資訊業務學習筆記
最近學校影印機租約期滿,有間新的廠商加入評選,也很有效率地提供了測試機型到電腦中心來作為評估參考,由於學校影印機與印表機都透過AD的列印伺服器提供服務,好處是我爾後只要裝一次,且只要裝乙台伺服器,其他所有登入AD的使用者就會自動取得列印服務。趁這次換機的機會,打算順手將列印伺服器的備援機制建立起來,原先的列印服務都做在Server1上頭,這回打算將新機都改做到Server3,等總務處換約完成後再將Server1上的機器移除並新增換約後的機型,所以,首先就來新增Server3的列印伺服器角色,在進到Server2008新增角色精靈後勾選列印和文件服務以及網頁伺服器IIS
為了要向板土區組長們分享學校的AD Service所以寫了這篇文章,因為不是實作,只是介紹性質,所以標題有點難下,就取名為XXX實錄好了。本校的AD架構是建置在三部伺服器上,上線正式運作的第一台是新北市府配發的ASUS TS300-E5 直立式伺服器,另兩台是學校自購的IBM X3655以及ASUS TS500-E6,儲存體有一台DAS(DELL MD3200)與乙台NAS(Coventive NAS 7500 SATA-S),當然,UPS也是不可或缺的一環
因為網路設備與服務越來越多,每項服務或設備各使用一套帳密的話老師恐怕會抱怨,既然學校有AD架構,索性來測試一下LDAP和Radius的設定,目標是希望可以把VPN、NAS、FTP、無線網路認證…等服務的帳密都整合起來,學校的AD Server OS是Server2008 R2 Enterprise,Radius Service在伺服器角色中的網路原則與存取服務中,其實就是以前Server2003的IAS網際網路驗證服務,只要了解Radius的運作邏輯,設定方式在Windows Based上就非常簡單了
一、新增網路原則與存取服務
五大角色是Win AD專屬的角色名稱,指的是AD中的五大操作主機,分別為RID操作主機(RID Master)、PDC操作主機(PDC Emulator)、基礎結構操作主機(Infrastructure Master)、網域命名操作主機(Domain Naming Master)、架構主機(Schema Master)等,五大角色缺一不可,網域內同時也只能有一部DC擔任操作主機的工作,因此也可以說五大角色是AD的命脈。
為了管理方便,通常會使用MMC來整合管理FSMO的工作,所以先把五大角色嵌入管理單元,RID、PDC、基礎結構三個操作主機是由ADUC來管理,網域命名操作主機是由AD網域及信任擔任管理、架構主機則由AD架構擔任管理工作,其中架構主機預設是隱藏的管理功能,因此要藉由MMC來管理還必須先下Regsvr32 schmmgmt.dll指令才能將功能開啟,嵌入完成如下圖
當初規劃AD架構時只求能先滿足行政團隊,沒把老師的儲存需求納入考量,且當時硬體架構上也缺少適當的儲存設備,所以只好把所有的資料都往AD硬碟塞,另外,為了要預防單點失誤,所以除了硬碟陣列之外,還藉由DFS做了異機備援,如此一來,資料保存的安全性是做到了,但異機備援與陣列卻是必須犧牲掉廣大儲存空間才能換來的,兩年下來,AD的硬碟空間都快不夠用了,所以這學期為了將教師儲存需求納入,專為AD添購了一台DAS,可以開始陸續將原本存在Server Local HD的資料移轉到DAS身上,首先要動刀的就是GP-Client重新導向到AD所儲存的資料,因為當初做完Redirection後的結果真是令人傻眼,指定導向的目錄下原本應該要出現Username的目錄,導向後卻全部命名為我的最愛,下圖就是這個靈異現象,這要是不解決的話,以後遇到狀況要幫特定使用者備份時,就真的會像大海撈針了…
學校老師由虛擬私人網路連線後,即可於家中進行Win7作業系統與Office2010的KMS啟用,連線的路徑可從學校首頁-電子化服務-虛擬私人網路進行登入,登入的帳密與登入學校電腦使用的帳密相同(AD使用者帳密)
前兩周校內一台ASUS TS300-E3的Tower Server終於在經過這幾年的一改再改、三修四修苦撐之下,搭上學校周邊路樹與電纜接觸所造成的一次起火事件臨時斷電後步入終點。由於事出突然,所以趕快上網作功課想買一張Intel伺服器專用的網卡,在預算及用途考量下捨棄了盒裝產品,選了一張Intel 9400PT伺服器專用的裸裝網卡,然後在AD DS中的一台DC內啟用DHCP Service,務必在最短的時間內重新恢復班級網段的IP派送服務,其中特別須注意的是在AD中架設DHCP服務必須經過授權,不然AD是不會允許網域內出現私有DHCP造成衝突的情形發生。
