Scenariusz firmy — konfiguracja infrastruktury od zera

Lekcja końcowa kursu INF.02. Nie teoria — symulacja realnej pracy. Administrator tłumaczy młodszemu: dlaczego to działa i gdzie szukać, gdy nie działa.

1. Historia

Dostajesz zadanie: firma ma 20 komputerów. W poniedziałek przychodzi nowy pracownik. Podłącza komputer do sieci, włącza go i ma od razu: dostać adres IP, zalogować się do domeny jednym kontem, widzieć dysk sieciowy swojego działu, mieć zainstalowany program firmowy bez Twojej wizyty przy biurku i mieć dostęp do internetu.

To nie jest lista „zrób punkt 1, 2, 3”. To jest efekt łańcucha usług. Za każdym z tych kroków stoi konkretny element infrastruktury. Jeśli któryś się posypie, użytkownik zobaczy objaw — a Ty musisz wiedzieć, gdzie szukać.

2. Co dzieje się po włączeniu komputera (krok po kroku)

1. DHCP przydziela IP i DNS. Komputer wstaje bez adresu. Wysyła w sieci: kto da mi konfigurację? Serwer DHCP odpowiada i przydziela adres, bramę oraz adres serwera DNS. Bez DNS klient nie wie, do kogo pytać o cokolwiek po nazwie.

2. DNS odnajduje kontroler domeny. Użytkownik wpisuje login i hasło. System nie sprawdza tego lokalnie — musi znaleźć kontroler domeny. Pyta DNS: gdzie jest DC dla naszej domeny? DNS (najczęściej na tym samym serwerze co DC) zwraca adres z rekordów SRV. Klient łączy się z kontrolerem.

3. Logowanie do AD. Kontroler uwierzytelnia użytkownika i wydaje token. Dopiero wtedy użytkownik jest „zalogowany do domeny”.

4. Pobranie GPO. Kontroler przekazuje listę polityk przypisanych do OU użytkownika i komputera. Wśród nich: mapowanie dysku (np. Z: na udział działu) oraz przypisanie oprogramowania (MSI dla komputerów z danej OU).

5. Mapowanie dysku. Stosuje się przy logowaniu użytkownika (User Configuration). Użytkownik widzi dysk Z:, bo GPO zostało pobrane po znalezieniu DC przez DNS.

6. Instalacja aplikacji. To Computer Configuration — stosuje się przy starcie komputera. Komputer musi być w OU, do której linkowane jest GPO z przypisanym MSI. Uprawnienia do udziału z MSI: Domain Computers.

7. Dostęp do internetu. Komputer ma już IP i bramę (opcja 003 z DHCP). Ruch do stron idzie na bramę; brama (router z NAT) przekłada adresy prywatne na publiczny i z powrotem. Domena, dyski i programy nie wymagają internetu — ale użytkownik oczekuje, że przeglądarka też zadziała.

W jednym zdaniu: DHCP → DNS → logowanie → GPO (dysk, program) → internet przez bramę. Jeden łańcuch.

3. Gdzie może się zepsuć (objaw → przyczyna)

Ma internet, ale nie loguje się do domeny. Strony się ładują (zapytania DNS o google.pl idą np. na 8.8.8.8). Logowanie do domeny wymaga zapytania DNS o kontroler — a klient ma zły serwer DNS (nie DC). Ten serwer nie ma strefy domeny ani rekordów SRV. Objaw: „Nie można skontaktować się z kontrolerem domeny”. Sprawdź: ipconfig /all — pole DNS Servers musi wskazywać na kontroler. Często winna opcja 006 w DHCP.

Loguje się, ale nie widzi dysku Z:. Mapowanie idzie z GPO (User Configuration, Drive Maps). Albo GPO nie jest linkowane do OU użytkownika, albo Security Filtering wyklucza jego grupę, albo folder nie jest udostępniony albo uprawnienia NTFS/Share nie mają grupy (DL), do której należy użytkownik (AGDLP). Sprawdź: gpresult /r; na serwerze — Share, NTFS i czy użytkownik jest w grupie.

Program z GPO się nie instaluje. Instalacja przez GPO to Computer Configuration — GPO linkowane do OU z komputerami, nie z użytkownikami. Częste błędy: GPO pod OU_Users (Computer Config nie działa na użytkownikach), komputer w kontenerze Computers (brak linku GPO), ścieżka do MSI nie UNC albo brak uprawnień Domain Computers na udział. Restart komputera po przeniesieniu do właściwej OU.

Użytkownik w ogóle się nie loguje. Może nie mieć adresu IP (DHCP nie działa lub nie dociera — np. brak Relay w innej podsieci). Może mieć zły DNS. Może komputer nie być w domenie. Może problem z hasłem lub kontem (wyłączone, zablokowane). Kolejność: ipconfig (czy jest IP i DNS?) → ping do DC po nazwie (czy DNS rozwiązuje?) → czy komputer w domenie → konto w AD.

Działa raz tak, raz nie (losowo). Często cache DNS na kliencie: stary adres DC; czasem odpowiedź z cache, czasem z serwera. Albo dwa serwery DHCP w jednej sieci — klient dostaje raz konfigurację z jednego, raz z drugiego. Sprawdź: ipconfig /flushdns; jeden DHCP; spójny DNS na kliencie.

4. Myślenie administratora

Active Directory to nie jedna usługa. To łańcuch zależności. Jeśli wcześniejszy element nie działa — następny też nie.

Nie naprawisz logowania do domeny, poprawiając tylko GPO — bo bez DNS klient w ogóle nie znajdzie DC. Nie naprawisz mapowania dysku, restartując serwer plików, jeśli problem jest w tym, że użytkownik nie jest w grupie z uprawnieniami. Zawsze idziesz od początku łańcucha: czy jest IP, czy DNS wskazuje na DC, czy logowanie w ogóle przechodzi, dopiero potem GPO, dyski, programy.

W pracy: słyszysz objaw („nie ma dysku”, „nie instaluje się program”), potem myślisz — który element łańcucha za to odpowiada i co mogło się zepsuć. Bez tego będziesz klikać w ciemno.

5. Zapamiętaj — 6 faktów końcowych kursu INF.02

1. Kolejność infrastruktury: DHCP (IP, DNS) → DNS (znalezienie DC) → logowanie do AD → GPO (mapowanie dysku, instalacja, polityki) → zasoby i internet przez bramę/NAT. Jeśli wcześniejszy krok nie działa, następny nie ma szans.
2. „Internet działa, domena nie” — prawie zawsze zły adres DNS na kliencie (nie wskazuje na DC). Sprawdź ipconfig /all i opcję 006 w DHCP.
3. Mapowanie dysku = User Configuration, GPO do OU z użytkownikami. Instalacja programu = Computer Configuration, GPO do OU z komputerami. Nie myl tych dwóch.
4. Uprawnienia do zasobów (dysk, folder) idą przez grupy (AGDLP). GPO tylko „dostarcza” mapowanie — folder musi być udostępniony i mieć NTFS/Share dla właściwej grupy DL.
5. DNS jest warunkiem działania domeny — bez niego klient nie znajdzie DC. W diagnostyce zawsze: czy klient pyta właściwy DNS i czy ten DNS ma rekordy SRV.
6. Domena to system zależności, nie zestaw osobnych funkcji. Diagnostyka = objaw → który element łańcucha → co w tym elemencie jest źle.

6. Test końcowy (10 pytań ABCD)

Poniżej 10 pytań scenariuszowych: objaw → diagnoza. Bez definicji — jak w pracy. Wybierz odpowiedź i sprawdź feedback.