- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
139
6.2.3.1. Оптимизация регистрационного трафика
Планируя сайты, определите, какие контроллеры доменов должны использовать для входа в сеть рабочие станции в каждой подсети. Чтобы заставить конкретную рабочую станцию регистрироваться в определенном наборе контроллеров доменов, в рамках сайта рабочей станции должны находиться только необходимые контроллеры.
6.2.3.2. Оптимизация репликации каталога
Планируя сайты, решите, где разместить контроллеры доменов. Поскольку любой контроллер домена должен участвовать в репликации каталога совместно с другими контроллерами своего домена, сайты надо сконфигурировать так, чтобы репликация не мешала работе сети.
6.3. Внедрение Active Directory
Рассмотрим далее установку Active Directory на компьютер Windows Server, включая описание работы с соответствующим мастером. Мастер Active Directory Installation (Мастер установки Active Directory) позволяет:
•добавить контроллер домена к существующему домену;
•создать первый контроллер нового домена;
•создать новый дочерний домен;
•создать новое дерево доменов.
Для запуска мастера Active Directory Installation необхо-
димо раскрыть меню Start\Programs\Administrative Tools (Пуск \ Программы \ Администрирование) и
щелкнуть ярлык Configure Your Server (Настройка сервера). Или запустить утилиту dcpromo.exe из окна Run
или из командной строки.
При установке Active Directory можно выбрать: добавить ли новый контроллер к существующему домену, или создать первый контроллер для нового домена.
140
6.4.Добавление контроллера домена
ксуществующему домену
Если Вы решили добавить контроллер домена к существующему домену, будет создан дополнительный контроллер домена. Такие контроллеры создаются для избыточности и уменьшения нагрузки на существующие контроллеры доменов.
6.4.1. Создание первого контроллера нового домена
При создании первого контроллера нового домена придется создавать и новый домен.
Домены создаются для распределения информации, что позволяет масштабировать Active Directory для удовлетворения потребностей очень больших организаций.
Вы вправе создать дочерний домен или новое дерево до-
менов.
В первом случае новый домен добавляется в качестве дочернего к существующему домену.
Во втором случае новый домен не будет являться частью существующего домена, и Вы сможете создать новый лес доме-
нов или присоединиться к существующему лесу.
Запуск утилиты dcpromo.exe на контроллере домена позволит Вам удалить службы Active Directory с контроллера домена и превратить его в изолированный сервер. Удаление Active Directory со всех контроллеров данного домена приведет к удалению БД каталога домена, после чего домен прекратит существование.
6.4.2.База данных и общий системный том
При установке Active Directory автоматически создаются БД, файлы ее журнала и общий системный том.
6.4.2.1. База данных Active Directory
Это каталог нового домена. По умолчанию БД и файлы ее журнала размешаются в папке %systemroot%\NTDS, распо-
ложенной на контроллере домена. Однако в ходе установки Active Directory допустимо указать другой каталог.
141
Для повышения производительности целесообразно поместить БД и файлы ее журнала на отдельном жестком диске.
Лучше всего разместить БД на аппаратной RAID-системе, например RAID-5 или RAID-10 (зеркальное отображение с чередованием дисков) — это обеспечит отказоустойчивость и вы-
сокую производительность.
БД каталога фактически хранится в файле Ntds.dit, где находится вся информация хранилища Active Directory .
В процессе повышения статуса до уровня контроллера
Ntds.dit переносится в указанный каталог из каталога
%systemroot%\System32. Затем службы Active Directory
стартуют с новой копии этого файла, а если есть и другие контроллеры домена, то в процессе репликации обновляют этот файл данными от других контроллеров.
6.4.2.2. Общий системный том
Общий системный том существует на всех контроллерах домена Windows Server. Он хранит сценарии и некоторые объекты групповой политики для текущего домена и предприятия в целом.
По умолчанию общий системный том размещается в папке %systemroot%\sysvol, причем он может храниться только
на диске или в разделе с файловой системой NTFS 5.0 (рис. 6.2).
Рис. 6.2. Размещение общего системного тома
142
6.4.3.Режимы домена
Существуют два режима домена: смешанный (Mixed) и ос-
новной (Native).
6.4.3.1. Смешанный режим
При первой установке или обновлении контроллера домена до Windows Server контроллер запускается в смешанном режиме, позволяющем ему взаимодействовать с любыми контроллерами доменов под управлением Windows NT 3.51 или 4.0.
Кроме того, смешанный режим нужен для входа в сеть любому клиенту, использующему аутентификацию NTLM и
службу каталога Windows NT 3.51 или Windows NT 4.0. Им так-
же требуется WINS для разрешения имен. Эти клиенты нижнего уровня обычно будут аутентифицироваться в Windows Server прежде, чем Windows NT Server нижнего уровня удовлетворит их запрос на вход в систему. Компьютер с Windows Server также всегда становится координатором сети (master browser). Выполнение этих функций создает дополнительную нагрузку на контроллеры доменов Windows Server.
6.4.3.2. Основной режим
Если на всех контроллерах домена установлен Windows Server 2000 – 2008 и больше не будет необходимости добавлять в этот домен контроллеры нижнего уровня, следует перевести домен в основной режим.
При изменении режима со смешанного на основной происходит следующее:
•прекращается поддержка репликации нижнего уровня, после чего в этом домене больше нельзя будет иметь контроллеры, управляемые предыдущими версиями Windows;
•запрещается добавление новых контроллеров нижнего уровня в данный домен;
•сервер, исполнявший роль ОСНОВНОГО контроллера домена, перестает быть основным; все контроллеры становятся равноправными.
Изменения режима домена носят однонаправленный характер. Вы не сможете перейти из основного режима в смешанный.