Математическое обеспечение и администрирование информационных систем

Шаг 9. На этом шаге необходимо определить правила, в соответствии с которыми будет лицензироваться устанавливаемый вами сервер. Операционная система Windows Server 2003 поддерживает два режима лицензирования: «на сервер» (Per Server) и «на рабочее место» (Per Seat).

Для того чтобы сделать осмысленный  выбор режима лицензирования, рассмотрим преимущества и недостатки каждого из способов подробнее.

Лицензирование «на сервер»  подразумевает необходимость выделения  клиентских лицензий для подключения  к определенному серверу. Каждая лицензия разрешает одно подключение  клиентского компьютера к серверу  для доступа к сетевым службам. В итоге количество лицензий должно соответствовать максимальному числу одновременно подключенных к серверу компьютеров.

Такая политика лицензирования предпочтительна  для небольших сетей с одним  сервером и для серверов Интернета  или удаленного доступа, клиентские компьютеры которых лицензировать нельзя. Лицензирование «на сервер» позволяет определить максимальное число параллельных подключений к серверу и отклонить попытки входа в систему дополнительных пользователей. Если вы сомневаетесь, что выбрать, выберите этот режим.

Лицензирование «на рабочее  место» требует отдельной клиентской лицензии для каждого компьютера, обращающегося к Windows Server 2003 для доступа  к основным сетевым службам. Если компьютер лицензирован, с него разрешено обратиться к любому серверу Windows Server 2003 в сети. Такая политика лицензирования выгодна для больших сетей, где компьютеры соединяются с несколькими серверами.

Шаг 10. На этом шаге необходимо задать имя компьютера и пароль администратора.

Лучше не придумывать какое-то особо заковыристое имя сервера, ведь в дальнейшем его придется использовать очень часто. Что касается пароля, то тут требования противоположные. Пароль должен быть достаточно сложным. Лучше всего, если он будет содержать буквы, набранные на разных регистрах, цифры и специальные символы. При этом их сочетание в идеале не должно вызывать никаких ассоциаций. Разумеется, пароль нельзя записывать и хранить в таком месте, откуда он легко может быть похищен.

А с каким логином необходимо осуществлять вход в сервер? В процессе установки создается пользователь Administrator, пароль для него и создается. Другими словами, необходимо при первом входе в Windows Server 2003 использовать логин Administrator и пароль, который только что был вами придуман. А дальше все делается легко и просто.

Шаг 11. На этом шаге необходимо указать дату, время и ваш часовой пояс.

Обратите внимание на маленькое  окно в нижней части экрана. Если в нем будет установлена галочка, то система автоматически будет  изменять время при введении летнего или зимнего времени. И здесь есть одна неувязка. Весь мир переходит на зимнее время в конце сентября. Раньше так делала и Россия. Однако сейчас Россия переходит на зимнее время в конце октября, поэтому вам придется «отматывать» время назад в конце сентября и вновь корректировать его в конце октября. Возможная альтернатива — жить месяц с неверным временем на сервере.

Шаг 12. На этом шаге система попросит вас указать, какие сетевые настройки необходимо применять в работе.

Если вы недостаточно опытны, выбирайте «Typical», а не «Custom». Разница между этими режимами заключается в настройке протокола TCP/IP. Если вы хотите, чтобы система сама настроила сетевые параметры, сервер попытается получить IP-адрес с сервера DHCP. Если сервера DHCP в локальной сети нет, то система сама зарезервирует IP-адрес из ранее определенного диапазона.

Шаг 13. Если же на предыдущем этапе вы выбрали не «Typical», а «Custom», то вам придется настроить сервер для работы в локальной сети вручную.

В этом окне выбираем «Internet Protocol (TCP/IP)», после чего нажимаем клавишу «Properties» и вводим данные.

Предположим, что вы пытаетесь установить сервер в локальной сети жилого дома или  небольшой фирмы. В этом случае вам  должен быть известен диапазон сетевых  адресов и маска подсети. Первые три поля IP-адреса и маска подсети должны совпадать у всех компьютеров локальной сети, только последнее поле должно быть уникальным. Узнать IP-адрес (в том числе свободный) и маску подсети можно, выполнив на другой машине, входящей в сеть, команду ipconfig /all.

У администратора нужно узнать адрес маршрутизатора вашей сети и указать его в  качестве шлюза по умолчанию (Default Gateway). Если маршрутизатора в сети нет, то необходимо указать адрес сервера  провайдера. Если и интернет-провайдера нет, то нужно оставить это поле пустым.

Адрес DNS-сервера  вашей сети нужно указать в  поле «Preferred DNS server» (предпочитаемый DNS-сервер). Если этого сервера в сети нет, то нужно оставить поле пустым. В  дальнейшем вы сможете установить DNS на этом же сервере, указав его IP-адрес как «127.0.0.1».

Если в  сети есть и маршрутизатор и DNS-сервер, но вы не знаете, как раздобыть эту  информацию, выполните на другом компьютере команду ipconfig с параметром /all.

Шаг 14. Теперь укажем, в состав какой рабочей группы будет включен сервер. Это делается в следующем окне.

Если в  сети уже есть рабочая группа, необходимо указать ее имя. Если нет, то нужно  придумать новое. На этом инсталляция  завершена. На очереди другая задача — настройка системы.

4.1.4. Новое имя, новая роль

Первым делом создадим пользователя с именем, отличным от Administrator.

Выберем элемент меню «Start à Administrative Tools à Computer Management». После этого на экране появится следующее окно:

Пользователь, которого мы хотим создать, должен быть включен в группу администраторов. Для создания пользователя, правой кнопкой мыши щелкаем на элементе «Users», затем выбираем элемент «New User». В появившемся окне вводим данные нового пользователя и его пароль. Сейчас пароль можно ввести самостоятельно. Однако в тех случаях, когда будут создаваться записи для реальных пользователей, желательно, чтобы каждый вводил свой пароль самостоятельно. В этом случае пароль пользователя не будет известен даже администратору.

Теперь необходимо включить нового пользователя в группу.

• Выбираем «Properties» только что созданного пользователя.
• В очередном появившемся окне выбираем вкладку «Member Of», а на ней нажимаем кнопку «Add…».
• В появившемся окне нажимаем кнопку «Advanced», затем в очередном окне жмем кнопку «Find Now». Выбрав нужную группу, нажатием клавиши «ОК» добавляем пользователя в эту группу.

Создать группу и включить в нее  пользователей очень просто. Нажимаем правой клавишей мыши на элементе «Groups» (не «Users»), затем отвечаем на вопросы.

Пользователи  могут одновременно быть членами нескольких групп. Если нужно, чтобы пользователь, включенный в одну из групп, стал членом только что созданной группы и никакой больше, необходимо сначала сделать пользователя членом только что созданной группы, а потом исключить его изо всех остальных групп.

Функции, которые  может выполнять сервер, в терминологии Microsoft называются ролями. И на этом этапе нам необходимо определить, какие роли будет играть только что инсталлированный нами сервер.

Для добавления серверу какой-то роли используется такое средство, как «Configure Your Server Wizard». Обратиться к нему можно выбрав элемент «Start à Administrative Tools à Configure Your Server Wizard». После нескольких нажатий кнопки «Next» на отображении появится окно, содержащее список реализуемых сервером ролей.

Выбрав в этом окне необходимые  серверу роли, естественно, нужно  их правильно сконфигурировать. Но об этом речь пойдет далее.

4.2. Служба каталогов Active Directory

В настоящее время Active Directory является центральным компонентом платформы Windows. В ОС Windows Server 2003 она приобрела новые усовершенствованные возможности как с точки зрения управления объектами, так и с точки зрения взаимосвязи сетевой среды.

Потребность в централизованном хранении информации об объектах распределенных сетей и их свойствах была реализована компанией Microsoft в виде службы каталога Active Directory (AD), впервые появившейся в операционной системе Windows 2000 Server. Что же представляет собой служба каталога? Это хранилище данных, используемое для доступа к информации об объектах (пользователи, компьютеры, домены и т. д.), их свойствах, а также для обеспечения служб аутентификации и безопасности. Стоит особо подчеркнуть, что AD является не только информационным ресурсом, но и механизмом, посредством которого администраторы и пользователи имеют возможность обращаться к этой информации. Необходимо отметить, что Active Directory не работает на Windows Server 2003 Web Edition.

4.2.1. Назначение службы каталога

Если сеть состоит из десятка  компьютеров и двух-трех принтеров, администратор способен удержать всю необходимую информацию о ней у себя в голове. Если же сеть — это сложная структура, объединяющая в своем составе значительное число доменов, десятки расположений и тысячи пользователей, необходимость наличия централизованной информационной системы становится очевидной. Служба каталога позволяет:

• обеспечивать единую систему регистрации в сети (используя свое регистрационное имя и пароль, пользователь получает доступ ко всем ресурсам сети независимо от их расположения);
• обеспечивать требуемый уровень безопасности сети для защиты от несанкционированного доступа, используя встроенные в Active Directory средства аутентификации и управления доступом к ресурсам;
• осуществлять централизованное управление всеми ресурсами сети, широко используя такие инструменты, как групповые политики, в случае необходимости делегируя рутинную административную работу наиболее опытным пользователям;
• поддерживать текущую информацию об объектах сети, облегчая тем самым доступ к этим объектам и их свойствам;
• распределять каталог между несколькими серверами (контроллерами домена) в сети с помощью службы репликации, обеспечивая его доступность и отказоустойчивость, а также снижая сетевую нагрузку.

4.2.2. Основные понятия Active Directory

Прежде чем перейти к практическому  развертыванию Active Directory, необходимо ознакомиться с ее базовыми понятиями и структурой. Каталог состоит из элементов (entry), представляющих собою набор информации или атрибутов, связанных с реальными  объектами сети. Объектами каталога Active Directory могут являться пользователи, группы, компьютеры, принтеры (и другое оборудование), домены, организационные подразделения (далее ОП) и правила политики безопасности.

Элементы каталога организованы в  виде иерархической структуры (дерева). Элементы, находящиеся ближе к корню дерева, обычно представляют собой более сложные объекты (например домены и подразделения), элементы на ветвях этого дерева (листья) — более простые объекты: пользователи, устройства, компьютеры. Подобная структура каталога может быть описана в терминах пространства имен. Для определения пространства имен и их разрешения в AD используется соглашение об именовании DNS, что обуславливает тесную интеграцию службы DNS с Active Directory.

Доступ к объектам в Active Directory основан на использовании протокола LDAP (Lightweight Directory Access Protocol, облегченный протокол службы каталогов). Он является механизмом обновления информации, запросов и определения объектов в каталоге. Каждый объект в Active Directory представлен своим различающимся именем (distinguished name) LDAP. Это имя уникальным образом идентифицирует объект (будь то пользователь или домен) в каталоге. Например, различающимся именем для пользователя Sergey, входящего в подразделение Sales домена organization.local, будет следующая конструкция:

 

CN=Sergey, OU=Sales, DC=organization, DC=local.

CN — общее имя (Common Name), имя объекта в Active Directory;

OU — ОП, имя подразделения в Active Directory (обратите внимание, что для встроенных контейнеров, таких как «Users», может использоваться CN= вместо OU=);

DC — доменная часть имени (Domain Component), DNS-имя домена, в который помещен объект, разделенное на части, соответствующие каждому из уровней иерархии доменов, начиная с нижнего уровня и заканчивая верхним (в нашем случае представлена двухуровневая доменная структура).

 

Другим способом определения объектов в Active Directory являются относительные  различающиеся имена (relative distinguished name). Относительное различающееся имя — это более короткий путь описания объекта, применяемый в том случае, если известно, какому контейнеру принадлежит объект.

4.2.3. Развертывание Active Directory

Перейдем непосредственно к  развертыванию Active Directory. Будем исходить из предпосылки, что у нас  есть несколько компьютеров, объединенных в небольшую локальную сеть, составляющую рабочую группу. На одном из компьютеров (или на нескольких) установлена операционная система Windows Server 2003 Enterprise Edition (в дальнейшем w2k3). Предположим, что предварительно в этой сети не были установлены серверы DNS и DHCP.

Проанализировав потребности нашей организации  и требования по администрированию  и безопасности, мы решили объединить компьютеры в один домен, используя  наш сервер в качестве контроллера  домена (для реализации многих преимуществ Active Directory в домене должно устанавливаться как минимум два контроллера домена), создать два организационных подразделения Sales и Marketing и поместить в них пользователей, исходя из выполняемых ими функциональных обязанностей. Кроме того, в ОП Marketing мы создадим вложенное ОП Printers и разместим в нем установленные в нашей сети принтеры.

Для конфигурирования сервера воспользуемся мастером Configure Your Server Wizard. Он может быть запущен  из окна «Manage Your Server» выбором опции «Add or remove a role». Его также можно запустить из меню «Start à All Programs à Administrative Tools». Мастер установки Active Directory — Active Directory Installation Wizard — является частью мастера Configure Your Server Wizard.

После проверки сетевых настроек предлагается выбрать роли, которые будет исполнять ваш сервер. Выберем опцию «Typical configuration for a first server» (рис. 1), позволяющую провести одновременную установку на компьютер серверов DNS и DHCP, добавить роль первого контроллера домена и установить Active Directory.

Назовем создаваемый  домен organization.local, после чего ему  будет присвоено имя NetBIOS (рис. 2), затем выберем опцию, запрещающую серверу DNS делать переадресацию запросов, поскольку не планируем пока разрешать имена вне нашего домена (рис. 3), и мастер сообщит нам о выбранных компонентах для установки.

В следующем  окне предлагается выбрать разрешения по умолчанию для объектов «Users» и «Groups». Поскольку наш сервер является сервером w2k3, выбираем вторую из предложенных опций — «Permissions compatible only with Windows Server 2000 or Windows.Net Server operating systems» (рис. 4). После определения пароля для восстановления системы (рис. 5) мастер Active Directory Installation Wizard еще раз показывает выбранные опции, и нажатием кнопки «Next» мы запускаем установку Active Directory.