ремонт компьютеров воронеж
 
ремонт компьютеров воронеж
ремонт компьютеров воронеж  
 
 
Windows Server 2003 tweaks & tricks
2003 Server - Практическое руководство по настройке сервера с Active Directory, DNS и DHCP.

Выбор необходимых сервисов — важный этап установки.Eсли не знаешь, за что отвечает та или иная служба, то и не ставь ее. Если уверен, что она тебе не нужна — не устанавливай тем более. Чем меньше на сервере работающих приложений, тем меньше шансов, что среди них найдется сервис с критической ошибкой. Да и о ресурсах машины не стоит забывать! Тем более что любой сервис может быть с легкостью установлен позже.

Жесткий диск на сервере рекомендуется разбить на несколько частей. Т.е. создать небольшой раздел для файла подкачки (swap), средних размеров системный диск, а все остальное пространство отдать под пользовательские данные.

[предварительная подготовка]

Конфигурирование сервера мы, пожалуй, начнем с настройки основного сетевого подключения. Найти его несложно: Панель управления –> Сетевые подключения –> Local Area Connection. В первую очередь от нас требуется присвоить серверу статический IP-адрес.Для локальных сетей выделено 3 диапазона IP-адресов: 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255. Для маршрутизатора традиционно выделяют 192.168.0.1 (или аналогичный адрес из другой подсети), хотя это требование является обязательным. В случае с сервером-контроллером домена (именно такой мы и будем настраивать) выделенный IP-адрес большой роли не играет — можно выбрать совершенно любой. Но чтобы конкретизировать пример, возьмем 192.168.0.10 и пропишем его в параметрах TCP/IP сетевого подключения. В качестве основного шлюза укажем адрес маршрутизатора 192.168.0.1, а в качестве первичного DNS — IP-адрес самого сервера, т.е. 192.168.0.10.

После этого кликай по кнопке «Дополнительно» и переходи на вкладку «DNS». Проверь, чтобы были активированы следующие опции: «Дописывать основной DNS-суффикс и суффикс подключения», «Дописывать родительские суффиксы основного DNS-суффикса», «Зарегистрировать адреса этого подключения в DNS».

Следующий этап совсем небольшой. Зайди в свойства «Моего компьютера», далее во вкладку «Имя компьютера» и кликай по единственной кнопке «Изменить». Здесь, как несложно догадаться, от тебя требуется назначить серверу сетевое имя: в моем примере им будет Server. После этого переходи к дополнительным настройкам.

Опция, которая для нас актуальна, — DNS-суффикс. Сойдет, к примеру, home.local — домен второго уровня. Запомни этот DNS-суффикс, т.к. в ближайшее время он нам еще понадобится.

[DNS]

Основная задача — грамотно поднять службу каталога (Active Directory). Но так как она тесно связана с доменной системой имен (Domain Name System, DNS), придется вначале разобраться именно с ней. На примере кратко объясню, для чего она вообще нужна в локальной сети. Как известно, в инете DNS используется для определения IP’шника по доменному имени.В локалке все аналогично. В любом сетевом приложении можно указать адрес server.home.local (синтаксис: имя компьютера.DNS-суффикс) и быть уверенным, что нужный компьютер будет найден.

По умолчанию сервис DNS не установлен, поэтому заходи в Панель управления -> Установка и удаление программ -> Установка компонентов Windows -> Networking services и нажимай на кнопку «Состав». В появившемся списке среди дюжины прочих сервисов будет присутствовать пункт Domain Name System (DNS). Ставь напротив него галку. Жми на «ОК».

После того как все файлы будут скопированы, можно приступать к настройке. По большому счету, сервис даже на данном этапе работоспособен и вполне может выполнять кэширующие функции. Однако клиенты Active Directory применяют DNS совершенно для другого, и сервис придется доводить до ума вручную. Все действия по настройке DNS осуществляются через пункт меню Пуск -> Администрирование -> DNS. Для поддержки службы каталога должна быть создана зона, которая будет ассоциирована с создаваемым доменом Active Directory. Для этого в левой панели с древовидной структурой (появившееся окно представляет собой стандартную консоль MMC) кликай правой кнопкой мыши по «Зоне прямого просмотра» и выбирай в появившемся меню пункт «Новая зона». Существует три вида зон, которые могут быть созданы: основная, дополнительная и зона-заглушка. У нас пока нет никакой, поэтому выбираем первый тип и указываем ее имя — home.local. Тщательно проверь, чтобы это имя было идентично указанному ранее DNS-суффиксу, потому как это очень важно. Имя файла для хранения данных DNS-сервера рекомендую оставить по умолчанию. Что касается последнего шага мастера, то просто не забудь активировать динамические обновления DNS.

Теперь необходимо наладить так называемый DNS-форвардинг, чтобы наш DNS-сервер умел не только обрабатывать внутренние DNS-запросы, но и пересылать их реальному DNS в интернете в случае, когда клиенту требуется информация об узле из внешней сети. Кликай правой кнопкой мышки по имени твоего сервера (имя компьютера) и выбирай «Свойства», после чего переходи на вкладку «Пересылка». В поле для ввода IP-адреса вводи координаты DNS сервера, на который в дальнейшем будут переадресовываться внешние DNS-запросы. Например, DNS-сервер своего провайдера. Серверов может быть несколько, но самый верхний из них по традиции имеет наибольший приоритет.

После этого ты должен убедиться, что компьютер смог зарегистрировать себя в созданной зоне. Для этого запусти командную строку (CMD) и набери: ipconfig /registerdns. Теперь вернись к консоли управления DNS и, открыв новую зону, нажми F5 (обновить данные). Локальный компьютер должен появиться в списке с пометкой «Узел (А)».

Ровно так же, как и в программировании, в искусстве администрирования существуют правила хорошего тона. Так, установка зоны обратного просмотра хотя и не является обязательной, но все-таки крайне желательна. Создается она аналогично зоне прямого просмотра. Единственная сложность — указание «Кода сети (ID)». Здесь нужно прописать первые 3 октанты твоего IP-адреса (в моем случае — 192.168.0) и спать спокойно. Все остальные опции оставляй по умолчанию, но не забудь включить динамическое обновление DNS.

[установка службы каталога]

Займемся Active Directory.Если вкратце, то служба каталога (AD) работает на основе серверных версий Windows 2K\2003 и предназначена для хранения информации обо всех ресурсах и участниках сети. Она включает соединения, базы данных, принтеры, пользователей и группы. Если ты собираешься администрировать серверы на базе Windows, то AD обязательно станет верным другом и помощником.

Несмотря на то, что служба каталога не устанавливается по умолчанию, она по праву считается обязательным элементом для средних и больших локальных сетей. Особенно, если учитывать, что работа некоторых популярных сетевых приложений без нее попросту невозможна.

Служба имеет огромное количество самых разнообразных настроек и, как следствие, подводных камней. Однако сегодня мы не будем особо углубляться и сделаем все по минимуму. Пойми меня правильно: для домашней локалки этого будет более чем достаточно, а чтобы обустроить корпоративную сеть, тебе в любом случае придется прочитать не одну книгу.

Для установки Active Directory в Windows 2003 предусмотрена команда dcpromo. После того, как ты введешь ее в командной строке или выполнишь через меню Пуск -> Выполнить, начнется процесс установки. Мастер Active Directory значительно упрощает создание и конфигурирование нового контроллера домена. Но в тоже время, неподготовленному пользователю будет чрезвычайно сложно правильно ответить на вопросы мастера. Не беда – все распишем и расскажем :).

1. Настройка начинается с определения типа создаваемого контроллера домена. Поскольку работающего DC (Domain controller) в сети еще нет, выбирай первый из предложенных вариантов — контроллер домена для нового домена.

2. После этого тебе необходимо указать мастеру, что ты хочешь создать новый «лес». Тем самым ты обозначишь, что создаваемый домен будет корневым.

3. Далее мастер установки потребует ввести полное DNS-имя создаваемого контроллера домена. Оно должно полностью совпадать с именем ранее созданной «Зоны прямой видимости». В моем случае это home.local. Замечу также, что этап может занять некоторое время, т.к. система будет исследовать DNS-сервер и проверять введенные данные на наличие ошибок.

4. Если все прошло хорошо, то должно появиться окошко для ввода NetBIOS-имени контроллера домена. Предложенное системой имя home меня полностью устраивает :).

5. Все данные Active Directory хранит в своей собственной базе данных. На этом этапе необходимо указать ее месторасположение, после чего задать расположение журнала регистрации событий (логов, в общем). Для наилучшей производительности системы рекомендуется поместить эти файлы на отдельный жесткий диск, однако для небольших локалок это не критично и значения можно оставить, как есть.

6. В больших корпоративных сетях в одном домене может быть несколько контроллеров. Они постоянно взаимодействую друг с другом и синхронизируют свои данные (скрипты для входа в систему, групповые политики и т.п.) — этот процесс называет репликацией базы данных. Папка SYSVOL, путь к которой мастер требует обозначить, содержит серверную копию общих файлов домена. Важное замечание: эта папка обязательно должна находиться в разделе с файловой системой NTFS.

7. На этом этапе мастер еще раз проверит всю инфу, связанную с DNS (это еще раз доказывает, насколько важен данный сервис для работы AD) и выдаст соответствующее сообщение. Если что-то пошло не так, придется выполнять все заново и быть более внимательным.

8. Далее мастер поинтересуется, с каким типом разрешений будет работать создаваемый контроллер домена. Если в твоей локалке компьютеры работают исключительно под управлением Win2K/XP/2003, то не морочь себе голову и выбирай второй вариант. В противном случае - первый.

9. В целях безопасности установщик потребует от тебя ввести еще один пароль. В будущем он будет использоваться для того, чтобы загрузить систему через Directory Services Restore Mode. Этот режим загрузки можно выбрать непосредственно перед моментом запуска винды (клавиша F8), и нужен он для восстановления работы службы каталога после сбоя. Введенный пароль может быть изменен с помощью стандартной утилиты NTDSUTIL.

10. Ну, вот и все. Теперь мастер скопирует все необходимые для AD файлы, отконфигурирует их и потребует перезагрузиться. Собственно говоря, готово!

[пользователи и группы — основа основ]

После успешной установки AD на сервере в меню Пуск -> Администрирование добавляются три новых пункта: «Active Directory - пользователи и компьютеры», «Active Directory - домены и доверие», «Active Directory - сайты и службы». Первый из них ты будешь использовать значительно чаще других, т.к. именно он отвечает за управление пользовательскими аккаунтами, компьютерами, группами и всеми другими объектами службы каталога. Для того чтобы не задавать параметры учетной записи для каждого пользователя в отдельности, я рекомендую тебе сразу начать с создания группы. Для этого выбери в левой панели одно из подразделений (хотя можно сначала создать свое подразделение) Создать -> Группа. Аналогичным образом создаются и пользовательские учетные записи, в свойствах которых можно обозначить их принадлежность к конкретной группе. Щелкнув правой кнопкой мыши по имени одного из пользователей и выбрав пункт «Все задачи», ты получишь список наиболее распространенных действий с учетной записью. Чуток экспериментов — и ты наверняка с ними освоишься. Благодаря продуманному интерфейсу, тебе не составит труда настроить не только учетные записи и группы, но и общие папки, принтеры и т.п.

[установка DHCP-сервера]

То, что DHCP-сервер — вещь исключительно полезная, известно давно. DHCP (Dynamic Host Configuration Protocol) — это протокол, по которому клиентские машины получают необходимые сетевые настройки от сервера. Очень удобная штуковина, между прочим. Подключая к локалке нового пользователя, отпадает всякая необходимость консультировать его по поводу TCP/IP настроек соединения. Он просто вставляет сетевую карту в компьютер, указывает параметры своей учетной записи на домене — и машина готова к работе. DHCP самостоятельно распределяет IP-адреса и другие важные сетевые настройки. И если в WinXP от DHCP-сервера остался урезанный до безобразия сервис с минимумом возможностей, то масштабы DHCP в Window 2003 ты сможешь оценить по достоинству.

Подобно DNS, сервис DHCP не устанавливается в Windows по умолчанию — его необходимо поставить самостоятельно. Разумеется, можно добавить компонент DHCP вручную и произвести необходимую настройку, но мы поступим иначе. В арсенале Windows 2003 доступна замечательная вещь — Администрирование -> Мастер настройки сервера. С его помощью пользователь получает возможность настроить самые разнообразные сервисы с минимумом усилий (но и с меньшими возможностями), причем DHCP - не исключение.

Для начала стоит в уме прикинуть примерную планировку сети. Т.е. нужно заранее продумать, какой диапазон IP-адресов будет автоматически выдаваться DHCP-сервером, но при этом не забыть составить список исключений из этого диапазона. Дело в том, что некоторые компьютеры в сети должны иметь статический IP-адрес и самостоятельно устанавливать его вручную. К таким компьютерам относятся маршрутизаторы, DNS-серверы, DHCP-серверы, файловые хранилища и т.д. В список исключений можно внести самые разнообразные IP-адреса. Но неплохо бы выделить для них непрерывный диапазон. Например, взять первые десять (в моем случае - 192.168.0.1-192.168.0.10) и указать именно их.

Эти данные пригодятся во время работы мастера, устанавливающего DHCP-сервер. Я не буду подробно останавливаться на его работе. Все, что от тебя требуется — это грамотно ввести все требуемые значения. Помимо уже подготовленной информации, понадобится еще один параметр — «Аренда IP-адреса». Он указывает промежуток времени, в течение которого выданный IP-адрес остается присвоенным конкретному компьютеру. В нашем случае вполне допустимо оставить его значение по умолчанию. Для конечных пользователей немаловажны настройки основного шлюза и DNS-сервера — их также необходимо ввести правильно. Причем если DNS-серверов в сети несколько, то в список можно занести все сразу.

Чтобы DHCP-сервер полноценно работал в связке с Active Directory, его необходимо авторизовать в консоли управления DHCP (меню Администрирование -> DHCP). Консоль управления позволяет изменять самые различные настройки сервера, создавать бэкапные DHCP-базы, просматривать логи и список IP-адресов, выданных на текущий момент.

По умолчанию DHCP-сервер настроен так, что создает резервную копию своей БД каждые 60 минут, т.е. раз в час. Однако в случае необходимости это действие ты можешь выполнить вручную. Физически бэкап будет находиться в папке %windir%\system32\dhcp\backup.

Многие администраторы предпочитают, чтобы клиентские компьютеры постоянно получали одни и те же IP-адреса — в ряде случае это действительно очень удобно. Специально для этих целей в DHCP-сервисе реализован механизм резервирования IP-адресов. Для того чтобы настроить его, зайди в консоль управления и в нужной области (читай: «в диапазоне IP-адресов») найди раздел «Резервирование», кликни по нему правой кнопкой мыши и выбери пункт «Создать резервирование». Система предложит ввести информацию о клиенте: его имя, описание, резервируемый для него IP-адрес, а также MAC, по которому производится авторизация.

[служба терминалов]

Важная особенность всех серверных версий Windows — служба терминалов. С ее помощью администратор, как, впрочем, и любой другой пользователь, при наличии соответствующих полномочий, способен удаленно подключаться и администрировать весь сервер в целом. Служба терминалов работает следующим образом: в момент удаленного подключения на сервере создается сессия с виртуальным дисплеем, на который передается информация от используемых приложений. Картинка не передается кадрами (как в случае потокового видео) — вместо этого клиенту высылается информация о происходящих на виртуальном дисплее изменениях. Это позволяет значительно экономить трафик и работать удаленно, используя даже низкоскоростные соединения.

Дистанционное управление рабочим столом — это несколько ограниченный вариант службы терминалов, но даже его функциональности будет более чем достаточно.

Сервер принимает дистанционные подключения исключительно тогда, когда активирована соответствующая опция в Панель управления -> Система -> Удаленное использование.

После этого с удаленным рабочим столом может работать любой пользователь с администраторскими правами. Впрочем, доступ к нему может быть открыт и для рядового пользователя — для этого щелкни по кнопке «Выбрать удаленных пользователей» и добавь в список нужного юзера.

Клиентская часть системы присутствует в любой современной операционной системе и вызывается следующим образом: Пуск -> Программы -> Служебные -> Связь -> Подключение к удаленному рабочем столу. Версию для других операционных систем семейства Windows можно загрузить с официального сайта Microsoft

(www.microsoft.com/windowsxp/pro/downloads/rdclientdl.asp).

Для подключения к удаленному компьютеру требуется ввести IP-адрес сервера и пройти авторизацию, как если бы ты заходил в систему локально. Но для более тонкой настройки подключения можно обратиться к кнопке «Параметры». Здесь пользователь в праве заранее обозначить имя пользователя и пароль (вкладка «Общие»), а также манипулировать с дюжиной настроек получаемого изображения. В случае необходимости, текущий профиль с параметрами может быть экспортирован в файл.

Важно заметить, что сервер по умолчанию не закрывает, а отключает удаленные сессии в момент, когда удаленный пользователь отсоединяется. При таком раскладе все запущенные юзером приложения продолжают функционировать, несмотря на то, что пользователь уже отсоединился. На практике это позволяет избежать нелепых ситуаций, когда нужные программы завершают свою работу из-за внезапного и непреднамеренного обрыва связи.

[консоль]

Многие ошибочно считают, что управление Windows-сервером осуществляется исключительно через GUI’шный интерфейс. На самом деле, это не так. Для работы со службой каталога ты всегда в праве использовать следующие команды:

DSADD — добавляет в службу каталога необходимые компьютеры, контакты, группы и, естественно, пользователей.

DSRM — удаляет объект из Active Directory.

DSGET — необходима для отображения свойств компьютеров, контактов, групп, пользователей, сайтов, подсетей и серверов, которые зарегистрированы в службе каталога.

DSMOD — изменяет свойства элементов, зарегистрированных в Active Directory.

DSMOVE — перемещает объект в новое месторасположение в пределах домена, а также переименовывает объект.

DSQXJERY — осуществляет поиск пользователей, компьютеров и других ресурсов внутри службы каталога.

NTDSUTIL — выводит информацию о любом сервере, сайте или домене, а также позволяет обслуживать базу данных Active Directory.

[глоссарий]

Домен (Domain) — объединение сетевых пользователей или компьютеров, для которых введена единая политика администрирования. Параметры учетных записей централизованно хранятся на контроллере домена (Domain Controller, DC).

Дерево (Tree) — структура, которая состоит из доменов, совместно использующих одно и тоже пространство имен.

Лес (Forest) — объединение деревьев, которые используют данные каталога.

Контейнер (Container) — логическая структура, которая может содержать группу разнообразных объектов или других контейнеров.

Организационное подразделение (Organization Unit) — разновидность контейнера, которая распространяет свою групповую политику на включенные в нее объекты.

Подсеть (Subnet) — сетевая группа с заданным диапазоном IP-адресов и сетевой маской.

Сайт (Site) — одна или несколько подсетей, имеющих между собой высокоскоростной канал.

 
ПОПУЛЯРНЫЕ СТАТЬИ

Rambler's Top100
Яндекс цитирования
ремонт компьютеров воронеж