Active Directory

Служба каталога Active Directory (AD) в Windows 2000 Server и Windows Server 2003
содержит информацию обо всех ресурсах, необходимых для работы в сети. Она
включает соединения, приложения, базы данных, принтеры, пользователей и
группы. Microsoft вполне конкретно указывает, что Active Directory обеспечивает
стандартный путь для указания, описания, управления и доступа к ресурсам.
Active Directory по умолчанию не устанавливается, поскольку она не является
обязательной для простых серверных задач. Но, по мере того, как сервер начинает
заниматься всё большим количеством задач, AD становится всё более и более
важной. Дополнительные компоненты, типа почтового сервера Exchange Server от
Microsoft, к примеру, требуют полнофункциональной Active Directory.
Команда dcpromo позволяет превратить обычный сервер в контроллер Active Directory.
После этого мы должны определить, будет ли новый домен AD
интегрирован в существующую систему.
Active Directory использует свою собственную базу данных, чтобы наиболее эффективно
работать с информацией. Поскольку ваше окружение может быстро наращиваться, а сервер
может получать дополнительные задачи, базы данных и файлы журнала лучше размещать на
раздельном жёстком диске, чтобы системная производительность была максимально высока.
Папка SYSVOL является ещё одной особенностью Active Directory, поскольку её содержимое
дублируется всеми контроллерами Active Directory в домене. Она содержит скрипты входа в
систему, групповые политики и другие опции, которые должны быть доступны на всех
серверах. Конечно же, расположение этой папки можно менять.
Эта опция будет важна, только если у вас есть компьютеры Windows NT с доменной
структурой.
Во время установки мастер AD будет жаловаться, что DNS-серверы не запущены. Поэтому
необходимо установить и его.
Установка DNS-сервера
Система DNS (Domain Name Service) является ахиллесовой пятой структуры Active Directory.
Поскольку сетевые коммуникации в целях доступности осуществляются по именам (скажем,
www.thg.ru), должна существовать система преобразования имён в IP-адреса - и наоборот.
Прямые запросы преобразовывают имя в IP-адрес, а обратные - IP-адрес в имя.
Установка сервера DNS происходит быстро (иллюстрация выше), правда сразу он обычно не
работает.
Довольно важно добавить зону обратного преобразования (Reverse Lookup Zone). Тогда DNS-
сервер сможет выдавать имена на основе IP-адресов.
Для наших нужд потребуется первичная зона (primary zone), поскольку мы желаем полностью
обслуживать локальную сеть этим DNS-сервером. Важно выбрать опцию интеграции с Active
Directory в нижней части окна.
Конечно же, нам нужно ввести адресное пространство для локальной сети. В данном случае
идентификатор сети будет 192.168.1.x. В качестве маски подсети выбрана 255.255.255.0, при
этом сеть может содержать 254 компьютера. Этого количества будет достаточно для дома или
малого офиса. Переход на маску 255.255.0.0 увеличит количество компьютеров до 64 516.
Нам нужны только безопасные динамические обновления зоны. Ручные обновления
отнимают слишком много сил.
После подтверждения будет создана зона обратного преобразования.
Наконец, нам понадобится запись PTR на нашу подсеть 192.168.1.0.
Здесь необходимо задать полное доменное имя
сервера. В нашем случае это будет
testserver.testdomain.com.
Лучшим способом проверки правильной настройки DNS являются утилиты nslookup и ping.
Поскольку мы планируем выходить и в Интернет, необходимо проинформировать DNS-сервер,
как разрешать запросы на другие имена.
Для простоты мы просто ввели IP-адрес нашего
DSL-маршрутизатора в качестве DNS forwarder.
Наш сервер будет автоматически
перенаправлять запросы к серверу DNS
провайдера.
Настройки TCP/IP

Сейчас необходимо отрегулировать настройки

TCP/IP, чтобы сервер мог работать в паре с
новым сервером DNS. На этот раз в качестве
основного сервера DNS мы введём IP-адрес
192.168.1.50. Мы отметили все галочки,
поскольку тоже хотим работать с суффиксами
DNS.
Мы можем ввести адрес сервера WINS (Windows
Internet Naming Service), если будем его
устанавливать. Он выбирается в пункте [Control
Panel] - [Software] - [Windows Components] -
[Network Services] и имеет только ряд опций по
конфигурации
Установка asminpak.msi

На сегодняшний день наиболее полезная

коллекция утилит присутствует в Resource Kit for
Windows Servers, который поставляется
Microsoft. Однако его необходимо брать
отдельно. На Windows CD присутствует
административный пакет, который можно
быстро установить, запустив команду
"asminpak.msi". Он расширяет доступные опции
для администрирования.
Установка DHCP-сервера
Как только сервер сможет разрешать имена и
IP-адреса, а также будет работать в режиме
Active Directory, остаётся установить только
сервер DHCP (Dynamic Host Configuration
Protocol). По умолчанию каждый компьютер
Windows ищет в сети подобный сервер, чтобы
получить свой IP-адрес, адрес шлюза и другие
сетевые параметры.
После установки службы в пункте [Control Panel]
- [Software] - [Windows Components] - [Network
Services] его необходимо настроить. Нам нужно
ввести диапазон раздаваемых IP-адресов (см.
скриншот выше).
В свою очередь, из диапазона
можно убрать какие-либо адреса,
если они уже заняты.
Аренда IP-адреса указывает на
время, в течение которого IP-
адрес остаётся за компьютером.
Если сеть у вас меняется редко,
то аренду можно продлить до
месяца, а в сетях с частой
сменой компьютеров её лучше
сократить до нескольких дней.
Добавление адреса шлюза очень
важно для пользователей. В
небольших сетях шлюзом, как
правило, выступает DSL-
маршрутизатор.
Немаловажно указать доменное имя,
а также адрес DNS-сервера. Если
DNS-серверов несколько, то можно
указать их все. Для надёжности мы
добавили IP-адрес DLS-
маршрутизатора, чтобы пользователи
смогли выходить в Интернет даже в
случае краха (или перезагрузки)
сервера.
Если вы не установили сервер
WINS, то оставьте эту
страницу пустой. Иначе
выполните то же самое, что и
для настроек DNS.
После успешной настройки диапазона
адресов (scope) сервер DHCP
необходимо авторизовать, чтобы он
смог работать в Active Directory.
Нажмите правой клавишей мыши
Всё готово - DHCP работает! Однако
убедитесь, что раздачей адресов в
сети занимается именно ваш DHCP-
сервер. Часто DSL-маршрутизаторы
тоже выполняют подобные функции,
которые, конечно же, следует
отключить.
Удалённое управление через терминал
Администратор может подключаться к рабочему
столу в любое время, а других пользователей
необходимо добавить, нажав клавишу "Select
Remote Users" в закладке Remote окна System
Properties.
Необходимое программное обеспечение
для подключения к удалённому рабочему
столу уже присутствует в Windows XP или
Server 2003. Просто перейдите в меню
[Start] - [Programs] - [Accessories] -
[Communications], где вы обнаружите
Remote Desktop Connection.
Для выбора компьютера, к которому вы желаете
подключиться, достаточно знать его IP-адрес
или имя.
Производительность Remote Desktop Connection
можно регулировать, изменяя опции.
Пользователей можно создавать через пункт меню
[Start] - [Programs] - [Active Directory Users and
Computers]. Убедитесь, что вы также добавили права
на dial-in для VPN или терминальных служб (или не
добавили), а также вписали пользователей в нужные
группы.
Для лучшей организации разрешений мы
рекомендуем с самого начала создавать группы. В
идеальных условиях разрешения должны быть
привязаны к группам, а не к отдельным
пользователям. Конечно, исключением являются
персональные папки.
Создаём общие каталоги

Администраторы всегда могут получить полный

доступ к логическим дискам сервера Windows.
Обратившись, к примеру, по имени \\testserver\
c$ вы получите диск C. Для других же
пользователей необходимо создать общие папки
с разными разрешениями.
При нажатии правой клавишей на каталог
откроется меню, в котором следует выбрать
закладку [Sharing and security]. Здесь можно
указать сетевое имя для папки. Если вы не
хотите давать каких-либо прав на запись, то по
умолчанию все пользователи будут иметь права
на чтение. Но мы также хотим дать права и на
запись.
Мы добавили пользователя Patrick и дали ему
права на чтение и запись. Однако права,
которые здесь прописываются, относятся только
к уровню сетевого каталога. Необходимо
прописать права на уровне файловой системы,
что осуществляется в том же окне, в закладке
[Security].