Zařazování počítačů do Active Directory domény
Konfigurace OS pro zařazení do domény
Pro následné úspěšné zařazení počítače do Active Directory je zapotřebí zajistit:
- správně nastavit jméno počítače včetně primárního DNS sufixu
- zakázat změnu primárního DNS sufixu při změně členství v doméně
- vhodně nastavit DNS resolver
- zakázat dynamickou registraci v DNS
- restartovat počítač v případě, že bylo změněno jeho jméno
Vlastní zařazení počítače do domény bude předmětem až následujícího kroku. Na možnost zařazení do domény sice v dialozích narazíte už v této fázi, ale zatím se o zařazení počítače do domény ještě nepokoušejte.
Nastavení jména počítače
Jméno počítače je třeba nastavit přesně podle registrace v DNS. Je třeba nastavit jak samotné jméno (tj. část bez DNS domény) tak i samotnou doménu (tzv. primární DNS sufix). Obě tyto položky dohromady tvoří celé kvalifikované jméno (FQDN), ale musí se zadávat odděleně:
Dokud neuzavřete nejzanořenější z dialogů, máte šanci ihned provést následující krok pouhým jediným kliknutím navíc.
Pokud jste vše zadali správně, zobrazí se u nadpisu/popisku Full computer name na záložce Computer Name v dialogu System Properties celé správné FQDN:
V případě pochybností lze jméno počítače zjistit z DNS např. příkazem
nslookup 147.229.72.10
kde místo vzorové IPv4 adresy 147.229.72.10
použijte
adresu dotyčného počítače, kterou zjistíte např. z výstupu
příkazu
ipconfig
Pokud přímo na dotyčném počítači můžete použít webový prohlížeč, lze si nechat zjistit jméno počítače i IPv4 adresu také rovnou zde.
Je třeba připomenout, že správné nastavení jména počítače by mělo být samozřejmostí již dávno. Pro zařazení počítače do Active Directory je tento požadavek ale nutností.
Pokud je jméno počítače registrované v DNS chybné – např. odkazuje na již neexistující osobu nebo místnost – je nutno požádat správu sítě o změnu registrace.
Zakázání změny primárního DNS sufixu při změně členství v doméně
Změnu primárního DNS sufixu jednoduše zakážete v tom samém dialogu, ve kterém jste v předchozím kroku zadávali primární DNS sufix a to "odzaškrtnutím" pole Change primary DNS suffix when domain membership changes:
Nastavení DNS resolveru
Účelem je nastavit DNS resolver tak, aby prohledával fakultní DNS
doménu feec.vutbr.cz
.
Tento krok je nutný ve Windows 7 pro obejití Microsoftem neřešeného bugu KB2018583. Ve verzích Windows, které tento bug neobsahují (Windows XP jím netrpí zaručeně, Windows Vista snad také ještě ne a Windows 8 či novější už snad zase ne), lze ovšem toto nastavení také doporučit.
Doporučujeme nastavit statický seznam prohledávaných domén (tedy
vypnout veškerou automatiku) a do seznamu vložit pouze výše
uvedenou doménu. To znamená na záložce DNS v konfiguraci
IPv4 (nebo IPv6) protokolu kliknout na přepínací pole Append these
DNS suffixes (in order) a následně do níže zobrazeného
seznamu vložit pouze hodnotu feec.vutbr.cz
:
V případě zájmu o prohledávání dalších domén dle vašeho výběru je nutné, aby doména `feec.vutbr.cz' byla uvedena jako první (to platí především v případě obcházení výše zmíněného bugu).
Nastavení DNS resolveru jsou(až na seznamy DNS serverů) společná pro IPv4 i IPv6 a také pro všechny síťové adaptéry. Lze je tedy modifikovat u kteréhokoli protokolu i síťového adaptéru. S ohledem na postup v následujícím kroku ale doporučujeme otevřít si vlastnosti síťového adaptéru, kterým se počítač připojuje k síti a dialog ještě neuzavírat.
Zakázání dynamické registrace v DNS
Toto nastavení s Active Directory sice nesouvisí, ale jedná se o delší dobu propagované doporučení, které navíc provedete na témže místě jako změny z minulého kroku. Stačí ve spodní čísti dialogu jen "odzaškrtnout" pole Register this connection's addresses in DNS:
Na rozdíl od minulého kroku je toto nastavení sice také společné pro IPv4 i IPv6, ale je už pro každý síťový adaptér oddělené. V případě více síťových karet v počítači proto bude vhodné tuto změnu provést u každého síťového rozhraní.
Restart počítače
V případě, že došlo ke změně jména počítače, může být před samotným zařazením do domény nutné počítač restartovat. Restartu se lze vyhnout jedině v případě, kdy vámi použitý nástroj pro zařazení do domény "umí" počítač zařadit již s jeho novým jménem. API pro zařazení počítače do domény potřebný příznak nabízí, ale je otázkou, zda jej použitý nástroj podporuje. Nemáte-li toto ověřeno, restart raději proveďte.
Při vynechání restartu s nástrojem, který restart potřebuje, může být počítač do domény zařazen ještě se jménem, které měl před svým přejmenováním. Přejmenování, které jste právě provedli, navíc může být zcela anulováno. Po takovémto zařazení do domény je sice možné přejmenování provést dodatečně, ale pokud bylo původní jméno kolizní, mohlo dojít k modifikaci jiného již existujícího účtu a tedy i k porušení již existující registrace jiného počítače!