Книга Active directory
.pdf18 |
I •| g Установка |
Глава 1 |
4.Если сервер подключен к Интернету, то строго рекомендуется щелкнуть ссылку Загрузить и установить обновления (Download and Install Updates), чтобы установить на сервере последние обновления Microsoft.
5.После установки обновлений перезагрузите сервер. В остальных упраж - нениях этого руководства будет создан домен с IP-адресами в диапазоне 10.0.0.11-10.0.0.20 и маской подсети 255.255.255.0. Если эти адреса используются в вашей производственной среде и сервер подключен к корпора - тивной сети, то надо соответствующим образом изменить IP-адреса, чтобы создаваемый домен contoso.com не конфликтовал с вашей корпоративной сетью.
6.В окне Задачи начальной настройки (Initial Configuration Tasks) щелкните ссылку Настроить сеть (Configure Networking). Откроется диалоговое окно Сетевые подключения (Network Connections).
7.Выберите Подключение по локальной сети (Local Area Connection) .
8.На панели инструментов щелкните команду Настройка параметров подключения (Change Settings of This Connection).
9. Выберите пункт Протокол Интернета версии 4 ( T C P / I P v 4 ) |
( I n t e r n e t Pro - |
tocol Version 4 (TCP/IPv4)) н щелкните кнопку Свойства |
( P r o p e r t i e s ) . |
В системе Windows Server 2008 реализована также встроенная п о д д е р ж к а протокола Интернета версии 6 ( T C P / l P v 6 ) .
10.Щелкните пункт Использовать следующий IP-адрес (Use the Following IP Address). Введите такие параметры конфигурации:
• IP-адрес (IP Address): 10.0.0.11;
• маска подсети (Subnet Mask): 255.255.255.0;
•основной шлюз (Default Gateway): 10.0.0.11;
ш предпочитаемый DNS-сервер (Preferred DNS Server): 10.0.0.11.
И.Щелкиите OK, а затем — кнопку Закрыть (Close).
12.Обратите внимание на ссылки Добавить роли (Add Roles) и Добавить компоненты (Add Features) в окне задач начальной настройки. В следующем упражнении вы будете использовать Диспетчер сервера (Server Manager) для добавления ролей и компонентов на SERVER01 . С п о м о щ ь ю э т и х ссылок можно выполнить те же задачи еще одним способом. О к н о задач начальной настройки открывается каждый раз при входе на сервер.
13. Установите флажок Не показывать это окно при входе в систему ( D o N o t Show This Window at Logon), чтобы это окно больше не появлялось при загрузке. Чтобы в будущем открыть окно задач начальной настройки, используйте команду Oobe.exe.
14.Щелкните кнопку Закрыть (Close) в нижней части окна задач начальной настройки. Откроется Диспетчер сервера (Server Manager). С его помощью
Занятие 1 |
Установка доменных служб Active Directory ") 19 |
м о ж но конфигурировать и администрировать роли и компоненты сервера Windows Server 2008. Вы будете применять этот диспетчер в следующем упражнении .
' ПРИМЕЧАНИЕ |
Создание копии состояния виртуальной машины |
Если для выполнения этого упражнения вы используете виртуальную машину, которая дает возможность создавать копии состояния на определенный момент, то сделайте это. Такую базовую установку системы Windows можно использовать для выполнения упражнений в данной главе, а также для того, чтобы попрактиковаться в применении различных методов добавления роли AD DS.
Упражнение 3. Установка леса Windows Server 2008 с помощью интерфейса Windows
В этом у п р а ж н е н и и вы добавите роль AD DS на сервер, установленный и скон- ф и г у р и р о в а н н ы й в упражнениях 1 и 2.
1. В группе |
п р о г р а м м |
Администрирование (Administrative Tools) откройте |
Д и с п е т ч е р |
сервера |
(Server Manager). |
2. В разделе С о с т о я н и е роли (Roles Summary) домашней страницы щелкните к н о п к у Д о б а в и т ь р о л и (Add Roles). Будет запущен Мастер добавления ролей ( A d d Roles Wizard).
3. Щ е л к н и т е к н о п к у Далее (Next).
4. На с т р а н и ц е Выбор ролей сервера (Select Server Roles) установите флажок
Д о м е н н ы е |
с л у ж б ы |
Active Directory (Active Directory Domain Services). |
Щ е л к н и т е |
к н о п к у |
Далее (Next). |
5. На с т р а н и ц е Д о м е н н ы е службы Active Directory (Active Directory Domain Services) щ е л к н и т е кнопку Далее (Next).
6. На странице Подтвердите выбранные элементы (Confirm Installation Selec-
tions) щ е л к н и т е кнопку |
Установить (Install). Процесс выполнения задач |
||
у с т а н о в к и отображается |
на странице Ход выполнения установки (Instal- |
||
lation Progress) . |
|
|
|
7. На с т р а н и ц е Результаты |
установки (Installation Results) просмотрите ре- |
||
зультаты |
у с т а н о в к и |
и щелкните кнопку Закрыть (Close). В разделе Со- |
|
с т о я н и е |
р о л и (Roles |
Summary) домашней страницы Диспетчера сервера |
|
(Server M a n a g e r ) вы увидите сообщение об ошибке, помеченное красным к р у ж к о м с белым крестиком. В разделе Доменные службы Active Directory (Active Directory Domain Services) также появится сообщение. Обе ссылки о т к р ы в а ю т показанную на рис. 1-8 страницу роли доменных служб Active D i r e c t o r y в диспетчере сервера. Сообщение напоминает о том, что надо запустить команду Dcpromo.exe. Этим мы займемся в следующем упражнении .
I •| g Установка |
|
|
Глава 1 |
- li |
|
|
|
V 0(J1MW CSCBVEBOU |
M |
— |
|
I.Каш»»'»
•ft Дьл-носг»^
•^кь+пн» .
Д w i u r |
" flu |
|
**' 1Чр«МТН к fyxKMtpy tw.iv
Lf twi^iponjl Ь :.'an
J |
ii . " [ < l O JOCa 31:00:43 Ккчххп, АОУПИ |
Рис. 1-8. Страница доменных служб Active Directory в диспетчере сервера
Упражнение 4. Установка леса Windows Server 2008
В этом упражнении вы воспользуетесь мастером установки доменных служб Active Directory (Dcpromo.exe) для создания нового леса Windows Server 2008.
1. Щелкните кнопки Пуск (Start) и Выполнить (Run), введите команду Dcpromo.exe и нажмите клавишу Enter.
ПРИМЕЧАНИЕ |
Добавление роли AD DS посредством команды Dcpromo |
В предыдущем упражнении вы добавили роль AD DS с помощью диспетчера сервера. Однако если запустить команду Dcpromo.exe на сервере без установленной роли AD DS, то мастер добавит эту роль автоматически.
Откроется Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard). Его расширенные р е ж и м ы описаны в главе 10.
2. Щелкните кнопку Далее (Next).
3. На странице Совместимость операционных систем ( O p e r a t i n g S y s t e m Compatibility) ознакомьтесь с предупреждением о заданных по у м о л ч а н и ю параметрах безопасности для контроллеров доменов системы W i n d o w s Server 2008, а затем щелкните кнопку Далее (Next).
4.На странице Выберите конфигурацию развертывания (Choose a Deployment Configuration) остановите свой выбор на конфигурации Создать н о в ы й
домен в новом лесу (Create a New Domain in a New Forest) и щ е л к н и т е кнопку Далее (Next).
5.На странице Укажите имя корневого домена леса (Name the Forest Root Domain) введите в поле имя contoso.com и щелкните кнопку Далее (Next) . Система проверит уникальность имен DNS и NetBIOS в сети.
Занятие 1 Установка доменных служб Active Directory ") 21
6. Иа странице Задание режима работы леса (Set Forest Functional Level) выберите ф у н к ц и о н а л ь н ы й уровень Windows Server 2008 и щелкните кнопку Далее (Next) .
Все ф у н к ц и о н а л ь н ы е уровни описаны в окне Подробности (Details) страницы . П р и выборе функционального уровня леса Windows Server 2008 все д о м е н ы в лесу будут работать иа уровне Windows Server 2008, обеспечивающем несколько новых возможностей системы Windows Server 2008. Ф у н к ц и о н а л ь н ы е уровни подробно описаны в главе 12.
Откроется страница Параметры дополнительного контроллера домена (Additional D o m a i n Controller Options). По умолчанию будет выбран DNSсервер. М а с т е р установки доменных служб Active Directory создаст инфраструктуру D N S в процессе установки AD DS. Первый контроллер домена в лесу д о л ж е н быть сервером глобального каталога GC (Global Catalog) и не м о ж е т быть контроллером домена только для чтения R O D C (Read-Only D o m a i n Controller) .
7. Щ е л к н и т е к н о п к у Далее (Next). Появится предупреждение о назначении статического IP-адреса. Поскольку конфигурация IPv6 не описана в данном руководстве, в у п р а ж н е н и и 2 для сервера не был назначен статический 1Ру6-адрес. В упражнении 2 вы назначили статический 1Ру4-адрес, который будет и с п о л ь з о в а т ь с я в последующих упражнениях. В контексте текущего у п р а ж н е н и я данное предупреждение можно проигнорировать.
8. Щ е л к н и т е кнопку Да, компьютер будет использовать динамически назначаемый IP - адрес (не рекомендуется) (Yes, the Computer Will Use a Dynamically Assigned IP Address (Not Recommended)). Появится предупреждение о том,
что д л я |
этого DNS - сервера не будет делегирования. В контексте данного |
||
у п р а ж н е н и я |
вы можете проигнорировать эту ошибку. Делегирование до- |
||
менов D N S |
о п и с а н о в главе 9. |
||
9. Щ е л к н и т е |
к н о п к у Да (Yes), чтобы закрыть окно предупреждения мастера |
||
у с т а н о в к и |
д о м е н н ы х служб Active Directory. |
||
10. На с т р а н и ц е Р а с п о л о ж е н и е для базы данных, файлов журнала и SYSVOL |
|||
( L o c a t i o n for Database, Log Files and SYSVOL) примите заданное по умол- |
|||
чанию |
р а з м е щ е н и е , д л я файла базы данных, файлов журнала службы ка- |
||
талогов |
и |
SYSVOL, а затем щелкните кнопку Далее (Next). В производс- |
|
т в е |
н н о й среде эти ф а й л ы лучше всего хранить в трех отдельных томах, где |
нет |
п р и л о ж е н и й и других файлов, которые не имеют отношения к AD DS. |
Б л а г о д а р я |
этому повысится производительность, а также эффективность |
|
а р х и в а ц и и |
и |
восстановления. |
И. На с т р а н и ц е |
Пароль администратора для режима восстановления служб |
|
каталогов (Directory Services Restore Mode Administrator Password) введите строгий п а р о л ь в п о л я Пароль (Password) и Подтверждение (Confirmed Password). Щ е л к н и т е кнопку Далее (Next).
12. На странице Сводка (Summary) просмотрите выбранные параметры. Если
какие - либо из н и х некорректны, то щелкните кнопку Назад (Back), чтобы внести м о д и ф и к а ц и и .
I •| g Установка Глава 1
13. Дважды щелкните кнопку Далее (Next). Начнется процесс настройки AD DS. После его завершения потребуется перезагрузить сервер. При ж е л а н и и
вы можете установить флажок Перезагрузка по завершении |
( R e b o o t on |
Completion). |
j |
Резюме |
I |
•Службы Active Directory обеспечивают интегрированную реализацию идентификации и доступа в корпоративных сетях.
•Доменные службы Active Directory (Active Directory Domain Services) предоставляют компоненты служб каталогов и проверки подлинности решения IDA. Кроме того, они упрощают управление даже в больших и с л о ж н ы х распределенных сетях.
• Системы Windows Server 2008 конфигурируются на основе в ы п о л н я е м ы х ими ролей. Роль AD DS можно добавить с помощью Диспетчера сервера (Server Manager).
•Для настройки AD DS и создания контроллера домена используется команда Dcpromo.exe.
Закрепление материала
Знания, полученные на занятии 1, можно проверить с помощью п р и в е д е н н ы х ниже вопросов, которые есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на данные вопросы с пояснениями, почему тот либо иной вариант ответа правильный или неправильный, вы найдете в разделе -«Ответы» в конце книги.
1.Какие из приведенных ниже параметров требуются для успешного создания контроллера домена? Укажите все варианты.
A.Действительное DNS-имя домена.
Б. Действительное имя NetBIOS.
B. Сервер DHCP для назначения IP-адреса контроллеру домена.
Г.Сервер DNS.
2.Компания Trey Research недавно приобрела компанию Litware, Inc. И з - з а проблем, возникших в связи с регулированием репликации, было принято решение сконфигурировать дочерний домен в лесу д л я пользователей и компьютеров Litware. Лес Trey Research в настоящее время содержит л и ш ь контроллеры доменов Windows Server 2008. Новый домен будет создан посредством повышения ранга рядового сервера до контроллера домена Windows Server 2008, однако в качестве контролеров в домене Litware вам,
возможно, придется использовать существующие системы W i n d o w s Server 2003. Какие функциональные уровни следует сконфигурировать в такой ситуации?
А. Леса Windows Server 2008 и домена Windows Server 2008 д л я Litware. Б. Леса Windows Server 2008 и домена Windows Server 2003 д л я Litware.
Занятие 2 |
Доменные службы Active Directory и ядро сервера |
2 3 |
В. Л е с а W i n d o w s Server 2003 и домена Windows Server 2008 для Litware. F. Леса W i n d o w s Server 2003 и домена Windows Server 2003 для Litware.
Занятие 2. Доменные службы Active Directory
^ ядро сервера
Многие о р г а н и з а ц и и стараются реализовать все доступные средства безопасности д л я серверов, я в л я ю щ и х с я контроллерами доменов, поскольку данные, которые х р а н я т с я в каталоге (в частности, пользовательские пароли) уязвимы. Хотя в к о н ф и г у р а ц и и Windows Server 2008 на основе ролей уменьшается фронт атак сервера, так как инсталлируются лишь те компоненты и службы, которые н е о б х о д и м ы д л я его ролей, это можно сделать и посредством установки ядра сервера (Server Core). Это минимальная установка, в которой нет даже графического пользовательского интерфейса Проводник Windows (Windows Explorer) и к о м п о н е н т а Microsoft .NET Framework. Инсталляцию ядра сервера можно а д м и н и с т р и р о в а т ь удаленно с помощью инструментов GUI (Graphical User Interface), однако д л я локальной настройки и управления сервером нужно использовать и н с т р у м е н т ы командной строки. На этом занятии мы опишем процесс с о з д а н и я контроллера домена из командной строки на компьютере с установленным я д р о м сервера Windows Server 2008. Кроме того, мы обсудим удаление к о н т р о л л е р о в из домена.
Изучив материалы этого занятия, вы сможете:
Оценить преимущества и функциональные возможности установки ядра сервера.
S Установить и сконфигурировать ядро сервера.
SДобавить и удалить роль доменных служб Active Directory (AD DS) с помощью инструментов командной строки.
Продолжительность занятия — около 35 мин.
Ядро сервера
Ядро сервера (Server Core) Windows Server 2008 представляет собой минимальную установку системы Windows, которая занимает около 3 Гбайт на жестком диске и требует меньше 256 Мбайт оперативной памяти. Установка ядра сервера ограничивает р о л и и компоненты, которые можно добавлять, зато повышает уровень безопасности и управляемости сервера, снижая фронт его атаки. Количество о д н о в р е м е н н о запущенных служб и компонентов при этом ограничено, поэтому возможности злоумышленников атаковать сервер сокращаются. Кроме того, в я д р е сервера ослабевает административная нагрузка, связанная с управлением сервером, поскольку сокращается потребность в обновлениях и технической поддержке.
Ядро сервера (Server Core) поддерживает девять ролей сервера:
•Доменные службы Active Directory (Active Directory Domain Services, AD DS);
• С л у ж б ы Active Directory облегченного доступа к каталогам (Active Directory Lightweight Directory Services, AD LDS);
24 |
I •| g Установка |
Глава 1 |
• |
DHCP-сервер (Dynamic Host Configuration Protocol ( D H C P ) |
Server); |
• DNS-сервер (DNS Server); |
|
|
• |
Файловые службы (File Services); |
|
• |
Сервер печати (Print Server); |
I |
• |
Службы потокового мультимедиа (Streaming Media Services); |
I |
•Веб-сервер (IIS) (Web Server (IIS)) — статический веб-сервер без возмож - ности установить ASP.NET;
• |
Hyper-V (виртуализацию Windows Server). |
' |
|
Кроме того, в ядре сервера поддерживаются следующие дополнительные |
|
компоненты: |
I |
|
• |
Средство отказоустойчивости кластеров (Microsoft Failover Cluster); |
|
• |
Балансировка сетевой нагрузки (Network Load Balancing); |
|
• |
Подсистема для UNIX-приложений (Subsystem for U N I X - b a s e d |
appli - |
|
cations); |
|
•Архивация Windows (Windows Backup);
•Многопутевой ввод-вывод (Multipath I/O);
• Диспетчер съемных носителей (Removable Storage Management);
• Шифрование диска BitLocker (Windows BitLocker Drive Encryption);
• Службы SNMP (Simple Network Management Protocol ( S N M P ) ) ;
• WINS-сервер (Windows Internet Naming Service ( W I N S ) ) ;
•Клиент Telnet (Telnet client);
•Качество обслуживания QoS (Quality of Service (QoS)) .
Установка ядра сервера
Ядро сервера (Server Core) можно установить с помощью операций, которые описаны в первом упражнении занятия 1. Разница между полной установкой и инсталляцией ядра сервера состоит в том, что после выбора и в ы п о л н е н и я установки ядра сервера (Server Core) в Мастере установки W i n d o w s (Installing Windows Wizard), показанном на рис. 1-9, при входе в систему вместо ин - терфейса Проводник Windows (Windows Explorer) открывается к о м а н д н а я строка.
ПРИМЕЧАНИЕ Пустой начальный пароль администратора
При установке системы Windows Server 2008 с загрузочного DVD начальный пароль учетной записи Администратор (Administrator) является пустым. При первом входе в систему вам будет предложено изменить пароль.
ПРИМЕЧАНИЕ
Установка ядра сервера пошагово описана в упражнении 1 в конце этого занятия.
Рис. 1-9. Страница выбора операционной системы Мастера установки Windows
Начальные задачи настройки
При п о л н о й установке системы Windows Server 2008 открывается окно Задачи начальной настройки (Initial Configuration Tasks), в котором можно выполнять послеустановочные задачи на сервере. Ядро сервера (Server Core) не предо- ' ставляет графического интерфейса, поэтому нужно использовать командную строку. О с н о в н ы е задачи настройки и команды, которые можно применять для их в ы п о л н е н и я , приведены в табл. 1-1. Чтобы получить больше информации об этих командах, откройте командную строку и введите имя команды с параметром / ? .
Табл. 1-1. Команды для настройки ядра сервера
Задача |
|
|
Команда |
Изменение пароля администратора |
При входе в систему с помощью сочетания |
||
|
|
клавиш Ctrl+Alt+Del будет предложено из- |
|
|
|
менить пароль. Можно также ввести команду |
|
|
|
Net user administrator * |
|
Задать статическую конфигурацию |
Netsh interface ipv4 |
||
IPv4 |
|
|
|
Активация системы Windows Server Присоединение к домену Добавление ролей, компонентов и средств в установку ядра сервера
Отображение установленных ролей, компонентов и возможностей
Cscript c:\windows\system32\slmgr.vbs -ato Netdom
Ocsetup.exe, после чего нужно указать имя пакета либо компонента. Эти имена чувствительны к регистру
Oclist.exe
(см. след. стр.)
I •| g Установка |
|
|
Глава 1 |
||||
Табл.1-1 (окончание) |
|
|
|
|
|
||
Задача |
|
Команда |
j |
||||
|
|
|
|
|
|
|
|
Включение удаленного рабочего |
Cscript c:\xmndows\system32\scregedit.wsf /AR О |
I |
|||||
стола |
|
|
|
j |
|||
Повышение ранга сервера |
Dcpromo.exe |
( |
|
||||
до контроллера домена |
|
|
|
; |
|
||
Настройка DNS |
Dnscmd.exe |
|
|
||||
Настройка DFS |
|
Dfscmd.exe |
|
|
|
||
ПРИМЕЧАНИЕ
В упражнении 2 в конце этого занятия пошагово описана начальная настройка установки ядра сервера Windows Server 2008.
Для добавления поддерживаемых ролей и компонентов ядра сервера используется команда Ocsetup.exe. Исключением из этого правила я в л я е т с я роль доменных служб Active Directory (AD DS) — для ее добавления и у д а л е н и я используется команда Dcpromo.exe.
Добавление роли AD DS ядру сервера
Поскольку в установке ядра сервера (Server Core) нет компонента Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard), требуется из командной строки запустить команду Dcpromo. ехе с параметрами настройки роли AD DS. Чтобы больше узнать о параметрах Dcpromo.exe, откройте командную строку и введите команду dcpromo.exe /?. Д л я всех сценариев конфигурации необходима дополнительная и н ф о р м а ц и я . На - пример, для повышения ранга сервера до уровня контроллера домена введите команду dcpromo.exe /?:Promotion.
К СВЕДЕНИЮ |
Параметры автоматизированной установки |
Список параметров автоматизированной установки можно найти по адресу http:// technet2.microsoft.com/windowsserver2008/en/library/bcd89659-402d-46fb-8535-
8da 1feb8d4111033.mspx.
ПРИМЕЧАНИЕ
Вы добавите роль AD DS в установку ядра сервера в упражнении 3 в конце этого занятия.
Удаление контроллеров доменов
Иногда может потребоваться отключить контроллер домена от сети для проведения капитального технического обслуживания либо навсегда удалить его. Делать это нужно корректно, чтобы удалить информацию об этом контроллере домена из Active Directory.
Занятие 2 Доменные службы Active Directory и ядро сервера 2 7
Д л я удаления контроллера домена используется команда Dcpromo.exe. При ее запуске на контроллере домена с помощью интерфейса Windows запустится Мастер установки доменных служб Active Directory (Active Directory Domain \Services Installation Wizard). Чтобы удалить роль AD DS в установке ядра сервера из командной строки, введите dcpromo.exe /?:Demotion. Откроется список jпараметров д л я операции понижения роли контроллера домена,
ПРИМЕЧАНИЕ
В упражнении 4 в конце этого занятия описан процесс удаления контроллера домена с помощью команды Dcpromo.exe.
При п о н и ж е н и и |
роли контроллера домена требуется указать пароль, кото- |
рый будет назначен |
локальной учетной записи администратора сервера после |
в ы п о л н е н и я этой операции.
Практические занятия. Установка контроллера домена с ядром сервера
В п р е д л о ж е |
н н ы х далее |
у п р а ж н е н и я х вы добавите |
контроллер домена в лес |
contoso.com, |
созданный |
в у п р а ж н е н и я х занятия 1. |
Чтобы повысить уровень |
безопасности и уменьшить административную нагрузку нового контроллера домена, вы назначите на! эту роль компьютер с установленным ядром сервера (Server C o r e ) . П е р е д в ы п о л н е н и е м приведенных ниже упражнений нужно в ы п о л н и т ь у п р а ж н е н и я занятия 1.
Упражнение 1. Установка ядра сервера
В этом у п р а ж н е н и и вы установите ядро сервера на компьютер или виртуальную машину.
1. Вставьте установочный диск системы Windows Server 2008. При использо- в а н и и виртуальной машины вы можете смонтировать ISO-образ установочного DVD . Соответствующие инструкции есть в справочной документации в и р т у а л ь н о й машины .
2. Запустите установку системы. П р и пустом жестком системном диске следует загрузить систему с DVD . Когда на диске есть данные, вам может быть предложено нажать клавишу д л я загрузки с DVD. Если система не загружается с DVD, откройте параметры BIOS компьютера и сконфигурируйте п о р я д о к загрузки с DVD .
3. Выберите д л я системы язык, региональные параметры и раскладку клавиатуры, после чего щелкните кнопку Далее (Next).
4. Щ е л к н и т е кнопку Установить (Install Now). |
Отроется список доступных |
д л я установки выпусков, показанный на рис. |
1-5. |
5. Выберите вариант Windows Server 2008 (Установка ядра сервера) (Windows Server 2008 (Server Core Installation)) и щелкните кнопку Далее (Next).
6. Установите ф л а ж о к Я принимаю условия лицензии (I Accept the License Terms) и щелкните кнопку Далее (Next).