- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
115
видной топологии DFS и обеспечения отказоустойчивости корня применяется Active Directory;
•отказоустойчивый корень хранится в Active Directory и тиражируется на все задействованные серверы-корни DFS. Active Directory обеспечивает автоматическую синхронизацию изменений в дереве DFS. Это гарантия возможности восстановления древовидной топологии DFS при отключении корня DFS. Кроме того, отказоустойчивость можно реализовать на уровне файлов и содержимого путем включения в том DFS ресурсовзаместителей. Любую ветвь дерева DFS может обслуживать набор реплицированных ресурсов. Если соединиться с одним из таких ресурсов не удается, клиент DFS попытается подключиться к его реплике;
•отказоустойчивые корни должны размещаться на разделах NTFS версии 5.0;
•для DFS используется существующая топология репли-
кации Active Directory .
5.5.1.5. Конфигурирование томов DFS
Windows Server позволяет конфигурировать изолированные корни DFS, DFS-ссылки и доменные корни DFS.
Создание изолированного корня DFS
Изолированный корень DFS хранит топологию DFS на отдельном компьютере. Данный вид DFS не обеспечивает отказоустойчивости при сбое этого компьютера или переносе одной из общих папок DFS.
Изолированный корень DFS должен физически размещаться на сервере, где регистрируются пользователи. Для создания изолированного тома DFS надо сначала создать корень
DFS.
Чтобы создать изолированный корень DFS, из оснастки
Distributed File System запустите мастер New DFS Root (Мастер создания нового корня DFS).
Создание доменного корня DFS
Доменная DFS помешает топологию DFS в хранилище Active Directory. DFS-ссылки могут указывать на несколько идентичных общих папок (также называемых репликами), что обес-
116
печивает отказоустойчивость. Кроме того, доменная DFS поддерживает DNS, множественные уровни дочерних томов я тиражирование файлов.
Для создания отказоустойчивого корня DFS также приме-
няется мастер New DFS Root (Мастер создания нового корня
DFS).
Создание DFS-ссылок
При просмотре папок корня DFS пользователям не требуется знать их физическое расположение. Создав корень, можно сконфигурировать DFS-ссылки (также называемые дочерними узлами).
Чтобы создать DFS-ссылку, откройте оснастку Distributed
File System (Распределенная файловая система DFS) и щелкните нужный корень DFS. В меню Action (Действие) выберите команду New DFS Link (Создать ссылку DFS). Откро-
ется диалоговое окно Create A New DFS Link (Создание новой ссылки DFS).
5.5.2. Служба репликации файлов
FRS — служба репликации файлов в Windows Server — применяется для одновременного копирования и поддержки ак-
туальности файлов на нескольких серверах и для репликации системного тома Windows (SYSVOL) на все контроллеры доме-
на. FRS можно настроить и для репликации данных всех доменных корней DFS.
5.5.2.1. Репликация посредством FRS
FRS автоматически устанавливается на все компьютеры Windows Server. На контроллерах домена она настраивается для автоматического запуска; на изолированных серверах и рядовых серверах домена FRS конфигурируется для запуска вручную. Хотя репликация Active Directory и служба FRS друг от друга не зависят, они совместно используют одну топологию, терминологию и методологию репликации. Фактически Active Directory с помощью FRS выполняет синхронизацию каталога между контроллерами домена.
117
Влюбом домене Windows Server есть один или несколько серверов — контроллеров домена. На каждом контроллере хранится полная копия хранилища Active Directory соответствующего домена; все домены участвуют в изменениях и обновлениях каталога.
Впределах сайта служба Active Directory автоматически создает кольцевую топологию для репликации данных между контроллерами одного домена. Топология определяет путь, по которому обновления каталога передаются между контроллерами до тех пор, пока их не получат все контроллеры.
Кольцевая структура гарантирует наличие не менее двух путей репликации между контроллерами; если один из контроллеров временно не работает, данные по-прежнему реплицируются на остальные контроллеры домена.
Служба Active Directory использует репликацию с несколькими хозяевами, когда ни один из контроллеров домена не является хозяином и все контроллеры равноправны.
Active Directory периодически анализирует топологию репликации сайта в целях обеспечения ее эффективности. При добавлении или удалении контроллера из сети или сайта служба Active Directory соответственно изменяет топологию.
Сайты и репликация
Сайт состоит из одной или нескольких IP-подсетей, определяющих группу компьютеров с надежным соединением. Рекомендуется объединять лишь подсети с быстрым и надежным каналом связи со скоростью не менее 512 кбит/с.
ВActive Directory поддержка структуры домена и структуры сайта осуществляется отдельно. Домен может включать несколько сайтов, а сайт — несколько доменов или их части
(рис. 5.7).
118
Рис. 5.7. Домен с одним сайтом, домен с несколькими сайтами и несколько сайтов с несколькими доменами
Существует два типа репликации: внутрисайтовая и межсайтовая.
Репликация внутри сайта
Ниже перечислены характеристики внутрисайтовой репликации:
•осуществляется между контроллерами домена в пределах сайта;
•реплицируемые данные не сжимаются;
•интервал репликации по умолчанию составляет 5 минут;
•репликация выполняется по запросу после получения уведомления.
Репликация между сайтами
Основные характеристики межсайтовой репликации сле-
дующие: