Файл: 1.4-к Контроллер домену на платформі Windows Server.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.06.2024
Просмотров: 19
Скачиваний: 0
Тема 1.4 Контроллер домену на платформі Windows Server.
Мета: ознайомити з поняттям Active Directory, установкою контроллера домену, установкою та налаштуванням DNS- і DHCP-серверів.
Перелік питань для вивчення.
1.Поняття Active Directory.
2.Логіка побудови Active Directory.
3.Установка контроллера домену.
4.Установка та налаштування DHCP-сервера.
1. Поняття Active Directory.
Служба каталогів Active Directory – це спеціальна база даних, яка має ієрархіч-
ну структуру та зберігається на контроллері домену.
Вона є основним інструментом адміністрування мережевих об'єктів: облікових записів користувачів і комп'ютерів, мережевих принтерів, загальних ресурсів, політики безпеки та багатьох інших.
Інформація про об'єкт зберігається в одному місці.
Це дуже зручно, адже знижується ймовірність помилок при роботі з об’єктом.
Єдина база дає можливість швидкого пошуку потрібного об'єкту.
Після авторизації користувач дістає доступ до всіх дозволених ресурсів.
Причому, користувач вводить свої облікові дані тільки один раз, далі доступ надається ав-
томатично.
Переміщувані профілі зберігають налаштування конфігурації на сервері, і при підключенні
з будь-якого комп'ютера користувач бачить свій Робочий стіл.
Служба каталогів Active Directory дозволяє адміністраторам використовувати
групові політики для єдиних налаштувань робочого середовища користувачів, централізовано встановлювати програмне забезпечення на безліч комп'ютерів, встановлювати оновлення операцій-
них систем та програмного забезпечення на всі комп'ютери мережі.
2. Логіка побудови Active Directory.
Розглянемо структуру об’єктів Active Directory. Окремий об'єкт - це все те, чим керує адміністратор:
користувач;
комп'ютер;
принтер;
програма;
загальна мережева папка та ін.
Об'єкт ідентифікується за допомогою унікального імені.
Він має свій набір атрибутів.
Основною логічною одиницею Active Directory є домен. Домен – це група об'єктів з єдиною загальною базою.
Така база створюється та зберігається на контроллері домену.
Вкожному домені повинен бути як мінімум один контроллер домену.
Вмережах часто використовують два контроллери домену, дані між якими синхронізу-
ються (реплікуются). У разі виходу з ладу першого контроллера домену другий контроллер забезпечує роботу мережі.
Встарих операційних системах контроллери домену називалися основним і резервним, але в Windows Server 2008 R2 такого розділення немає.
Для найменування об'єктів в Active Directory використовується служба DNS, при цьо-
му підтримується декілька типів імен.
Окрім цього, об'єкти мають ім'я, складене з декількох частин:
CN (Common Name) - власне ім'я об'єкта;
OU (Organizational Unit) - організаційна одиниця (підрозділ);
DC (Domain Component) - ім’я домену;
Наприклад, ім'я об'єкту може мати вигляд:
CN=User OU=IT DC=office DC=com
Насправді, кількість частин може бути більшою. В кожного об'єкта є також глобально-
унікальний ідентифікатор (GUID) - незмінний 128-бітовий рядок, який використовується в
Active Directory для пошуку та реплікації.
Якщо великій організації замало одного домена, вона може використати Дерева. При цьому в головному кореневому домені створюються дочірні домени, наприклад:
office.com group1.office.com group2.office.com
-основний домен;
-перший дочірній домен;
-другий дочірній домен.
Наступне об’єднання - Ліс, він об'єднує Дерева з різнокореневими доменами, наприклад:
office.com office.net office.biz
-перше дерево;
-друге дерево;
-третє дерево.
Для зручної роботи між доменами в лісі та деревах налаштовуються довірчі відносини, які виражаються в тому, що користувачі з відповідними правами можуть безперешкодно діс-
тати доступ до об'єктів в іншому домені.
Вмежах домену всі об'єкти розподіляються по підрозділах і групах.
Водин підрозділ можуть входити інші підрозділи. Це спрощує адміністрування та дозволяє в Active Directory створити структуру домена, яка нагадує організаційну та географічну структури компанії.
Відгруппідрозділи відрізняються тим, щодонихможназастосовуватигрупові політики. Крім того, підрозділ - це найнижчий рівень для делегування повноважень керування
іншому адміністратору.
Важлива властивість Active Directory - це її реплікація, тобто синхронізація параметрів об'єктів в межах лісу.
З появою Windows Server 2008 змінився підхід до організації Active Directory.
Замість одного продукту з численними доповненнями адміністратор отримав декілька технологій Active Directory, об'єднаних в загальне рішення.
Найважливіші з технологій наступні:
AD DS (Active Directory Domain Services - Доменні служби Active Directory) -
нова назва служби каталогів Active Directory;
AD LDS (Active Directory Lightweight Directory Services - Служби Active Directory полегшеного доступу до каталогів) - раніше служба ADAM (Active Directory Application Mode).
Кожен котроллер домену працює на своєму функціональному рівні.
Чим нижче рівень, тим старіші версії операційних систем можуть підтримуватися на
котроллерах домену або лісу.
У Windows Server 2008 R2 таких рівнів чотири:
Windows 2000 - підтримуються контроллери домену від Windows 2000 SP3+
до Windows Server 2008 R2;
Windows Server 2003 - підтримуються контроллери домену від Windows Server 2003 до Windows Server 2008 R2;
Windows Server 2008 - підтримуються контроллери домена Windows Server 2008 та Windows Server 2008 R2;
Windows Server 2008 R2 - підтримуються тільки контроллери домену Windows Server 2008 R2.
Потрібний рівень вибирається на етапі установки контроллера домену, але при не-
обхідності його можна змінити (підняти) вже в робочому середовищі.
Слід також відзначити можливість зупинки та перезапуску служби Active Directory без перезавантаження всього сервера.
3. Установка контроллера домену.
Для установки контроллера домену на сервері Windows Server 2008 R2 необхідно виконати наступні дії:
|
встановити роль Доменні служби Active Directory; |
|
запустити утиліту dcpromo |
Для роботи Active Directory потрібен сервер DNS. Якщо DNS-сервера в мережі немає, його можна встановити в процесі створення контроллера домена.
Для виконання всіх операцій потрібні права локального адміністратора, який після закінчення процесу стане адміністратором домену.
Процес установки можна виконати в графічному середовищі та за допомогою командного
рядка.
У Диспетчері сервера виконуємо команду «Ролі - Додати ролі» та помічаємо
пункт «Доменні служби Active Directory» (рис. 1.4.1), далі слідуємо вказівкам майстра.
Рис. 1.4.1 Вибір доменних служб Active Directory.
В цьому процесі будуть автоматично встановлені додаткові компоненти та ролі.
Для установки доменних служб Active Directory за допомогою командного рядка необхідно виконати наступну команду:
> ServerManagerCmd –install ADDS-Domain-Controller –allSubFeatures
Отже, потрібний компонент установлений, але не налаштований, тобто сервер ще не явля-
ється контроллером домену.
Для його налаштування слід виконати команду dcpromo
Перше вікно майстра містить коротку інформацію про подальші дії.
Можна використати розширений або звичайний режим установки.
Розглянемо звичайний режим.
Друге вікно попереджає про сумісність операційних систем. В ньому вказується, що нові операційні системи безпечніші, але не сумісні зі старими.
Наступний крок – вибір конфігурації розгортання доменної структури (рис. 1.4.2).
Рис. 1.4.2 Вибір конфігурації розгортання доменної структури.
Якщо встановлюється новий контроллер домену в новій локальній мережі, в якій не-
має керуючих серверів, необхідно вибрати пункт «Створити новий домен в новому лісі».
Якщо потрібно додати новий домен у вже існуючу доменну структуру, потрібно вибрати пункт «Існуючий ліс» і вказати спосіб додавання домену.
Розглянемо створення нового домену в новому лісі. Встановивши перемикач у від-
повідне положення, продовжимо процес установки.
Наступний крок – введення імені домену.
Ім’я повинне складатися як мінімум з двох слів, розділених крапкою.
Після натискання кнопки «Далі» майстер запропонує вибрати режим роботи лісу. Вибираємо режим Windows Server 2008 R2 і продовжуємо процес установки.
Тепер майстер запропонує встановити додаткові параметри контроллера доме-
ну (рис. 1.4.3):
DNS;
глобальний каталог;
контроллер домену тільки для читання (RODC).
Рис. 1.4.3 Додаткові параметри контроллера домену.
Глобальний каталог зберігає копії всіх об'єктів Active Directory в лісі.
Перший контроллер домену повинен бути Глобальним каталогом (GC, Global
Catalog) і не може бути RODC. Тому потрібні прапорці вже встановлені і зняти їх не можна. Якщо в мережі немає DNS-сервера, відмічаємо відповідний пункт (рис. 1.4.3).
Контроллер домену та DNS-сервер повинні мати статичні IP-адреси.
Для цього відкриваємо вікно властивостей мережевого підключення, вибираємо Протокол Інтернету версії 4 (TCP/IPv4) та налаштовуємо IP-адреси (рис. 1.4.4).
Рис. 1.4.4 Налаштування IP-адрес контроллера домену.
При цьому IP-адреси контроллера домену та DNS-сервераповинні бути однаковими.
Аналогічним чином слід поступити з рештою мережевих підключень.
На завершальному етапі установки контроллера домену майстер налаштує розташування баз даних і журналів для зберігання службової інформації Active Directory, дасть запит на введення пароля для відновлення служби каталогів, скопіює необхідні файли, внесе зміни в реєстр системи та запропонує перезавантажити сервер.
Після перезавантаження сервера пройде невеликий час, необхідний для налаштування та запуску потрібних служб.
Це буде виконано в автоматичному режимі.
Нам залишиться тільки дочекатися завершення процесу.
4. Установка та налаштування DHCP-сервера.
DHCP-сервер – один з найкорисніших інструментів адміністрування великої локальної мережі: без нього підключення нового робочого місця вимагає ручного налаштування IP-адреси,
маски підмережі, IP-адреси DNS-сервера та інших параметрів.
Крім того, доступний діапазон IP-адрес може швидко закінчитись, це зробить неможли-
вою роботу мережі з великою кількістю комп'ютерів.
Для установки DHCP-сервера в Диспетчері сервера виконуємо команду «Ролі – Додати ролі» тапомічаємопункт «DHCP-сервер» (рис. 1.4.1), далі слідуємовказівкаммайстра.
Як правило, всі налаштування тут залишають без змін.
WINS-сервер встановлювати не потрібно, тому що сучасні операційні системи його не використовують.
Установка ролі DHCP-сервера займає мало часу, тому буквально через декілька хвилин
можна приступити до налаштування всіх необхідних параметрів функціонування DHCP-сервера.
Виконаємо команду «Пуск – Адміністрування – DHCP».
З’явиться вікно керування DHCP-сервером (рис. 1.4.5).
Рис. 1.4.5 Вікно керування DHCP-сервером.
Відкриваємо в лівій частині вікна вітку домену, в нашому випадку main.rene.local