, 469.) 4.2 Domain Name System (DNS) DNS-järjestelmä on alun perin kehitetty siksi, etta ihmisten ei tarvitsisi muistaa pitkiä IP-osoitteita, vaan helpommin muistettavia nimiä. DNS-järjestelmä on Internetiin hajautettu tietokanta joka hallitsee IP-osoitteiden kuvaamisen nimiksi ja päinvastoin. Tietokanta on hajautettu tietoturvasyistä, ettei minkään yksittäisen

46 46 nimipalvelimen haavoittuminen aiheuta koko nimipalvelun lamaantumista. (Kaario 2002, 75.) Internetin alkuaikoina oli samanlainen tarve osoite-nimikäännökselle, mutta koska laitteita oli vähän, käytettiin yksinkertaista tekstitiedostoa, nimeltään hosts, joka tallennettiin jokaiselle nimipalvelua tarvitsevalle laitteelle. Hosts-tiedostoja käytettiin aina 80-luvun alkupuolelle asti. (Anttila 2001, 231.) Nykyisinkin hosts-tiedostoa voidaan käyttää tietyissä tilanteissa, jos muuta nimipalvelua ei ole saatavissa, ja se myös löytyy jopa uusimmista Windowskäyttöjärjestelmällä varustetuista tietokoneista. Hosts-tiedoston ylläpito ja tiedoston välittäminen kaikille laitteille oli erittäin hankalaa, kun laitteita alkoi olla paljon ja näin tuli tarvetta keskitetylle nimi/iposoiteyhdistelmien hallinnalle ja vuonna 1983 esiteltiin ratkaisuksi Domain Name System (DNS). (Anttila 2001, 232.) Hierarkkinen rakenne DNS:n perustana ovat hierarkkiset, puumaiset toimialueet. Koko DNS-tietokanta voidaankin ajatella puurakenteena, jossa kukin oksa kuvaa yhtä toimialuetta, joka voi jakautua alitoimialueisiin kuvan 4.1 mukaisesti. (Kaario 2002, 76.) Kuva 4.1 DNS:n hierarkkinen rakenne.

47 Nimenselvennys Seuraavaksi tarkastellaan, miten nimenselvennys nimestä IP-osoitteeksi käytännössä tapahtuu (Anttila 2001, ): 1. Työasema haluaa tietää esim. nimeä support.microsoft.com vastaavan IPosoitteen. 2. Työasema lähettää rekursiivisen nimipalvelukyselyn, verkkoasetuksissa määritellylle nimipalvelimelleen. 3. Jos työasemalle määritetty, oma nimipalvelin tuntee pyydettyä nimeä vastaavan IP-osoitteen, se vastaa itse välittömästi kyselyyn. Koska kyseessä on rekursiivinen kysely, palvelimen on annettava vastaus tai palautettava virhe, mikäli se ei tiedä vastausta. Jos palvelin ei tiedä vastausta, se siirtyy iteratiivisen nimikyselyn käyttöön voidakseen antaa vastauksen. 4. Iteratiivinen nimikysely alkaa siitä, että nimipalvelin ottaa yhteyttä maailman juurinimipalvelimeen (.) ja kysyy siltä, mikä palvelin on vastuussa.com-alueen juurinimipalvelusta. 5. Maailman juurinimipalvelin kertoo nimipalvelimelle tiedon.com-alueen nimipalvelimen nimestä ja IP-osoitteesta. 6. Seuraavaksi työasemalle määritetty oma nimipalvelin ottaa yhteyttä.comalueen nimipalvelimeen, jolta se kysyy.microsoft.com-alueen nimipalvelinta. 7..com-alueen nimipalvelin kertoo.microsoft.com-alueen nimipalvelimen nimen ja IP-osoitteen. 8. Tämän jälkeen työasema kysyy.microsoft.com-alueen nimipalvelimelta support.microsoft.com-nimen IP-osoitetta, joka antaa osoitteen työasemalle.

48 DNS ja Active Directory Windows 2000 Server -arkkitehtuurin julkistamisen myötä, vuonna 2000, DNS tuli myös perustavaksi osaksi Windows-verkon toimintaa, eikä Active Directorya voi asentaa ilman toimivaa DNS:ää. Active Directoryn asennuksen yhteydessä voidaan määritellä käytettäväksi jo valmiiksi olemassa olevaa DNS-palvelinta tai DNS-palvelin voidaan asentaa kyseiseen toimialueen ohjauspalvelimeen. Nimipalvelimessa on erikseen kansiota, Forward Lookup Zone ja Reverse Lookup Zone, joista ensin mainittu yksinkertaistetusti ylläpitää tietoja nimien yhdistämisestä IP-osoitteisiin ja Reverse Lookup Zone taas tietoja IP-osoitteiden yhdistämisestä nimiin. Active Directory asettaa tiettyjä vaatimuksia käytettävälle nimipalvelimelle eli sen tulee tukea dynaamista DNS:ää, SRV-tietueita sekä inkrementaalista vyöhykesiirtoa (Kivimäki 2004, 14) Nimipalvelimen asennus Tässä kappaleessa esitellään nimipalvelimen asennus ainoastaan siinä tapauksessa, jolloin siitä tulee Active Directory -toimialueen ensisijainen eli primäärinimipalvelin. Kun toimialueen palvelin nostetaan ohjauspalvelinrooliin komennolla DCPROMO, tietyssä kohdassa asennusta pitää valita käytettävä nimipalvelin. DNS-palvelimen asennus toimialueen ohjauspalvelimeen on pakollinen, jos halutaan ottaa käyttöön Active Directoryyn integroitu DNS-toimialue, jolloin DNStietojen replikointi tapahtuu normaalin Active Directoryn replikoinnin yhteydessä ja näin DNS:n tietokanta on aina ajan tasalla. Lisäksi Active Directoryyn integroidulla nimipalvelulla saavutetaan se etu, että toimialueella voi olla useampi ohjauspalvelimeen asennettu DNS, joista jokainen voi vastaanottaa dynaamisen DNS:n päivityksiä (Kivimäki 2003, 36). Dynaamisesta DNS:stä enemmän kappaleessa Kuvassa 4.2 hallinta-alueen ominaisuudet, joissa näkyy Active Directoryn tyyppi ja millaiset dynaamiset päivitykset ovat sallittuja.

49 49 Kuva 4.2 Hallinta-alueen ominaisuudet. Asennettaessa Active Directory -ympäristöön nimipalvelua, joka ylläpitää Active Directoryn toimialuetta, luo asennus nimipalvelimelle uusia tietueita. Forward Lookup Zones -kansion alle luodaan hallinta-alue, joka saa sen FQDN-nimen, mikä Active Directoryn asennuksessa on määritetty, ja sen alle rakentuvat seuraavat Active Directoryn vaatimat kansiot: _msds _sites _tcp _udp DomainDnsZones ForestDnsZones

50 50 Edellä mainitut kansiot sisältävät SRV-tietueet, jotka sisältävät Active Directoryn toiminnalle välttämättömiä tietoja, esimerkiksi kerberos-, LDAP- ja global catalog -palvelinten nimet. NSLOOKUP-komentokehotteessa komennolla ls -t SRV [toimialueennimi] voidaan Active Directoryn asennuksen jälkeen tarkastaa, että tarvittavat SRV-tietueet on onnistuneesti luotu. Kuvassa 4.3 listaus SRV-tietueista. Kuva 4.3 SRV-tietueiden listaus. SRV-tietueiden lisäksi asennus luo hallinta-alueelle Forward Lookup Zonen alle automaattisesti myös seuraavat tietueet (Allegiance Internet 2002, [verkkodokumentti].): SOA = (Start of Authority). Ehdottomasti ratkaisevin nimipalvelimen sisältämistä tietueista. SOA-tietueita voi olla DNS-toimialueella ainoastaan yksi kappale. Tietueen nimipalvelin toimii DNS-toimialueen primäärinimipalvelimena. Tietue sisältää myös tietoja hallinta-alueen päivitystaajuudesta sekä tietueiden vanhenemisesta. A = (Address). Sisältää tiedon siitä, mikä IP-osoite on tietyn nimisellä tietokoneella. Teknisesti on mahdollista määritellä samalle IP-osoitteelle useampi A-tietue, mutta se ei ole suositeltavaa. A-tietueita on yhdellä hal-

51 51 linta-alueella kuitenkin kaksi, toinen toimialuetta ja toinen palvelinta varten. NS = (Name Server). Pakollinen tietue toimivalle nimipalvelimelle. Osoittaa nimipalvelimet, jotka omistavat toimialueen nimen. Jokaista DNStoimialuetta varten pitää olla määriteltynä vähintään kaksi primäärinimipalvelinta. Yksityisessä Active Directory -ympäristössä tosin voidaan käyttää vain yhtä nimipalvelinta, mutta tällöin menetetään vikasietoisuus. Edellä mainittujen automaattisesti luotavien DNS-tietueiden lisäksi Forward Lookup Zoneen on mahdollista määritellä myös muita, joista esimerkkeinä seuraavat (Allegiance Internet 2002, [verkkodokumentti].): CNAME = (Canonical Name). Mahdollistaa useamman nimen antamisen tietylle tietokoneelle. Osoittaa tietokoneen A-tietueeseen, josta syystä tietokoneelle pitää ehdottomasti olla määritettynä A-tietue, ennen kuin sille voidaan määritellä CNAME. MX = (Mail Exchange). Tietueeseen on määritetty toimialueen sähköpostipalvelin. Kuvassa 4.4 esitellään toimialueen TESTAUS.CIM primäärinimipalvelimen näkymä, josta näkee hyvin, miten siellä esiintyvät edellä mainitut tietueet. Esimerkkikuvassa CNAME-tietue viittaa aliasnimeen WWW, joka on toimialueen wwwpalvelin ja joka on sama palvelin kuin nimipalvelinkin. Tässä tapauksessa wwwpalvelimen FQDN on

52 52 Kuva 4.4 Forward Lookup Zonen DNS-tietueet. Mahdollisuus on myös käyttää ns. käänteistä nimipalvelua, jossa määritellään tietyn IP-osoitteen kuuluvan tietylle tietokoneelle. Nimipalvelimen Reverse Lookup Zonen alle pitää tällaisessa tapauksessa määritellä käytössä oleva aliverkko tai mikäli käytössä on useita aliverkkoja, ne kaikki on määriteltävä sinne. Kuvan 4.4 mukaisesti SERVERI-nimiselle nimipalvelimelle on määritelty vain yksi aliverkko käänteistä nimipalvelua varten ja tällä hetkellä kyseisessä aliverkossa on vain yksi tietokone, joka on palvelin itse. Kuten Forward Lookup Zonen alla olevissa hallinta-alueissa, myös Reverse Lookup Zonen alla olevissa aliverkoissa on määriteltynä SOA- ja NS-tietueet. Lisäksi siellä on PTR-tietue (Pointer), joka osoittaa minkä niminen tietokone on tietyn IPosoitteen takana, esimerkkikuvassa 4.5 nähdään, että IP-osoite kuuluu tietokoneelle, jonka FQDN-nimi on SERVERI.TESTAUS.CIM.

53 53 Kuva 4.5 Reverse Lookup Zonen tietueet. Reverse Lookup Zoneen on manuaalisesti kerrottava kaikki käytössä olevat aliverkot, jotka halutaan olevan käytössä käänteistä nimipalvelua varten. Tietokone osaa kyllä tarvittaessa lisätä oman PTR-tietueensa oikean aliverkon alle, jos aliverkko on määritelty, mutta mikäli aliverkkoa ei ole määritetty, PTR-tietue jää syntymättä ja käänteinen nimipalvelu ei pysty yhdistämään IP-osoitetta ja tietokonetta Dynaaminen DNS (DDNS) Perinteisesti DNS-palvelimille on tietueet pitänyt lisätä käsin, ennen kuin tieto on voinut levitä verkossa. Näin esimerkiksi Windows NT4 -ympäristössä, jossa dynaamista DNS -järjestelmää ei vielä ollut. Tällainen vaatii valtavasti ylläpitotyötä isoissa verkoissa, joissa laitteet vaihtuvuus on suuri. Tätä tilannetta helpottamaan on luotu dynaaminen DNS, jossa laitteet voivat itse rekisteröidä tietonsa DNSpalvelimelle. (Kaario 2002, 79.) Koska nimipalvelun virheetön toiminta on kriittinen Active Directoryn toiminnalle, on välttämätöntä että DNS:n tietokannat ovat ajan tasalla ja tästä syystä tietojen dynaaminen päivittyminen on välttämätöntä. Dynaaminen rekisteröinti asetetaan tietokoneen verkkoliitännän TCP/IP-asetuksissa, kuten kuvassa 4.6, aktivoimalla valintaruutu Register this connection s addresses in DNS. Nimipalvelimessa tulee olla olla myös määriteltynä, sekä Forward, että Reverse Lookup Zo-

54 54 neissa, että dynaamiset rekisteröinnit ovat sallittuja. Nimipalvelimessa voidaan sallia rekisteröintipyynnöt, joko luotetuilta tai luottamattomilta lähteiltä tai molemmilta yhdessä. Active Directory -ympäristössä on luonnollista sallia rekisteröinnit vain luotetuilta lähteiltä, joita ovat toimialueeseen kuuluvat tietokoneet. Kuva 4.6 Dynaamisen DNS-rekisteröinnin asetus.