• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Admnistriranje mreza nova_predavanja_1
 

Admnistriranje mreza nova_predavanja_1

on

  • 1,174 views

 

Statistics

Views

Total Views
1,174
Views on SlideShare
1,174
Embed Views
0

Actions

Likes
0
Downloads
33
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Admnistriranje mreza nova_predavanja_1 Admnistriranje mreza nova_predavanja_1 Document Transcript

    • Administriranje mreža 1. Čas Mrežni operativni sistemi i osnovni zadaci administriranja U oblasti računarstva nove tehnologije se uvode vrtoglavom brzinom. Kompanije su u stalnoj trciza svojim delom tržišta i za povećanjem profita zbog čega sve brže plasiraju inovacije u hardveru,softveru i modelima obrade podataka. Svaki IT profesionalac, koji je u poslu duže od 15 minuta, zna da jejedina konstanta u ovom svetu - promena. Ostati „up-to-date“ sa računarskim tehnologijama je neumoljivproces. Danas, ljudi iz ove struke moraju konstantno da vode računa o ogromnoj količini podataka koja jeiz dana u dan sve veća i veća. Jedna od revolucionarnih promena u računarskoj tehnologiji dogodila se u zadnjoj deceniji.Širenje upotrebe mini i mikroračunara dovelo je do nastanka tehnologije obrade podataka po modeluklijent-server. Uvođenje mini računara stvorilo je uslove za ekonomsku opravdanost decentralizacijeračunarskih resursa do nivoa sektora preduzeća. U oblasti informacionih tehnologija, server predstavlja računarski sistem koji pruža usluge drugimračunarskim sistemima – klijentima. Komunikacija između servera i klijenta odvija se preko računarskemreže. Naziv server najčešće se odnosi na ceo računarski sistem, ali se ponekada koristi i samo za hardverili softver takvog sistema. Klijent i server zajedno obrazuju klijent-server mrežnu arhitekturu. Kad se pod pojmom server podrazumeva računar, to se uglavnom odnosi na računar koji obavljaserverske poslove. Server se može sastojati od standardnih računarskih komponenti koje se ugrađuju uobične desktop računare, u slučaju da programi (aplikacije) koji se izvršavaju na serverima nisu složeni,odnosno hardverski zahtevni. Serveri koji opslužuju složene progame, ili veliki broj korisnika, zahtevajuspecijalizovan hardver koji je optimizovan za upotrebu na serverima. Poseban hardver podrazumeva ihard diskove visokih performansi, prvenstveno brzine i pouzdanosti. Procesorska brzina nije od ključnevažnosti pošto se većina servera bavi ulazno/izlaznim (I/O – input/output) operacijama i ne koristigrafički korisnički interfejs (GUI – graphic user interface). Pod serverom se podrazumeva i program koji od klijenta preko mreže prima zahteve, obrađuje ih iopet preko mreže šalje odgovore klijentu. Programi koji se koriste na serverima su posebno razvijani zaserverske operativne sisteme i potrebe server-klijent okruženja. Primeri serverskih programa su DHCP,DNS, mail server, ruter i drugi. Operativni sistemi koji se koriste na serverima su specijalno dizajnirani za servere. Na serverimase najviše koriste Linux, Solaris i FreeBSD operativni sistemi koji su razvijeni po uzoru na operativnisistem Unix. Koriste se i serveri iz Microsoft Windows porodice: Windows NT, Windows 2000, Server2003, Server 2008. Za operativne sisteme za server karakteristično je:  bezbednost i pouzdanost,  mogućnost rekonfigurisanja softvera i hardvera bez zaustavljanja sistema  fleksibilnost mrežnog povezivanja.1.1 Svrha računarskih mreža i umrežavanja Prvo i najvažnije, umrežavanje vršimo pri pokušaju rešavanja određenih problema, jer smatramoda nam računarske mreže mogu u tome pomoći. Primera radi, kompanija u kojoj radimo će moždapoželeti da postavi dopadljiv WEB sajt ili da stekne mogućnost slanja i primanja e-mail poruka, ili dainstalira jednostavan server za štampanje u nekoj manjoj kancelariji. Sve su ovo pojedinačni ciljevi, dokmreža predstavlja način, odnosno alat za njihovo postizanje.1. Osnovni cilj svakog mrežnog projekta sastoji se u pružanju neke vrste servisa. Drugo, postoji mnogo različitih servisa koje mreža može pružiti, pri čemu je za svaku vrstuservisa neophodan drugačiji softver, kako bi se ovi servisi uopšte mogli izvršiti. Pretpostavimo, naprimer, da želite da postavite neki web sajt na Internetu. Mrežni servisi, uključujući i web sajtove,zahtevaju postojanje dve komponente: serverskog dela i klijentskog dela. Da bismo postavili sjajan websajt, najpre ćemo sam sajt kreirati uz pomoć HTML-a, da bismo zatim taj HTML fajl prebacili na svojweb server. Ako nemamo odgovarajući web server, jedan od načina je da, na nekom od postojećihračunara, instaliramo specijalnu vrstu softvera, koji će tom računaru omogućiti da funkcioniše kao web
    • Administriranje mrežaserver. Međutim, to je samo prva polovina priče – da bi klijenti firme mogli nesmetano da uživaju usadržaju ovog web servera, biće im neophodan jedan komad klijentskog softvera, poznat pod nazivomweb pretraživač (Web browser). Tako dolazimo do prve prave definicije iz oblasti umrežavanja:2. Za svaki mrežni servis neophodno je postojanje serverskog softvera i klijentskog softvera. Treće, informacijama moramo obezbediti neki način da od servera dođu do klijenata, to jest,moramo uspostaviti fizički sistem po kome servisi mogu putovati. Ukoliko se severi i klijenti nalaze uistom objektu, dovoljno je kreirati samo tzv. mrežu lokalnog područja (local area network – LAN), začije kreiranje je potrebno jednostavno razvući odgovarajuće kablove po prostorijama u tom objektu. Sadruge strane, ako svoje servise želimo da ponudimo čitavom ostatku sveta, kao u slučaju web servera,tada će nam biti neophodna neka vrsta WAN (wide area network – mreža šireg područja) konekcije saInternetom. U nekim drugim slučajevima, biće nam takođe potrebna WAN konekcija, ali ne saInternetom: naime, mnoge kompanije koje se sastoje od izdvojenih i međusobno prostorno izdvojenihfilijala, za njjihovo povezivanje koriste privatne komunikacijske linkove, poput iznajmljene linije (leasedline), T1 ili frame relay. Tako dolazimo do sledeće kockice našeg mrežnog mozaika: svaka mreža moraposedovati hardverske uređaje za konekciju (svičeve (switches), hubove, rutere (routers), modeme), kao iodgovarujuće linkove (telefonske linije, mrežne kablove, frame relay, DSL, kablovski modem, ISDN isl.), jer se u suprotnom,klijenti neće moći konektovati na serverske računare. Sledi jednostavanzaključak:3. Svaka mreža poseduje odrеđene hardverske uređaje za konekciju kao i odgovarujuće linkove. Četvrto, radi pružanja mrežnih usluga (servisa), server i klijentski računari se moraju dogovoritioko načina prenošenja informacija preko mreže. Ovaj dogovor se naziva mrežnim protokolom (networkprotokol), a jedan od ovih protokola koji ćemo najverovatnije koristiti na Windows Server 2003računarskim mrežama, nosi naziv „protokol za kontrolu prenosa/ Internet protokol“ (TransmissionControl Protocol/ Internet Protocol – TCP/IP). TCP/IP je osnovni mrežni protokol koji se upotrebljava naInternetu, ali je isto tako činjenica da uopšte ne moramo biti na Internetu da bismo koristili ovaj protokol.4. Ukratko, klijenti i serveri moraju govoriti istim mrežnim protokolom. Peto, kada jednom uspostavimo komunikacijske kanale i neposredno pre nego što informacijekrenu da teku u oba smera, skoro je sigurno da ćemo morati malo ozbiljnije da se pozabavimobezbednošću. Ako smo se već opredili za upotrebu takvog alata kao što su računarske mreže, logično jeda želimo biti sigurni da time nećemo povećati rizike svog poslovanja, a činjenica je da se ovaj alat možeoblikovati tako da svi mogući rizici budu maksimalno redukovani.5. Mrežama je potrebna sigurnost. Šesto i poslednje, kada konačno podesimo svoj fantastični mrežni servis, biće neophodno daljudima omogućimo način za pronalaženje tog sjajnog servisa. To se može postići upotrebom takozvanog„nazivnog“ (naming) sistema. Prema tome, naša poslednja mrežna definicija glasi:6. Mreže moraju korisnicima obezbediti način za pronalaženje željenog servisa.1.2 Dužnosti administratora sistema Da bi se efikasno iskoristio neki mrežni operatvni sistem potrebno je mnogo više nego sesti zaračunar, uključiti ga i pokrenuti neku aplikaciju. Da bi sve to funkcionisalo na pravi način neko jeprethodno morao da pripremi kako naš računar tako i računarsku mrežu na koju je on priključen. Taj nekonije niko drugi nego administrator sistema. Generalno gledano svaki računar kao i svaka mreža mora daima administartora sistema. Većina adminstratora sistema su oni koji su instalirali i podesili softver iperiferne uređaje u vreme isporuke računara. U večini slučajeva računari i ostaju u prvobitnom stanju jervećina korisnika retko menja te pšostavke. Međutim, ako korisnik odluči da svoj računar priključi naInternet ili da promeni pozadinu svog desktopa, on automatski preuzima ulogu administratora sistema. Tanova titula donosi i neke obaveze, jer bilo kakva promena na računaru može izazvati njegov pogrešan radili još gore, dati mogućnost nekom nepoznatom uljezu da pristupi našem računaru. Nijedan korisnik čiji je
    • Administriranje mrežaračunar povezan sa Internetom, nije imun na posledice lošeg administriranja sistema, kao što su topokazali distribuirani napadi za uskarćivanje usluga (DDoS-Distributed Denial of Service) ili virusi i crvikoji su potresali Internet zadnjih godina. Posledice svih ovih napada bile bi mnogo manje da suadministratori sistema bolje razumeli svoje obaveze i pravilno odradili svoj posao. Administratori sistemaverovatno bolje razumeju potrebu da sa administracija sistema vrši gotovo svakog dana, za razliku odobičnih korisnika koji smatraju da je dovoljno da se jednom podesi računar i da se više ništa ne dira.Po definiciji, administrator sistema predstavlja osobu koja ima pun pristup sistemu ili osoba koja jesuperkorisnik (superuser) ili osnovni korisnik (root user). Mogučnosti svih ostalih korisnika sistema kojinisu administratori su ograničena za razliku od administratora koji ima neograničena prava na sistemu:svim korisničkim nalozima, njihovim matičnim datotekama, svim konfiguracionim parametrima i svimsistemskim datotekama. Opšte je uvaženo pravilo da niko ne treba da se prijavljuje da radi sa sistemomkao administrator jer mnogi poslovi vezani za sistema mogu bezbednije da se obave na drugi način, očemu ćemo govoriti kasnije. Kako administartor sistema ima sva prava na sistemu postoje mnoge njegovedušnosti ali je njegova prva i osnovna da zna šta radi sa sistemom. Obavljanjem tih dužnosti administratormože potpuno da prilagodi instalaciju potrebama sistema i omogući njen ispravan i efikasan rad. Svenaredne pobrojane dužnosti javljaju se prilikom administracije bilo kog sistema i važe gotovo za svemrežne operativne sisteme.1. Instaliranje i podešavanje servera Većina serverskih operativnih sistema dolazi sa velikim brojem usluga i dodatnih programa koji omogučavaju instaliranje različitih serverskih opcija. U prvobitnim operativnim sistemima podrazumevalo se da sve te usluge i dodatni programi budi aktivirani. Međutim, kako je rastao broj računara tako su se i menjala pravila ponašanja ljudi koji su sa njima radili. Javio se jedan sloj takvih korisnika, slobodno ih možemo nazvati računarskim kriminalcima, čija je jedina zabava i svrha korišćenja računara da nekome nanesu neku vrstu štete: da umanje performanse rada drugih računara ili mreža, izbrišu podatke ili potpuno onesposobe tuđe računare. Takva realnost zahtevala je od mrežnih operativnih sistema da prilikom osnovne instalacije isključe sve usluge, osim one osnovne, dok se one ne aktiviraju i odgovarajuće podese. Dužnost adminstartora sistema je da odredi koje usluge su potrebne da se koriste, da ih omogući i pravilno podesi. Nepotrebne usluge, koje se u sistemu ne koriste ne treba omogućavati jer to predstavlja potencialni rizik po bezbednost celog sistema. Takođe, usluge koje nam trebaju a ne znamo da ih pravilno konfigurišemo, bolje je isključiti nego nepravilno podesiti i omogučiti drugima da uđu u naš sistem.2. Instaliranje i podešavanje aplikacija Podešavanje i prilagođavanje aplikacija je u izvesnoj meri posao korisnika, ali ne sasvim. Kostur konfiguracije (skeleton) predstavljaju podrazumevani parametri neke aplikacije, koje definiše i postavlja administrator. Ti parametri predstavljaju osnovu za korišćenje aplikacije i bez njihovog postavljanja, aplikacije ne može da radi. Većina kompanija podržava politiku da se ne dozvoli instaliranje aplikacija za koje dozvolu nije dao administrator sistema. Dva su osnovna razloga: bezbedonost sistema i nelegalno korišćenje kopiranog (piratskog) softvera. U doba kada se u računarskom svetu svakog dana pojavljuju neki zaraženi softveri (virusi, crvi, trojanci, ...), postoji velika verovatnoća, da se nekim neovlašćenim programom, naruši integritet celokupnog sistema, sa nesagledivim posledicama po njega. Sa druge strane treba sprećiti i instaliranje nelegalnog softvera za koji nije kupljena licenca. Korišćenje nelegalnog softvera podleže krivičnoj odgovornosti, kako administartora sistema, tako i kompanije u kojoj se taj softver koristi. Kako je administrator sistema najodgovorniji za pouzdan rad sistema kao i korišćenje legalnog softvera, jasno je da on treba da preduzme sve potrebne mere da obezbedi pouzdan i legalan rad sistem. Baš zbog toga gotovo svi administratori sistema se slažu da kod administriranja sistema važi jedno ’’surovo’’ ali zlatno pravilo: što se manja prava daju korisnicima to je sistem bezbedniji, pouzdanije radi, a samim tim je smanjen posao administratora.3. Pravljenje i održavanje korisničkih naloga Za svakog korisnika koji želi da radi se računarom i mrežnim sistemom, mora da postoji korisnički nalog. Isti je slučaj i za svaki računar gde imamo računarski nalog. Pravila dobrog ponašanja podrazumevaju da niko ko se nije prijavio na sistem ne može da radi sa njim. Pre nego što napravi naloge za korisnike, administrator mora da donese neke odluke koje se odnose na taj nalog. Kao prvo to se odnosi na politiku lozinki. Ko ih kreira, kako se menjaju, koliki vremenski period važe, koliko su složene i td. Zatim koja prava treba dodeliti tom
    • Administriranje mreža korisničkom nalogu: sa kojim programskim paketima mu dozvoliti da radi, koliki prostor na disku ima taj nalog, kojim datotekama mu omogućiti pristup i kakav, u kom vremenskom periodu mu omogućiti rad i td. Ako ima više sličnih korisnika bolje napraviti grupni nalog koji će važiti za sve njih. Donošenje ovih i nekih drugih odluka, deo je dužnosti administratora sistema u upravljanju korisničkim nalozima. Bez obzira na to da li ova pravila utvrđuje administrator ili rukovodstvo preduzeća, njih svakako treba propistai radi zaštite svih zainteresovanih. Obično važi pravilo da se to uradi u pisanoj formi.4. Instaliranje, podešavanje i održavanje korisničkih servisa i opreme Već smo ranije pomenuli da svaki mrežni operativni sistem u sebi poseduje i veliki broj dodatnih servisa i usluga koje nudi klijentima. Ovde se prevashodno misli na PRINT, FTP, WEB, i MAIL servise koji su danas u najširoj upotrebi. Teško je zamisliti neku mrežnu instalaciju koja ne podržava ove dodatne usluge. Broj tih usluga sve više raste tako da nije redak slučaj da se vide i mnogi multimedijalni servisi kao što su IP telefonija, IP televizija i video konferencije. Ovde možemo da svrstamo i instaliranje VPN (Virtual Privaty Network), jedne lepe mogučnosti koja nam omogućava da u okviru zajedničke mrežne strukture postavimo i privatne mreže. Na toj mreži biće samo oni računari za koje administrator da odobrenje, dok će sva ostala infrastruktura ostati potpuno ne promenjena. Održavanje hardvera računara kao i aktivne/pasivne mrežne opreme takođe sa smatra kao jedan od zadataka administratora.5. Pravljenje rezervnih kopija i njihovo vraćanje Potreba za pravljenjem rezervnih kopija postojaće sve dok oprema ne postane savršena i dok ljudi ne izgube želju za uništavanjem tuđih resursa. Bez kopija podataka teško možemo da vratimo neki sistem ukoliko dođe do neke greške u hardveru sistema, bude narušena bezbednost sistema ili dođe do greške u administraciji sistema. Ovaj zadatak takođe spada u isključivu nadležnost administratora. Samo on može da napravi rezervne kopije kao i da iz njih restauira sistem. To pred njim postavlja novi zadatak jer je potrebno da se napravi celokupna strategija pamćenja i vraćanja podataka koja podrazumeva sledeće: šta, koliko često, kako, gde i kada pamtiti rezervne kopije. Sve podatke koji se nalaze u računarskom sistemu možemo podeliti na tri velike grupe: sistemske podatke (operativni sistem, drajveri), programske podatke (instalirane aplikacije) i prikupljeni podaci(baze podataka koje popunjavaju korisnici). Postavlja se pitanje šta od toga treba pamtiti ? U kojim vremenskim intervalima to treba raditi i da li su ti intervali isti za sve vrste podataka ? Da li je potrebno pamtiti kompletno sve podatke ili samo izmene od prethodnog pamčenja ? Koji je medijum bolji za pamćenje podataka: magnetni medijum (trake ili hard diskovi) ili optički medijum (CD i DVD) kao i da li je bolje to imati u sastavu samog računara- servera ili imati posebne zasebne magnetne jedinice za pamčenje ? Koje je vreme najbolje za pravljenje rezervnih kopija ? Sve su to pitanja na koja administrator mora da ima odgovor. Poseban problem se javlja kada je potrebno vratiti rezervne kopije nazad u sistem. Obično se tada i dešavaju najveći propusti jer se to radi pod dosta velikim pritiskom. Zato se preventivno prave planovi oporavka sistema kojih se u kriznim situacijama treba držati.6. Nadgledanje i podešavanje performansi Podešavanje sistema je stalan proces u kome se koriste razne dijagnostičke alatke kao i alti za nadgledanje rada sistema. Neke od odluka donose se pri samoj instalaciji sistema a neke je potrebno doneti nakon određenog perioda rada. Pravilno nadgledanje omogućava administratoru sistema da na vreme otkrije neke nepravilnosti u radu i pravovremeno ih otkloni. Pored toga mnogi dijagnostički programi mogu da nam ukažu na loš rad neke od komponenti koju tada treba preventivno zameniti da ne bi u potpunosti otkazala. Nekada je potrebno i ispravnu komponentu zameniti sa nekom robusnijom i efikasnijom kako bi ubrzali rad sistema. Ukoliko želimo da izvučemo maksimum iz našeg sistema neophodno je da pažljivo nadgledam naš sistem i primenimo dijagnostičke programe za pravovremeno pronalaženje problema.7. Obezbeđivanje sistema Verovatno da je bezbednost računar i integritet podataka jedan od najvažnijih zadataka administracije sistema. On mora da obezbedi da se nijedan podatak sa računara ili mreže ne ošteti, bilo to iz razloga da otkaže neka hardverska komponenta, bilo greškom u podešavanju sistema, namernom ili slučajnom greškom korisnika sistema ili pak zlonamernim upadom spolja. Stepen zaštite sistema u mnogome zavisi od toga na kojoj se mreži nalazi naši računari, od osetljivosti podataka kao i potreba za koje se oni koriste. Ona može da bude fizička i tehnička. Pod fizičkom bezbednošću podrazumevamo da osiguramo računar da radi u optimalnim vremenskim uslovima, da ga obezbedimo od fizičkog pritupa neovlašćenih lica kao i da sprečimo
    • Administriranje mreža njgovo moguće fizičko oštećenje. Tehnička bezbednost podrazumeva podizanje softverskih barijera (firewall) i proxy servera, koji treba da spreče neovlaćeni pristup spolja, kao i da onemoguće korišćenje sumnjivih sajtova na Internetu. Sprovođenje bezbedonosnih mera je trajan proces. Postoji čuvena izreka da je jedino potpuno bezbedan računar onaj koji nema nikakvih podataka, nije priključen na nikakvu mrežu, nije priključen na električno napajanje i nema prikačene nikakve ulazne uređaje (miš i tastaturu). Ako bi sve ovo bilo ispunkeno postavlja se pitanje za šta bi koristio takav računar. Posao administratora je da pronađe pravu meru između maksimalne koristi i najstrože bezbednosti, imajući u vidu da bezbednost računara danas ne znači i njegovu bezbednost sutra.8. Praćenje dodataka i novih verzija Jedan od zadataka administratora sistema je da spreči da se računar koristi u nedobronamerne svrhe kao i da se odbrani od spoljašnjih upada. Svedoci smo da je broj nelegalnih upada u sistem kao i raznolikih destruktivnih softvera iz dana u dan sve veći i veći. Mnogi proizvođači bezbedonosnog softvera daju nam svakodnevno nove definicije tih napada kao i odgovarajućih alata da se oni spreće ili otklone. Sa druge strane i proizvođači mrežnih operativnih sistema pronalaze mnoge propuste u svome softveru tako da sa vremena na vreme objavljuji svoje dodtake tkz. service pack. Administrator koji pretenduje da mu njegov sistem bude maksimalno zaštićen, mora sve to da prati i preuzima odgovarajuće mere kako bi preventivnio zaštitio svoj sistem.II čas Uvod u WINDOWS SERVER 20032.1 Uvod u WINDOWS SERVER 2003 U samim začetcima računarske industrije samo su neke velike firme mogle da priušte sebiprivilegiju da imaju glomazne centralne računare koji su bili jako skupi. U to vreme, veoma mali brojkompanija (IBM i Digital Equipment Corp ) je proizvodio računare pa su samim tim i držali monopol nadnjima. Osamdesetih godina prošlog veka dolazi do velike ekspanzije malih personalnih računara kojidrastično menjaju odnose na računarskom tržištu. Pojavljuje se sve veći broj kompanija koje prave teračunare, konkurencija je sve veća, što doprinosi smanjivanju cene sa jedne strane i neviđenog napretka ujačini tih računara sa druge strane. Računari nisu više privilegija velikh firmi, već su postali sastavni deosvakog domaćinstva kao normalna potrebština. Danas, gotovo svako može da kupi računar, da se povežesa mrežom svih mreža Internetom, i da mu velika moć bude na dohvat ruke. I ono što fascinira u svemutome, je neverovatna brzina kojom računari zahvataju gotovo svaku poru ljudskog stvaralaštva. Gotovoda ne postoji ni jedna ljudska delatnost u kojoj oni nisu pronašli neku upotrebu. Međutim, sa velikimrazvojem računarske industrije, razvio se i onaj drugi, tamniji deo, a to je računarski kriminal. Sve je većibroj ljudi koji pokušavaju da na nelegalan način dođu do zarade ili unušte mukotrpan rad drugih ljudi.Hiljade novih računarskih virusa koji se pojavljuju svakog meseca čine da rat virusa i antivirusnihprograma besni nezamislivom žestinom. Hakeri upadaju u privatne mreže firmi širom sveta. Nije redakslučaj da pojedine kompanije unajmljuju softveraše, čiji je prevashodni zadatak da od konkurencijeukradu najnovije pronalaske ili da na bilo koji način usporavaju ili onesposobljavaju njihove računare.Zloupotreba i prevara vrebaju svuda na mreži. Ranije smo naveli da pouzdana 100% zaštita računarskogsistema, a da se očuva njegova upotrebna vrednost, ne postoji. Međutim, mi možemo da obezbedimo svojračunar tako da bar učinimo nedostupne neke stvari ili pak da znatno otežamo pristup nekim resursimakoji ne mogu da se obezbede. Sigurno da odlučujuću ulogu u tome igra jedan pouzdan mrežni operativnisistem. Ne postoji ni jedan aplikacioni softver koji će bolje zaštititi vaš sistem od operativnog sistema kojito može da uradi na najnižem nivou – fizičkom, jer neposredno upravlja svih hardverskim komonentamau sistemu. U izboru mrežnog operativnog sistema odlučuju i mnoge druge komponente, ali je ovabezbedonosna, sigurno jedna od odlučujućih. Prevashodna uloga administratora mreža je da u tommrežnom ratu, u kome konkurencija uspeva da obezbedi sve jača i moćnija oružja, pravilnim izboromoperativnog sistema, njegovim postavljenjem kao i njegovim stalnim preventivnim održavanjem, ako nespreči, bar maksimalno oteža neovlašćen pristup. U izboru mrežnih operativnih sistema izdvojila su sedva pravca koja danas gospodare gotovo svim mrežama i to su UNIX/LINUX i WINDOWS. Teško jepodvući crtu i opredeliti se za neki od njih, tj. da je neki mnogo bolji od drugog. I jedan i drugi pravacstalno prate najnovija događanja i stalno unapređuju svoje operativne sisteme novim verzijama koje nudesve bolja i bolja rešenja i dodatne servise.
    • Administriranje mreža2.2 Windows server 2003-kratka istorija Istorija Windows mrežnih sistema počinje daleke 1992 godine sa pojavom prvog operativnogsistema koji je imao integrisanu podršku za umrežavanje više računara: Windows for Workgroups 3.1.Jednostavnost u instaliranju i korišćenju mrežnih resursa, donelo je revoluciju u upotrebi mreže među PCračunarima. Korisnici su mogli samostalno da podešavaju mrežne servise: da dele štampač i da određujukoje fajlove će deliti sa ostalim korisnicima koji koriste isti operativni sistem ili MS-DOS. Ova verzijaoperativnog sistema je imala je i programe za elektronsku poštu (Microsoft Mail) i organizator za radnegrupe (Schedule+). Sledeće godine izašla je poboljšana verzija, Windows for Workgroups 3.11 koja jedoživela još veću popularnost. Međutim, mnogi smatraju da je tek sa pojavom Windows NT linije,Microsoft ozbiljno ušao u mrežne operativne sisteme. 1994 godine izlazi Windows NT 3.1, platforma kojanije bila namijenjena običnim korisnicima, već je služila kao mašina za razvijanje programa, mrežniserver i radna stanica (korisnička mašina u mreži). Po prvi put tada imamo dva odvojena operativnasistema: jedan za server a drugi za klijente. Odlika tih operativnih sistema bila je jako nestabilna inesigurna podrška mrežnim servisima, tako da su jako često izdavane dopune za njih (service pack). Iakoje dosta podsjećao na "obični" Windows, ovaj operativni sistem je u samom jezgru bio sasvim drugačiji.Već krajem 1994 godine, na tržište izlazi Windows NT 3.5 Workstation (Windows NT 3.5 Radna stanica)koja je trebala da zamijeni 9 meseci stari Windows NT 3.1. Kao zamena za Windows NT 3.1 AdvancedServer (server za mrežu) je izašao je Windows NT 3.5 Server. Iste godine je bio najavljen razvoj WindowsNT 4.0, pod razvojnim imenom "Cairo". On se pojavio 1996 god. i stekao ogromnu popularnost međumnogobrojnim korisnicima. Ali ni on nije bio imun na ranije bolesti ovih mrežnih operativnih sistema jerje bilo mnogo propusta u njegovom radu. O tome nam svedoći i činjenica da je Microsoft za njega izdaoservisni paket pre nego što je softver zvanično objavljen. 2000. godine izlaze Windows ME i Windows2000. Windows ME je nastavak na seriju Windows 95/98 operativnih sistema, samo malo nadograđenprogramima za podršku multimedijalnih sadržaja, dok je Windows 2000 predstavljao nadgradnjuWindows NT 4.0. Iako običnom korisniku nema neke velike razlike u izgledu ova dva operativna sistema,oni se ipak razlikuju u samoj osnovi. Poučeni ranijim primerom, kada je bilo dosta grešaka, korisnici suoklevajući prešli na Windows 2000 Server. On je doneo jednu potpuno novu uslugu koja je u mnogomeolakšala administraciju sistema: aktivni imenik (Active Directory). Za razliku od svojih prethodnika,napravljeno je mnogo instalacija Windows Server 2003 još u beta verziji. Beta verzija ovog dugoočekivanog operativnog sistema pokazala se kao veoma stabilna, administratorima sistema pruža mnogonovih mogućnosti, a poboljšanje performansi u odnosu na Windows 2000 je neverovatna. Server 2003 predstavljen je 24.aprila 2003 godine, kao naslednik Windows Servera 2000, koji jesmatran od strane Microsofta za kamen temeljac njihove Windows Server System linije. Nova unapređenaverzija Windows Server 2003 se pojavila decembra 2005, a njegov naslednik Windows Server 2008 izašaoje februara 2008. Windows Server 2003 je složen operativni sistem, koji se znatno razllikuje od Windowsa2000 i ranijih mrežnih operativnih sistema. Dobra osobina je da Windows 2003 dolazi sa takozvanimkompatibilnim modom koji omogućava da se starije aplikacije izvršavaju sa većom stabilnošću. Windows2003 Server je prvi operativni sistem koji je objavljen od strane Microsoft korporacije posle objavljivanjaTrustworthy Computing publikacije (publikacija koju je objavio The Committee on Information SystemsTrustworthiness, kojom se definiše sigurnost i pouzdanost operativnog sistema[5]). Kao rezultat ovogaWindows 2003 Server je izašao sa brojnim sigurnosnim izmenama i dodacima. Windows Server 2003 nije svemoćan čim se “izvadi iz kutije”, ali ima sve alatke potrebne zaefikasno administriranje mreže. Među tim alatkama su one za integrisanje sa razvojnim okruženjem .NETFramework, novi alati za podršku složenim GPO objektima kao i novi WEB servis (IIS 6.0). Izvršene suizmene na gotovo svim servisima kao što su: poboljšani aktivni imenici, poboljšani DNS server,unapređeni Terminal Service i više čarobnjaka za konfigurisanje gotovo svih servisa na koje čemo unarednim poglavljiva obratiti više pažnje. Tokom svog razvoja proizvod je prošao kroz nekoliko promena imena. Prvi put je predstavljenbeta testerima sredinom 2000. godine, pod razvojnim imenom „Whistler Server“, potom je nazivpromenjen u „Windows 2002 Server“ za kratko vreme tokom 2001. godine. Potom je preimenovan u„Windows.NET Server“ kao deo Microsoft-ovog truda da promoviše svoj novi razvojni alat,Microsoft.NET. Ipak, zbog straha da će napraviti konfuziju na tržištu o tome šta .NET znači, Microsoft jeuklonio .NET iz naziva tokom 2002. godine u pretposlednjoj beta verziji. Konačno 2003. godine je izašla
    • Administriranje mrežaposlednja verzija Microsoftovog serverskog operativnog sistema pod nazivom Microsoft Server 2003.2.3 Izdanja Windows Server 2003 Sa pojavom Windows Server 2000, Microsoft je uveo jednu novinu jer je objavio i čitavu familijunovih server operativnih sistema. Tradicija se nastavila i u Windows Serveru 2003. Postoji, zapravo,veliki broj različitih verzija Servera 2003, ako računamo 64-bitnu verziju, ugneždene (embedded) verzije,itd., ali prema zvaničnoj specifikaciji ovaj softverski proizvod može se nabaviti u sledeća četiri„proizvodna izdanja“:  Windows Sever 2003, Standard Edition  Windows Sever 2003, Eterprise Edition  Windows Sever 2003, Datacenter Edition  Windows Sever 2003, Web Edition Windows Server 2003 – Standard Edition Windows Server 2003 – Standard Edition je pouzdan, multifunkcionalni mrežni operativni sistemkoji ima sve osnovne funkcije koje su potrebne za podršku malih do srednjih mreža. Podržava servisedirektorijuma, datoteka, štampanja, aplikacija, multimedije i Web servise. Međutim ova verzija ima isledeća ograničenja:  Mogu se koristiti maksimaslno četri procesora na jednom serveru  Nije dozvoljeno više 4GB memorije, od toga operativni sistem rezerviše 2GB za sopstvene potrebe, što znači da za aplikacije na serveru ostaje 2GB.Zbog ovih osobina Standard Edition je pogodan za manja preduzeća Windows Server 2003 – Enterprise Edition Enterprise Edition predstavlja nadgradnju na Standard Edition. Ima sve mogućnosti kao i StandardEdition plus alate koji poboljšavaju pouzdanost, dostupnost i sigurnost na mreži. Glavna razlika je u tomešto Enterprise Edition podržava rad sa serverima visokih performansi:  Podržava do osam mikroprocesora na serveru  Podržava 32 GB RAM-a, gde se za operativni sistem rezerviše samo 1GB memorije omogućavajući ostalim aplikacijama na serveru da koriste do 3GB.
    • Administriranje mreža  Podržava Microsoft Metadirectory Services (MMS), koji omogučavaju integraciju više direktorijuma, baza podataka i datoteka u aktivni imenik  Poseduje Windows System Resource Manager (WSRM), koji omogućava raspoređivanje procesorskih i memorijskih resursa u odnosu na potrebe aplikacija  Ima podršku za Hot Add Memory (HAM), koji omogućuje dodavanje memorije sistemu bez naknadnog ponovnog pokretanja sistema. Windows Server 2003 – Enterprise Edition namenjen je za upotrebu u srednjim i velikimposlovnim sistemima. Ovaj operativni sistem karakterišu visoka pouzdanost i performanse. Windows server 2003 – Datacenter Edition Windows server 2003 – Datacenter Edition je najmoćnija verzija u Windows Servera 2003familiji. Kao i Enterprise Server Edition, Datacenter Edition predstavlja nadgradnju na Standard Edition.Razlika je u tome što Datacenter Edition podržava mnogo više procesora i memorije u jednom serveru:  Podržava i do 32 procesora na jednom serveru  Može se ugraditi RAM memorija od 64GB kod 32-bitnih i 512GB kod 64-bitnih platformi. Microsoft je projektovao Datacenter Edition tako da bude najstabilnija, najpouzdanija inajmoćnija verzija Windows Severa 2003. Kao takav, ovaj operativni sistem je i najskuplji u familiji iujedno i jedina verzija koju na možemo kupiti i instalirati sami. Prodaje se samo kao OEM verzija, uzvrhunske serverske platforme i u potpunosti podržava 32-bitne, 64-bitne i 128-bitne (dve 64-bitne)platforme. Datacenter je namenjen velikim preduzećima kojima su potrebni najmoćniji i najskuplji serverikoji retko „pucaju“ i retko se moraju restartovati. Windows Server 2003 – Web Edition Osnovna ideja kod izdavanja ove verzije je bila da se uđe na sve veće tržište WEB servera.Windows Server 2003, Web Edition, je specijalno dizajniran da omogućujući korisnicima jednostavanrazvoj WEB stranica, prezentacija, lokacija i servisa.. Web Edition je optimizivan za MicrosoftovInternet Information Services ( I I S ) Web server platformu. Web server izdanje ne podržava neke odnaprednih servisa, kao što su:  Napredni alati koji obezbeđuju sigurnost na mreži, kao na primer Internet Authorization Server (IAS)  Fax servise  Gateway servise  DHCP servise  Terminal servisePodržava:  Do dva procesora na serveru i  2 GB RAM memorije  neograničen broj anonimnih WEB povezivanja, ali samo do 10 dolazećih SMB(Server Message Block) eza Web edition je, kao što mu i samo ime kaže, idealno za servere koji se koriste kao Internet iliintranet serveri.2.4 Priprema za instaliranje Windows Servera 2003 Pre nego što krenemo sa instalacijom potrebno je isplanirati neke stvari kako kasnije ne bi došli usituaciju da nešto ne možemo da uradimo, pa moramo da ponovimo postupak iz početka. Najčešćeteškoće pri instalaciji nastaju zbog greške u planiranju (pogrešno definisanje particija, kreiranje serverčlana kada on treba da bude kontroler domena ili neka druga jednostavna stvar). Inicijalno svakainstalacija počinje sa instalacijom osnovnog serverskog programa. Kada se jednom pokrene stabilanserver, on može da se promoviše u kontroler domena. Proširenja, poboljšanja i nove osobine povećavajumogućnost da proces protekne glatko, ali i dalje je potrebno da se unapred definiše neki plan. Planiranjene služi samo za sprečavanje grešaka, već može da se od instalacije učini i nešto više od prostog
    • Administriranje mrežapostavljanja Windows-a 2003. Pravilnim planiranjem, mogu da se prilagode osobine i proširenjaWindows-a 2003, tako da se buduće instalacije obave brže i lakše. Zato treba uraditi sledeće stvari:  Proverimo minimalne sistemske zahteve, tako što ćemo posetiti Microsoftovu Web lokaciju i pročitati odeljak System Requirements za Windows Server 2003.  Pročitamo uputstva za instaliranje i napomene uz konkretno izdanje Windows Servera 2003, koja se nalaze na njegovim kompakt diskovima.  Odlučimo da li ćemo da nadograditi postojeći ili instalirati novi operativni sistem.  Odlučimo kako ćemo plaćati korišćenje (licencu): po serveru ili po radnom mestu.  Odlučimo da li nam je potrebna mogućnost biranja operativnog sistema prilikom svakog pokretanja računara.  Utvrdimo da li nam za instalaciju treba posebna particija?  Izaberemo komponente koje ćemo instalirati, odnosno odredimo namenu servera.  Odlučimo kako ćemo rešiti umrežavanje, IP, TCP/IP i razrešavanje imena.  Odaberemo radne grupe ili domene.  Izvadimo kablove svih UPS uređaja. Postupak instaliranja pokušava da prepozna sve uređaje priključene ne serijske priključke računara, pa bi UPS mogao da izazove poteškoće u procesu prepoznavanja. 2.4.1 Sistemski zahtevi i izbor hardvera U bilo kojoj primeni računara sistemski resursi igraju glavnu ulogu i u osnovi određuju kvalitet aplikacijekoja se izvršava. Kod mrežnih operativnih sistema taj resurs, možda i najviše dolazi do izražaja. U suštini nepostoji neka tačna podela na serverski i klijentski hardver, tj. bilo koji računar može biti i server i klijent. Pitanje sepostavlja samo na kvalitet usluge koji računar sa takvim resursima može da daje. Zato gotovo svaki proizvođačmrežnih operativnih sistema, preporučuje odgovarajuče sistemske resurse u zavisnosti od namene serverana kome će taj softver raditi. Tri resursa tu igraju glavnu ulogu i to su: Brzina CPU Iako se Server 2003 može pokrenuti i na nečemu što je tako sporo kao računar koji radi na266MHz, po preporuci proizvođača minimalna brzina koju procesor treba da poseduje jeste 733MHz.Ipak, preporučljivo je koristiti procesore koji funkcioniše na većim frekvencijama od bar 1GHz. pa naviše. Naravno, da jači i brži procesor daje i mnogo bolje rezultate, kao i upotreba višestrukih procesora. Veličina operativne memorije - RAM Obično smo skloni da smatramo kako je CPU osnovna komponenta koja definiše brzinu radaoperativnog sistema. Međutim, kao što je uvek bio slučaj sa članovima NT familije, posedovanje dovoljnekoličine RAM-a, koja će OS-u dati prostora da diše, podjednako je važno za obezbeđivanje besprekornihperformansi servera. Ali, koliko bi tačno memorije bilo potrebno da obezbedimo? Ovo je veomanezgodno pitanje, jer odgovor u mnogome zavisi od funkcije samog servera: jednostavni fajl serveri iserveri za štampanje mogu sasvim solidno funkcionisati sa 256 RAM-a, dok će računari na kojima seizvšavaju SQL Server, Exchange Server, IIS i slične aplikacije, zahtevati bar nekoliko gigabajta RAM-aza nesmetani rad.Preporuka proizvođača je da Windows Server 2003 radi na minimumu od 512MB. Sa druge strane, veća količina memorije otvara veći prostor za pojavu hardverskih otkaza umemorijskim čipovima, te je upravo zbog toga neophodno upotrebiti memoriju sa takozvanim „kodom zaispravljanje grešaka“ ECC (Error Correcting Code). Gubitak podataka može da nastane zbog lošegmemorijskog čipa, ali do gubitka podataka mogu da dovedu i slučajni događaji (statički elektricitet,kolebanje elek.napajanja). ECC je dobar zato što ne samo da detektuje greške u memoriji, nego ihautomatski i koriguje. U slučaju da dođe do promene napona, ECC detektuje problem i rešava ga bezikakvog upozorenja korisniku. Veličina sekundarne memorije (HDD) Bazična, ogoljena (bare-bones) instalacija operativnog sistema Windows Server 2003, StandardEdition, progutaće oko 1.5GB slobodnog prostora na hard disku. Naravno, na svoj hard disk možemopoželeti da, osim OS-a, instaliramo i neke druge programe, tako da će nam trebati znatno više od toga –koliko tačno više zavisiće prvenstveno od toga šta želite da postignete sa svojim serverom. Ipak,preporuka je da ne bi čak ni trebalo započinjati instalaciju bez minimum 4GB raspoloživog prostora na
    • Administriranje mrežadisku. Po preporuci proizvođača, zahtevi koje Windows 2003 postavlja pred čvrsti disk su minimun 4GBslobodnog prostora plus dodatnih 1GB za svakih 256MB RAM-a. Ovo opet može da varira od budućihnamena servera, ukoliko će server imati dosta instaliranih aplikacija veličina diska može i da se utrostruči. Kao što se iz prethodno navedenog vidi jako je teško specificirati neku optimalnu konfiguraciju zarad Windows Servera 2003. Ukoliko će računar služiti za prosto deljenje datoteka i štampača onda nijepotrebno mnogo resursa, ali ako sa druge strane postoji potreba za Web serverom, mail serverom iliupravljanjem korisničkim nalozima za hiljade korisnika, onda je potrebna velika količina memorije kakooperativne tako i sekundarne kao i procesor sa dosta velikim radnim taktom. Međutim, za pouzdan rad jednog mrežnog operativnog sistema nisu bitne samo njegoveperformanse u vidu veličine i brzine. Puno puta bolje je instalirati komponentu od proverenogproizvođača smanjenih performansi, u odnosu na neku nesugurnu komponentu koja može da izazovemnoge probleme. U tom pogledu kompanija Microsoft se pobrinula da pomogne svojim korisnicima.Radi potpunog uvida u sve hardverske zahteve operativnog sistema, potrebno je pogledati listuhardverske kompatibilnosti HCL (Hardware Compatibility List). Ako želimo dobar i pouzdan računar-server, potrebno je da svaka hardverska komponenta koja je instalirana na njemu, bude prisutna na ovojlisti. Bilo koji hardverski uređaj koji se ne nalazi na listi, može prouzrokovati različite probleme, odneispravnog rada aplikativnih programa, sve do pada čitavog operativnog sistema, pa čak i eventualnenemogućnosti njegove instalacije. Ukoliko hardver nije na listi mora se imati njen OEM drajver kojidolazi sa hardverom, ali opet postoji rizik, jer Microsoft nije testirao kako to radi. Ovu listu možemopronaćai na svom instalacionom CD-u za Windows Server 2003 (SupportHCL.txt) ili na web straniciftp://ftp.microsoft.com/services/whql/HCL/. 2.4.2 Priprema BIOS-a Najlakši način da se pokrene instalacija je taj da se u BIOS Setup-u namesti da se računar pokrećesa CD-a. Među mnoštvom opcija treba naći onu koja govori sa kog uređaja će se startovati računar.Naravno to se razlikuje od računara do računara i od proizvođača BIOS-a. Uglavnom to treba da izgledaotprilike ovako: Advanced BIOS Setup/BOOT devices i onda ovde treba izabrati CD-ROM kako bi senaglasilo računaru da je to prvi butabilni medijum. Pri nameštanju ove opcije treba biti oprezan jer kasnijeu fazi podizanja sistema, kada Setup zatraži da se sistem restartuje, treba vratiti opciju tako da se sistempodiže sa čvrstog diska. Ukoliko se ovo ne odradi može desiti da se stalno vrtite u krug tj. da ostane ustalnoj inicijalnoj fazi rada sa CD-om. Još jedan deo priprema BIOS-a jeste konfiguracija i rezervacija prekida (interrupt reservation).Pošto je većina sistema na kojima može da se pokrene Windows 2003 savremena ovaj korak bi trebalo dabude lak. Problem se javlja pri pokušaju da se doda stara komponenta, koja ne podržava Plug and Play usistem koji to podržava. U slučaju da se poseduje neki stari mrežni adapter koji ne podržava Plug andPlay koji je podešen za prekid od 10. Kada se postavlja neki uređaj koji podržava Plug and Play, moždaće hteti da prekid inicijalizuje na 10, ne znajući da stara komponenta ima isti zahtev. Čim drajverinicijalizuje karticu dolazi do problema. Stoga bilo bi najbolje da se u BIOS-u podesi da interrupt od 10bude rezervisan za kartice koje ne podržavaju Plug and Play. Ovim se naglašava nekom uređaju kojipodržava Plug and Play da to područje ostavi na miru. 2.4.3 Podela na particije Planiranje šeme podela na particije može biti deo koji se često zaboravlja prilikom instalacije.Windows 2003 pruža neke napredne mogućnosti za upravljanje particijama prilikom instalacije i ono štose tada odluči najverovatnije će ostati i u toku njegovog rada. Najbolje je znati kakav tip servera se pravi ina osnovu te odluke odlučiti kolike će biti particije. Ukoliko je server jednostavan i predstavlja nekolikodeljivih direktorijuma i štampača preporuka bi bila čuvanje podataka na jednoj a sistema na drugojparticiji. U ovom slučaju na sistemskoj particiji bi bio dovoljan minimum od 2GB. Ako je servernamenjen za korišćenje RIS-a (Remote Installation Services) biće potrebna i treća particija koja jepripremljena samo za ovaj servis. RIS ne može da čuva slike sistema na boot particiji. Uglavnom sadanašnjim cenama hard diskova sistemska particija ne bi trebalo biti manja od 20GB jer će sigurno naserveru biti instalirano dosta aplikacija, pogotovo na serveru koji je namenjen za potrebe škole. Drugaparticija treba služiti za skladištenje podataka i njena veličina takođe ne sme preći cifru manju od 20GB.
    • Administriranje mreža Treba pomenuti i odabir sistema datoteka. Tu se ne postavlja pitanje jer je NTFS (NT File System) danaspostao nezamenljiv fajl sistem. Ali ukoliko se na server povezuje neki računar sa DOS operativnimsistemom biće potreban FAT fajl sistem. Danas su takvu slučajevi retki i gotovo nemogući ali ipak trebaimati i ovu stvar na umu. 2.4.4 Tip i ime servera i veze na mreži Server može biti instaliran ili kao samostalni server ili kao server koji pripada nekom domenu.Samostalan server (standalone server) ne pripada nijednom domenu, već određenoj radnoj grupi.Korisnici koji se nalaze u radnoj grupi mogu da koriste resurse sa servera ali ne mogu da koriste prednostiaktivnog direktorijuma. Kod instalacije servera koji pripadaju nekom domenu on može biti instaliran kaoupravljač tog domena ili kao pridruženi server. Server koji je konfigurisan kao upravljač nekog domenaučestvuje kod svih prijavljivanja klijenata na taj domen i stara se o potpunoj bezbenosti tog domena. Nepostoji neko ograničenje u pogledu ovog izbora, jer se i kasnije, nakon instalacije, moguće prebaciti statusservera iz jednog u drugog. Planiranje imena servera je potrebno samo u slučaju da se na mreži koja seprojektuje nađe više servera pa se može doći u situaciju da se ne zna koji server nosi koje ime. Ukoliko jeserver na maloj LAN (Local Area Network) mreži i tu je jedini, onda ovaj korak nije potrebno planirati.Ne treba davati isto ime serveru i korisnicima. Ukoliko postoji namera da se prijavi na server koji ima istoime kao i neko od korisnika, javiće se nekoliko grešaka. Ne zaboravimo da korisnici ne treba da brinu oimenu servera. Šta ako se server nalazi u drugoj zgradi ili u drugom gradu? Rezultat svega ovoga je da oovome treba razmisliti, uključiti i korisnike i ljude koji će upravljati mrežom. Treba postignuti sporazumo tome šta je bitno a šta ne. Iako postoji mogućnost da se kasnije lako promeni ime servera, nije lakopromeniti stotine korisničkih radnih stanica koje su povezane sa njim. 2.4.4 Licenciranje servera Osnovna uloga bilo kojeg servera, a samim tim i mrežnog operativnig sistema je da pruži uslugevelikom broju korisnika. Microsoft je tu video još jednu mogućnost da zaradi, pa je uveo jedan potpunonovi način mogućnosti da se sa njim radi – licenciranje servera za rad. Dva su osnovna režima izdavanjalicenci za rad i to per-seat i per-server. - Licenca po korisniku (per-seat) zahteva da svaki klijent na mreži koji pristupa Windows 2003serveru, ima svoju licencu. Ovo je najlakši metod za dodavanje licence, zato što se jedino broji kolikoklijenata ima. Ne treba brinuti o uporednim vezama za te klijente sa jednim serverom ili o tome sa kolikoservera klijent uspostavlja vezu. - Licenca po serveru (per-server) se razlikuje u tome da svaka veza klijenta i servera zahtevalicencu. Ako je klijent povezan sa 25 različitih servera, tada je njemu potrebna po jedna licenca za svakiserver, dakle 25 licenci, ali postoji i uporedno korišćenje licence što je jednostavnije, jer je lakše zapraćenje. - Licenca po uređaju (per-device) omogućuje prijavljivanje računara na server. Licenciranje per-server je jednostavnije. Kaže se serveru da je kupljen određen broj licenci.Serverov servis za licence (deo Windows-a 2003) tada prati koliko je ljudi povezano na računar uodređenom trenutku. Ako je kupljeno X licenci i X+1-va osoba pokuša da se poveže, onda je njojzabranjen pristup. Licenciranje per-seat podrazumeva licenciranje svake mašine, što znači da svakiračunar mora da ima svoju licencu. Generalno licenciranje per-seat je jevtinije.2.5 Načini za instaliranje operativnog sistema Postoji nekoliko načina da se instalira Windows Server 2003:  Instalacija sa sistemskih disketa - ukoliko ne posedujemo butabilni CD-ROM drajv onda instalaciju možemo pokrenuti i sa flopi diskete.  Instalacija sa kompakt diska - ako je naš računar podešen tako da se butuje sa CD-ROM uređaja, onda Windows 2003 instalacioni program možemo direktno podići sa CD-a.  Instalacija sa kompakt diska iz operativnog sistema – ukoliko nam postojeći operativni sistem na našem računaru to omogućava, instalaciju možemo pokrenuti i sa CD-ROM drajva, bez korišćenja butabilnih disketa.
    • Administriranje mreža  Instalacija sa mreže – ovu vrstu instalacije možemo primeniti ako su Windows 2003 instalacioni fajlovi smešteni na nekom računaru koji nam j dostupan kroz mrežu. Ovi fajlovi se mogu nalaziti na deljenom CD-ROM-u ili se njihova kopija može nalaziti u nekom zajedničkom folderu.  Remote instalacija – Microsoft poseduje proceduru koja administratorima omogućava instaliranje OS-a na udaljenim računarima, bez potrebe da fizički budu pored mašine kako bi pokrenuli instalaciju, koja se naziva Remote Installation Services (RIS). 2.5.1 Instalacija sa sistemskih disketa Ova instalacaji je postala deo istorije ali je zadržana ovde radi kompatibilnosti sa ranijiminstalacijama Windows operativnih sistema. Ako za početno instaliranje želimo da upotrebimo diskete,trebalo bi da se pridržavamo sledećeg postupka:1. Umetnemo disk 1 u disketnu jedinicu A:, a zatim ponovo pokrenemo računar. Druga mogućnost je da instalacioni program Setup pokrenemo sa DOS-ove komandne linije, tako što ćemo otkucati A:winnt. Pokretanje programa Setup učitava se u memoriju minimalan broj komponenata Windows Servera 2003. Kod u memoriji sadrži funkcije koje pokreću program Setup. Posle ponovnog pokretanja računara, podiže se tekstualna verzija programa Setup.2. Na ekranu se pojavljuju uobičajeni uslovi licence, a od nas se očekuje da ih prihvatimo. Sledeći korak je podela diska.3. Program Setup će od nas zatražiti da zadamo particiju na kojoj treba da bude inastaliran operativni sistem. Možemo da izaberemo postojeću particiju ili napravimo novu.4. Sad bi trebalo izabrati sistem datoteka (FAT16, FAT 32 ili NTFS). Pošto zadamo sistem datoteka, program Setup će formatirati izabranu particiju. Čim završi formatiranje, program Setup odmah počinje instaliranje datoteka u particiju. Ako na sistemu imamo više diskova, a hoćemo da sistem bude instaliran samo na jednom, onda ne bi trebalo da pravimo particije na drugim diskovima niti da ih formatiramo.5. Program Setup zatim snima početnu konfiguraciju na disk i ponovo pokreće računar. Prilikom podizanja, prvo se pojavljuje ekran Setup Windows Servera 2003. Datoteke opoerativnog sistema Windows Server 2003 instaliraju se u direktorijum C:Winnt. 2.5.2 Instalacija sa kompakt diska Računar možemo da podesimo i tako da se operativni sistem podiže s kompakt diska ili daizvršavanje datoteke winnt.exe pokrenemo s lokalnog CD čitača ili nekog čitača u mreži. Ako već imamoWindows NT ili Windows Server 2003 (završnu ili beta verziju), datoteku winnt32.exe možemo okrenutiiz direktorijuma I386 na instalacionom kompakt disku, ili prosto pokrenemo setup.exe iz korenskogdirektorijuma s CD-a. Postupak instaliranja sa kompakt diska sastoji se od više koraka, unošenja podatakakoji se od nas traže i ponovnog pokretanja OS-a. Instaliranje se završava programom Installation ServerWizard, koji nas vodi kroz podešavanje servera. Pošto se radi o načinu koji je najviše zastupljen, unarednom poglavlju posvetićemo mu više pažnje i na njegovom primeru objasnićemo detaljnu instalaciju. 2.5.3 Instalacija sa mreže Server možemo da instaliramo i sa deljenih direktorijuma u mreži, koji se zovu distribuconidirektorijumi (eng. distribution drives) ili serveri. Razume se, da bi ovaj način instaliranja trebaloprimenjivati samo unutar svoje lokalne mreže, jer sve što je sporije od standardnih 10MB/sprouzrokovaće mučno spor proces instaliranja. Ukoliko na mreži ne postoji distribucioni direktorijum onda bi trebalo sa instalacionog kompaktdiska direktorijuma Windows Servera 2003 kopirati direktorijum I386 ili ia64 (za sisteme sa procesoromItanium) na neki disk, a zatim taj direktorijum podesiti za deljeno korišćenje. Da bi se sprečilo daneovlašćeni korisnici pristupaju distribucionim datotekama treba postaviti neophodna ograničenjapristupa. Pošto je distribucioni dierktorijum pripremljen, postupak je sledeći: 1. Na ciljnom računaru pravimo FAT particiju. Ova particija trebalo bi da bude usklađena sa prethodno preporučenim parametrima. Da bi smo napravili particiju, možemo da koristimo staru dobru DOS-ovu komandu FDISK, ali ako nam je disk dovolj o velik (više od 2GB), samo FDISK Windowsa 98 za FAT32 omogućava da ceo prostor formatiramo kao edan veliki disk.
    • Administriranje mreža 2. Zatim, podižemo računar pod operativnim sistemom koji može da radi klijent u mreži. Za to mogu da posluže sistemske diskete Windowsa 95/98, ali bi i običan DOS završio posao. DOS klijent bi trebalo da sadrži sledeće datoteke:  Datoteke protokola TCP/IP  Minimalan broj datoteka koje su porebne za rad DOS-a  Uprvljačke programe za mrežne kartice 3. Neophodno je naprviti i konfiguracione datoteke koje prijavlljuju ciljni računar mrežu i koje omogućavajukorišćenje sadržaja deljenih distribucionih servisa. Pošto pristupimo distribucionon direktorijumu u mreži, započinjemo postupak instalacijepokretanjem programa winnt.exe sa distribucionog servisa. Zatim se odvija sledeće: 1. Winnt.exe pravi četiri sistemske diskete za Windows Server 2003, koriteći kao odredište našu lokalnu disketnu jedinicu A:. 2. Winnt.exe na ciljnom računaru pravi privremeni direktorijum $Win_nt$. 3. Winnt.exe kopira neke instalacione datoteke u privremeni direktorijum na ciljnom serveru. Postupak koji se potom nastavlja isti je kao pri instaliranju sa sistemskih disketa.2.6 Proces instalacije Windows Serevr 2003 Nakon procesa planiranja instalacije, kreće se sa samom instalacijom. Instalacija sistema se možepodeliti u više faza. Prva faza je predinstalacioni Setup gde se definišu opcije kako će se odvijatiinstalacija. Druga faza je Setup koji se zasniva na tekstu, koji određuje gde će se izvršiti instalacija. Trećafaza je grafička faza i predstavlja najdužu fazu instalacije. Ovde se prilogođavaju gotovo sve hardverskekomponente, servisi, imena računara u domenu itd. Nakon ove faze sledi faza podešavanja mrežnihkomponenti i prilagožavanje našeg servera za rad u mreži. Završna faza obuhvata kopiranje datoteka, finopodešavanje sistema i uklanjanje privremenih datoteka.Kada se završi i ova faza, server je spreman zarad. 2.6.1 Predinstalacija: Faza I Prva faza ili predinstalacija kreće tako što treba da se poveže na izvor instalacije. U ovom slučajuto je CD. Znači, podesi se BIOS Setup za pokretanje računara sa CD-a. Restartuje se računar. Pristartovanju postavlja se pitanje da li se sigurno želi da se računar startuje sa CD-a. Odgovara se potvrdno ikreće se sa instalacijom. U izvesnim slučajevima ukoliko se želi pokretanje instalacije sa mreže, trebaimati DOS operativni sistem, drajvere za mrežnu karticu, preko kojih se treba povezati na mrežu ipovezati sa izvorom instalacije, i tada se pravi boot disketa. U ovom slučaju instalacija se pokreće sa CD-a što će verovatno i biti u 99% slučajeva. 2.6.2 Tekstualni deo Setup-a: Faza II Druga faza je tekstualni deo instalacije. Instalacija počinje ekranom dobrodošlice. Treba izabratida li se podešava Windows 2003, popravlja neka postojeća instalacija, ili neće ništa da se preduzima.Ukoliko se pritisne F3, opcija Quit će biti dostupna sve vreme instalacije. Za nastavak Setup-a pritiska seEnter taster nakon čega se pojavljuje ekran sa ugovorom o korišćenju softvera (Licence Agreemnet-om).Za nastavak instalacije i potvrdu o slaganju sa ugovorom pritisne se F8. Zatim se pojavljuje ekran DiskPartition and Installation Location. Postoje dve stvari koje treba uraditi. Najočiglednije je da trebaodabrati particiju na koju se želi da instalirati Windows 2003. Izabere se ova opcija i pritisne se Enter.Ispod ovog ekrana nalazi se vrlo koristan program za podelu diska na particije. Odavde se možekompletno menjati šema podele diska na particije. Mogu se obrisati postojeće particije, kreirati nove kao iformatirati iste bilo da su sa NTFS ili FAT sistemom. Pre nego što se krene sa podelom diska na particije,potrebno je setiti se planiranja o podeli diska. Treba znati da se kod brisanja particija i kreiranja novih,gube svi podaci na disku. Nakon toga potrebno je da se novoformirane particije formatiraju. Trebaizabrati New (Unformated), izabrati koji fajl sistem se želi (NTFS) i pritisnuti Enter. Po završetkuformatiranja instalacija se nastavlja. Setup potom ispituje diskove i nakon toga se kopiraju sve Windows2003 datoteke na particiju koju smo označili kao sistemsku. Po završetku kopiranja sam sistem sepriprema za grafički deo Setup-a i restartovanje.
    • Administriranje mreža 2.6.3 Grafički deo Setup-a: Faza III Čim se uđe u grafički deo Setup-a, Windows 2003 pokreće Plug and Play fazu detekcije da bikonfigurisao hardver. Ovo je često i najduži deo Setup-a. Plug and Play faza detekcije pokušava dapoveže pravi drajver sa svakim uređajem u sistemu, tako da mora postojati drajver za svaki uređaj. Akonema drajvera, dobiće se poruka o nepoznatom uređaju (Uknown Device) , ili će biti instaliran neki opštidrajver. Ovde dolazi do izražaja važnost HCL (Hardware Copmatibility List) liste. Kada je Plug and Playfaza detekcije završena, prvi okvir za dijalog koji se javlja je Regional Configuration. Tu se definišuformati brojeva, valuta, vreme, datum, kao i lokalni format tastature. Sledeći okvir je za unos imena i organizacije (Name And Organisation). Ime organizacije koje seovde unosi prikazuje na koga je proizvod registrovan. To nema veze sa imenom računara i nije u vezi safunkcijom servera na mreži. Potom se traži unošenje serijskog broja (product key). Sledeći okvir za dijalog je onaj sa opcijama za licenciranje. Unosi se ona informacija koja je dobijena prikupovini proizvoda. Sada dolazi definisanje imena računara i lozinke administratora (slika 3.2). Ime je već poznato.Lozinka administratora, naročito ako se instalacija vrši iz početka, je veoma važna. Ovo polje nikako nebi trebalo da se ostavi prazno. Nalog administratora je moćan i opasan i on se ne može zaključati. Toznači da neko može da razbije sistem tako što će pokušati da se prijavi sa administratorskim nalogom.Zato lozinka mora da zadovolji odreĐene kriterijume. Lozinka mora imati najmanje 6 karaktera. Ne smeda sadrži reč „administrator“ ili „admin“. Mora sadržati velika slova (A, B, C itd...), mala slova (a, b, citd...), brojeve (0, 1, 2 itd...) i ne alfa numeričke karaktere (#, /,~,% itd). Ukoliko kriterijum nije ispunjenWindows 2003 će dati upozorenje da šifra nije dovoljno jaka. Ukoliko instalacija pronađe modem, sledeći ekran će biti za podešavanje modema. Ovde trebapodesiti opcije za zvanje, odnosno, kod oblasti i broj sa kojim se želi povezivanje. Ove opcije su ubačeneu Setup-u tako da nije potrebna kasnija konfiguracija svake Dial-up sesije. Nakon toga sledi poslednja mogućnost da se podesi sistemsko vreme preko podešavanja datuma,vremena i vremenske zone (slika 3.3). Podešavanje zona je posebno bitno u mrežama koje funkcionišu urazličitim vremenskim zonama. Mnogi programi automatski uzimaju u obzir vremensku zonu iprilagoĐavaju vreme koje se prikazuje. Ako je server konfigurisan sa pogrešnom vremenskom zonom,čak i kad je vreme tačno podešeno, prikazivaće pogrešno vreme.Ovaj program nas sada voditi kroz drugi korak postupka instaliranja. Od nas će se tražiti da unesemopodatke o sebi, o kompaniji ili organizaciji koja je vlasnik licence za softver i o računaru. WindowsServer 2003 će preuzeti te podatke i započeti neinteraktivni deo postupka instaliranja, u kome kopirasoftver za podešavanje računara, za podršku instaliranim uređajima itd. Posle ove faze, Windows Server2003 će od nas zatražiti sledeć podatke:  Language Options (Opcije koje se odnose na lokalni jezik): Ovde treba da zadamo jezik, lokalitet i odgovarajuću tastaturu. Server možemo podesiti i tako da koristi više jezika i regionalnih parametara. Ako izaberemo više jezika, Windows će instalirati odgovarajući skup znakova za svaki od njih.  Name and Organization (Ime i organizacija): Ovde treba da upišemo ime osobe odovorne za softver i ime organizacije koja je vlasnik licence.  Licensing mode (Vrsta licence): Ovde se možemo opredeliti za licencu po serveru (eng. per- server), za licencu po korisniku (eng. per-seat) ili po uređaju (eng. per-device). Ako se opredelimo za licencu po korisniku, treba da upišemo broj klijentskih pristupnih licenci (eng. client access license, CAL) koje smo platili. Ukoliko želimo da aplikacije koristimo na serveru, pomoću terminalskih usluga, onda u aplikativnom režimu biramo opciju CAL.  Computer Name (Ime računara): Ovde se upisuje NetBios ime. Windows Server 2003 će nam predložiti ime, koje bi trebalo da izmenimo u ime koje će nam nešto značiti. Mnogo je korisnije da se osmisli podesan sistem dodeljivanja imena, koji će naši korisnici prepoznavati. Windows nam daje prilličnu slobodu kada računarima dajemo imena. Najbolje je da mašinama dajemo imena u sladu sa nekim pravilom, važno je samo da se tog pravila doslovno pridržavamo.  Password for the Administrator Account (Lozinka administratorovog naloga): Ovo je nalog administratora lokalnog domena, sem kod upravljača domena.
    • Administriranje mreža  Windows Server 2003 Components (Komponente Windows Servera 2003): Sledeći korak jeste da dodajemo opcione komponente i usluge. U mrežnim opcijama treba da zadamo podatke važne za DHCP, adresu DNS servera i ostalo. Neke usluge će biti standardno izabrane, npr. Transaction Server i IIS. Ako ne planiramo da koristimo uslugu poput servera za transakcije trebalo bi da uklonimo znak potvrde pored njegovog imena.  Terminal Services (Terminalske usluge): Od nas će se tražiti da zadamo režim rada ovih usluga.  Display Serrings (Parametri ekrana): Ovi parametri određuju rezoluciju ekrana, broj prikazanih boja i elemente kao što je učestalost osvežavanja.Time and Date (Vreme i datum): Ovi parametri nam omogućavaju da podesimo vremensku zonu ipodatke o prelasku na letnje i zimsko računanje vremena. Pošto unesemo i ove podatke, Windows Server2003 će preći na treći korak instalacionog postupka, a to je instaliranje podrške za rad na mreži. 2.6.4 Instaliranje za rad u mreži pod Windowsom: Faza IV Kod podešavanja mreža postoje dve mogućnosti: custom i tipical.Tipične vrednosti pretpostavljajuda se žele programi Client for Microsoft Networks, TCP/IP using DHCP addresing i File Print Sharing.Ukoliko se izabere korisničko (custom) podešavanje, mogu se dodati ili ukloniti ili prilagoditi protokoli,klijenti i servisi. Ukoliko se radi o maloj mreži, kao u ovom slučaju, dodeliće se statičke IP adrese.Adresa servera će biti 192.168.0.1. Ovo je adresa C klase koja je rezervisana za LAN mreže male veličine.Adrese ostalih računara će ići po sledećem rasporedu 192.168.x.x. Sledeći okvir je podešavanje radnegrupe i domena. U ovom slučaju ovo će se preskočiti jer će naš server biti registrovan na domenu.Podešavanje domena vršiće se preko Aktivnog direktorijuma.U ovoj fazi instaliraju se mrežne komponente. Windows Server 2003 će pokušati da prepozna mrežnekartice koje u ugrađene u sistem. Naredna lista sadrži korake postupka, i one automatske i one kojizahtevaju naše učešće.  Prepoznavanje mrežne kartice: Pošto prepozna mrežnu karticu i instalira upravljačke programe za nju, Windows Server 2003 će potražiti DHCP server u našoj mreži. On to čini tako što šalje poziv na DHCP priključku broj 75, a zatim čeka odziv DHCP servera. Ako Windows Server 2003 ne dobije IP adresu od DHCP servera, pokreće protokol za automatsko podešavanje i sam sebi dodeljuje IP adresu. Potom možemo nastaviti postupak instaliranja tako što ćemo instalirati novu radnu grupu i kasnije uspostaviti odgovarajuće mrežne veze.  Instaliranje mrežnih komponenata: Sada se od nas traži da izaberemo mrežne komponente. Osnovne opcije koje treba zadati jesu Client for Microsoft Networks (klijent za MIcrosoftove mreže), File and Print Sharing for Microsoft Networks (deljenje datoteka i štampača u MIcrosoftovim mrežama) i TCPIP. Ako sistem instaliramo u postojeći NT domen u kome postoji DNS ili WINS server, onda treba instalirati i protokol NetBIOS. Ukoliko ćemo koristi i uslugu Gateway Services for Netware (GSNW, mrežni prolaz za NetWare mreže), možemo instalirati i protokol IPX/SPX.  Radna grupa ili domen: U slučaju da instaliramo u postojećem domenu, biće nam potrebni i korisnićko ime i lozinka naloga koji ima pravo administratora i pravo pravljenja novih naloga u domenu.U standardnoj instalaciji, Windows 2003 instalira samo TCP/IP (Transmission ControlProtocol/Internet ptorokol) protokol. Kod ovog protokola postoje neke stvari koje se odnose nakonfiguraciju, a koje mogu puno da utiču na mogućnost kasnijeg povezivanja na mrežu. Ako se koristiTCP/IP, pitanje je da li na mreži postoji DHCP (Dinamic Host Configuration Protocol)[6] server. Akone postoji DHCP server, potrebne su statičke informacije. Najkritičniji element su IP adrese i neka vrstarešavanja imena, bilo da je u pitanju WINS (Windows Internet Name Service)[6], DNS (DomainNetwork System)[6] ili HOSTS[6] datoteka. Bez ovih komponenti ne postoji mogućnost da se ode negde saTCP/IP-a. 2.6.5 Poslednji korak postupka instaliranja: Faza V To je peta i poslednja faza postupka instaliranja koja obuhvata završno kopiranje datoteka,podešavanje sistema i uklanjanje privremenih datoteka. Instalaciono program kopira sve preostaledatoteke na čvrsti disk. Među njima su datoteke s bitmapiranim slikama, razni dodaci i datoteke koje su
    • Administriranje mrežapotrebne za rad usluga ili komponenata koje će odmah biti korišćene ili koje će ostati „uspavane“ dok nezatrebaju. Instalacioni program će zatim prieniti vrednosti parametara koje smo zadali u prethodnimfazama. Podaci o novoj konfiguraciji biće smešteni u baze podataka registra i na disk, kako bili dostupnikad sledeći put pokrenemo računar. U ovoj fazi se sve privremene datoteke uklanjaju sa računara. Kad seto završi, računar se ponovo pokreće. Ovim se završava instalacija. Wizard završava kopiranje datoteka, konfigurisanje sistema i obavljafinalno prećišćavanje. Datoteka boot.ini se menja kako bi se sledeći put pri startovanju računara pokrenuoWindows 2003. Sistem se restartuje (slika 3.4).
    • Administriranje mrežaIII čas Arhitektura mrežnog operativnog sistema WINDOWS 2003 SERVER3.1 Windows Server 2003 okruženje U računarskoj mreži serveri igraju višestruku ulogu i njima se postavljaju mnogi zadaci koje onimoraju da izvrše sa velikim stepenom pouzdanosti. Bilo kakva greška može da prouzrokuje veomaopasne posledice po čitavu mrežu. Neki serveri su konfigurisani da obezbede identifikaciju klijenata(proveru autetntičnosti), a drugi da pokreću aplikacije. Neki serveri samo predstavljaju prolazne računarekoji omogućavaju korisnicima da komuniciraju sa drugim serverima i resursima na mreži. Već smo ranijenapomenuli da svaki mrežni operativni sistem koji pretenduje da bude vodeći operativni sistem, mora daposeduje alate i servise koji će uspeti da odgovore na sve te složene zadatke koji stoje pred njima. Tako iWidows Serever 2003 poseduje mnoge mogućnosti, koje mu omogućavaju da uspešno obavi ulogujednog složenog a pouzdanog servera na mreži. Neke od njih ćemo prikazati u narednom poglavlju. 3.1.1 Domen kontroler (Domain controller) Domen kontroleri (Domain controllers) čuvaju direktorijume sa podacima, kako sistemskim tako ikorisničkim, i upravljaju komunikacijom između korisnika i domena, uključujući i proces logovanjakorisnika, dokazivanje autentičnosti i pretragu po direktorijumima. Kada se na računaru, na kome je većpokrenut Windows Server 2003, instalira Active Directory taj računar automatski postaje domenkontroler. Jedna od najboljih odlika Windows Servera 2003 je njegova mogućnost da postane Domen-Kontroler, čiji je glavni zadatak da skladisti korisnička imena i lozinke na centralni računar (Domen-Kontroler) ili na računare (više Domen-Kontrolera) i da na osnovu toga omogućava klijentima strogokontrolisani rad na domenu tj. delu računarske mreže. Osobine domena dosežu daleko izvan ovog pasusapa ćemo njemu posvetiti posebno poglavlje, gde ćemo se detaljno upoznati sa njegovim karakteristikama.Treba napomenuti da u Windows Server 2003 mreži svi serveri koji su na domenu, a nisu domenkontroleri, nazivaju se pridruženi (member) serveri. Serveri koji nisu na domenu nazivaju se samostalni(workgroup ili standalone) serveri. 3.1.2 Windows Server kao aktivni imenik (Active Directory) Za logičku i hijerahijsku organizaciju informacija u imeniku koristi se struktuirano skladištepodataka (datastore), koje se još naziva imenikom ili direktorijumom. Ono sadrži podatke o objektima ideljenim resursima u okviru jednog domena a to su: serveri, štampači, volumeni, klijent računari,korisnički nalozi i td. Na taj način je administratoru mreže olakšano upravljanje celokupnom mrežom, jeron na jednom mestu ima sve potrebne i bitne detalje vezane za mrežno administriranje. Sa druge straneAktivni direktorijum je tesno povezan i sa bezbednošću, putem provere identiteta prilikom prijavljivanja ikontrole pristupa objektima, što, još više podiže značaj ove komponente. Sve ove osobine aktivnogdirektorijuma, omogućavaju da se mreža jednog preduzeća izvede sa samo jednim domenom iupravljačkim mestom, što u mnogome smanjuje troškove eksplatacije: manji broj servera, manje ljudstvokao i smanjeni troškovi adminstriranja takvih mreža. Kako se ovde radi o bitnoj karakteristici WindowsServera 2003, koja je dosta kompleksna u narednim poglavljima biće više reći o njoj. 3.1.3 Serveri fajlova (File servers) Ova usluga verovatno spada u najstarije usluge koje bilo koji server pruža. Osnovna usluga sastojise u obezbeđuju prostora na mreži gde možemo da smestimo i delimo fajlove sa drugim korisnicima namreži. Kada više korisnika zahteva jedan isti fajl, taj fajl se može smestiti na server, tako da mu mogupristupiti svi korisnici, umesto da fajl prebacuju sa računara na računar. Serveri fajlova (file servers),dakle, igraju ulogu skladišta za smeštaj fajlova sa podacima. Postavlja se pitanje zašto ih uopšte smeštatina server, umesto da ih čuvate na svom lokalnom računaru? U pojedinim slučajevia radi se o fajlovimakoje kreirao neko drugi, pa njihovo postavljanje na centralni server predstavlja način da se oni učinedostupnim svim zainteresovanim korisnicima na mreži. Druga važna prednost skladištenja podataka najednoj centralnoj lokaciji, leži u tome da je na taj način najjednostavnije kreirati njihovu rezervnu kopiju(backup). Windows Sever 2003 se isporučuje zajedno sa odgovarajućim softverom servera fajlova, kojipredstavlja sastavni deo ovog operativnog sistema.
    • Administriranje mreža 3.1.4 Directory Service Svaki korisnik koji je logovan na mreži, ima potrebu da koristi mrežne resurse, bilo da pristupideljenom folderu ili da odštampa nešto na mrežnom štampaču. Directory Service je mrežni servis kojiprepoznaje sve deljene resurse na mreži i tu informaciju čini dostupnom svim korisnicima na mreži.Directory Services su bitni zato što obezbeđuju način da se imenuje, opiše, pristupi, rukuje i zaštitiinformacija o mrežnim resursima. Kada korisnik zatraži deljeni folder na mreži, Directory Serviceprepoznaje taj resurs na mreži i daje tu informaciju korisniku. 3.1.5 DHCP server DHCP server (Dynamic Host Configuration Protocol) ili protokol za dinamičko konfigurisanjehosta, je zadužen za konfigurisanje specifičnih parametara TCP/IP protokola na svakom računaru u mreži.Protokol TCP/IP postao je standardni protokol povezivanja uređaja ne samo na Internetu već i na bilokojoj računarskoj mreži. Osnova njegovog funkcionisanja je da svaki čvor u mreži poseduje jedinstveniIP broj, preko kojeg je taj čvor jednoznačno definisan na mreži. Čvor može biti bilo koji mrežni uređaj:server, klijent računar, štampač ili komutator (swich). Dodeljivanje adresa može biti organizovano na dvanačina statički i dinamički. Kod statičkog dodeljivanja adresa, čvoru se dodeljuje fiksna adresa koju samokorisnik može da promeni. Sa gledišta administratora sistema ovakav način predstavlja ’’noćnu moru’’,jer je potrebno pojedinačno na svakom računaru podesiti IP adresu. Pored toga statičko dodeljivanje IPadresa može da izazove mnoge konflikte na mreži, jer jednu istu IP adresu mogu da imaju više različitihčvorova. Međutim, postoje neki uređaji koji zahtevaju fiksne IP adrese, koje se neće menjati, kao WEBserveri, FTP serveri i štampači. Drugi način dodeljivanja IP adresa je mnogo efikasniji i praktičniji, jer seo dodeljivanju adresa stara poseban DHCP server koji dinamički dodeljuje slobodne IP adrese pojedinimčvorovima u mreži. I ovom servisu biće detaljnije reći u narednim poglavljima. 3.1.6 WINS i DNS serveri Već smo ranije napomenuli da se svi čvorovi na mreži prepoznaju po jedinstvenim IP adresama.Međutim, te adrese nije ni malo lako pamtiti, sa obzirom na broj cifara od kojih se one sastoje (trebaupamtiti 12 dekadnih cifri). Dodatan problem tu stvaraju i IP adrese iz tkz. rezervisanog prostora(192.168.x.x) koje se koriste u Intranet mrežama. Sigurno da je mnogo lakše pratiti pojedine čvoroveputem njihovih simboličkih imena koja su uz to i hijerahijski organizovana. Skup usluga WINS i DNSrešava ovaj problem tako što omogućava da se umesto IP adresa, koriste simbolička imena za čvorove.Pronalaženje IP adrese za dato simboličko ime naziva se preslikavanje imena (name resolution) i topredstavlja glavni zadatak ovih servera. DNS server (Domain Namig System) ili nazivni sistem domena, služi za praćenje svih čvorova namreži putem njihovih simboličkih imena u Windows 2000/2003 mrežama. Domain Name System (DNS)je Internet i TCP/IP standarni servis za imena. Servis DNS omogućava čvorovima na mreži da seregistuju i dobiju svoja imena na domenu. Računar konfigurisan tako da obezdi DNS usluge na mrežinaziva se DNS server. Da bi smo u našu mrežu ugradili Active directory moramo prvo imati DNS server. WINS server (Windows Internet Name Server) ili Windowsov server Internet naziva, obavljasličan zadatak kao i DNS server : pamti nazive mrežnih računara. Njegova upotreba nije neophodna na„čistim“ Windows 2000/2003 mrežama, jer je njegov osnovni zadatak da pruži podršku nekim starijimMicrosoftovim operativnim sistema (Win 9x). Pre pojave TCP/IP protokola, glavno sredstvo zapovezivanje dva mrežna resursa bio je NetBIOS servis. On je dodeljivao NetBIOS imena svakom čvoru ina osnovu toga vršio povezivanje dva čvora. Dolaskom TCP/IP mnogi stariji klijenti nisu mogli da vide niimena IP čvorova, niti njihove adrese, jer su zadržali stari način komunikacije putem NetBIOS-a. Da bi itakvi čvorovi bili deo jedinstvene TCP/IP mreže, rešenje je nađeno u WINS servisu čiji je osnovnizadatak bio da vrši preslikanje NetBIOS imena u odgovarajuču IP adresu. 3.1.7 Server aplikacija (Application server)Application server obezbeđuje infrastrukturu i servise neophodne za aplikacije u našem sistemu. U njemusu napravljena mnoga poboljšanja koja olakšavaju razvoj aplikacija, smanjuju ukupne troškove korišćenjai daju bolje performanse. Neke od tih prednosti su: efikasno uvođenje u rad i upravljanje,
    • Administriranje mrežapojednostavljena integracija i međuoperativnost, veća proširivost i pouzdanost. Rad programera je umnogome olakšan pa samim tim oni postižu produktivnost jer su im na raspolaganju mnoge novepogodnosti u vidu: ASP.NET, automatsko upravljanje memorijom, Visual Studio .NET, Microsoft .NETFramework, kod odvojen od sadržaja (omogućava paralelni rad programera i projektanata), WEBkontrole na serverskoj strani. Aplikacije razvijene pomoću Windows Servera 2003 obično imaju boljiodziv i veći stepen raspoloživosti jer njima može da upravlja malobrojno osoblje.Time se smanjujuukupni troškovi korišćenja i dobijaju bolje performanse. 3.1.8 Web server Windows Sever 2003 u svom paketu nudi WEB server pod nazivom Internet Information Services(IIS) 6. Ovde se pod serverom podrzumeva specijalan program koji se izvršava na računaru, koji može daprihvati, prepozna i izvrši HTTP zahteve. Za razliku od ranijih verzija ovaj servis više nije uključen uosnovnu instalaciju , već je sakriven pod stavkom Application Server. To znači da IIS možemo instaliratisamo kao podopciju ili kao deo uloge servera aplikacija. Time instaliramo i ostale gore nabrojane uslugeservera aplikacija: ASP, .NET, COM+, DTC i td. Ovakav način spustio je IIS jedan nivo niže, što je zaposledicu imalo da se radni procesi IIS, kao i sve ASP ugrađene funkcije, izvršavaju u korisničkomkontekstu sa niskim privilegijama. Takav način izvršavanja znatno je umanjio opasnost od spoljašnjihnapada hakera na naš sistem kao i smanjen prodor virusa. 3.1.9 FTP server (File Transfer Protocol) Protokol za prenos podataka omogućava korisnicima da preuzimaju datoteke sa servera i da ihšalju na server. Iako je zadnjih godina HTTP je postao dominantno sredstvo za prenos podataka, FTPservis još uvek ima važnu ulogu u davanju usluge prenosa podataka. Važna je činjenica da nam za razlikuod HTTP prenosa ovde ne treba nikakav poseban WEB čitač. Dovoljno nam je da imamo FTP komandnuliniju ili neke pomoćne FTP programe nezavisnih proizvođača.Sledeća prednos FTP prenos je da IISmože da ponovo pokrene prekinuti FTP prenos, gde se tada prenos započinje od one tačke na kojoj jenastao prekid. Na taj način nema dupliranja u prenosu već se prenosi samo onaj deo datoteke koji nijeprenet. 3.1.10 Server za štampanje (Print server) Usluge štampanja predstavljaju jednu od osnovnih usluga po kojoj vrednujemo neki mrežnioperativni sistem. Ukoliko ta usluga ne funkcioniše dobro, većina korisnika će odbaciti takav operativnisistem. Nove tehnologije kao što su elektronska pošta i globalna mreža, nisu bitno doprinele uklanjanjupotrebe za dostavu pisanih, tj. štampanih dokumenata. Čak šta više, one su samo prebacile opterećenjekoje čine papirne kopije, sa pošiljaoca na primaoca. Zato su i potrebe za lokalnim uređajima koji će moćida odštampaju te dokumente znatno porasle. Print serveri upravo predstavljaju uređaje koji omogućavajukorisnicima da štampaju dokumenta preko mreže, iako nemaju štampać koji je fizički povezan za njihovračunar. Ovaj server se brine o svim zadacima za štampanje putem skupa usluga spulera (spooler service)kao i o sigurnosti dokumenata koja treba da odštampa. Serveri za štampanje (print servers) omogućavajudeljenje (sharing) štampača. Nije baš svako voljan da na svoj sto postavi uređaj za štampanje, a osimtoga, ukoliko štampač na ovaj način konfigurišete za „zajedničku upotrebu od strane većeg brojakorisnika“, moći ćete sebi da priuštite kupovinu nekog skupljeg ( a time, verovatno, i boljeg) modelaštampača. Server 2003 u sebi, takođe, sadrži ugrađeni (buit-in) softver servera za štampanje. On obuhvatapodršku za preko 3000 različitih štampača, te industrijskih uređaja visokih performansi za podrškuštampanju. 3.1.11 Server elektronske pošte (E-mail server) E-mail serveri su apsolutno neophodni ukoliko planiramo da pružamo usluge elektronske pošte.Pritom, jedan od računara (ili više njih) mora igrati ulogu poštanske centrale, tako što će prikupljati e-mail poruke od lokalnih korisnika na mreži i vršiti njhovo slanje ka drugim mail serverima prekoInterneta i, istovremeno, služiti kao prijemna tačka, kako bi sa drugih mail servera mogao primiti porukeupućene ka našoj organizaciji. Doduše, ovu funkciju možemo prepustiti svom ISP-u (Internet provajderu),koji će na taj način igrati ulogu našeg mail servera, mada je činjenica da će nam instaliranje sopstvenog
    • Administriranje mrežamail servera pružiti znatno veću fleksibilnost. Sa druge strane, to će zahtevati postojanje stalne veze saInternetom. U okviru Windows Server 2003 ova usluga je podržana kroz SMTP (Simple Mail TransportProtocol) servis koji je sadržan u sklopu IIS-a. Ovaj servis ne pretvara naš server u praviserverelektronske pošte sa svim funkcijama. On samo nudi sredstva pomoću kojih možemo da napravimovirtuelne servere elektronske pošte, preko koji mi možemo da šaljemo poštu na zadate namenske E-mailservere. Prednost ovakve organizacije je da mi možemo da definišemo više identiteta i servera zaelektronsku poštu koji će biti pridruženi svakom domenu na serveru. Skup SMTP usluga može daobrađuje poštu koja stiže od klijenata na Internetu ili poštu generisanu na WEB lokaciji. 3.1.12 Terminal server Terminalske usluge predstavljaju najveći obrt u računarstvu uopšte, a posebno u klijent/serverarhitekturi. On podrazumeva da se usluge jakih servera mogu ponuditi i računarima sa ograničenimresursima tkz. tankim klijentima. U početku je softver tankih klijenata bio namenjen samo da radi kaoemulacija glupog terminala. Bilo je predviđeno da se ograniči na primanje ekranskih prikaza i slanjeunosa sa tastature i pritisaka miša, dok se kompletna obrada, izvršavanje i skladištenje odigravaju naserveru. Obim podataka koji se prenosio na takav način bio je jako skroman i nije zahtevao velikipropusni opseg (prenosilo se od 10 do 30 Kb/s). To je korisnicima omogućavalo zadovoljavajući pristupračunarskim resursima servera čak i preko sporih telefonskih linija. Međutim, današnji terminalni servisje znatno izmenjen kako bi omogućio korisnicima udobniji i produktivniji rad. Danas, terminal serveromogućava pored pristupa programima na udaljenilm računarima, da korisnici mogu preko svojihzvučnika da preslušavaju zvučne zapise koji stižu na server, kopiraju tekst iz dokumenata otvorenog uudeljenoj sesiji i ubacuju ga u drugi, lokalni dokumenat ili da štampaju udaljeni dokumenat na nekomlokalnom štampaču. Pomoću terminal servera instaliramo aplikaciju na jednom mestu, na jednom serveru,a više korisnika onda može pristupiti aplikaciji bez instaliranja na svojim računarima. Korisnici mogu dapokrenu programe, čuvaju fajlove i koriste resurse na mreži kao da su instalirani na njihovim računarima. 3.1.13 Configure Your Server alat Kada je Windows Server 2003 instaliran, i korisnik se prvi put uloguje kao administrator sistema,automatski se pokrene Manage Your Server alat. Ovaj alat se koristi da dodamo ili uklonimo neke odfunkcija servera kao što su aktivni imenik, DHCP, WINS, DNS, IIS i td. Međutim, ukoliko ne želimo dakoristimo ovaj alat, Windows Server 2003 nas neće sprećiti da to uradimo. Uvek nam ostaje mogućnostda kasnije, iz operativnog sistema, pristupimo raznim konzolama iz menija Administrative Tools ili da sakomandne linije uradimo isto. 3.1.14 Komunikacioni server Ono što posebno izdvaja Windows Server 2003 od ostalih mrežnih operativnih sistema je njegovajednostavna integracija i saradnja sa drugim serverima na računarskoj mreži. Tu se pre svega izdvajajuWindows Exchange Server i Windows SQL Server, verovatno dva najvažnija servera u mrežnom radu.Windows Exchange Server ujedinjuje korisnike i servise na jednoj mreži i to u svakom trenutku i nasvakom mestu. Njegova glavna funkcija je da učestvuje u razmeni poruka i međusobnoj saradnjikorisnika na mreži. Sa druge strane, teško je zamisliti bilo kakvu mrežnu aplikaciju a koja ne koristi nekubazu podataka. Upravo zbog toga Windows Server 2003 nam omogućuje veoma lako povezivanje saserverom baze podataka i korišćenjem njegovih usluga. 3.1.15 Remote Installation Services (RIS) RIS je alat koji omogućava efikasno kopranje slike sa jedne radne stanice na desetine, stotine pačak i hiljade drugih računara, istovremeno omogučavajući da svaka od tih mašina dobije jedinstveni SID(security identifier – bezbednosni identifikator). Pored toga, rešava još jedan veliki instalacioni problem -problem tipa „kako da računar, sa potpuno praznim hard diskom, konektujem na mrežu, da bih na njemu,preko mreže instalirao operativni sistem? Dakle, RIS servisi nam omogućavaju da neki server, ili čitavskup serverskih računara, označimo kao RIS servere. Jedan RIS server sadrži sve fajlove koji suneophodni da bi na nekom računaru moglo, preko mreže, biti izvršeno instaliranje operativnog sistemaWindows 2000,XP ili Server 2003.RIS ne možemo upotrebiti za daljinsko instaliranje operativnog
    • Administriranje mrežasistema na serveru koji igra ulogu DHCP ili RIS servera, kao ni na serveru koji predstavlja kontrolerdomena. Prilikom kreiranja prototip-računara čija će slika zatim biti iskopirana na veliki broj računaraširom preduzeća, treba voditi računa o tome da na hard disk tog računara kreiramo samo jednu, C:particiju. Naime, RIS može kopirati samo C: drajv i sve što se nalazi na njemu.3.2 Microsoft upravljačka konzola (Microsoft management console) Jedna od velikih promena na polju administracije mrežnih operativnih sistema, prelazak naujednačeniji pristup programima za postavljanje i kontrolu rada mreže, koja je započeta sa pojavomWindows Servera 2000, nastavljena je i sa Windows Serverom 2003. Gotovo svi programi koji suučestvovali u inicijalizaciji i kontroli rada mrežne strukture prebačeni su u jednu novu alatku nazvanuMicrosoft Management Console – MMC. Ona je postala osnovni administrativni alat za upravljanjeWindows mrežnih sistema, koja pruža standardizovan, zajednički interfejs za jednu ili više aplikacija,koje nazivamo dodatnim modulima – konzolama, a koji se koriste za konfigurisanje elemenata mrežnogokruženja. To znači da kada savladamo strukturu jednog modula, to znanje možemo da primenimo i naostale module, u okviru ograničenja koja proističu iz različitih namena tih modula. Ali to nije sve,jer namMMC omogućava da kombinovanjem administrativnih modula sastavimo sopstvenu konzolu, kojanajviše odgovara našim zahtevima, i da takvu konzolu smestimo na disk i dalje koristimo. Drugimrečima, MMC konzola ne predstavlja ništa drugo nego skup različitih modula sa strogo specifciranimzadacima, koje korisnik može po svojim zahtevima da bira i tako prilagodi svoje radno okruženje onakokako mu najviše odgovara. MMC konzola po izgledu je veoma slična Windows Exploreru, samo sa manjedugmadi. Funkcionalne komonente MMC-a su sadržane u tkz. dodatnim modulima: meniji i paleta alatasadrže komande za upravljanje roditeljskim i potomačkim prozorima, a sama konzola (koja sedržidodatne module) pruža željenu funkcionalnost. Pored toga, MMC se može sačuvati sa raznovrsnimopcijama i režimima rada potrebnim za određene situacije. Svaka konzola se sastoji od sledećih delova: konzolnog menija – ovaj deo je različit od modula do modula ali postoje neke ključne opcije i komande koje će se koristiti gotovo kod svih modula: File, Action, View, Favorites, Window i Help. palete alata – deo koji nam putem grafičkih prikaza ikonica omogučava da brzo izaberemo neku od komandi koje se nalaze u konzolnom meniju. konzolnog stabla – nalazi se na levoj strani prikaza MMC, i prikazuje hijerarhijsku strukturu objekata kojima konzola upravlja (slično Windows Explorer-u). okvir sa detaljima – površinski najveći deo MMC koji se nalazi na desnoj strani i služi da prikaže detalje objekta koji smo izabrali u konzolnom stablu. Ovaj okvir obično nudi dva prikaza: standardni i prošireni. U standardnom prikazu vide se kolone ili drugi objekti pomoću kojih obavljate upravljačke zadatke. U proširenom prikazu vide se još i područja sa naredbama i dodatnim podacima o izabranom objektu. Rad MMC konzole može da se odvija u korisničkom i autorskom režimu rada. Korisnički režimrada podrazumeva rad sa već postojećim konzolama, dok autorski režim rada podrazumeva kreiranjesopstvenih ili ispravku postojećih konzola sa znatno proširenim naredbama i funkcijama od korisničkogrežima rada. Razlikujemo tri režima rada u korisničkom režimu rada i to: puni pristup, ograničeni pristupsa više prozora i ograničenog pristupa sa jednim prozorom. Postoji veliki broj različitih konzola koje se isporučuju sa Windows Serverom 2003 i sve oneomogućavaju obavljanje različitih administrativnih poslova. Većina datoteka tih konzola nalaze se udirektorijumu systemrootSystem32, a nastavak imena im je .msc (skračenica od Microsoft Console).Samo neke od tih konzola su smeštene u Administrative Tools. Administrator može da startuje bilo kojuod ponuđenih konzola jednostavnim odabirom imena konzole. Nakon toga se automatski učitava MMCkoji ustvari otvara izabranu konzolu. Konzole možemo otvoriti i iz naših konzola što nam omogučava danapravimo namensku konzolu sa grupom modula koje najćešće koristimo. Navešćemo neke važnijekonzole koje dolaze sa Windows Server 2003. Konzola Computer Management – Verovatno predstavlja konzolu koja je najviše eksploatisana jer omogućava da upravljamo većim skupom sistemskih podataka kako na lokalnim tako i na udaljenim računarima. Tri su osnovne grane u ovoj konzoli: System Tools (alati za održavanje sistema), Storage (memorisanje podataka) i Services and Aplications (usluge i aplikacije).
    • Administriranje mreža Konzola Component Services – glavna funkcija ove konzole je da nam omogući alatke za upravljanje COM+ aplikacijama. COM+ predstavlja standard koji obezbeđuje strukturu za razvoj distribuiranih aplikacija u klijent-server okruženju. Konzola nam omogućava podešavanje sistema za korišćenje usluga koje se odnose na komponente aplikacija, podešavanje početnih parametara tih usluga, instaliranje i podešavanje COM+ aplikacije kao i nadgledanje i podešavanje komponenata. Konzola Cluster Administrator – omogućava korisniku da može da grupiše više mrežnih čvorova u jedinstvene celine (cluster), koje se dalje u radu ponašaju kao jedna logička jedinica. Sve operacije koje se izvode nad grupom automatski se prenose na sve čvorove mreže. Konzola Certification Authority – usluge izdavanja sertifikata omogućuju serveru da može da pravi sertifikate za sebe i za druge servere, radne stanice i korisnike na mreži, bilo lokalno, bilo negde na Internetu. Ovom konzolom možemo da upravljamo uslugama izdavanja sertifikata: podešavati pravila za izdavanje sertifikata, prikazivati primljene i odbijene zahteve za sertifikate kao i same sertifikate koje smo izdali. Konzola Manage Your Server – podešavanje specifičnih serverskih uloga, kao što su server aplikacija, IIS, server datoteka, DNS server i td. namenjena su ovoj konzoli. Kada se pokrene ova konzola ona prikazuje sve trenutne aktivne servere i omogučava brzi pristup dodatnim lokalnim ili udaljenim informacijama o svakoj ulozi tog servera i njegovom podešavanju. Ova konzola ne nudi neke nove svoje alatke, već se oslanja na one koje već postoje u Windows Server-u 2003. Osnovna prednost je da ona sve te različite servise koje obavljaju serveri okuplja na jednom mestu i omogućuje administratoru pregledan i konforan rad na podešavanju tih servisa.3.3 Arhitektura Windows Servera 2003 Ukoliko poznajemo uloge raznih komponenata jezgra operativnog sistema, sistema datoteka inačin na koji OS koristi procesore, memoriju, hardver itd., lakše ćemo administrirati mašinu. WindowsXP i Windows Server 2003 su zasnovani na istom kodu i predstavljaju klijent i server izdanja istogoperativnog sistema, kao što su to pre njih bili Windows 2000 Profesional i Windows 2000 Server. 3.3.1 Režimi rada operativnog sistema Windows 2003 je modularni operativni sistem koji se satoji od komponenata, a sagrađen je naosnovu Windows 2000 Servera. Svi objekti operativnog sistema imaju interfejse pomoću kojih drugiobjekti i procesi obezbeđuju njihovu funkcionalnost ili usluge. Komponente međusobno sarađujuprilikom obavljanja konkretnih zadataka operativnog sistema. Arhitektura Windowsa 2003 podeljena je u dva glavna sloja: korisnički sloj (eng. user mode) i slojjezgra (eng. kernel mode). Slojevi i razni podsistemi prikazani su na slici 2.1.  Korisinički sloj Korisnički sloj Windowsa 2003 u suštini je sloj za podršku aplikacijama, kako za Microsoftovsoftver, tako i za softver drugih proizvođača. Sastoji se od ugrađenih podsistema okruženja i od dodatnih(nezavisnih) podsistema. To je deo operativnog sistema koji omogućava drugim proizvođačima softverada koriste usluge operativnog sistema pozivajući objavljene API funkcije i objektno orijentisanekomponente. Sve usluge i aplikacije instaliraju se u korisničkom sloju.  Sloj jezgra Sloj jezgra Windowsa 2003 ima pristup sistemskim podacima i hardveru, a sastoji se od nekolikokomponenata, koje suprikazane na slici 3.1.
    • Administriranje mreža Win32 aplikacija POSIX aplikacija OS/2 aplikacija Nezav. WIN32 POSIX OS/2 podsist. podsist. podsist. podsist. Korisnički režim Usluge koje se izvršavaju u režimu jezgra Executive ServicesI/O SRM PC Mem. Proc. PnP Power WindMana Mana Mana Mana Mana Mana owger ger ge ger ger ger Man.File Object Manager GraphSyste Devicms Driv. Device drivers Microkernel Sloj apstrakcije hardera (HAL) Hardver Slika 3.1 Sistemska ahitektura Windows servera 2003
    • Administriranje mrežaIV čas Pojam Microsoft-ovog servisa ’’Active Directory’’ i njegova organizacija4.1 Upoznavanje sa Aktivnim direktorijumom Jedan od prvih zadataka mreže je da obezbedi servis zajedničkih resursa, tj. centralno mesto nakome se čuvaju jednostavne stvari poput datoteka ili mnogo složenije stvari kao što su baze podatakakojima mogu da pristupe mnogi korisnici. Povezan sa ovim prvim poslom je drugi zadatak svake mreže,obezbeđivanje sigurnosti podataka koji se čuvaju na njoj. Većina računara na mreži nije sigurana, kao štoi jedan manji broj korisnika nema baš dobronamerne namere. Sa druge strane svaka ozbiljnija firma želeda zaštiti svoju informacionu aktivu od neželjenih upada sa strane. Da bi se to ostvarilo gotovo svakimrežni operativni sistem koristi dve osnovne tehnike: proveru autentičnosti i autorizacije prijavljenogkorisnika. Primer: Pretpostavite da server u školi ima podešen web server i bazu podataka sa imenimastudenata, njihovim brojevima indeksa i prijavljenim ispitima. Pretpostavimo da neki student želi dapogleda koje je ispite prijavio u junskom ispitnom roku. Server je podešen tako da svaki student možepreko svog web pretraživača da prati informacije o svojim ispitima. On samo treba da preko web serveraškole pristupi na konkretnu lokaciju, postavi željeni upit i da na svom ekranu sačeka traženi izveštaj.Podrazumeva se da administrator školskog servera ne bi bio zadovoljan da svaki student može da pratiizveštaj o ispitima drugih studenata, tako da to treba na neki način zabraniti. Od trenutka kada je bilo kojistudent zatražio pristup školskoj lokaciji, i vremena kad ga je dobio, desile su se dve osnovne stvari: Provera autentičnosti - Web server na kome se nalazi izveštaj o ispitima, pita radnu stanicu studenta kojitraži informaciju, „Ko traži podatke?“ Radna stanica odgovara „Student XX“. Nakon toga server kaže„Dokaži to“. Posle toga prikazuje na ekranu računara klijenta/studenta jedan okvir za dijalog u kome setraži korisničko ime i odgovarajuča lozinka. Student unosi svoje korisničko ime i lozinku i ako je tootkucano kako treba, server proverava njeno ime i lozinku, upoređujući ih sa listom poznatih korisnika ilozinki, nakon čega će doneti odluku da li je ispravna prijava na sistem. Autorizacija - Sama činjenica da je student svojim korisničkim imenom i lozinkom dokazao da je tozaista on, nije dovoljan razlog za Web server da tom studentu dozvoli pristup do strane sa ispitima. Webserver nakon toga pretražuje još jednu listu, koja se ponekad naziva Lista sa kontrolama pristupa (AccessControl List). To je lista sa ljudima kojima je pristup dozvoljen kao i nivoima pristupa traženom resursu. U današnje vreme nije neobično videti mreže svetskih razmera u kojima se nalaze mnogi uređajiod klijentskih računara, servera, deljivih uređaja kao što su štampači i ploteri, kao i uređaja za međusobnopovezivanje istih. Sa druge strane imamo sve veći broj korisnika koji su neprekidno na mreži tako daimamo povezano na stotine pa i nekoliko hiljada korisnika u jednoj mreži. Svi oni nemaju ista prava namreži, tj. pristup mrežnim resursima nije isti za sve. Upravo iz tog razloga, upravljanje ovakvim složenimmrežnim strukturama predstavlja veliki i kompleksan problem, koji je trebalo rešiti i omogučiti lakši ipregledniji rad administratorima mreža. Alat koji omogućava kreiranje, modifikovanje ili brisanjekorisničkih naloga kao i resursa mreže iz jedne tačke, poznat je pod nazivom Active Directory Users andComputers. Termin direktorijum odnosi se na kolekciju uskladištenih podataka o objektima, koji su naneki način međusobno povezani. Kao najbolji primer može da posluži sistem organizacije datoteka nanašim računarima koje su raspoređene po direktorijima po nekoj zajedničkoj osobini. U distribuiranomračunarskom sistemu ili javnoj računarskoj mreži – Internetu, ima mnogo više objekata kao što su različititipovi servera, klijentskih računara, štampača, aplikacija, baza podataka, korisnika, njihovih imena,lozinki i prava na mreži. Zato je ovde potrebno znatno moćnije sredstvo za kontrolu rada svih ovihobjekata a to je upravo servis direktorijuma. On mora da upamti sve podatke koji su potrebni zakorišćenje i upravljanje tim objektima na jednom mestu, kako bi omogućio i korisnicima i administratorumreže lako pronalaženje i upravljanje svim tim resursima. Drugim rečima, servis direktorijumapredstavlja istovremeno i alatku administratora i alatku krajnjeg korisnika na mreži. Servis direktorijumase razlikuje od direktorijuma po tome što je on istovremeno i izvor podataka ali i mehanizam koji tepodatke stavlja na raspolaganje korisnicima. Active Directory predstavlja upravo jedan servisdirektorijuma koji je implementiran u Windows mrežnim operativnim sistemima počevši od WindowsServer 2000 pa na dalje. On predstavlja značajno poboljšanje u odnosu na domenski model kakav je imaoWindows NT, pre svega zbog sledećih osobina koje u mnogome proširuju funkcionalnost direktorijumservisa:
    • Administriranje mrežaUpravljanje direktorijumima. Svaki operativni sistem, čak i onaj koji se odlikuje najminimalnijombezbedošću, poseduje u sebi jedan ili više fajlova, koji zajedno čine bazu podataka poznatih korisničkihnaloga. Ranije verzije NT-a, od 3.1 do 4, u tu svrhu su koristile jedan jedini fajl pod naazivom SAM(Securiti Accounts Manager). Ovaj fajl je sadržao: korisničko ime korisnika, njegovo kršteno ime iprezime, lozinku, dozvoljeno vreme prijavljivanja, rok trajanja naloga, opis, naziv primarne grupe iinformacije o korisničkom profilu. Naravno, sadržaj ovog fajla je bio šifrovan. Do današnjeg dana, svioperativni sistemi iz NT familije, uključujući i Windows 2000 Professional i XP, upotrebljavaju SAMfajlove na radnim stanicama. Po podrazumevanoj vrednosti, Windows Server 2003 serveri takođe sadrže iupotrebljavaju SAM. Ipak, na jednom malom broju računara biće smeštena centralizovana baza podatakaaktivnog direktorijuma. Ovakvi serveri se nazivaju kontrolerima domena i na njima nema SAM fajlova.Doduše, u vreme NT4 i starijih operativnih sistema, kontroleri domena su takođe koristili SAM, ali odtrenutka kada je Windows Server 2000 ugledao svetlost dana, oni koriste nešto drugo – nešto što se zoveakivni direktorijum. Windows 2003 najveći deo svojih informacija o korisnicima čuva u datoteci podimenom NTDS.DIT. Ova datoteka je modifikovana baza Access-a, tako da Windows 2003 u suštini isadrži jednu varijantu Access-ove mašine za rad sa bazama podataka. Aktivni direktorijum je, dakle,naslednik SAM-a, koji većinu svojih korisničkih informacija čuva u pomenutom fajlu. MeđutimNTDS.DIT se po mnogo čemu razlikuje od SAM-a. Kao prvo, NTDS.DIT predstavlja modifikovanu bazupodataka, koja je u osnovi kreirana pomoću iste tehnologije kao i Microsoft Access, tako da kontroleridomena aktivnog direktorijuma obično sadrže jednu varijantu Accessove data base mašine (engine) usvojoj mašineriji. Drugo, NTDS.DIT fajl sadrži u sebi znatno širi spektar različitih informacija okorisnicima, nego što je to ikada bio slučaj sa SAM fajlovima. Informacije iz NTDS.DIT fajla i programkoji upravlja ovim fajlom nazivaju se jednim imenom direktorijumski servis (directory service).Sada se postavlja pitanje šta je direktorijum. Očigledno je da je direktorijum dobijen iz baze podataka okorisnicima i informacijama o njima. Opet se postavlja pitanje zašto se to ne zove baza podataka. Nemaprihvatljivog razloga, verovatno po navici. Prema nekima baze podataka o korisnicima se mnogo češćečitaju, nego što se u njih piše. To omogućava da se na izvestan način smanji količina funkcija koje supotrebne iz baza podataka. Ovaj podskup klasa baze podataka dobio je ime direktorijumi.Centralizovano skladištenje podataka – Svi bitni podaci koji se odnose na funkcionisanje jedne mreže,nalaze se u jednom distribuiranom skladištu podataka. Na taj način omogučen je jednostavan pristupinformacijama sa bilo koje lokacije u mreži a samim tim smanjili smo zahteve za administriranjem iste.Pored toga jedno distribuirano skladište podataka poboljšava raspoloživost i organizaciju podataka,smanjuje mogućnost dupliranja podataka i omogučava jednostavan back-up tih podataka. Kada nekopokuša da pristupi deljivoj datoteci, ili da odštampa neki dokument preko deljivog štampača, Aktivnidirektorijum će ga proveriti. Kada se implementira u potpunosti, Aktivni direktorijum može da uštedimnogo posla oko administracije i ostalih mrežnih funkcija. Navedimo jedan primer. Imamo računar kojije servis baze podataka, drugi koji je server za štampanje, zašto onda ne bismo imali centralizovani serverza prijavljivanje, centralizovani server za proveru autentičnosti? Tada bi korisnici morali da upamte samojednu lozinku (i da je menjaju) kao i samo jedno korisničko ime umesto prethodna dva.Pronalaženje servera. Danas se posao obavlja na principu klijent-server. Pošto se u najvećem brojuslučaja mail proverava preko Outlooka (klijent), koji dobija poruku od računara za razmenu (server).Kada računar pristupa serveru datoteka on je njen klijent, dok je server server. Kada se proverava prijavaispita sa svog računara u gore pomenutom primeru web browser je klijent. Kopija Outlook-a na računarumora da zna gde da nađe odgovarajući server, ne može se dobiti datoteka sa servera datoteka ako se nezna gde da se traži i ne mogu se proveriti prijavljeni ispiti sve dok se ne pronađe adresa škole. U svakomslučaju klijent-server veza ne radi osim ako se klijentu ne pomogne da pronađe server. U slučaju Outlook-a, on zna gde da nađe mail server, zato što je to podešeno na odgovarajućem mestu, stavljajući imeservera u Outlook-u. Uglavnom Aktivni direktorijum pojednostavljuje ovaj proces. Računar treba dazatraži od direktorijuma imena kontrolera domena. Može se pretražiti Aktivni direktorijum u potrazi zaključevima koji su relevantni za konkretne deljive datoteke.Upravljanje klijentskom konfiguracijom – Uvode se savremenije tehnologije za upravljanje klijentskimračunarima, kao što su mobilnost korisnika i otkaz diska, koje nam omogućavaju da uz minimumadministriranja i bez prekida rada klijenta podešavamo parametre tih računara.
    • Administriranje mrežaPodesivost – Podrazumeva laku prilagodljivost i proširivost objekata u Aktivnom direktorijumu. To jeurađeno tako što je on organizovan u više sekcija u koje može da se smesti ogroman broj objekata, pa čaki do nekoliko miliona objekata po jednom domenu. Rezultat takve organizacije je da Aktivni direktorijummože da se širi kako organizacija raste. Organizacija koja ima jedan server sa par stotina objekata možeda izraste u organizaciju sa hiljadama servera i milionima novih objekata, bez nekog dodatnog menjanjastrukture Aktivnog direktorijuma. Za ubrzanje rada ovde se koristi tehnika indeksiranja i naprednetehnike repliciranja.Fleksibilna provera autentičnosti – Provera autentičnosti i davanje ovlašćenja korisnicima, obezbeđujezaštitu podataka i minimizuje prepreke izlaska na Internet i nesmetanog rada na njemu. Aktivnidirektorijum podržava nekoliko protokola za proveru autentičnosti kao što su: Kerberos, SSL (SecureSocket Layer) i TLS (Transport Layer Security) koji koristi certifikate X 509.Bezbedonosna integracija – Sistem bezbednosti Windows Server 2003 je direktno zavisan odbezbednosti Aktivnog direktorijuma. Kontrola pristupa može biti definisana za svaki objekat udirektorijumu, ali može biti i definisana i za svako svojstvo objekta pojedinačno. Takođe, bezbedonosnapolitika može biti primenjena na lokalnom nivou ili na nivou lokacije, domena ili organizacione jedinice.Delegirana administracija - Hijerarhijska struktura aktivnih direktorijuma omogućava dodeljivanjeadministratorskih prava po segmentima mreže. Korisnik kome su dodeljena prava od strane višegadministratorskog autoriteta može izvršavati administratorske zadatke za taj specifični segmenthijerarhijske strukture. Na primer korisnik može imati ograničena prava nad svojim računarom a da mu uisto vreme budu dodeljena prava dad kreira nove korisnike u organizacionoj jedinici.Integracija sa sistemom domena (DNS) - Servis DNS (Domain Network System) omogućavarazrešavanje imena klijentima koji imaju neki od Windows Server sistema. Postupkom razrešavanjaimena korisnici mogu da pristupe serverima na osnovu njihovih imena, umesto da koriste IP adrese kojese po pravilu teško pamte. Razrešavanje imena je postupak kojim se DNS imena prevode u IP adrese. Toje slično traženju imena u telefonskom imeniku, u kome je ime pretplatnika povezano sa telefonskimbrojem. Na primer, kada se korisnik poveže na sajt koristi se ime tog sajta u formiwww.vtsnis.edu.rs.Dužnost DNS-a je da to siboličko ime pretvori u njegovu odgovarajuću IP adresu:192.168.0.1. Korelacija imena i IP adrese čuva se u DNS distribuiranoj bazi podataka. Active Directorykoristi DNS konvencije da bi stvorio hijerarhisku strukturu koja obezbeđuje poznat, uređen i podesivpogled na mrežne odnose.Administriranje na bazi politike – Ova karakteristika omogućava nam da unapred definišemo dozvoljeneakcije i parametre za korisnike i računare na nekoj određenoj lokaciji, domenu ili organizacionoj jedinici.Upravljanje na osnovu te politike pojednostavljuje zadatke kao što su ažuriranje operativnog sistema,instaliranje aplikacija, kao i zadatke koji se odnose na korisničke profile i blokade datih objekata.Replikacije podataka – Tehnika repliciranja predstavlja automatsko ažuriranje podataka na dva ili višeobjekta u mreži. To znači da u jednoj mreži možemo da imamo dva ili više kontrolera domena, svaki sasvojim aktivnim direktorijumom, koji zahvaljujuči tehnici repliciranja stalno međusobno razmenjujuinformacije i na taj način u svakom trenutku raspolažu pravim informacijama. To nam omogućava većuraspoloživost informacija, veću otpornost na greške, usklađivanje opterečenja kao i druga poboljšanjaperformansi sistema.Primena standardnog interfejsa – Veliki deo proizvođača softvera nisu voljni da pišu programe kojizavise od slabo dokumentovanog sigurnosnog interfejsa, zato što se boje da kada se pojavi narednaverzija operativnog sistema u kojoj će se promeniti programski interfejs, oni ostaju na cedilu. Zbog togaje Microsoft izabrao da postavi jedan industrijski standardni interfejs u svoj Aktivni direktorijum, podimenom LDAP (Lightweight Directory Access Protocol). Postavljanjem LDAP interfejsa u Aktivnidirektorijum Microsoft je omogućio proizvođačima da integrišu sigurnost svojih proizvoda u sigurnostWindows-a. On takođe omogućava da se naprave alati za kreiranje strukture Aktivnog direktorijuma,domena, stabla, šume, organizacione jedinice, korisničkih naloga i svih komponenti. To znači ako sukontrolni programi za Aktivni direktorijum suviše teški za rad, onda neka firma može da napravi alat kojiće to olakšati, na osnovu LDAP komandi.Rad sa drugim servisima direktorijuma – Rad Aktivnog direktorijuma zasniva se na standardnimprotokolima za pristupanje direktorijumima kao što su LDAP (Lightweight Directory Access Protocol) iNSPI (Name Service Provider Interface). LDAP je standardni protokol kod servisa direktorijuma a NSPI
    • Administriranje mrežapredstavlja protokol koji se koristi kod Microsoft Exchange Servera. Zahvaljuči njima Aktivnidirektorijum može da komunicira i sa drugim servisima direktorijuma koji koriste ove protokole.Potpisan i šifrovan LDAP saobraćaj – Ova opcija obezbeđuje verodostojnost podataka koji se šalju namrežu. Potpisan i šifrovan LDAP saobraćaj podrazumeva da paketi podataka stižu od poznatog izvora ida nisu neovlašćeno menjani. 4.2 Pregled servisa Aktivni direktorijum Aktivni direktorijum omogućava da se struktura direktorijuma osmisli u skladu sa potrebamafirme. Resursi, čiji se podaci nalaze u direktorijumu, kao što su, na primer: podaci o korisnicima,štampačima, serverima, bazama podataka, grupama, računarima i bezbednosnoj politici, predstavljaju sekao objekti (objects). Objekat je jasno označen skup atributa koji predstavljaju mrežni resursi. Atributiobjekta su osobine objekata u direktorijumu. Na primer, u atribute korisničkog naloga mogu da spadajuime i prezime korisnika, odeljenje kome pripada i njegova e-mail adresa. Svi objekti u Aktivnomdirektorijumu mogu se organizovati u klase, koje predstavljaju logičke grupe objekata. Primeri klasaobjekata su one koje predstavljaju korisničke naloge, grupe, računare, domene ili organizacione jedinice.Šema Aktivnog direktorijuma je lista definicija koje određuju vrstu objekta i tipova podataka o timobjektima, koji mogu biti smešteni u Aktivnom direktorijumu. Same definicije su smeštene kao objekti,tako da Aktivni direktorijum može da upravlja objektima šeme istim operacijama upravljanja koje sekoriste za upravljanje ostalim objektima u Aktivnom direktorijumu. Postoje dve vrste definicija u šemi:atributi i klase. O atributima i klasama takođe se govori kao o objektima šeme ili metapodacima. Atributise definišu odvojeno od klasa. Svaki atribut definisan je samo jednom i može se koristiti u više klasa.Klase, koje se takođe nazivaju klase objekata, opisuju koje je objekte moguće kreirati u Aktivnomdirektorijumu. Svaka klasa predstavlja kolekciju atributa. Kada se napravi neki objekat, atributi skladišteinformaciju koja opisuje taj objekat. Klasa user sastavljena je od mnogo atributa, u koje spada networkaddress, home directory, itd. Svaki objekat u Aktivnom direktorijumu primerak je klase objekta. Kompletosnovnih klasa i atributa već se nalazi u samom Windows-u 2003. 4.3 Komponente Aktivnog direktorijuma Da bi uspešno izgradio strukturu direktorijuma koji će zadovoljiti potrebe jedne organizacijeAktivni direktorijum koristi različite komponente. Vrste primenjenih komponenata zavise od toga da li seradi o logičkoj ili fizičkoj strukturi organizacije. Logička struktura organizacije predstavljena je sledećimkomponentama Aktivnog direktorijuma: domenima, organizacionim jedinicama, stablima i šumama, dokje fizička struktura organizacije predstavljena sa: sajtovima (fizičkim podmrežama) i kontrolerimadomena. U suštini Aktivni direktorijum u potpunosti razdvaja logičku od fizičke strukture. 4.3.1 Logička struktura U Aktivnom direktorijumu resursi se organizuju u logičku strukturu koja predstavlja logičku
    • Administriranje mrežastrukturu same organizacije. Logičko grupisanje resursa omogućava pronalaženje resursa na osnovunjegovog imena, a ne na osnovu njegove fizičke lokacije. Pošto se resursi grupišu logički, fizičkastruktura mreže korisniku može da bude nebitna. Logička struktura Aktivnih direktorijuma je fleksibilna idaje nam mogućnost projektovanja hijerarhije, unutar Aktivnih direktorijuma, koja je razumljiva ikorisnicima i administratorima. Logičko grupisanje objekata omogućava nam da grupišemo objekte naosnovu njihove logičke pripadnosti a ne na osnovu fizičke lokacije. Ovakvo grupisanje omogučava nampotpunu transparentnost fizičke strukture mreže, jer se resursi ne nalaze po njihovoj lokacije već naosnovu njihovih imena. Sledeće komponente pripadaju logičkoj strukturi Aktivnih direktorijum:1. Domen (Domain) - Jedan od najvažnijih kocepata u teoriji i praksi Microsoftovih mreža jeste pojamdomena (domain). Na najjednostavniji način rečeno, domen predstavlja grupu servera i radnih stanica,koje su se složile oko centralizovanog čuvanja naziva i lozinki za korisničke i računarske naloge, u jednojdeljenoj (shared) bazi podataka. To je veoma važno – ustvari, to je od zaista suštinskog značaja zaračunarske mreže svih dimenzija – jer se time korisnicima pruža mogućnost da, uz pomoć jednog naloga ilozinke, pristupe desetinama, stotinama pa čak i hiljadama drugih računara unutar domena konkretneorganizacije. Ali, centralizovano čuvanje korisničkih i računarskih naloga i lozinki je samo početak. Kakose NT tokom godina razvijao, NT domeni su postali skladišta za čuvanje i nekih drugih objekata. Najpresu se, u NT 3.51, pojavili korisnički profili, alat koji omogućava da izgled svog desktopa i ostalasistemska podešavanja ponesemo sa sobom, gde god da se ulogujemo. Zatim su, pod operativnimsistemom NT4, domeni postali mesto za centralizovano čuvanje tzv. „sistemskih polisa“ (systempolicies), odnosno, čitavog jednog seta instrukcija, koj računari koriste za izgradnju i kontrolu korisničkihokruženja.. Sa pojavom Windowsa 2000, u domenima su se već mogle centralizovati DNS informacije, apredstavljen je i usavršeni naslednik sistemskih polisa, pod nazivom „grupne polise“ (group policies).Domen u stvari predstavlja srž logičke strukture Aktivnih direktorijuma u okviru koga možemo smestitimilione različitih objekata. Već smo napomenuli da objekti smešteni u jednom domenu, predstavljajuresurse koji se smatraju neophodnim za pravilno i bezbedno funkcionisanje mreže. To su stavke koje sučlanovima mreže potrebne da bi obavljali svoje poslove: štampači, dokumenta, e-mail adrese, bazepodataka, korisnici, distribuirane komponente i drugi resursi. Aktivni direktorijum može imati jedan iliviše domena. Jedan domen može sadržati više fizičkih lokacija. Grupisanje objekata u jedan ili višedomena omogućava da mreža odslikava realnu strukturu organizacije. Domen je i skup sigurnosnihprincipa kao što su korisnički i računarski nalozi ali i drugih, poput dozvola za deljive štampače ilidozvola za pristup deljenim folderima. Objekti na domenu su definisani od strane administratora i koristezajedničku bazu podataka i jedinstveno ime. Svaki domen treba da izvrši sledeće zadatke: Svi objekti mreže postoje unutar domena Oni pružaju mogućnost upotrebe grupe serverskih računara, koji igraju ulogu „servera za proveru autentičnosti“ ili „prijavnih servera“, poznatijih pod nazivom kontroleri domena. Na domenima se čuva čuva i neprekidno ažurira indeks svih objekata na domenu, sa mogućnošću efikasnog pretraživanja, čime je korisnicima znatno olakšano pretraživanje željenih resursa na mreži. Domen skladišti informacije samo o objektima koji se u njemu nalaze. Direktorijum domena može da sadrži do deset miliona objekata teoretski, ali u praksi mnogo je realniji broj od jednog miliona objekata. Oni omogućavaju kreiranje korisničkih naloga sa različitim nivoima snage, od skoro potpuno obespravljenih „gostujućih“ naloga, preko običnih korisničkih naloga, do svemoćnih administratora domena. Pored toga, na domenima se mogu kreirati i tzv. nalozi pod-administratora, korisničkih naloga, koji se, prema nivou dozvoljenih prava, nalaze negde između administratora domena i običnih korisnika. Domeni se dalje mogu deliti na subdomene, koji se još nazivaju organizacionim jedinicama (organization units – OUs). Nakon toga, različitim pojedincima mogu se dodeliti različiti stepeni kontrole i moći nad ovim organizaacionim jedinicama. Na ovaj način može se kreirati nešto što bi se moglo nazvati „adminstratorima odeljenja“ – odnosno, korisnike sa velikim stepenom moći, ali samo nad jednom manjom grupom računara i korisnika. Domen predstavlja granicu bezbednosti jer se na njemu čuva jedna centralna lista korisnika i pripadajućih lozinki.Liste za kontrolu pristupa (Acces Control List, ACL) kontrolišu pristup objektima domena. ACL sadrži dozvole koje su povezane sa objektima i kontrolišu koji korisnici mogu
    • Administriranje mreža dobiti pristup objektu i određuju samu vrstu pristupa. U Windowsu 2003 termin objekat obuhvata: datoteke, deljenja, štampače i ostale objekte u Aktivnom direktorijumu. Sve bezbednosne politike i parametri, na primer administrativna prava, bezbednosne politike i liste za kontrolu pristupa, ne mogu da prelaze iz jednog domena u drugi. Administrator domena ima apsolutna prava da formira politiku samo u okviru tog domena.2. Organizaciona jedinica (Organizational unit) je jedna vrsta skladišta – kontejner, koju koristimo da bismo organizovali objekte u okviru domena. Organizaciona jedinica može sadržati objekte kao što sukorisnički nalozi, grupe, računari, aplikacije, deljene datoteke, aplikacije i druge organizacione jedinice izistog domena. U jednom domenu hijerahija organizacionih jedinica je potpuno nezavisna tj. ne zavisi odhijerahije u drugom domenu, već svaki domen uspostavlja svoju sopstvenu hijerarhiju.. Organizaciona jedinica omogučava administratoru mreže da se prema većem skupu objekata odnosi kaoprema jednom. U aktivnom direktorijumu podrazumeva je opcija da svi podređeni objekti nasleđujudozvole od svojih nadređenih objekata. Na taj način, administrator samo jednom dodelom dozvola navišem nivou, rešava dodelu istih dozvola svim podređenim objektima.3. Stablo (Tree) predstavlja način za grupisanje jednog ili više domena. Grupisanje se vrši tako što jedanili više domena dodajemo na postojeći nadređeni domen. Svi domeni koji pripadaju stablu dele jedinstvenprostor imena kao i hijerahijsku strukturu imena. Hijerahija domena u stablu omogućava nam dapovećamo bezbednost domena kao i da kompletno administriranje svedemo na jednu organizacionujedinicu ili na jedan domen u stablu. Sa druge strane ovakva organizacija omogućava nam fleksibilnost uorganizaciji mrežne strukture jer se lako prilagođava svim promenama. Generalno gledano sva stablaimaju neke zajedničke osobine i to: Imena podređenih domena u stablu sadrže imena nadređenih domena. To se uklapa sa standardom koji je definisao DNS. Svim domenima unutar jednog stabla pripada zajednička šema koja predstavlja formalnu definiciju svih tipova objekata koje se smeštaju u servis Aktivnog direktorijuma. U okviru stabla postoji zajednički globalni katalog koji predstavlja centralno skladište svih objekata koji pripadaju tom stablu. Svi domeni unutar tog stabla mogu da nesmetano pristupe tom skaldištu.4. Šuma (Forest) predstavlja grupu ili hijerahijsko uređenje jednog ili više potpuno nezavisnih stabala.Sve šume imaju sledeće zajedničke karakteristike: Sva stabla u šumi imaju zajedničku šemu. Stabla u šumi imaju različite strukture imena koje su u skladu sa njihovim domenima. Svi domeni u šumi imaju zajednički globalni katalog. Domeni u šumi dejstvuju nezavisno, ali postojanje šume omogućava komunikaciju kroz celu organizaciju. Između domena i stabala domena postoji implicitni dvosmerni odnos poverenja.Na primer: Iako stabla vtsnis.edu.yu i vets.edu.yu formiraju jednu šumu, prostor imena je jedinstven samou okviru svakog stabla u šumi. 4.3.2 Fizička struktura Komponente koje se koriste da bi se uspostavila struktura direktorijuma koja će u potpunostiodržavati fizičku strukturu jedne organizacije nazivaju se fizičkim komponentama. U fizičke komponenteAktivnog direktorijuma spadaju lokacije i kontroleri domena. 1. Lokacija (site) predstavlja kombinaciju jedne ili više podmreža, na bazi IP komunikacije, a koje supovezane visoko pouzdanom i brzom vezom u cilju lokalizovanja što je moguće više mrežnog saobraćaja.Granice lokacije obično se poklapaju sa granicama LAN-a. Kada grupišemo podmreže u lokaciju,potrebno je voditi računa da to budu samo one mreže koje imaju brze, jeftine i pouzdane međusobne veze.Windows 2003 koristi ove podatke da bi pronašao sve moguće WAN veze, da odredi koje su od tih vezasporije i koja je cena prenosa podataka na tim vezama. On onda radi dve veoma korisne stvari: prvo, onkompresuje saobraćaj za replikaciju i drugo, on koristi informacije o cenama puta, koje nam omogućavajuda pronađemo koja je najbolja ruta za replikacioni saobraćaj, uz najmanju cenu. U Aktivnomdirektorijumu lokacije nisu deo prostora imena. Kada se pretražuje logički prostor imena, vide se računarii korisnici koji su grupisani u domene i organizacione jedinice, ali ne i lokacije. Lokacije sadrže samo
    • Administriranje mrežaobjekte računare i objekte veze koji se koriste da bi se konfigurisala replikacija između lokacija. Jednalokacija može da obuhvati korisničke naloge i računare koji su iz različitih domena. 2. Kontroler Domena (domain controller) je računar čiji je operativni sistem Windows 2000, 2003Server i na kome je smeštena replika direktorijuma domena (baza podataka lokalnog domena). Kakojedan domen može da ima jedan ili više kontrolera domena, svi kontroleri domena unutar domena imajukompletnu repliku dela direktorijuma koji pripada tom domenu. Kontroler domena može da održava samojedan domen i zadužen je za njegovu bezbedonosnu politiku. Kontroler domena ima sledeće funkcije: Svaki kontroler domena sadrži potpunu kopiju svih podataka Aktivnog direktorijuma za taj domen, upravlja izmenama tih podataka i replicira ih na druge kontrolere domena koji su u istom domenu. Kontroleri domena unutar jednog domena automatski jedan drugom repliciraju sve promene koje mogu da se dogode nad objektima koje oni kontrolišu. Kada se izvrši neka operacija koja uzrokuje ažuriranje Aktivnog direktorijuma, u stvari se vrši izmena na jednom od kontrolera domena. Taj kontroler domena zatim replicira izmenu na sve druge kontrolere domena unutar domena. Replikacioni saobraćaj između kontrolera domena može da se kontroliše tako što će se odrediti koliko često će se replikacija obavljati i koliko će podataka Windows 2003 replicirati u jednom postupku. Kontroleri domena vrše trenutnu replikaciju kada su u pitanju ažuriranja nekih važnih podataka, na primer onemogućavanje korisničkog naloga. Aktivni direktorijum primenjuje repliciranje sa više glavnih primeraka, pri čemu nijedan kontroler domena nije glavni. Svi kontroleri domena u domenu su ravnopravni i svaki kontroler domena sadrži kopiju baze podataka direktorijuma u koju se može vršiti upis. Kontroleri domena meĐusobno mogu imati različite podatke samo jedan kratak vremenski period, dok se svi kontroleri domena ne sinhronizuju sa Aktivnim direktorijumom. Postojanje više kontrolera domena u domenu daje otpornost na greške. Ukoliko je jedan kontroler domena u oflajn stanju, drugi kontroler domena izvršava sve potrebne funkcije. Kontroleri domena upravljaju svim aspektima interakcije korisnika u domenu, na primer pokušaj prijave korisnika na sistem. Kontroleri domena zaduženi su da detektuju i kolizije u radu kontrolera domena. One mogu da nastanu kada neki od kontrolera domena izmeni atribute nekog objekta pre nego što se izmena tih atributa u potpunosti ne prenese na drugi kontroler domena. 4.3.3 Globalni katalog Globalni katalog predstavlja centralno skladište informacija o objektima koji se nalaze u stablu ilišumi. On se automatski kreira na inicijalnom kontroleru domena u prvom domenu u šumi. Kontrolerdomena koji čuva kopiju globalnog kataloga naziva se server globalnog kataloga. Na njemu je smeštenapotpuna replika svih atributa objekata u direktorijumu mnjegovog matičnog domena i delimična replikasvih atributa objekata sadržanih u direktorijumu svakog domena u šumi. Delimična replika podrazumevaone atribute koji se najčešće koriste u postupcima pretraživanja. Atributi objekata koji su replicirani uglavnom katalogu nasleđuju dozvole kao u izvornom domenu, osiguravajući na taj način bazbednostpodataka u globalnom katalogu. Dve su osnovne funkcije koje treba da izvrši globalni katalog i to: da omogući korisniku da može da se prijavi na mrežu tako što će mu dati informaciju o članstvu u unuverzalnim grupama. da omogući pronalaženje informacija direktorijuma nezavisno od toga koji domen u šumi sadrži tražene podatke.Globalni katalog treba da odgovara na upite korisnika ili programa o objektima koji su bilo gde na stabluili šumi i to maksimalnom brzinom i uz najmanji mogući mrežni saobraćaj. Svaki kontroler domenaopciono može da se konfiguriše kao server globalnog kataloga i preporuka je da svaka lokacija u mrežiobavezno ima barem jedan server globalnog kataloga. 4.3.4 Repliciranje Sve informacije koje se nalaze u okviru Aktivnog direktorijuma moraju svakog trenutka da bududostupne svim korisnicima i servisima na tom domenu, stablu domena ili šumi domena. Kako u okviruovih konfiguracija možemo imati više kontrolera domena, gde svaki kontroler nadgleda svoj deo oblasti,potrebno je obezbediti da se sve informacije budu dostupne svim korisnicima bez obzira na koji kontroler
    • Administriranje mrežadomena su povezani. Repliciranje upravo obezbeđuje da se sve izmene u okviru jednog kontroleradomena reflektuju na sve ostale kontrolere doemna u okviru tog domena. Informacije direktorijuma serepliciraju na kontrolerima doemna kako unutar, tako i između lokacija. Sve informacije koje se čuvaju uAktivnom Direktorijumu (fajl ntds.dit) mogu se podeliti u četiri osnovne kategorije. Svaka od tihkategorija informacija ima naziv particija direktorijuma ili kontekst imenovanja. Repliciranje se upravovrši na osnovu ovih particija jer one predstavljaju osnovne jedinice na osnovu kojih se radi repliciranje.Četiri osnovne particije informacija u Aktivnom direktorijumu su: Particija šeme – sadrži informacije o objektima koji se mogu napraviti u direktorijumu kao i njihove atribute i oni su zajednički za sve domene u šumi. Ova particija se replicira na svim kontrolerima domena u šumi. Particija konfiguracije – podaci o logičkoj strukturi postavljanja, uključujući i podatke kao što su struktura domena ili topologija repliciranja nalaze se u ovoj particiji. Kao i kod prethodne particije i ovi podaci su zajednički za sve domene u šumi i repliciraju se na svi kontrolerima domena. Particije domena – ova particija sadrži podatke o svim objektima u jednom domenu i ti podaci pripadaju samo jednom doemnu pa se ne repliciraju na druge domene. Međutim, replikacija važi za sve kontrolere domena u okviru tog domena. Particija direktorijuma za aplikacije – podaci koji se nalaze u ovoj particiji odnose se na dinamičke podatke pojedinačnih aplikacija u Aktivnom Direktorijumu. Na osnovu ovih podataka omogućeno nam je da kontrolišemo područje smeštanja kopija i proces repliciranja. U ovu particiju smeštaju se podaci za bilo koji tip objekta osim za one objekate koji se odnose na principe bezbednosti (korisnici, grupe i računari). Da bi se izbegao nepotreban saobraćaj usled repliciranja omogućeno je da se ovi podaci eksplicitno preusmere na kontrolere domena koje administrator odredi u okviru šume domena.Kontroler domena uskladištava i replicira sledeće podatke: particije šeme za šumu, particije konfiguracijeza sve domene u šumi i particije domena za svoj domen. Globalni katalog skladišti i replicira sledećepodatke: particije šeme za šumu, particije konfiguracije za sve domene u šumi, delimičnu repliku kojasadrži često korišćene atribute za sve objekte direktorijuma u šumi i potpunu repliku koja sadrži sveatribute svih objekata direktorijuma u domenu gde se nalazi globalni katalog. 4.3.5 Odnosi poverenja Odnos poverenja predstavlja vezu dva ili više domena koji veruju jedan drugom. To znači da akoje postavljena veza poverenja između domena, provera autentičnosti prijavljivanja korisnika se vrši samona jednom doemnu. Svi ostali domeni koji imaju poverenje priznaju tu proveru i korisnik moženesmetano bez ponovne provere autentičnosti da radi sa resursima na tim domenima. U familiji WindowsServera 2003 provera autentičnosti korisnika i aplikacija vrši se putem jednog ili dva protokola poverenja:Kerberus verzija 5 ili NT LAN Manager (NTLM). Odnos poverenja čine dva domena: domen koji imapoverenje i domen u koga se ima poverenje. Možemo da definišemo neke opšte karakteristike poverenja ito: Metod pravljenja – postoje dva načina pravljenja poverenja i to implicitno(automatsko) i eksplicitno(ručno). Nije moguće da se prave sva poverenja na oba načina. Tranzitivnost – poverenja mogu biti vezana za domene koji su u odnosu (netranzitivna) i nevezana (tranzitivna). To znači da ako domen A ima poverenje u domen B, a domen B ima poverenje u domen C, kažemo da imamo tranzitivno poverenje ako domen A ima poverene u domen C. Ukoliko domen A nema poverenje u domen C, tada se radi o netranzitivnom poverenju. Smer – postoje jednosmerna i dvosmerna poverenja. Jednosmerno poverenje znači da domen A ima poverenje u domen B ali obrnuto ne važi. Jednosmerni odnos može biti tranzitivan ili netranzitivan, što zavisi od tipa poverenja koje se pravi. U dvosmernom poverenju domen A ima poverenje u doemn B i obrnuto. To znači da zahtevi za proveru autentičnosti mogu da se prenose između dva domena u oba smera.Možemo da razlikujemo sledeće oblike poverenja koja se pojavljuju u Windows Server 2003 familiji:Poverenje na nivou korena stabla – ovo poverenje pravi se implicitno kada se šumi doda osnovni domennovog stabla. Ovaj tip poverenja može se uspostaviti samo između korena dva stabla u istoj šumi ipredstavlja tranzitivno i dvosmerno poverenje.Poverenje roditelj/dete – takoše se implicitno postavlja kada pravimo novi podređeni domen u stablu. Ovo
    • Administriranje mrežapoverenje stavlja sve objekte u domenima na raspolaganju svim drugim domenima iz istog stabla i ono jetranzitivno i dvosmerno.Prečica poverenja – pravi se eksplicitno od strane administratora sistema između dva domena u šumi.Korisno je kada treba skratiti vreme prijavljivanja korisnika ako oni pripadaju različitim domenima kojisu logički udaljeni u hejerahiji čume ili stabla.Poverenje je tranzitivno i može biti jednosmerno ilidvosmerno.Spoljni odnos poverenja – administrator sistema eksplicitno pravi ovo poverenje između dva domena kojipripadaju različitim šumama ili dva domena pod različitim operativnim sistemima. Poverenje jenetranzitivno a može biti jednosmerno ili dvosmernoOdnos poverenje šume –takođe ga pravi administrator između dva osnovna domena šuma, i omogučavanam da svi domeni u jednoj šumi imaju tranzitivno poverenje u sve domene druge šume. Ovo poverenjenije tranzitivno na tri i više šuma, već samo na dve šume i može biti jednosmerno ili dvosmerno.Poverenje u području – pravi ga eksplicitno administrator sistema između područja van WindowsKerberus-a i domena Windows Server 2003. Ovo nam omogučava da uspostavimo oblik poverenja i sanekim drugim operativnim sistemima koji koriste sistem bezbednosti Kerberus. Poverenje može bititranzitivno ili netranzitivni i jednosmerno ili dvosmerno. 4.3.6 Upravljanje izmenama i konfiguracijama Upravljanje izmenama i konfiguracijama predstavlja skup funkcija preko kojih je mogućeupravljati korisničkim i računarskim podacima i parametrima kao i instalirati i održavati softver nanjima.Skup funkcija preko kojih je moguće pojednostavniti sve te zadatke treba da obuhvate sledećezadatke:  upravljanje konfiguracijom radne površine svakog korisnika  upravljanje načinom primene i instaliranja softvera  instaliranje inicijalnog klijentskog operativnog sistema  zamena računara 4.3.7 Grupne politike Grupne politike predstavljaju zbirke korisničkih i računarskih parametara konfiguracije koji semogu povezati sa računarima, lokacijama, domenima i organizacionim jedinicama da bi odrediliponašanje radne površine korisnika. Ova opcija omogućava nam, da se na više računara koji pripadajujednoj grupi, odredi kako će izgledati radna površina, koji će programi biti na raspolaganju korisnicimakao i definisanje različitih opcija u meniju Start.Da bi to ostvarili potrebno je da se naprave objektigrupne politike(Group Policy Object – GPO) koji će definisati radnu površinu svake grupe. Postoje dvevrste GPO lokalni i nelokalni. Loakalni GPO imaju svi računari koji rade pod Windows Server-om 2003dok su nelokalni GPO povezani sa objektima servisa Aktivnog Direktorijuma: lokacijama, domenima iliorganizacionim jedinicama. Nelokalni GPO mogu biti primenjeni ili na korisnike(nezavisno na komračunaru oni rade) ili na računare. U skladu sa svojstvima nasleđivanja u servisu Aktivnog Direktorijuma,nelokalni GPO se primenjuju hijerahijski od najmanje restriktivne grupe (lokacije) do najrestrijktivnijegrupe (organizacione jedinice). Kod njih važi princip kumulativnosti. Kako se nelokalni GPO-iprimenjuju hijerahijski, korisnićka ili računarska konfiguracija predstavlja rezultat GPO-a povezanih sanjihovom lokacijom, domenom ili organizacionom jedinicom. 4.3.8 Prostor imena (DNS i imenovanje objekata) Aktivni Direktorijum koristi DNS kao servis za imenovanje i lociranje domena. On nam donosisledeće prednosti: DNS imena su lako čitljiva, pa se lakše pamte od brojčanih IP adresa, DNS imena su stalnija od IP adresa. Imena servera se retko menjaju za razliku od IP adresa koje su promenljive veličine. To naročito važi za mreže gde je aktivirano dinamičko dodeljivanje adresa (DHCP). DNS ima ista pravila kod dodeljivanja adresa kao i Internet servis pa nam je princip povezivanja sa lokalnim resursima potpuno isti kao i sa Internet resursima.Svaki objekat u Aktivnom Direktorijumu identifikuje se po imenu, po principima koje odrežuje LDAP
    • Administriranje mrežaprotokol. Pri tome Aktivni Direktorijum se koristi nizom konvencija za imenovanje objekata: Karakteristična imena – svaki objekat u Aktivnom Direktorijumu ima svoj karakteristično ime (distinguished name-DN) koje na jedinstven način identifikuju objekat. U okviru ovog imena nalazi se ime domena koji sadrži taj objekat kao i kompletnu putanju kroz hijerahiju skladišta do objekta. Uobičajeno je da se koriste tri vrsta skraćenica kod DN imena: CN-ime objekta, OU-organizaciona jedinica i DC-ime komponete domena. Relativno karakteristično ime – RDN(Relative distinguished name) predstavlja deo imena objekta koje je atribut samog objekta. Kako Aktivni Direktorijum podržava upite po atributima objekata, tako nam je omogućeno da pronađemo neki objekat i ako neznamo DN ime. Globalno jedinstveni identifikator – svi objekti u Aktivnom Direktorijumu imaju svoj jedinstveni GUID (globally unique identifier) identifikator. On se uvek formira pri pravljenju objekta i predstavlja 128 bitni heksdecimalni broj koji je garantovano jedinstven. GUID broj se nikada ne menja, čak i kada objekat promeni svoju lokaciju, pređe iz jednog domena u drugi domen, ili se preimenuje. Sve aplikacije obraćaju se objektima preko tog GUID identifikatora a ne aktuelnofg DN imena. Glavno korisničko ime – UPN (user principal name) se sastoji od imena korisničkog naloga i imena domena koje identifikuje domen u kome se korisnički nalog nalazi. Svaki otvoreni korisnički nalog ima jedno takvo ime poznato kao glavno korisničko ime (mirko@vtsnis.edu.rs)..V čas Implementiranje servisa Aktivnog Direktorijuma 5.1 Planiranje Aktivnog Direktorijuma Od suštinskog značaja za funkcionisanje mrežnog operativnog sistema u jednoj organizaciji je dase dobro isplanira aktivni direktorijum shodno zahtevima te organizacije. Kako on sadrži sve glavnekomponente koje su potrebne za nesmetano i pouzdano funkcionisanje mreže, svaki i mali propust unjegovoj postavci može u mnogome da smanji funkcionalnost naše mreže. Pre nego što počnemo dauvodimo servis Aktivnog Direktorijuma moramo proučiti poslovnu i organizacionu strukturu organizacijegde se on uvodi. Kako usluge Aktivnog Direktorijuma nisu ništa drugo nego uredno razvrstavanje svihmrežnih resursa, kao i upravljanje istim, potrebno je da tačno znamo broj servera, računara, korisnika,štampača, lokacija gde su resursi, bezbedonosnu politiku i td. Koristeći fleksibilnost servisa AktivnogDirektorijuma, kao i podataka koje smo sakupili, možemo da kreiramo strukturu mreže koja će uspešnoodgovoriti na zahteve organizacije u kojoj se ona instalira. Strukturu Aktivnog Direktorijuma čine četriosnovne komponente, na koje moramo da obratimo pažnju kod njegovog implementiranja, a to su: plandomena, plan prostora imena domena, plan strukture organizacionih jedinica i plan strukture sajta. 5.1.1 Plan domena Kada planiramo strukturu domena potrebno je da počnemo od fizičkog okruženja mreže, daodredimo osnovni domen u mreži, odredimo broj domena kao i njihovo hijerahijsko organizovanje. Fizičko okruženje uključuje lokacije objekata u mreži, broj korisnika na svakoj lokaciji, brojpotrebnih servera kao i servisa na tim serverima, vrstu mreže, brzinu veze, broj i kvalitet WAN konekcija,lokacije mrežnih barijera i td. Osim sagledavanja fizičkog okruženja, potrebno je da se razmotre i drugeinfrastrukture koje organizacija već koristi. Na primer, ako postoji već DNS struktura, verovatno će bitidobro da se ona i zadrži. Slično ovome, ako se koristi Microsoft Exchange, potrebno je da strukturudomena zasnivamo na njemu. Kada počnemo da instaliramo Aktivni Direktorijum moramo da izaberemo kakav kontrolerdomena želimo da instaliramo: da li je to prvi kontroler domena za novi domen ili samo želimo dadodamo nov kontroler domena u postojeći domen. Ako izaberemo da to bude prvi kontroler domena zanovi domen, istovremeno ćemo formirati i kontroler domena i novi domen. Nakon toga treba odrediti dali taj novi domen pripada novoj šumi, da li je on podređen domen u postojećem stablu domena ilipredstavlja jedno novo stablo domena u postojećoj šumi. Dodavanje novog kontrolera u već postojećidomen pravimo ravnopravni kontroler domena. Ravnopravni kontroleri domena obezbeđujuredudantnost i smanjuju opterećenje postoječih kontrolera domena. Ovaj izbor se najčešće koristi kada
    • Administriranje mrežaimamo neki domen koji se nalazi na više različitih geografskih lokacija. Tada se formira kontrolerdomena na svakoj lokaciji, kako bi se smanjio saobraćaj pristupanja servisu Aktivnog Direktorijuma. Kad određujemo osnovni domen moramo da vodimo računa da je on prvi domen koji pravimo uAktivnom Direktorijumu, pa samim tim predstavlja i najvažniji domen koji kreiramo. Njegova osnovnauloga je da definiše infrastrukturu cele mreže i da upravlja istom. Dobro bi bilo da taj osnovni domenšume bude namenski i da bude postavljen isključivo za administriranje infrastrukture celokupne šume. Tose preporučuje iz sledećih razloga: mogućnost kontrolisanja broja administratora koji mogu da prave izmene u šumi domena, osnovni domen je jako mali pa je jednostavno izvršiti njegovo repliciranje, osnovni domen retko može da zastari jer je njegova uloga samo da služi kao osnova, vlasništvo nad osnovnim domenom se lako može preneti bez premeštanja resursa. Nakon što smo odredili namenski osnovni domen šume, planiranje strukture domena treba dazapočnemo od jednog podređenog domena ispod osnovnog. Preporučuje se da se doda samo taj jedandomen a da druge domene dodamo samo u slučaju kada taj prvi podređeni model domena više ne možeda ispuni naše zahteve. Za pravljenje više domena mora postojati nekoliko opravdanih razloga kao što suočuvanje postojeće strukture, administrativna i fizička podeljenost, potreba da se zadovolje posebniparametri bezbedonosne politike, potreba da se optimizuje replikacijski promet kao i potreba da se postavizaseban prostor imena. Treba imati u vidu da veći broj domena povećava troškove održavanja mreže,najčešće zbog dodatnog upravljanja. U većini slučajeva jedan domen može da zadovolji naše potrebe jeron može da se prostire preko više lokacija i da sadrži milione objekata. Ne treba praviti posebne domenekoji bi održavali sektore i odelenja u okviru jedne organizacije, jer se te strukture često menjaju. Mnogoje bolje da se to reši putem organzacionih jedinica jer su one jednostavnije za delegiranje iadministriranje. Pored toga svakoj organizacionoj jedinici možemo dodeliti neku grupnu politiku a ondana osnovu toga smeštati korisnike, računare ili grupe u nju. Ako ipak dođemo do zaključka da nam treba organizacija sa više domena onda njih moramoorganizovati u vidu jedne hijerahijske strukture, stabla domena ili šume domena, u zavisnosti šta najboljeodgovara potrebama naše mrežne strukture. Osnovna razlika između ove dve strukture odnosi se nastrukturu DNS imena. Svi domeni u stablu domena imaju susedne DNS prostore imena, dok kod šumedomena svako stablo domena ima svoj sopstveni jedinstveni prostor imena. Ono što je zajedničko za obestrukture je dele istu konfiguraciju, šemu i globalni katalog. 5.1.2 Plan prostora imena domena U servisu Aktivnog Direktorijuma domeni imaju imena koja podležu DNS pravilima. Međutim,pre nego što počnemo da koristimo DNS u našoj mreži potrebno je da isplaniramo DNS prostor imena.Razlikujemo dva prostora imena i to unutrašnji (interni naš prostor imena) i spoljašnji (eksterni prostorimena). Na raspolaganju imamo dva izbora:1. da je unutrašnji prostor imena isti kao i spoljašnji: dobra strana je da su imena domena potpuno ista i na internoj privatnoj mreži kao i na spoljašnjem javnom Internetu. Loša strana je da zahteva mnogo složeniju strukturu konfigurisanja mreže sa dodatnim zaštitnim serverima (firewall i proxy serveri), klijenti se moraju konfigurisati da razlikuju interne od eksternih resursa, problem da se interni resursi ne objave na eksternom javnom Internetu i duplirano održavanje podataka o internim i eksternim resursima na mreži. Iako je prostor imena isti, korisnici imaju različit pogled na interne i eksterne resurse.2. da su unutrašnji i spoljašnji prostor imena razdvojeni: pvde postoji jasna razlika između internih i eksternih resursa, upravljanje je olakšano jer nema poklapanja ili dupliranja održavanja a i konfigurisanje klijenata je jednostavnije jer su eksterni resursi jednoznačno određeni. Ali, i ovakva realizacija ima svoje mane koje se ogledaju u dvostrukim imenima za prijavljivanje: jedno za interni a drugo za ekstreni prostor imena koje je potrebno registrovati u oba domena.Kod dodeljivanja imena novokreiranim domenima važe neka pravila koje treba poštovati: Dato ime treba da je jednostavno i da asocira na namenu domena. Jednostavna i precizna imena korisnici lakše pamte i omogućavaju korisnicima da potrebne resurse pronalaze intuitivno. Kod davanja imena osnovnom domenu treba voditi računa da se ono neće menjati, jer svaka izmena tog imena može kasnije biti nemoguća ili će tražiti dodatni mukotrpni rad a samim tim i povećane
    • Administriranje mreža troškove. Treba koristiti standardne ASCII karaktere koji podležu DNS pravilima (RFC 1035), a izbegavati neke specijalne karaktere koji nisu standardni. Broj nivoa domena treba ograničiti. Preporučuje se da dubina domena bude tri do četri od vrha DNS hijerahije, a maksimalno pet. Što je veći broj nivoa to je i obiv administriranja komplikovaniji. Da bi se postiglo da ime domena bude jedinstveno u celom DNS okruženju potrebno je da svaki domen ima jedinstveno ime unutar sebi nadređenog domena. Potrebno je da dužina imena domena bude što manja, ne duža od 255 znaka. 5.1.3 Plan strukture organizacionih jedinica Organizacija jedinica predstavlja skladište koje definiše strukturu unutar nekog domena. One semogu hijerahijski organizovati u vidu ugnježdavanja. To znači da unutar domena možemo napravitihijerahijsku strukturu stabla, gde u okviru jedne organizacine jedince možemo da imamo drugeorganizacine jedinice, a u okviru njih druge i td. Organizacione jedinice predstavljaju najmanje jedinicena kojima se može dodeliti grupna strategija ili delegirati administriranje. Zato nam ona služi zaupravljanje resursima na osnovu modela organizacije, tako da administratori mogu da delegirajuadministrativne zadatke svim ili samo jednoj organizacionoj jedinici. Zato, planiranje organizacionihjedinica podrazumeva da smo se dobro upoznali sa funkcionalnom organizacijom i strukturompreduzeća, kao i njihovim administrativnim potrebama. Postoji više razloga zašto se prave organizacionejedinice i to su: Lakše održavanje resursa – organizacione jedinice predstavljaju neku vrstu skladišta u kojima smo smestili različite mrežne resurse: korisnike, računare, štampače, deljene datoteke, grupe i ostale organizacine jedinice. Jednostavnim odeljivanjem određenih prava samo toj oraganizacionoj jedinici mi smo dodeli ta ista prava i svim resursima koji su smešteni u tu organizacinu jedinicu. Lakše delegiranje administrativnih zadataka - grupsanjem više računarskih resursa u jedan jedini resurs dobijamo samo jednu administartivnu oblast za delegiranje. Lakše deljenje korisnika prema grupnim strategijama – zahvaljujući organizacionim jedinicama lakše se drže na okupu svi resursi sa identičnim bezbedonosnim potrebama.Broj organizacionih jedinica u domenu nije ograničen i isključivo zavisi od potreba organizacijepreduzeća. Ono što je neophodno, to je da organizacione jedinice prvog nivoa budu jedinstvene udomenu. Preporućuje se da hijerahijska organizacija bude što plića kaoko bi bila lakše shvatljivija. Postojinekoliko uobičajenih modela koji nam pomažu da odredimo hijerahiju koja nam najviše odgovara i to: Geografski model – resursi se ovde organizuju prema mestu gde se oni nalaze. Upotrebom mesta kao faktora koji određuje organizacionu jedinicu, mi postavljamo čvrste temelje za dalju nadgradnju ka stablu domena. Kako su geografske granice stabilne, prednost ovog modela je da administratorima znatno olakšava pronalaženje resursa na mreži. Ovaj model ne mora potpuno da odražava način poslovanja organizacije za koju se organizaciona jednica pravi, ali se uz manje modifikacije može uspešno primeniti. Organizacioni model – ovde se organizacione jedinice prave upravo prema strukturi jedne organizacije, prema odelenjima i sektorima. Administratori često upotrebljavaju ovaj model organizovanja jer je lako prihvatljiv i shvatljiv. On olakšava jednostavno delegiranje zadataka, dodelu prava i zabrana, jer su resurs upravo tako i razdeljeni po organizacionim jedinicama sa istim interesima. Problem menjanja organizacije odelenja u preduzeću ne predstavlja neki problem jer se organizacione jedinice lako reorganizuju. Objektni model – podela resursa po organizacionim jedinicama ovde je definisano na osnovu klasa tih resursa. Klase predstavljaju skup resursa sa istim osobinama kao: korisnici, računari, grupe, štampači i td. Prednos ovog modela je da olakšava administriranje resursa, jer svaka organizacina jedinica ima jednoobrazne objekte, ali se zato može dobiti veliki broj organizacionih jedinica. 5.1.4 Plan strukture lokacije (sajta) Kao što smo već rekli, lokacija (sajt) predstavlja deo fizičke strukture servisa AktivnogDirektorijuma i predstavlja kombinaciju jedne ili više podmreža na bazi IP protokola koje su povezanevrlo brzim i pouzdanim vezama. Struktura lokacije se ovde održava potpuno odvojeno od logičkog
    • Administriranje mrežaokruženja, strukture domena. Jedan domen može da obuhvati više lokacija kao što i jedna lokacija možeda obuhvati više domena ili njegovih delova. Glavna uloga lokacije je da obezbedi dobru povezanost namreži. Način njegove realizacije najviše utiče na proces prijavljivanja korisnika i provere njihoveautentičnosti, kao i na replikaciju direktorijuma. Projektovanje lokacije za mrežu koja se sastoji od jednelokalne računarske mreže(LAN) je veoma jednostavno. Kako su mrežne veze u jednoj LAN mreži popravilu jako brze, cela ta mreža može da bude jedan lokacija. Tek ako primetimo da kontroler domena neodgovara dovoljno brzo na zahteve korisnika treba formirati posebnu lokaciju. Najveću pažnju trebaposvetiti kod projektovanja strukture lokacije/sajta za neku mrežu koja se prostire na nekoliko različitihfizičkih lokacija. Ovde treba obratiti pažnju na fizičke karakteristike tih lokacija, tačno definisati fizičkelokacije koje ćine domene, odrediti oblasti mreže koje bi mogle da se povežu u sajtove, identifikujetefizičke veze koje poveziju te sajtove, obezbedite otpornost na greške konfigurisanjem mosta zapovezivanje sajtova i odrediti način, vreme i cenu replikacije. 5.2 Administrativne alatke Aktivnog Direktorijuma Windows Server 2003 poseduje moćne i fleksibilne alatke koje nam olakšavaju administriranjejedne složene i velike baze podataka kao što je to baza kod Aktivnog Direktorijuma. Sve te alatkemožemo podeliti na dve velike grupe i to:1) Alatke za Aktivni Direktorijum iz paketa Windows Support Tools – ove alatke većinom služe za konfigurisanje, upravljanje i uklanjanje grešaka u servisu Aktivnog Direktorijuma..2) Administrativne konzole za Aktivni Direktorijum – ove alatke se instaliraju automatski na računarima koji su konfigurisani kao kontroleri domena kada se instalira Aktivni Direktorijum. Administrativne konzole mogu biti instalirane i na drugim serverima, ali za to nam je potreban opcioni paket Administrative Tools. Na taj način omogućeno nam je da vršimo administriranje Aktivnog Direktorijuma i sa računara koji nisu kontroleri domena. Na raspolaganju su nam sledeće administrativne konzole:  Active Directory Domains And Trusts – ova konzola obezbeđuje interfejs za upravljanje domenima i odnosima poverenja između šuma i domena. To znači da uz pomoć ove konzole možemo da obezbedimo interoperatibilnost sa drugim domenima, promenimo funkcionalni nivo domena (režimi domena), promenimo funkcionalni nivo šume, da dodamo ili uklonimo alternativne sufikse glavnog korisničkog imena (UPN) koje se koriste za pravljenje korisničkih imena i da prenesemo glavnu ulogu za operaciju imenovanja domena sa jednog kontrolera domena na drugi.  Active Directory Sites And Services – pomoću ove konzole Aktivnom Direktorijumu se daju informacije o fizičkoj konfiguraciji naše mreže. Te informacije Aktivni Direktorijum koristi da bi mogao da odredi kao da vrši repliciranje direktorijuma između kontrolera domena.  Active Directory Users And Computers – kao što samo ime ove konzole kaže ona nam omogućava da dodamo, izmenimo, obrišemo i organizujemo korisničke naloge, računarske naloge, bezbedonosne i distributivne grupe i prijavljene resurse u okviru našeg domena.Takođe vam omogućava da upravljamo i kontrolerima domena kao i organizacionim jedinicama.  Active Directory Schema – Ova konzola je takođe na raspolaganju računaru konfigurisanom kao kontroler domena, ali je potrebno da se naknadno instalira iz komandne linije. Ovaj postupak je zamišljen tako, da bi se izbeglo slučajno menjanje šeme. Prema tome osnovni zadatak ove konzole je da pregledamo i menjamo šemu Aktivnog Direktorijuma. 5.3 Upravljanje Aktivnim Direktorijumom Da bi Aktivni Direktorijum radio pouzdano i efikasno, potrebno je povremeno proveravatiintegritet podataka u njegovoj bazi. To, pre svega podrazumeva neke radnje koje treba primeniti na tojbazi podataka kao što su poravka, premeštanje, oporavak i defragmentacija iste. 5.3.1 Obezbeđivanje integriteta baze podataka Aktivni Direktorijum predstavlja jednu vrstu transakcione baze podataka. Transakciona bazapodataka predstavlja bazu podataka kod koje se ažuriranje podataka vrši iz nekoliko koraka. Jednatransakcija sastoji se iz nekoliko radnji koje je potrebno uraditi u bazi podataka i ona zaokružujekompletno izvršenje te radnje. Ako se desi da nije moguće izvršiti sve predviđene radnje za tu transakciju
    • Administriranje mrežapotrebno je poništiti sve one radnje koje su se izvršile i vratiti se na stanje pre početka izvršenja tetransakcije. Da bi to bilo izvodljivo potrebno je voditi dnevnik transakcija koji nam omogućavaponištavanje operacija po segmentima i sigurno završavanje transakcija u bazi. Za kontrolu semantičkogintegriteta baze podataka Aktivnog Direktorijuma postoji posebna alatka tj. program ntdutil.exe koji namomogučava da proverimo broj aktivnih referenci i veza, broj obrisanih objekata, ispravnost DNS struktureimena, bezbedonosnih deskriptora i proverava replikaciju podataka. 5.3.2 Pravljenje rezervnih kopija servisa Aktivnog DirektorijumaPodaci koji se čuvaju u Aktivnom Direktorijumu predstavljaju jako bitne podatke za efikasnofunkcionisanje jedne mrežne strukture. Zato je neophodno da se bezbednost tih podataka digne na najvećimogući nivo kako se ne bi dogodilo da se oni izgube, a samim tim i naruši normalan mrežni rad. Jedan odnačina da se bezbednost tih podataka digne na veći nivo je pravljenje rezervne kopije tih podataka.Međutim, pre nego što pristupimo pravljenju rezervne kopije potrebno je da uradimo neke preliminarnezadatke. Pre svega, moramo da pripremimo datoteke koje želimo da kopiramo kao i medijum na kojikopiramo te podatke. Ako se radi o izmenljivom medijumu potrebno je da obezbedimo sledeće: uređaj ukome se nalazi izmenljivi medijum mora da bude priključen na mrežu i uključen, prazan medijum trebada bude u uređaju i uređaj mora da zadovoljava HCL(Hardwre Compatibilitz List) listu za WindowsServer 2003. Kada smo sve ove zadatke uradili možemo pristupiti pravljenju rezervne kopije putemposebnog čarobnjaka Backup Or Restore. On automatski kopira sve sistemske komponente i svedistribuirane servise koji su potrebni servisu Aktivni Direktorijum. Ove komponente i servisi poznati supod jedinstvenim imenom podaci o stanju sistema. Kod Windows Serever 2003 ovi podaci uključujubazu Registry, bazu podataka COM+ Class Registration, datoteke za podizanje sistema, datoteke podzaštitom Windows File Protection i bazu podataka Certificate Services. Ako je server i kontroler domenaonda ovi podaci uključuju i Aktivni Direktorijum i direktorijum Sysvol. Svi ovi podaci su nedeljivi kadase rade rezervne kopije. To znači da nije izvodljivo da biramo pojedinačne komponente podataka stanjasistema jer su svi oni međusobno povezani i zavisni jedni od drugih. Rezervne kopije možemo pravitisamo za stanje sistema lokalnog računara, a ne i za udaljene računare. Samo članovi grupa Administratorsi Backup Operators mogu da prave rezervne kopije. 5.3.3 Premeštanje Aktivnog Direktorijuma Ovu aktivnost vršimo u slučaju da se fizički disk, na kome se nalazi baza podataka, ošteti ili onjednostavno otkaže. Da bi smo to uradili na raspolaganju nam se nalazi alatka pod nazivom ntdsutil.exekoja radi u režimu Directory Service Restore. 5.3.4 Defragmentacija baze podataka Postoje dva načina defragmentacije baze podataka i to automatska (na vezi) i ručna (van veze).Automatsko defragmentisanje svoje baze podataka, Aktivni Direktorijum obavlja svakih 12 sati potpunosamostalno i to radi u sklopu svog procesa uklanjanja smeća (Garbage Collection). Ova defragmentacijaje veoma delotvorna jer optimizuje skladištenje podataka u bazi podataka. Na ovaj način se ne vrši fizićkapromena veličine baze podataka, tj. ona se ne smanjuje, već se samo oslobađa prostor u kome je mogućeupamtiti nove podatke za resurse mreže. Ovaj postupak defragmetiranja otklanja probleme saskladištenjem, ali ako baza podataka previše naraste moramo da primenimo drugi način a to jedefragmentiranje van veze. Taj način nam daje potpuno novu, kompaktnu verziju datoteke, ali zato trajedosta duže od prvog načina. Zato se on primenjuje samo u velikim mrežama koje su podložne čestim ivelikim promenama.Baza podataka (fajl Ntds.dit) je kod takvih mreža dosta veliki i ima dosta ’’praznina’’ako se primenjuje samo prvi način defragmentacije a to može dosta da uspori rad našeg AktivnogDirektorijuma. 5.3.5 Integrisanje Aktivnog Direktorijuma sa drugim uslugama Postoji više Microsoftovih proizvoda koji su direktno spregnuti sa Aktivnim Direktorijumom.Instaliranje i podešavanje tih proizvoda predstavlja posebnu temu kojoj se mi nećemo baviti ovde.Napomenućemo samo nekoliko osnovnih proizvoda i objasniti šta nam oni donose. Aktivni Direktorijum i SQL Server – Mehanizam baze podataka Aktivnog Direktorijuma zove se Jet,
    • Administriranje mreža koju koristi i Microsoftov Access. Međutim, Aktivni Direktorijum može sasvim lepo da koristi i SQL Server kao svoj mehanizam baze podataka. Tako da ako nam trebaju i kontrola pristupa i dobre performanse, koje samo SQL Server može da nam pruži, preporučuje se da zajedno koriste i Aktivni Direktorijum i SQL Server. Aktivni Direktorijum i Microsoft Exchange – Program Microsoft Exchange omogućuje nam da u okviru mreže pouzdano razmenjujemo gotovo sve podatke. Posebna pogodnost je ta da se on može vrlo lako integrisati sa Aktivnim Direktorijumom. Na taj način on u njemu podrazumevano skladišti sve podatke o korisnicima i njihovim nalozima. Time smo obezbedili da se podaci ne dupliraju i da su uvek sinhronizovani. Aktivni Direktorijum i DNS – DNS je osnovni način pronalaženja usluga i servera Aktivnog Direktorijuma u domenu. Klijenti i različiti servisi koriste DNS za pronalaženje osnovnog domena radi prijavljivanja i administriranja mreže. Generalno je pravilo da barem jedan DNS mora biti instaliran u šumi domena da bi Aktivni Direktorijum ispravno radio. U jednostavnim kofiguracijama instaliranje DNS servera predstavlja trivijalan zadatak. Uz Windows Server 2003 dolazi i Microsoftov DNS server ali se može instalirati i bilo koji drugi DNS server (na primer BIND server na UNIX-u). Jedini preduslov koji treba da ispuni taj novi DNS server, je da podržava protokol za dinamičko ažuriranje. Nadgledanje povereničkih odnosa i replikovanje – Active Directory Replication Monitor (Replmon.exe) predstavlja grafički alat za nadgledanje operacija niskog nivoa i performansi replikovanja osnovnog domena – upravljača u kompletnom domenu. 5.4 Instalacija Aktivnog Direktorijuma Na početku instalacije treba imati u vidu da je za instalaciju Aktivnog direktorijuma potrebnaNTFS particija. Kako bi se konvertovao Windows 2003 Server u kontroler domena, bira se opcijaStart Run i unosi se DCPROMO. Time se pokreće čarobnjak za instalaciju Active Directory InstallationWizard (slika 4.6). Ovaj program ne samo da konvertuje server u kontroler domena, već i obratno, vraćakontroler domena u server. Instalacija Aktivnog direktorijuma je veoma jednostavna. Čarobnjak postavljaniz pitanja i na osnovu odgovora, podešava nova stabla, šumu ili domen, kreira kopiju kontrolera domenau nekom postojećem domenu. Način na koji se kreira domen je jednostavan. Posle ekrana dobrodošlice pojaviće se okvir kao na slici 4.7. Čarobnjak nudi opcije da li se želi kreiratinovi domen ili da se napravi kontroler u postojećem domenu. U ovom slučaju biramo da želimo dakreiramo novi kontroler domena. Windows 2003 Server omogućava da se domeni postavljaju u stabla, a stabla u šume, tako da je logičnoda Wizard treba da zna gde da stavi novo stablo, u potpuno novu šumu, u neku postojeću ili da to budeneki poddomen. Sledeći okvir (slika 4.8) nudi upravo ove opcije: da li se želi kreirati domen u novojšumi, ili kreirati dete domen u već postojećoj šumi i da li se želi kreirati domen u postojećoj šumi. Mibiramo prvu opciju tj. novi domen u novoj šumi. Klikne se na dugme Next. Sada je potrebno uneti ime domena koji se želi kreirati (slika 4.9). U našem slučaju to je vtsnis.edu.yu.Ovde se dakle unosi ime koje će se registrovati kao zvanično ime. Klikne se na Next. Sledeći okvir nam daje mogućnost upisa NetBIOS imena domena (slika 4.10). Ukoliko ste sigurni damreža na kojoj se instalira kontroler domena radi 100% pod Windows-om 2000, 2003 (uključujući iservere i radne stanice) ime ne treba unositi. Mreža će verovatno sadržati neke računare koji rade podmrežnim softverom koji je pisan u danima Windows 95, kada imena domena nisu mogla da imaju više od15 karaktera i kada se nije moglo osloniti na bilo kakvu hijerarhiju.Ovi stari sistemi ne mogu da prepoznaju domen pod imenom vtsnis.edu.yu, tako da je njima potrebno imekoje mogu da prepoznaju. Iz tog razloga domen u Windows-u 2003 ima dva imena, svoje DNS ime (tj.vtsnis.edu.yu) i ime prema starom stilu označavanja domena (VTS). Kako su ova stara imena bilaizabrana, da bi se prilagodila jednom starom mrežnom programskom interfejsu pod imenom NetBIOS, toje i stil označavanja imena domena nazvan NetBIOS. Nakon ovoga se klikne na Next i pojavljuje se ekransa slike 4.11. Windows 2003 čuva bazu podataka Aktivnog direktorijuma u dva dela, kao što je slučaj sa bazamapodataka, samom bazom i dnevnikom transakcija. Dve stvari koje treba imati na umu su, da bazapodataka Aktivnog direktorijuma treba da bude na NTFS delu, radi postizanja boljih performansi i da je
    • Administriranje mrežadobra ideja da se dnevnik transakcija čuva na drugom fizičkom disku. Stavljanje dnevnika transakcija iAD baze podataka na različite diskove dovodi do toga da sistem može da ih istovremeno ažurira što opetdovodi do značajnog poboljšanja performansi. Da bi se to prilagodilo, klikne se na Next i pojavljuje seokvir sa slike 4.12.Ranije je navedeno da na serveru Aktivnog direktorijuma treba imati najmanje jedan NTFS disk. Ovo jetrenutak kada se to koristi. Ranije verzije servera su sve informacije o konfiguraciji korisnika, kao ikontrolere domena čuvale na direktorijumu pod imenom NETLOGON, koji se nalazio na primarnomkontroleru domena. To su bile na primer datoteke sistemskih polisa, podrazumevani profili i skriptovi zaprijavljivanje. NETLOGON informacije su bile potrebne i backup kontrolerima domena, pa suadministratori mreže morali da nekako osiguraju da sve datoteke NETLOGON-a budu kopirane. KodWindows-a 2003 nema ovakvih problema. Svi ovi podaci idu na direktorijum pod imenom Sysvol, koji seautomatski kopira do drugih kontrolera domena. Ovim se smanjuje posao čuvanja. Opet se klikne na Nexti dolazi se do okvira sa slike 4.13 gde se treba pobrinuti o DNS-u. Ovde je DCPROMO pokušao da pronaĐe i kontaktira DNS server za vtsnis.edu.yu. Pojavile su se neketeškoće koje su dovele do ove nevolje. Ovaj ekran može da znači jednu od dve stvari: DCPROMO ne može da dobije odgovor od DNS servera za vtsnis.edu.yu.U konkretnom slučaju za vtsnis.edu.yu, treba registrovati domen kod neke od organizacija koje se bavetime (Web hosting kompanije). Da bi se registrovao domen mora se reći toj organizaciji IP adresa za dvaračunara koji će služiti kao DNS serveri domena. Primarni DNS će se nalaziti na ovom računaru, koji jošuvek nije podešen, tako da nema DNS servera koji radi. U slučaju da je DNS server konfigurisan prepokretanja programa DCPROMO, sprečio bi se prikaz ovog ekrana. Ovaj ekran će izaći i ukoliko računarnije povezan sa internetom. DCPROMO je dobio odgovor od DNS servera za vtsnis.edu.yu, ali je pronašao da oni nisu prihvatilidinamičko ažuriranje. Pretpostavlja se sada da je računar konfigurisan kao DNS server, ali je računar bio NT 4 server ili nekiserver koji ne podržava RFC 2136[7] (dokument u kojem je opisan DNS), jer je NT 4 izašao pre RFC 2136dokumenta. RFC 2136 podržava ideju dinamičkog ažuriranja, koja je bitna za način na koji Windows2000, 2003 upravlja informacijama o domenima i drugim Windows Serverima. Dinamičko ažuriranje je veoma bitno. DNS je samo baza podataka sa informacijama o adresama. Velikavećina zapisa u svetu DNS baza podataka su jednostavni zapisi, stavke koje povezuju računare sa IPadresama. Kada ljudi dodaju novi računar na internet, zapisi tog računara moraju nekako biti ubačeni uneki DNS server. Ranije je neko morao da sedne za računar i da unosi IP brojeve. Aktivni direktorijumželi da može da doda nove podatke u DNS bazu bez restartovanja DNS-a. Ovo je trenutak kada dinamičkoažuriranje ulazi u igru. RFC 2136 definiše protokol za dodavanje, modifikaciju i brisanje DNS zapisa uletu. Aktivni direktorijum se zasniva na ovome tako da on mora imati RFC 2136 kompatibilan server zasvoje domene. Rezultat je da kad DCPROMO pronaĐe DNS server domena, prva stvar koju ga pita je „dali podržavaš dinamičko ažuriranje?“. Ako to ne učini, DCPROMO izbacuje grešku. Uglavnom Aktivnidirektorijum neće raditi bez konfigurisanog DNS-a, ipak biramo opciju da želimo da ga kasnijekonfigurišemo i kliknemo na Next. Sledeći okvir sa slike 4.14 omogućava serverima, koji su generacijski izašli pre Windows-a 2000,proveru autentičnosti korisnika, gde je Windows 2000 morao malo da izgubi od svoje sigurnosti. Ovo nijeprijatno jer donosi mnoštvo sigurnosnih problema koji su postojali kod NT-a 4.Stoga, ukoliko ste sigurni da nema servera sa ranijim verzijama druga opcija je bolja. Kliknemo na Next ipojavljuje se ekran sa slike 4.15Jedna od opcija Windows-a 2003 je da prepravi oštećene baze Aktivnog direktorijuma. Nije poželjno dato može svako da uradi, jer ako se kaže Windows-u 2003 da ponovo napravi svoju bazu podataka, to je uosnovi isto kao da mu se kaže da je uništi. Zbog ovoga Windows 2003 traži lozinku koju će koristiti daprihvati onog ko želi da ponovo napravi bazu AD-a. Popuni se i klikne se na Next, nakon čega će sepojaviti ekran kao na slici 4.16. Ovaj poslednji ekran, treba pažljivo pročitati i ako nešto nije kako smo želeli, postoji još uvek mogućnostda se vratimo i ispravimo ono što ne valja, pre nego što kliknemo na Finish. Potom se pojavljuje okvirkao na slici 4.17.
    • Administriranje mreža Taj okvir će potrajati na ekranu. Po nekim iskustvima najmanje 10 do 30 minuta. Ovaj proces može da seubrza sa dva SCSI (Small Computer System Interface)[8] diska. Razlog zašto se mora biti u potpunostisiguran, pre nego što se klikne na Finish je što ukoliko se želi da se nešto promeni, najpre mora da seproĐe kroz ceo proces kreiranja Aktivnog direktorijuma, zatim da se restartuje server, nakon čega trebada se pokrene čarobnjak Active Directory Installation Wizard, da se uništi domen, a nakon toga treba dase ponovo restartuje računar i na kraju ponovo pokrene čarobnjak Active Directory Installation Wizard,po treći put. Ovog puta treba zadati tačne vrednosti i naravno kada se sve to odradi, potrebno je opet 10-30 minuta čekanja i još jedno restartovanje. U svakom slučaju, kada je direktorijum jednom spreman,čarobnjak završava sa ekranom koji je prikazan na slici 4.18 čime je završena instalacija Aktivnogdirektorijuma. 5.4.1 Pružanje „servisa za proveru autentičnosti“: kontroleri domena Kada pokušamo da pristupimo nekom deljenom direktorijumu ili deljenom štampaču, aktivnidirektorijum će izvršiti proveru naše validnosti. Preciznije govoreći, ako sedimo za računarom A ipokušavamo da pristupimo određenom fajlu sa deljenog direktorijuma na članskom serveru B, onda će Bzatražiti od A odgovor na pitanje ko smo mi uopšte, kako bi B mogao da odluči da li da nam dozvolipristup željenom fajlu ili ne. A i B će na kraju zajedno otići do kontrolera domena, kako bi proverili našuvalidnost. Prema tome, AD obezbeđuje jednu centralnu bazu podataka o korisničkim nalozima, na koju sesvi Microsoftovi fajl serveri oslanjaju po pitanju provere autentičnosti. Pretpostavimo da imamo 10.000 korisnika, 10.000 radnih stanica (među kojima je i naš računar A)i 500 servera (među kojima je i naš server B). Svaki od ovih 10.000 korisnika trebalo bi da imamogućnost da dođe do bilo kog od ovih servera i potencijalno fajlovima ili štampačima na tom serveru,osim ukoliko smo mu eksplicitno zabranili pristup određenim resursima. Pored toga, svaki od ovih 10.000korisnika trebalo bi da može da sedne za bilo koju od 10.000 radnih stanica, da se na njoj prijavi za rad(loguje) i da obavi neki posao. Kako bi to postigli bez upotrebe domena? Morali bi da odgovarajućezapise, za svih 10.000 korisnika, ručno da unosimo u SAM fajlove na svakoj radnoj stanici posebno i uSAM fajlove na serverima. Lepota upotrebe domena sastoji se u tome što jednom malom broju servera možemo datiblagoslov za čuvanje podataka o korisnicima i njihovim lozinkama – NTDS:DIT fajl – pa zatim, ostatkumreže omogućiti upotrebu odgovarjućih servisa, tako da bilo koji računar može reći, na primer, sledeće:„Hej, ja sam server B, a jedan momak koji sedi za radnom stanicom A tvrdi da je Mark, da li je on zaistaMark?“ Radi se , dakle, o jednom centralnom servisu, koji je veoma sličan f ajl servisu, ili servisu zaštampanje, ili servisu baze podataka, ili web servisu. Grupa servera, koji pružaju ove usluge, naziva sekontrolerima domena (domain controllers), što se obično skraćuje u DC’s. Prema tome, kontroleri domena su računari:  Na kojima je instalirana neka verzija NT Servera – da bi se iskoristile najnovije karakteristike aktivnog direktorijuma, kontroleri domena moraju se instalirati na Windows server 2003 računarima.  Na kojima se čuva baza podataka o domenskim informacijama.  Koji obezbeđuju da njihove kopije domenskih informacija budu veoma kozistente: ako na svojoj mreži imamo pet DC-a , onda će jedan od zadatka koji ovi DC-i obavljaju odnositi na proces pod nazivom replikacija (replication), u kome DC-i jedan drugog međusobno ažuriraju po pitanju izmena u njihovim bazama podataka, koje nastaju kada kreiraamo neki novi korisnički nalog, kreiramo novu lozinku i sl.  Koji pružaju servis za proveru autentičnosti, no koji se ostali računari oslanjaju prilikom prijavljivanja korisnika. 5.1.1 Definisanje domena „poverenje“ Sada, dakle, imamo server koji može vršiti proveru autentičnosti korisnika, to jest, imamo DC.Ali,čiju će proveru autentičnosti on vršiti? Svakako, on to neće vršiti za bilo koji računar. Neki PC (biloda je u pitanju server ili radna stanica) može upotrebit DC na nekom domenu radi prover autentičnoti,jedino ukolikko se taj PC „pridruži“ (join) domenu i postane „član domena“ (domani member). Računarikoji nisu članovi njednog domena, proveru autentičnosti mog vršiti upotrebm korisničkih naloga iz svog
    • Administriranje mrežalokalnog SAM fajla; nasuprot tome, računar koji su punopravni članovi nekog domena, proveruautentičnosti nekog korisnika mogu vršiti bilo upotrebom ovih lokalnih SAM naloga, ili tako što će odkontrolera tog domena zatražiti proveru autentičnosti tog korisnika. U svetu Microsoftovih mreža,kažemo da računari koji nisu članovi nijednog domena, veruju (trust) samo svom lokalnom SAM-u, dokračunari koji su članovi nekog domena veruju svom SAM fajlu, kao i DC-ima na svom domenu. Prilikompridruživanja domenu, uspostavlja se „odnos poverenja“ (trust relationship) između PC-ja i DC-a. Prenego što radna stanica poveruje kontroleru domena koji će joj obezbediti korišćenje prijavnih servisa, ipre nego što domen kontroler bude dovoljno verovao radnoj stanici da bi joj pružio ove prijavne servise,MIcrosoftov softver zahteva postojanje dogovora između administratora na nivou domena iadministratora na nivou radne stanice. Kada neku mašinu prijavljujete domenu, obično smo na njuprijavljeni preko jednog naloga, koji radna stanica prepoznaje kao nalog lokalnog administratora, ali kadzaista uspostavimo zahtev za nje prijem u članstvo domen, domen će nam odgovoriti: „Sada želim da mipokažete nalog administratora koji može biti prepoznat na domenu“. Ali, odnosi poverenja mogu ići dalje od toga, moguće je kreirati odnose poverenja ne samoizmeđu mašina i domena, već i između domena i nekog drugog domena. Dakle,  Domen predstavlja grupu računara koji veruju DC-ima datog domena, i  Različiti domeni mogu biti konfigurisani tako da veruju jedan drugom. Tako dolazimo do još jedne prednosti aktivnog direktorijuma: automatski odnosi poverenja.Aktivni direktorijum omogućava izgradnju većih mreža, tako što kreiranje i održavanje multi domenskihmreža čini znatno jednostavnijim. Dok je, nekada, adminidtrator neke multidomenske mreže morao daizgradi i stalno održava kompleksan sistem međusobnih odnosa poverenja, aktivni direktorijum nam sadadaje mogućnost da kreiramo sistem domena pod nazivom šuma (forest). Osnovna prednost šuma sesastoji u tome što će, kad neka grupa domena bude jednom ugrađena u šumu, kreiranje i održavanjenjihovih odnosa biti potpuno automatizovano. Pored toga, postoje i manje multi-domenske strukture, podnazivom stabla (trees), kod kojih se takođe koristi karakteristika auatomatskog uspostavljanja poverenja. 5.1.2 Izgradnja multi-domenskih struktura Stabla Praktično iskustvo u upotrebi NT-a , pokazalo je da su ljudi prilikom izgaradnje multidomenskihmreža, obično kreirali hjerarhije domena, koje računarski stručnjaci nazivaju strukturom stabla, uprkosčinjenici da se kod ovih računarskih stabala korenje nalazi na vrhu, a „lišće“ na dnu. Prvi domen koji kreiramo naziva se korenom (root) stabla. Pretpostavimo da naziv roota galsibigfirm.biz. domeni ispod njega nazivaju se deca-domeni (child domains). Prilikom podele organizacije,to možemo učiniti, na primer, po geografskom principu – istocni.bigfirm.biz i zapadni.bigfirm.biz. Prematome, pravilo za davanje naziva deci-domenima glasi: dete-domen mora imati naziv u oblikunaziv.nazivroditeljskogdirektorijuma. Osnovna prednost upotrebe stabala odnosi se, pre svega, na automatsko uspostavljanje odnosapoverenja, što je zaista sjajna osobina. Šume Pretpostavimo, sada, da je naša kompanija Root(.)podeljena na domene bigfirm.biz i apex.com. Nadalje,ome pretpostavimo da smo odlučili dazadržimo multi-domensku strukturu, pri čemuželimo da jedan njen deo zadrži naziv bigfirm.biz,a da drugi nastavi da egzistira pod nazivomapex.com. bigfirm.biz apex.com Nalazimo se, dakle, u sledećoj situaciji: prvo,imamo dav domena, i drugo, ova dva domena sene mogu uklopiti u jedno stablo. Od ova dva domena možemo, doduše, kreiratijednu jedinstvenu strukturu, ali ona ne može imati istocni.bigfirm.biz zapadni.bigfirm.bizoblik stabla, zbog njihovih različitih naziva.Umesto toga, trebalo bi da kreiramo takozvanu
    • Administriranje mrežašumu. Kao što se vidi sa slike, šuma ne predstavlja ništa drugo do grupu stabala. Slika 3.3 Šematski prikaz šume Na slici je prikazana šuma koja je izgrađena od bigfirm.biz i apex.com stabala. Izuzev različitih nazivnih hijerarhija, sva stabla u šumi se,sa aspekta međusobnih odnosa poverenja,mogu posmatrati kao jedno stablo – aktivni direktorijum će automatski kreirati tranzitivne odnosepoverenja. Tako, na primer, pošto istocni.bigfirm.biz veruje domenu bigfirm.biz, a bigfirm.biz verujedomenu apex.com, to će i istocni.bigfirm.biz – potpuno automatski – verovati domenu apex.com. 5.1.3 Provera auentičnosti za veliki broj različitih proizvođača Microsoft je odlučio da svoj aktivni direktorijum opremi standardnim interfejsom, pod nazivomLightweight Directory Acces Protocol (LDAP). Postavljanjem LDAP interfejsa na svoj aktivnidirektorijum, Microsoft je širom otvorio vrata za programere svih ostalih proizvođača. Postojanje LDAP-a znači da je (bar teoretski) moguće izgraditi alate pomoću kojih se može kreirati struktura aktivnogdirektorijuma – domeni, stabla, šume, organizacione jedinice, korisnički nalozi i sve ostale komponente.Drugim rečima, to znači da, ako nam se dopada AD, ali strašno mrzimo Microsoftove alate zaadministraciju, onda neka inteligentna nezavisna firma može jednostavno uleteti sa ponudom svojih alata,koji će biti izraženi na temelju LDAP interfejsa. 5.1.4 Problemi vezani za konektivnost i replikaciju Sve veći broj kompanija jednostavno ne živi više samo u jednom gradu. Kupili su, recimo, nekudrugu firmu sa drugog kraja zemlje, tako da ono što je neka predstavljalo dve odvojene mreže lokalnogpodručja, sada prestavlja jednu organizaciju sa potrebom za kreiranje WAN mreže. Ukoliko je ovaj WANlink dovoljno brz, nijedan mrežni dizajn neće izazivati nikakvu glavobolju: kada povežemo dve izdvojenekancelarije uz pomoć T1 linka, od tog trenutka ih možemo, u suštini, tretirati kao jednu kancelariju. Od toga možemo imati velike koristi, jer će svaki sajt (lokacija) obično sadržati svoj kontrolerdomena. Ali, ovi kontrolerori domena moraju komunicirati međusobno, kad god dođe do nekih izmena ubazi, kao na primer, kada korisnik promeni svoju lozinku ili kada administrator kreira novi korisničkinalog. Ovaj proces se naziva replikacijom aktivnog direktorijuma. Pretpostavimo, međutim, da smo, pod operativnim sistemom NT4, imali dve izdvojene kancelarije,međusobno konektovane sporim WAN linkom. Nadalje, pretpostavimo da je u svakoj od ovih kancelarijapostojao po jedan kontroler domena. Između ovih kontrolera domena morala je da se redovno obavljareplikacija njihovih SAM baza podataka. Ažuriranje NT4 kontrolera domena obavljalo se svakih petminuta. To zanči da će svaki kontroler domena uporno pokušavati da sve svoje izmene replikuje nakontroler domena, bez obzira što su oni povezani samo jednim veoma sporim WAN linkom. Sve tonjihovo ćaskanje moglo bi u velikoj meri zagušititi WAN link i sprečititi prolazak nekog drugog, mnogovažnijeg saobraćaja. AD i ovde donosi veoma značajno poboljšanje, tko što nam omogučava da našim WIndows 2000 iServer 2003 kontrolerima domena saopčtimo koliko su oni međusobno dobro konektovani. Ideja sesaatoji u tome da svoje preduzeće opisujemo uz pomoć termina sajtovi (sites), koji u osnovi nepredstavljauju ništa drugo do grupu servera sa brzom međusobnom konekcijom – odnosno, grupu serverakoji egzistiraju na istoj LAN mreži. Nakon toga, možemo definisati koliko su brze (ili, verovatnije, spore)konekcij između ovih sajtova, kako bi AD mogao pametnija da koristi ove konekcije. Konkretno, serveri aktivnog direktorijuma Windowsa 2000 će obaviti kompresiju podataka pre negošto ih pošalje preko sporih WAN linkova. Doduše, ova kompresija će oduzeti malo procesorske snage aliće se višestruko isplatiti, jer AD može postići stepen kompresije od čak 10:1. Ali, neki ljudi ne bi volelida AD ne troši uludo snagu svog procesora na kompresiju i dekompresiju podataka, jer poseduju dovoljnoveliki propusni opseg WAN linka. I za ovakve korisnike, AD servera 2003 nudi adekvaatno poboljšanje:sada imamona raspolaganju opciju za isključenje kompresije. Ne samo što se često suočavamo sa sporim linkovima, već često moramo da se pomirimo saneminovnošću upotrebe nepouzdanih linkova, onih koji čas rade čas ne rade, odnosno onih koji svakogdana rade samo tokom kratkog vremenskog perioda. Aktivni direktorijum omogućava da definišemo nesamo brzinu WAN linka, već i vreme kada je on obično dostupan.
    • Administriranje mreža 5.1.5 AD podržava upotrebu direktorijumskih servisa na mreži Windows 2000, XP i server 2003 omogućavaju da kontrolišemo propusni opseg (bandwidth) na svomintranetu uz pomoć takozvane QoS (Quality of Service) kontrole u TCP/IP protokolu. Na taj način, naprimer, možemo podesiti da određeni korisnik dobije na raspolaganje veći propusi opseg svakog utorkapopodne, jer mu je to potrebno zbog prenošenja video-konferencija. A gde se sve te informacije čuvaju? –U aktivnom direktorijumu. 5.1.6 AD će jednog dana zameniti Browser Tokom proteklih godina, Microsoft je hrabro poiušavao da na omogući jednostavno pretraživanjeservera na lokalnoj mreži. Ovakav pretraživač se najpre nazivao Browser, pa zatim NetworkNeighborhood, a čitava ideja se sastojala u tome da se korisniku omogući da jednostavno otvoriodgovarajuči prozor i vidi koji mu resursi stoje na raspolaganju na internoj mreži kompanije. Browser još uvek postoji u Serveru 2003, ali njegovu ulogu lagano preuzima centralna listaservera i deljnih resursa, koja se čuva u aktivnom direktorijumu. Ova lista sadrži nazive servera,raspoložive deljene resurse (shares) u sistemu, kao i listu raspoloživih mrežnih štampača.rađeni u tastasturu korisnika.