Создание и обслуживание сервера

Размещено на http://www.allbest.ru/

Содержание

1. Постановка задачи

1.1 OC Windows Server 2003

1.2 Контроллеры домена в лесу

1.3 Защита с использованием протокола Kerberos

2. Практическая часть

2.1 Специфика обслуживания сервера

2.2 Планирование структуры доменов

2.3 Параметры контроллера домена

2.4 Терминология Active Directory

2.5 Установка служб AD (Active Directory)

2.6 Настройка контроллера домена



1. Постановка задачи

1.1 OC Windows Server 2003

Windows Server 2003 (кодовое название при разработке - Whistler Server, внутренняя версия - Windows NT 5.2) -операционная система семейства Windows NT от компании Microsoft, предназначенная для работы на серверах. Она была выпущена 24 апреля 2003 года.

Windows Server 2003 является новой версией Windows 2000 Server и серверным вариантом операционной системыWindows XP. Изначально Microsoft планировала назвать этот продукт «Windows.NET Server» с целью продвижения своей новой платформы Microsoft.NET. Однако впоследствии это название было отброшено, чтобы не вызвать неправильное представление о.NET на рынке программного обеспечения.

Новые функции системы

Windows Server 2003 в основном развивает функции, заложенные в предыдущей версии системы - Windows 2000 Server. На это указывала и версия NT 5.2 ядра системы (NT 5.0 для Windows 2000). Ниже приведены некоторые из наиболее заметных изменений по сравнению с Windows 2000 Server.

Поддержка.NET

Windows Server 2003 - первая из операционных систем Microsoft, которая поставляется с предустановленной оболочкой.NET Framework. Это позволяет данной системе выступать в роли сервера приложений для платформы Microsoft.NET без установки какого-либо дополнительного программного обеспечения.

Улучшения Active Directory

Windows Server 2003 включает в себя следующие улучшения для Active Directory - службы каталогов, впервые появившейся в Windows 2000:

Возможность переименования домена Active Directory после его развёртывания.

Упрощение изменения схемы Active Directory - например, отключения атрибутов и классов.

Улучшенный пользовательский интерфейс для управления каталогом (стало возможно, например, перемещать объекты путём их перетаскивания и одновременно изменять свойства нескольких объектов).

Улучшенные средства управления групповой политикой, включая программу Group Policy Management Console.

IIS 6.0

В составе Windows Server 2003 распространяется версия 6.0 служб Internet Information Services, архитектура которой существенно отличается от архитектуры служб IIS 5.0, доступных в Windows 2000. В частности, для повышения стабильности стало возможным изолировать приложения друг от друга в отдельных процессах без снижения производительности. Также был создан новый драйвер HTTP.sys для обработки запросов по протоколу HTTP. Этот драйвер работает в режиме ядра, в результате чего обработка запросов ускоряется.

Безопасность

По заявлениям Microsoft, в Windows Server 2003 большое внимание было уделено безопасности системы. В частности, система теперь устанавливается в максимально ограниченном виде, без каких-либо дополнительных служб, что уменьшает поверхность атаки. В Windows Server 2003 также включён программный межсетевой экран Internet Connection Firewall. Впоследствии к системе был выпущен пакет обновления, который полностью сосредоточен на повышении безопасности системы и включает несколько дополнительных функций для защиты от атак. Согласно американскому стандарту безопасности Trusted Computer System Evaluation Criteria (TCSEC) система Windows Server 2003 относится к классу безопасности C2 - Controlled Access Protection

Прочее

В Windows Server 2003 впервые появилась служба теневого копирования тома (англ. Volume Shadow Copy Service), которая автоматически сохраняет старые версии пользовательских файлов, позволяя при необходимости вернуться к предыдущей версии того или иного документа. Работа с теневыми копиями возможна только при установленном «клиенте теневых копий» на ПК пользователя, документы которого необходимо восстановить.

Также в данной версии системы был расширен набор утилит администрирования, вызываемых из командной строки, что упрощает автоматизацию управления системой.

Роли

Введено новое понятие - «роли», на них основано управление сервером. Проще говоря, чтобы получить файл-сервер, необходимо добавить роль - «файл-сервер».

Издания

Windows Server 2003 доступен в четырёх основных изданиях, каждое из которых ориентировано на определённый сектор рынка.

Все эти издания, за исключением WebEdition, доступны также в 64-разрядных вариантах (AMD64 и IA-64). Включение поддержки 64-разрядных процессоров даёт системам возможность использовать большее адресное пространство и увеличивает их производительность.

Web Edition,- серверная система, оптимизированная для Web-служб и Web-узлов, - (издание для World Wide Web) представляет собой «облегчённую» версию Windows Server 2003 специально для использования на веб-серверах. Это издание не способно выполнять функции контроллера домена и не поддерживает некоторые другие важные возможности прочих изданий, но содержит службы IIS и стоит значительно дешевле. Поддерживает до 2 гигабайт[1] оперативной памяти и до четырёх процессоров на компьютер.

Standard Edition (стандартное издание) ориентировано на малый и средний бизнес. Оно содержит все основные возможности Windows Server 2003, но в нём недоступны некоторые функции, которые, по мнению Microsoft, необходимы только крупным предприятиям. Поддерживает до 4 гигабайт[1] оперативной памяти и до четырёх процессоров на компьютер.

Enterprise Edition (издание для предприятий) ориентировано на средний и крупный бизнес. В дополнение к возможностям StandardEdition, оно позволяет использовать больший объём оперативной памяти (до 32 гигабайт[1] оперативной памяти) и SMP на 8 процессоров (StandardEdition поддерживает лишь 4). Это издание также поддерживает кластеризацию и добавление оперативной памяти «на лету».

Datacenter Edition (издание для центров данных) ориентировано на использование в крупных предприятиях при большой нагрузке. Windows Server 2003, Datacenter Edition может одновременно поддерживать в определённых ситуациях больше 10000 пользователей и кластеры, содержащие до восьми узлов. Эта система поддерживает до 64 процессоров и 128 гигабайт http://ru.wikipedia.org/wiki/Windows_Server_2003 - cite_note-aboutmem-0 оперативной памяти.

Windows Compute Cluster Server 2003

Windows Compute Cluster Server 2003 (CCS), выпущенный в июне 2006 года разработан для высокотехнологичных приложений, которые требуют кластерных вычислений. Издание разработано для развертывания на множестве компьютеров, которые собираются в кластер для достижения мощностей суперкомпьютера. Каждый кластер на Windows Compute Cluster Server состоит из одной или нескольких управляющих машин, распределяющих задания и нескольких подчиненных машин, выполняющих основную работу. Computer Cluster Server использует the Microsoft Messaging Passing Interface v2 (MS-MPI) для связи между исполняющими машинами в сети-кластере. Он связывает части кластера вместе мощным надпроцессовым механизмом. API состоит из более чем 160 функций. MS MPI был разработан как совместимым с opensource интерфейсом MPI2, который широко используется в высокопроизводительных вычислениях. За некоторыми исключениями по соображениям безопасности MS MPI покрывает функциональность MPI2 за исключением возможностей динамического порождения процессов.

Разработанная для предприятий среднего и большого бизнеса ОС Windows Server 2003 Enterprise Edition рекомендуется для серверов, работающих с сетевыми приложениями, программами отправки сообщений, системами управления запасами и обслуживания пользователей, базами данных, веб-узлами электронной коммерции, а также для файловых серверов и серверов печати. Microsoft Windows Server 2003 Enterprise Edition обеспечивает высокую надежность, производительность и экономическую эффективность.

Для обеспечения оптимальной гибкости и масштабируемости будет доступна как 32-разрядная, так и 64-разрядная версия ОС Windows Server 2003 Enterprise Edition. Организации получают инфраструктуру высокой производительности, оптимизированную для запуска любых ответственных бизнес-приложений и служб.

Отличия от Windows Server 2003 Standard Edition

Главное отличие от версии Windows Server 2003 StandardEdition: поддержка серверов высокой производительности и возможность организации кластеров для распределения высокой нагрузки. Данные функции обеспечивают надежность и работоспособность систем независимо от возможных сбоев и масштабов исполняемых приложений.

Windows Server 2003 Enterprise Edition на высоком уровне обеспечивает поддержку следующих возможностей:

восьмипотоковая симметричная многопроцессорная обработка (SMP)

восьмиузловая кластеризация

32 ГБайт оперативной памяти в 32-разрядных версиях и 64 ГБайт - в 64-разрядных версиях.

Повышение производительности сервера

ОС Windows Server 2003 Enterprise Edition позволяет увеличить производительность сервера за счет добавления процессоров и памяти. Данный подход к повышению пропускной способности сети называется масштабированием. Производительность сервера можно увеличить за счет добавления процессоров, которые будут работать совместно.

Расширенная поддержка технологии SMP в Windows Server 2003 Enterprise Edition позволяет использовать мультипроцессорные серверы. Производительность сервера можно также повысить за счет добавления памяти, что позволит компьютеру одновременно работать с большими объемами данных.

Версия Enterprise Edition предоставляет функции расширения памяти, что увеличивает доступный для серверных операций объем памяти до 32 Гбайт в 32-разрядных версиях и 64 Гбайт - в 64-разрядных версиях.

Надежность

ОС Windows Server 2003 Enterprise Edition включает новые функции и усовершенствования, которые делают ее самой надежной и подготовленной для корпоративного использования серверной операционной системой. Данные усовершенствования коснулись и ключевых технологий, введенных в Windows 2000 Server

Среди них балансировка нагрузки сети, кластеры серверов и служба Active Directory. Windows Server 2003 Enterprise Edition является более масштабируемой системой, способной поддерживать кластеры с количеством узлов до восьми штук и серверы с восьмипотоковой SMP.

Кроме перечисленных выше усовершенствований, корпорация Microsoft внедрила в ОС Windows Server 2003 Enterprise Edition новую технологию common language runtime, которая защищает сеть от вредоносного или некачественного программного кода.

Более того, данная операционная система отражает стремление корпорации Microsoft к надежности ИТ-технологий и является заметным шагом вперед в обеспечении безопасности, включая повышенную безопасность служб Internet Information Services (IIS), инфраструктуры открытых ключей (PKI) и протокола Kerberos, а также в поддержке проверки подлинности с помощью смарт-карт и биометрии. Служба Active Directory стала быстрее и надежнее при использовании неустойчивых подключений по глобальным сетям (WAN) благодаря более эффективной синхронизации и репликации, а также кэшированию учетных данных в контроллерах домена филиалов организации.

Высокая производительность

Продукты семейства Windows Server 2003 за счет усовершенствованных функций управления системой и хранения данных увеличивают производительность как ИТ-администраторов, так и пользователей. Новый интерфейс семейства продуктов Windows Server 2003, ориентированный на выполнение задач, делает более легкими поиск и выполнение наиболее распространенных операций. Усовершенствования консоли управления MMC и службы Active Directory повышают производительность и делают управление более удобным.

Семейство Windows Server 2003 содержит несколько новых важных автоматизированных средств управления, таких как службы обновления программного обеспечения (SUS) и мастера конфигурации сервера, помогающие автоматизировать внедрение системы. Управлять групповой политикой стало проще благодаря новой консоли "Управление групповой политикой", позволяющей большему количеству организаций эффективнее использовать преимущества службы Active Directory, сокращая свои затраты.

Помимо этого, средства командной строки позволяют администратору выполнять большинство задач прямо из консоли. Среди других возможностей управления и администрирования, обеспечиваемых семейством Windows Server 2003, выделяются переименование домена, управление в разных доменах и лесах, а также результирующая политика (RSoP). Инструменты WMI и средства командной строки обеспечивают администраторам четкий контроль за выполнением задач.

Семейство Windows Server 2003 делает более удобным сохранение и восстановление данных и значительно снижает нагрузку на системного администратора. Новые и усовершенствованные файловые службы, включающие службу теневого копирования, позволяют производить архивацию сетевых ресурсов через определенные промежутки времени.

Данная уникальная технология предоставляет пользователям возможность восстанавливать старые копии файлов или удаленные файлы, запуская функцию восстановления теневой копии непосредственно со своего компьютера под управлением Windows.

Кроме того, улучшены файловые службы и службы печати за счет введения веб-технологии удаленной совместной работы с документами WebDAV. Усовершенствования в распределенной файловой системе (DFS) и файловой системе с шифрованием (EFS) обеспечивают мощный и гибкий обмен файлами и их хранение. В ОС Windows Server 2003 Enterprise Edition также были добавлены 64-разрядная печать и кластеры печати.

И наконец, ОС Windows Server 2003 Enterprise Edition поддерживает 64-разрядные вычисления на сертифицированных аппаратных платформах, обеспечивающих более быстрое выполнение приложений, требовательных к производительности процессоров или памяти. К таким платформам относятся процессоры Intel Itanium и Itanium 2.

Веб-службы. NET и XML Технология Microsoft. NET глубоко интегрирована в семейство продуктов Windows Server 2003. Она обеспечивает беспрецедентный уровень программной интеграции посредством веб-служб XML: обособленные модульные приложения, которые подключаются друг к другу, также как и к другим большим приложениям через интернет.

Технология. NET, реализованная на составляющих платформу Microsoft продуктах, посредством веб-служб XML предоставляет возможность быстрой и надежной разработки, хостинга, внедрения и использования безопасных и связанных решений.

Платформа Microsoft предоставляет набор средств разработчика, клиентских приложений, веб-служб XML и серверов, необходимых для сосуществования в нашем мире, где все взаимосвязано. Данные веб-службы XML содержат функциональные компоненты, разработанные на основе промышленных стандартов, которые используют возможности других приложений, независимо от их производителя, операционной системы, платформы или устройств доступа.

Веб-службы XML позволяют разработчикам интегрировать приложения внутри компании, а также в пределах сети, обеспечивающей взаимодействие с партнерами и клиентами. Этот прогресс в вычислительных технологиях, открывающий путь к интегрированной совместной работе и более эффективным службам "компания-компания" и "компания-потребитель", может дать значительный толчок росту доходов.

Эти компоненты в различных комбинациях могут быть многими использованы для выработки персональных, интеллектуальных ИТ-решений. ОС Windows Server 2003 Enterprise Edition - это операционная система для запуска приложений с высокими требованиями к доступности вне зависимости от масштаба организации. Данная система гарантирует растущим организациям доступность важных приложений при одновременном их масштабировании для удовлетворения растущих потребностей.

1.2 Контроллеры домена в лесу

Лес представляет самую дальнюю репликацию и является границей безопасности для предприятия. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active Directory. Лес является общим для всех контроллеров домена в лесу. Общими компонентами могут быть:

Общая схема. У всех контроллеров домена в лесу имеется одна и та же схема. Единственный способ развертывания двух различных схем в одной организации состоит в том, чтобы развертывать два отдельных леса.

Общий раздел конфигурации каталога. Все контроллеры домена в лесу имеют один и тот же конфигурационный контейнер, который используется для репликации в пределах леса. Раздел конфигурации каталога интенсивно используется приложениями, поддерживающими службу Active Directory (Echange Server 2000 и ISA).

Общий глобальный каталог GC. Он содержит информацию обо всех объектах в лесу. Это делает поиск любого объекта более эффективным и дает возможность пользователям входить на любой домен леса, используя свои имена UPN.

Общий набор администраторов в пределах леса. В корневом домене для леса создаются две группы безопасности (securitygroups). Им предоставляются такие разрешения, которыми не обладают никакие другие пользователи. Группа Schema Admins является единственной группой, которая имеет право изменять схему, а группа Enterprise Admins (Администраторы предприятия) является единственной группой, которая имеет право выполнять действия на уровне леса, такие как добавление или удаление доменов из леса. Группа Enterprise Admins автоматически добавляется к каждой местной группе Administrators (Администраторы) на контроллерах домена в каждом домене леса.

1.3 Защита с использованием протокола Kerberos

До сих пор в этой главе описывались основы защиты Active Directory без обсуждения фактического механизма, который осуществляет защиту. Основной механизм аутентификации в Active Directory - это протокол Kerberos. Протокол Kerberos был впервые разработан инженерами Массачусетского Технологического института (MIT) в конце 80-х годов. Текущая версия Kerberos - это версия 5 (Kerberos v5), которая описана в документе RFC 1510. Реализация Kerberos в Windows Server 2003 полностью совместима с документом RFC-1510 с некоторыми расширениями для аутентификации открытых (public) ключей.

Протокол Kerberos является заданным по умолчанию опознавательным протоколом для Active Directory систем Windows 2000 Windows Server 2003. Всякий раз, когда клиент с системой Windows 2000, или более поздней, подтверждает свою подлинность в Active Directory, он использует протокол Kerberos. Другой протокол, использующийся для подтверждения подлинности в Active Directory, - это NTLM, который поддерживается для обратной совместимости с клиентами, пользующимися более старыми версиями операционных систем. Протокол Kerberos имеет множество преимуществ по сравнению с NTLM.

Взаимная аутентификация. При использовании протокола NTLM аутентификация происходит только в одном направлении, т.е. сервер подтверждает подлинность клиента. При использовании протокола Kerberos клиент может также подтверждать подлинность сервера, гарантируя, что сервер, который отвечает на запрос клиента, является правильным сервером.

Более эффективный доступ к ресурсам. Когда пользователь обращается к сетевому ресурсу в сети, использующему протокол NTLM (например, Microsoft Windows NT 4), то сервер, на котором расположен ресурс, должен контактировать с контроллером домена для проверки разрешения на доступ данного пользователя. В сети, использующей Kerberos, клиент соединяется с контроллером домена и получает билет на сетевое соединение, чтобы получить доступ к серверу ресурса. Это означает, что сервер ресурса не должен соединяться с контроллером домена.

Улучшенное управление доверительными отношениями. Доверительные отношения NTLM всегда односторонние, не транзитивные, они конфигурируются вручную. Доверительные отношения Kerberos конфигурируются автоматически, поддерживаются между всеми доменами леса и являются транзитивными и двусторонними. Кроме того, доверительные отношения Kerberos могут быть сконфигурированы между лесами и доменами Kerberos Windows Server 2003 и другими реализациями протокола Kerberos.

Делегированная аутентификация. Когда клиент подключается к серверу, используя аутентификацию NTLM, сервер может использовать сертификаты клиента для доступа к ресурсам, расположенным только на локальном сервере. С аутентификацией Kerberos сервер может использовать сертификаты клиента для доступа к ресурсам, расположенным на другом сервере.

Введение в протокол Kerberos

В системе, основанной на протоколе Kerberos, имеется три компонента. Во-первых, клиент, который должен получить доступ к сетевом ресурсам. Во-вторых, сервер, который управляет сетевыми ресурсами и гарантирует, что только должным образом заверенные и уполномоченные пользователи могут получать доступ к ресурсу. Третий компонент - центр распределения ключей (KDC - Key Distribution Center), который служит центральным местом хранения пользовательской информации и главной службой, подтверждающей подлинность пользователей.

Протокол Kerberos определяет то, как эти три компонента взаимодействуют между собой. Это взаимодействие основано на двух ключевых принципах. Прежде всего, Kerberos работает, основываясь на предположении, что опознавательный трафик между рабочей станцией и сервером пересекает незащищенную сеть. Это означает, что никакой конфиденциальный опознавательный трафик никогда не посылается по сети открытым, незашифрованным текстом, а пользовательский пароль никогда не посылается по сети, даже в зашифрованной форме. Второй принцип состоит в том, что протокол Kerberos имеет в своей основе опознавательную модель с общим секретом. В этой модели клиент и опознающий сервер владеют общим секретом, который неизвестен кому-либо еще. В большинстве случаев общий секрет - это пароль пользователя. Когда пользователь входит в сеть, защищенную протоколом Kerberos, пароль пользователя используется для шифрования пакета информации. Когда сервер Kerberos получает пакет, он расшифровывает информацию, используя копию пароля, хранящегося на сервере. Если расшифровка прошла успешно, то опознающий сервер знает, что пользователю известен общий секрет, и ему предоставляется доступ.

Примечание. Когда пользователь входит в систему, он обычно впечатывает свой пароль. Контроллер домена проверяет точность пароля. Однако поскольку Kerberos работает в предположении, что сеть не защищена, то эта проверка делается без пересылки пароля по сети.



2. Практическая часть

2.1 Специфика обслуживания сервера

Техническое обслуживание серверов и сопутствующего оборудования - важное условие качественной и стабильной работы информационных систем. Именно от него зависит сохранность информации и, ее защищенность от несанкционированного доступа.

Перед тем как осуществить монтаж серверного оборудования, подвергаются серьезному анализу все требования, которые имеются к технике. И на их основе выбирается именно тот вид оснащения и конфигурация системы, которые уместны в данном конкретном случае.

Потом осуществляется установка серверного оборудования, его конфигурирование. Затем его подключают и производят запуск. Устанавливается, тестируется, настраивается и начинает использоваться необходимое программное обеспечение.

Когда все необходимые операции будут произведены, в постоянном режиме обслуживания сервера производится:

- непрерывный мониторинг состояния системы и отдельных ее сервисов

- осуществляется поддержка ее работоспособности

- осуществляется проверка основного и резервного электропитания

- необходимо достаточно часто проверять и заменять аккумуляторы

- работу устройств, ввода/вывода, к которым относятся клавиатура, мышь, монитор, свитчи для их подключения к системным блокам, провода и разъемы

- регулярно следует осматривать кабели на предмет внешних повреждений

- проверке также подвергается уровень нагрева тепловыделяющих компонентов аппаратуры

- работа систем вентиляции и кондиционирования - в данном случае крайне важно, чтобы не было никаких помех для охлаждения оснащения.

В операции по обслуживанию сервера также входит ремонт оснащения и замена комплектующих в том случае, если нагрузка на сервер будет повышаться.

Также осуществляется проверка правильности настройки сервера, обеспечение хорошей их работы с помощью частой проверки программных и аппаратных составляющих. Особое внимание уделяется управлению правом доступа к секретной информации и периодическое резервное копирование. В связи с этим происходит постоянная проверка работоспособности и износа оборудования резервного копирования.

Одной из целей выполняемых работ по обслуживанию серверов являются защита данных как от внешних опасностей, к примеру, от несанкционированного доступа и вредоносных программ, именуемых вирусами, так и от внутренних, к которым относятся сбои в работе программного обеспечения.

Помимо прочих вышеуказанных процедур при осуществлении обслуживания серверов, обязательных для совершения, также важно проводить периодическую чистку серверов.

В течение определенного времени в серверном корпусе и блоках питания собирается грязь и пыль, от которой крайне важно своевременно избавляться. В противном случае вы можете столкнуться с крайне неприятной ситуацией - перегревом системы. Также крайне важной процедурой является осмотр рабочей способности вентиляторов. Если не совершать вышеуказанные процедуры своевременно, в результате может существенно замедлиться работа серверного оснащения или оно даже придет в негодность. Для того чтобы подобная проблема не возникала, вам следует периодически осуществлять проводить проверку и чистку сервера.

Помимо прочих процедур, в перечень услуг, предоставляемых компаниями, занимающимися обслуживанием серверов, также включены работы:по диагностике и аудиту оснащения

Запуск контроллера домена специалистами включает:

Планирование серверных мощностей, аппаратное конфигурирование сервера;

Поставку серверной (лицензия клиентского подключения) лицензий;

Инсталляцию серверной ОС, настройку сетевых служб (DNS, DHCP и т.п.);

Инсталляцию антивирусной системы (по необходимости);

Запуск службы Active Directory (службы контроллера домена);

Создание пользователей домена, групп пользователей;

Создание групповых политик безопасности;

Создание сетевых/серверных ресурсов и назначение им прав доступа;

Настройку и запуск системы архивирования;

Установку клиент-серверных приложений (1С:Предприятие и т.п.);

Запуск и настройку терминальной службы, настройку приложений для работы в режиме терминала (1С:Предприятие и т.п.).

2.2 Планирование структуры доменов

Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены. Достоинством Active Directory (по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.

Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.

Для создания нескольких доменов должны быть достаточно веские причины, например:

Различные требования к безопасности для отдельных подразделений

Очень большое количество объектов

Различные Интернет имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создатьдереводоменов; если имена доменов уникальны, то возможно создание леса доменов

Дополнительные требования к репликации

Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политикибезопасности. Кроме того, можно администрировать домены на различных национальных языках.

2.3 Параметры контроллера домена

При работе домена под управлением Windows Server 2012 доступна одна новая возможность: политика административных шаблонов KDC "Поддержка динамического контроля доступа и защиты Kerberos" имеет два параметра ("Всегда предоставлять утверждения" и "Отказывать незащищенным проверкам подлинности"), для которых требуется, чтобы домен работал под управлением Windows Server 2012. Дополнительные сведения см. в разделе "Поддержка утверждений, комплексной проверки подлинности и защиты Kerberos" статьи Что нового в проверке подлинности Kerberos.

Режим работы леса под управлением Windows Server 2012 не предоставляет новых возможностей, но благодаря ему любой домен, созданный в лесу, будет автоматически работать под управлением Windows Server 2012. Режим работы домена под управлением Windows Server 2012 не предоставляет никаких других новых возможностей, кроме поддержки утверждений, комплексной проверки подлинности и защиты Kerberos, но благодаря этому режиму все контроллеры в домене работают под управлением Windows Server 2012. Дополнительные сведения о других возможностях, доступных при разных режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS).

Помимо режимов работы, контроллер домена под управлением Windows Server 2012 предоставляет дополнительные возможности, недоступные на контроллере домена с более ранней версией Windows Server. Например, контроллер домена, работающий под управлением Windows Server 2012, можно использовать для клонирования виртуального контроллера домена, в то время как контроллер домена с более ранней версией Windows Server - нельзя.

При создании нового леса DNS-сервер выбирается по умолчанию. Первый контроллер домена в лесу должен быть сервером глобального каталога (GC), при этом он не может быть контроллером домена только для чтения (RODC).

Пароль режима восстановления служб каталога (DSRM) необходим для входа в контроллер домена, на котором не запущены AD DS. Назначаемый пароль должен соответствовать применяемой к серверу политике паролей, которая по умолчанию не требует надежного пароля - допускается любой непустой пароль. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу. Дополнительные сведения о том, как синхронизировать пароль DSRM с паролем учетной записи пользователя домена см. в статье базы знаний 961320.

Установка и настройка контроллера домена Active DirectoryКонтроллер домена в компьютерных сетях - сервер, контролирующий область компьютерной сети (домен).

Существует два типа контроллера домена:

- первичный контроллер домена (PDC)

- резервный контроллер домена (BDC)

Контроллеры домена, работающие под управлением Windows Server 2003-2008, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory.

2.4 Терминология Active Directory

протокол сервер домен контроллер

Контроллер домена - это сервер на котором располагается, база службы каталогов домена, а так же запущенные службы позволяющие получить доступ к этой базе. Для доступа к базе используется протокол LDAP и LDAPS. Контроллеров домена отвечающих за один и тот же домен может быть несколько, в этом случае между ними выполняется репликация базы данных.

В состав AD входит 5 служб:

AD DS (Active Directory Directory Services) - Службы с помощью которой организована работа базы данных.

AD CS (Active Directory Certification Services) - Отвечаетзавыфдачусертификатов.

AD LDS (Active Directory Lightweight Directory Services) - Обеспечиваетработудополнительныхэкземпляровбазданныхслужбкаталогов. Это необходимо для работы некоторых приложений.

ADRMS (ActiveDirectoryRightsManagementServices) - Службыуправленияправамипользователей.

AD FS (Active Directory Federations Services) - Позволяет настроить доверительные отношения, между двумя организациями.

Структура базы LDAP

Рисунок 2.1 - Структура базы LDAP

Рисунок 2.2 - Пример базы LDAP на основе нашего проекта.

2.5 Установка служб AD (Active Directory)

ПУСК Выполнить “dcpromo“



Далее выполняется проверка данных необходимых для установки AD (Active Directory).

Далее запустится мастер AD (Active Directory). Так же можно использовать расширенный режим установки [Приложение А]

Далее (информация о совместимости операционных систем).



Далее (необходимо выбрать конфигурацию развертывания существующего или нового леса).

Т.к. это первый контроллер мы выбираем “Создать новый домен в новом лесу” и нажимаем далее.

Подчиненный контроллер домена необходимо включить в существующий лес.

Теперь нам необходимо ввести полное доменное имя так называемое FQDN (Fully Qualified Domain Name), для нового домена леса.

Мы вводим имя нашего домена, а именно (jdsons.com)

Далее мастер проверит введенное имя на уникальность.

После этого мастер предложит нам выбрать режим работы леса.

Т.к. В нашей сети помимо Windows 2008 server будут ещё использоваться Windows 2003 server, мы выбираем вариант (для установки доверительных отношений, репликации данных, создания сложных топологий репликации).



В режиме работы леса Windows Server 2003 доступны все возможности режима Windows 2000, а также ряд дополнительных:

Репликация связанного значения, улучшающая репликацию изменений на членов групп.

Более эффективное создание сложных топологий репликации с помощью KCC.

Доверие леса, что предоставляет организациям удобство общего пользования внутренними ресурсами в нескольких лесах.

Все новые домены, созданные в этом лесу, будут автоматически функционировать в режиме работы домена Windows Server 2003.

Далее выбираем режим работы домена, т.к. в нашей сети используются и 2003 сервера.

В основном режиме работы домена Windows Server 2003 доступны следующие возможности:

универсальные группы

вложение групп

преобразование типа группы

журнал SID

Ограниченное делегирование, позволяющее приложению воспользоваться преимуществом безопасного делегирования пользовательских учетных данных с помощью протокола проверки подлинности Kerberos.

Обновления LastLogonTimestamp: Атрибут lastLogonTimestamp обновляется до времени последнего входа пользователя или компьютера и реплицируется по всему домену.

Возможность задать атрибут userPassword в качестве эффективного пароля для inetOrgPerson и пользовательских объектов.

Возможность перенаправлять контейнеры "Пользователи" и "Компьютеры" для определения новых известных расположений учетных записей пользователей и компьютеров.

Далее устанавливаем дополнительные параметры контроллера домена.

Т.к. это первый контроллер домена он должен быть сервером глобального каталога и не может быть RODC.

Первый контроллер домена в лесу должен быть сервером глобального каталога и не может быть RODC.

Рекомендуется установить службу DNS-сервера на первый контроллер домена.

Далее выбираем где будит хранится База Данных и Файлы журнала и папка SYSVOL - папка, в которой хранится серверная копия общих файлов домена, которые должны быть общими для общего доступа и репликации во всем домене. Папка Sysvol на контроллере домена содержит следующие элементы:

1 NET Logon являются общими. Обычно эти размещения объектов политики для сетевых компьютеров-клиентов и сценариев входа в систему.

Сценарии входа пользователей для доменов, где администратор использует Active Directory-пользователи и компьютеры.

Групповой политики Windows.

Соединения файловой системы.

Служба репликации файлов (FRS) промежуточной папки и файлы, которые должны быть доступны и синхронизированных между контроллерами домена.

Далее устанавливаем пароль администратора для восстановления служб каталогов в случае сбоя.

Просмотр выбранных параметров.



Сделать данный сервер первым контроллером домена Active Directory в новом лесу.

Имя нового домена jdsons.com. Это имя является также именем нового леса.имя этого домена JDSONS.

Режим работы леса: Windows Server 2003

Режим работы домена: Windows Server 2003

Сайт: Default-First-Site-Name

Дополнительные параметры:

Контроллер домена только для чтения: Нет

Глобальный каталог: Дасервер: Да

Создать DNS-делегирование: Нет

Папка базы данных: C:\Windows\NTDS

Папка файлов журнала: C:\Windows\NTDS

Папка SYSVOL: C:\Windows\SYSVOL

Служба DNS-сервера будет установлена на этом компьютере.

Служба DNS-сервера будет настроена на этом компьютере.

Данный DNS-сервер будет основным DNS-сервером для этого компьютера.

Пароль администратора нового домена будет таким же, как и пароль локального администратора этого компьютера.

Далее мастер доменных служб выполняет настройку доменных служб AD согласно выбранным параметрам. По желанию можно перезагрузить систему автоматически.

Мастер завершает работу нужно нажать “Готово”.

2.6 Настройка контроллера домена

Настройка контроллера домена выполнялась мастером, нам лишь остается создать необходимые подразделения (OU), необходимых пользователей определить для них права и разрешения, а также включить их в соответствующие группы.

Создание подразделения



Создание группы пользователей (группы необходимы для удобства распределения и поиска необходимых пользователей, а так же для назначения групповых политик).



Создание пользователей

Заполнение данных (Имя, Фамилия, login - имя пользователя для входа в систему)

Далее необходимо задать пароль (в нашем случае, согласно политикам, это должен быть сложный пароль) На предприятии необходимо дать пользователю возможность самостоятельно назначить себе пароль для этого необходимо, установить checkbox “Требовать смену пароля при следующем входе в систему”. Пароль пользователя должен знать только сам пользователь !

В дополнительных свойствах пользователя необходимо назначить, адрес электронной почты, (это необходимо для обмена почтовыми сообщениями, а так же для службы управления правами RMS).

Размещено на Allbest.ru