Задачи раздела 1:
- Познакомить с ролями компьютеров в среде Windows Server 2003.
- Изучить особенности использования различных редакций Windows Server 2003.
- Познакомить с назначением службы каталогов и логическими компонентами структуры Active Directory Windows Server 2003.
- Рассмотреть процесс установки Windows Server 2003 на сервер и его настройки для работы в качестве контроллера домена с Active Directory.
Роли серверов
Серверы выполняют много ролей в сетевом окружении «клиент-сервер». Серверы могут быть сконфигурированы для осуществления проверки подлинности, для запуска приложений. На некоторых серверах выполняются сетевые службы, дающие пользователям возможность связываться с другими службами и ресурсами в сети. Системному администратору необходимо знать основные роли серверов и их функции в сети.
Средство «Управление данным сервером» в Windows Server 2003 запускается автоматически, когда пользователь впервые входит в систему. Оно используется для добавления или удаления ролей удаленных серверов. При добавлении в компьютер какой-либо серверной роли «Управление данным сервером» добавляет эту роль в список имеющихся сконфигурированных серверных ролей. После добавления серверной роли в список можно управлять этой ролью с помощью нескольких мастеров. В средстве «Управление данным сервером» имеются файлы справки для каждой конкретной серверной роли с памятками и рекомендациями по устранению неполадок.
Семейство Windows Server 2003
Редакции Windows Server 2003 отличаются поддержкой аппаратных платформ и серверных ролей. Помимо базовых редакций Windows Server 2003 (Web, Standard, Enterprise и Datacenter), предлагаются версии для 64-разрядных процессоров и встроенные варианты. Для управления средой Windows Server 2003 необходимо понимать, какие выпуски операционной системы лучше всего подходят различным ролям компьютера.
Требования к оборудованию
Основные редакции операционной системы (ОС) Windows Server 2003 различаются поддержкой оборудования. Рассмотрим требования ОС к оборудованию
Редакция Web Edition
Операционная система Windows Server 2003 Web Edition специально разрабатывалась для веб-сервисов и включает все стандартные компоненты (IIS 6, NLB и Microsoft ASP.NET), необходимые для развертывания веб-сайтов, веб-приложений и веб-сервисов с минимальными затратами средств и труда на администрирование:
1. Компьютер под управлением Windows Server 2003 Web Edition может входить в домен Active Directory, но на нем нельзя выполнять службу каталогов Active Directory.
2. На такие серверы не распространяется действие стандартной модели лицензирования (Client Access License). Эта редакция поддерживает неограниченное количество анонимных веб-соединений, но не более 10 одновременных соединений по протоколу SMB (это означает, что к файлам и принтерам сервера могут обращаться одновременно не более 10 клиентов внутренней сети).
3. Web Edition не поддерживает брандмауэр Интернета и общий доступ к Интернету и поэтому не может быть шлюзом Интернета.
4. Такой сервер не может выступать в роли DHCP-сервера, сервера факсов, служб терминалов и БД SQL Server, однако службы терминалов поддерживаются.
5. Web Edition позволяет выполнять только приложения, необходимые для хостинга веб-страниц и веб-приложений.
Windows Server 2003 Web Edition доступна только через некоторые каналы партнеров и не поступает в розничную продажу.
Редакция Small Business Server Edition
Операционная система Windows Server 2003 Small Business Server Edition представляет собой полное серверное решение для малого бизнеса с количеством рабочих станций до 75 и поставляется в двух версиях: Standard и Premium.
Windows Small Business Server 2003 предоставляет на одном сервере следующие технологии и средства:
1. корпоративная электронная почта;
2. общий доступ к документам и календарям;
3. доступ в Интернет;
4. хранение данных с расширенной безопасностью;
5. надежная печать и работа с факсами;
6. удаленное администрирование.
Редакция Standard Edition
Эта редакция является надежной многофункциональной серверной платформой, предоставляющей службы каталогов, файлов, печати, приложений, мультимедийные и веб-службы для небольших и средних предприятий. Windows Server 2003 Standard Edition включает:
1. Службы каталогов.
Редакция включает полную поддержку Active Directory, что позволяет компьютеру под ее управлением выступать в роли рядового сервера и контроллера домена, а также необходимый инструментарий для администрирования объектов Active Directory, групповых политик и других служб, основанных на Active Directory.
2. Службы Интернета.
Редакция включает IIS 6 с поддержкой служб Web, FTP и других компонентов, применяемых для развертывания веб-серверов (например, NLB, позволяющих размещать несколько веб-сайтов на одной группе серверов, обеспечивая отказоустойчивую работу и распределение входящих клиентских запросов между 32 серверами (максимум)).
3. Службы инфраструктуры.
Редакция включает службы серверов DHCP, DNS и WINS – ключевые службы для клиентов внутренней сети и Интернета.
Windows Server 2003 Standard Edition используется, если серверу не требуется расширенная поддержка оборудования и возможности работы в кластере, предоставляемые Windows Server 2003 Enterprise Edition.
TCP/IP-маршрутизация
Компьютер под управлением Windows Server 2003 Standard Edition может выполнять функции маршрутизатора для различных сетей (локальной и глобальной), а также интернет-маршрутизатора и маршрутизатора удаленного доступа. С этой целью служба маршрутизации и удаленного доступа (RRAS) поддерживает преобразование сетевых адресов (NAT), службы проверки подлинности в Интернете (IAS), а также протоколы маршрутизации RIP и OSPF.
Службы файлов и печати
Пользователи сети могут обращаться к общим дискам, папкам, принтерам серверов, работающих под управлением Windows Server 2003 Standard Edition. Для каждого компьютера, использующего общие ресурсы, необходима клиентская лицензия (CAL). Обычно данная редакция продается с пакетами лицензий на 5, 10 и более клиентов. Чтобы увеличить число клиентов, необходимо приобрести дополнительные лицензии.
Редакция Enterprise Edition
Операционная система Windows Server 2003 Enterprise Edition обладает всеми возможностями Windows Server 2003 Standard Edition. Кроме того, она предоставляет следующие дополнительные возможности, которые расширяют доступность, масштабируемость и надежность ОС:
1. Поддержка служб Microsoft Metadirectory Services (MMS), позволяющих объединять каталоги, БД и файлы со службой каталогов Active Directory (в Enterprise Edition имеется только поддержка MMS, а соответствующее ПО отсутствует – необходимо либо приобрести его у Microsoft Consulting Service (MCS) либо заключить партнерское соглашение MMS).
2. Создание кластерных серверов. Кластерным сервером называется группа серверов, функционирующих как единое целое с целью обеспечения высокой доступности отдельных приложений. В данном случае под высокой доступностью понимают распределение обработки данных приложения между серверами-кластерами с целью снижения нагрузки на отдельные серверы и устойчивости кластера к отказам его узлов. Узлами кластера называют составляющие кластер серверы, которые совместно используют общий источник данных; им обычно является сеть областей хранения (SAN). Это позволяет узлам поддерживать в актуальном состоянии общую базу данных. Редакция Enterprise Edition поддерживает кластеры размером до восьми узлов.
3. «Горячее» добавление памяти (Hot Add Memory) – возможность добавления памяти в поддерживаемые аппаратные системы без выключения или перезагрузки.
4. Диспетчер системных ресурсов Windows (WSRM) позволяет администраторам выделять определенные системные ресурсы приложениям или процессам в зависимости от потребностей пользователей, а также вести учет ресурсов, использованных этими приложениями и процессами. Это позволяет администраторам предприятий задавать квоты ресурсов для процессов и выставлять клиентам счета за использованные ресурсы.
Операционная система Windows Server 2003 Enterprise Edition разработана для использования на средних и крупных предприятиях. Ее рекомендуется использовать для приложений, веб-служб XML и инфраструктуры, поскольку она обеспечивает высокую надежность, производительность.
Редакция Datacenter Edition
Операционная система Windows Server 2003 Datacenter Edition разработана для приложений, выполняющих критически важные задачи, которые требуют высочайшего уровня доступности и масштабируемости.
Основная разница между Windows Server 2003 Datacenter Edition и Windows Server 2003 Enterprise Edition заключается в поддержке Datacenter Edition более мощной многопроцессорной обработки и большего объема памяти. Кроме того, Windows Server 2003 Datacenter Edition поставляется только по программе Windows Datacenter Program, предлагаемой изготовителям оборудования.
Windows Server 2003 Enterprise Edition для 64-битных систем на базе Intel Itanium
Редакции Enterprise Edition и Datacenter Edition доступны в версиях для серверов с процессорами Intel Itanium 2.
В версиях Windows Server 2003 для процессоров Itanium отсутствуют некоторые возможности 32-разрядных версий: поддержка 16-разрядных Windows-приложений, приложений реального режима, POSIX-совместимых приложений, а также служб печати для клиентов Apple Macintosh.
Служба каталогов в Windows Server 2003
Служба каталогов – это сетевая служба, определяющая все сетевые ресурсы и предоставляющая эти сведения пользователям и приложениям. Службы каталогов имеют большое значение, поскольку дают возможность согласованно именовать, описывать, находить, защищать сведения о ресурсах, а также получать к ним доступ и управлять ими. Если пользователь ищет общую папку в сети, именно служба каталогов находит этот ресурс и сообщает пользователю сведения о нем.
Active Directory – это служба каталогов в семействе Windows Server 2003. Она расширяет основные функциональные возможности службы каталогов, обеспечивая следующие преимущества:
1. Интеграцию системы доменных имен.
Active Directory использует соглашение об именах DNS для создания иерархической структуры, обеспечивающей знакомое упорядоченное и масштабируемое представление отношений в сети. DNS также служит для преобразования имен узлов, например www.microsoft.com, в цифровые адреса TCP/IP, например 192.168.19.2.
2. Масштабируемость.
Служба каталогов Active Directory разбита на разделы, в которых может храниться большое количество объектов. В результате Active Directory может расширяться по мере роста организации. Организация с единственным сервером и несколькими сотнями объектов может вырасти в предприятие с несколькими тысячами серверов и миллионами объектов.
3. Централизованное управление.
Служба каталогов Active Directory позволяет администраторам управлять распределенными Рабочими столами, сетевыми службами и приложениями из центрального расположения, используя согласованный интерфейс управления. Active Directory также обеспечивает централизованный контроль доступа к сетевым ресурсам, разрешая пользователям входить в систему только один раз, чтобы получить полный доступ к ресурсам через службу каталогов Active Directory.
4. Делегированное администрирование.
Иерархическая структура Active Directory позволяет делегировать функции администрирования определенных сегментов иерархии. Уполномоченный администратором пользователь может выполнять административные обязанности в определенном для него сегменте структуры. Например, пользователь может получить ограниченные административные полномочия для настройки своей рабочей станции, а менеджер отдела может иметь права для создания новых пользователей в подразделении.
Домены и их контроллеры
Сети Windows поддерживают две модели служб каталогов: рабочую группу и домен. Последняя модель преобладает в корпоративных сетях на основе Windows Server 2003. Служба каталогов для рабочей группы представляет собой «плоскую» базу данных (простой список имен компьютеров), обеспечивающую поддержку небольшой сети. Подобная служба каталогов впервые появилась в начале 1990-х годов в Windows NT 3.1.
Домен представляет собой иерархический каталог ресурсов предприятия (пример – Active Directory), которому доверяют все члены домена. Членами домена могут быть пользователи, группы и компьютеры, представленные учетными записями в службе каталогов. Таким образом, Active Directory играет роль хранилища идентификационных данных (удостоверений), являясь единым справочником домена.
Однако Active Directory – это больше, чем просто база данных (БД). Служба каталогов включает компоненты поддержки, такие как журналы транзакций, системные ресурсы (Sysvol), хранящие сценарии входа и данные групповой политики, а также службы, обеспечивающие работу БД каталога: LDAP, защитный протокол Kerberos, процедуры репликации и служба репликации файлов (FRS). Завершают набор компонентов Active Directory инструменты, при помощи которых администраторы управляют службой каталогов.
Базы данных Active Directory и сопутствующие службы устанавливают на один или несколько контроллеров домена. Контроллер домена – это сервер, настроенный для выполнения данной роли установкой Active Directory при помощи соответствующего Мастера установки. На контроллере домена хранится реплика (копия) БД Active Directory.
Поскольку Active Directory является жизненно важным сетевым ресурсом, она должна оставаться доступной пользователям сети круглосуточно. По этой причине в доменах Active Directory создают минимум два контроллера домена: в случае отказа одного из них другой продолжает обслуживать клиентов. Контроллеры домена постоянно осуществляют репликацию данных между собой, поддерживая свои БД в актуальном состоянии. Изменения, которые администратор вносит на одном из контроллеров домена, реплицируются на остальные контроллеры этого домена. Такая схема репликации называется моделью с несколькими хозяевами, поскольку изменения разрешается вносить на любом из контроллеров домена.
Модель домена Windows NT основана на схеме репликации с одним хозяином (single-master replication), в которой изменения в данные домена разрешается вносить только на основном контроллере домена (PDC), откуда они реплицируются на резервные контроллеры домена (BDCs). Модель репликации с несколькими хозяевами лучше подходит для больших корпоративных сетей, поскольку позволяет администраторам обновлять БД Active Directory с любого контроллера домена, а не только с PDC.
Домены, деревья и леса
Домен является основной административной единицей службы каталогов Windows Server 2003. В службе каталогов предприятия может быть несколько доменов.
Несколько доменов, использующих общее пространство имен DNS, образуют логическую структуру под названием дерево (tree).
Например, домены contoso.com, us.contoso.com и europe.contoso.com используют общее пространство имен и образуют дерево. Домен contoso.com является родительским доменом, в котором создаются дочерние домены, и называется корневым доменом (root domain) дерева.
Домены Active Directory, которые ведут начало от разных корневых доменов, относятся к разным деревьям. Структура Active Directory, состоящая из нескольких деревьев, называется лесом (forest). Лес – самая крупная структура Active Directory. Вместе с первым контроллером домена в сети Windows Server 2003 автоматически создается лес с деревом из одного домена. В лесу может быть несколько деревьев с множеством доменов либо единственный домен.
Если инфраструктура Active Directory включает несколько доменов, компонент под названием глобальный каталог (global catalog) позволяет клиентам одного домена вести поиск информации в других доменах. По сути, глобальный каталог представляет собой комбинированное подмножество данных, созданное на основе БД доменов. Так, в глобальном каталоге может быть лишь часть информации о пользователе из другого домена, но этой информации достаточно, чтобы найти более подробные сведения.
Объекты и атрибуты
Любая база данных состоит из элементов – записей. В базе данных (БД) Active Directory записи называются объектами.
Объект – это элемент, представляющий некоторый ресурс сети. В Active Directory имеются объекты, представляющие различные типы ресурсов: устройства (компьютеры и принтеры), людей (пользователи и группы), программы (приложения и зоны DNS), а также административные единицы (подразделения и сайты). Создав контроллер домена, администратор заполняет его объектами.
Любой объект Active Directory состоит из набора атрибутов – элементов данных, представляющих сведения об объекте. Так, объект пользователя состоит из таких атрибутов, как регистрационное имя пользователя, пароль, адрес, номер телефона и других идентификационных данных, атрибутами объекта группы является список пользователей – членов этой группы.
Администраторы могут хранить в Active Directory практически любые сведения о пользователях и других ресурсах корпоративной сети. Помимо чисто описательных атрибутов, у объектов имеются атрибуты, выполняющие административные функции (список управления доступом (ACL), в котором перечислены все разрешения доступа к данному объекту).
Компонент Active Directory, который определяет, какие объекты разрешено создавать администратору, а также атрибуты каждого объекта, называется схемой.
По умолчанию схема Active Directory включает множество типов объектов и атрибутов, но порой приходится добавлять новые типы объектов или новые атрибуты к существующим типам объектов. Это возможно благодаря расширяемости схемы Active Directory. Администраторы изменяют схему вручную при помощи соответствующей оснастки, либо приложения автоматически дополняют схему необходимыми им типами и атрибутами объектов.
Например, при установке Microsoft Exchange модифицирует схему, добавляя дополнительные атрибуты ко всем объектам пользователей в БД Active Directory.
Контейнеры и листья
Active Directory способна хранить миллионы объектов, следовательно, должны быть средства упорядочения этих объектов в группы размером меньше домена. С этой целью Active Directory организована в виде иерархической структуры. Домен называется объектом-контейнером (container object), поскольку в нем содержатся объекты, занимающие более низкие уровни иерархии. Подразделения также являются объектами-контейнерами, позволяющими администраторам создавать иерархию объектов внутри домена. Объект, не способный содержать другие объекты, например объект пользователя и компьютера, называется листом (leaf object).
К усложненным задачам администрирования Active Directory относится создание эффективной иерархии подразделений. При проектировании структуры подразделений администраторы следуют географическому размещению филиалов, структуре отделов организации либо комбинируют эти принципы.
В иерархии подразделений Active Directory, которая изображена на данной схеме, подразделения первого уровня представлены городами, в которых находятся филиалы организации, а подразделения второго уровня представляют отделы в каждом из филиалов.
Упорядочивание объектов Active Directory в логической иерархии облегчает поиск объектов для пользователей и администраторов.
Объекты групп также являются контейнерами, но не входят в иерархию, поскольку могут содержать любые объекты домена. Помимо упорядочивания, группы имеют большое значение для администрирования объектов.
Как и в файловой системе, наследование разрешений в иерархии Active Directory осуществляется сверху вниз. Если вы предоставите объекту подразделения разрешение на доступ к определенном ресурсу, все объекты, расположенные в данном подразделении, унаследуют это разрешение. Это одно из фундаментальных свойств, благодаря которым иерархическая служба каталогов так полезна администраторам. Администраторы назначают права и разрешения не отдельным пользователям, а контейнерам, чтобы объекты-листья внутри контейнеров унаследовали их.
Групповые политики
Поскольку параметры наследуются от родительских контейнеров, администраторы объединяют в подразделения объекты, требующие сходных настроек. Механизм Active Directory под названием групповые политики (group policies) позволяет централизованно управлять практически любыми параметрами настройки Windows-компьютеров. Групповые политики позволяют настраивать параметры защиты, развертывать программы, а также конфигурировать ОС и приложения компьютера, даже не прикасаясь к его клавиатуре. Вместо этого необходимые параметры настраивают в объекте Active Directory, называемом объектом групповой политики (GPO), и привязывают этот GPO к объекту контейнеру Active Directory, содержащему объекты компьютеров и пользователей, которые нужно настроить.
GPO представляют собой совокупность параметров настройки, от пользовательских разрешений на вход до привилегий для запуска тех или иных программ. GPO может быть привязан к любому объекту-контейнеру: домену, сайту или подразделению – и все объекты, расположенные в этом контейнере, унаследуют параметры от GPO. В большинстве случаев администраторы проектируют иерархию Active Directory с применением GPO для настройки объектов пользователей и компьютеров. Подразделению, содержащему компьютеры с определенной ролью, можно назначить GPO с настройками, специфичными для данной роли, настроив их все разом.
Установка Windows Server 2003
Перед изучением обслуживания Windows Server 2003 необходимо освоить установку и настройку данной операционной системы. Процесс установки делится на две фазы:
Этап с текстовым интерфейсом. Это начальный этап установки, он начинается после загрузки компьютера с установочного компакт-диска Windows Server 2003 и запуска программы Winnt.exe. В отличие от прежних версий, на данном этапе отсутствует поддержка запуска установки с дискет. Winnt.exe копирует файлы Windows Server 2003 с компакт-диска. В течение этого периода установки используется текстовый интерфейс, поскольку файлы, необходимые для работы графического интерфейса пользователя (GUI), пока не скопированы. Далее программа установки форматирует раздел, который в дальнейшем станет системным, создает структуру каталогов ОС и копирует ее файлы из временных каталогов в постоянные. Кроме того, здесь начинается создание реестра, генерация разделов с базовой информацией ОС, а также со сведениями об обнаруженном на данный момент оборудовании. По завершении этого этапа производится перезагрузка компьютера.
Этап с графическим интерфейсом. Начинается после перезагрузки ОС, используются файлы, скопированные в постоянные каталоги на жестком диске. На этом этапе впервые появляется знакомый интерфейс Windows (интерфейс отображается с низким разрешением при помощи драйвера дисплея VGA). Вначале запускается основная процедура определения оборудования. Когда оборудование определено и драйверы для него установлены, начинается сбор необходимой для завершения установки информации от пользователя и установка второстепенных компонентов ОС. Обнаружив сетевой адаптер, программа устанавливает необходимые сетевые компоненты и привязывает их к этому адаптеру. В завершение программа установки генерирует меню Пуск, устанавливает параметры защиты, удаляет созданные ею временные файлы и записывает конфигурацию системы, после чего в последний раз перезагружает компьютер.
Процедура установки
Предполагается, что установка операционной системы выполняется на компьютер базовой конфигурации, соответствующий требованиям Windows Server 2003, с оригинального компакт-диска на новый (неформатированный) жесткий диск. Познакомьтесь с процессом установки Windows Server 2003.
В рабочей сети, например, в крупной организации, процедура установки ОС может отличаться от представленной выше. Как правило, у сетевых администраторов, ответственных за большой парк компьютеров, нет времени на длительную ручную установку, описанную в данном разделе, поэтому они используют следующие методы сокращения и автоматизации установки Windows Server 2003:
1. Файлы ответов. Файл ответов содержит значения всех параметров, настраиваемых пользователем во время установки Windows Server 2003. Такой файл позволяет запустить установку в автоматическом режиме. Основным недостатком этого механизма при массовом развертывании ОС является необходимость создания отдельного файла ответов для каждого компьютера, поскольку некоторые параметры установки, такие как имя компьютера и его IP-адрес, должны быть уникальными.
2. Клонирование дисков. При развертывании ОС на идентичных компьютерах можно избежать ее ручной установки, используя образ диска – точную копию содержимого жесткого диска компьютера с установленной ОС. При условии идентичности аппаратной конфигурации, копирование (клонирование) жесткого диска позволяет обойтись без ручной установки ОС. В Windows Server 2003 имеется инструмент под названием службы удаленной установки (Remote Installation Services, MS), позволяющий администраторам развертывать образы дисков через сеть.
Создание контроллера домена
Познакомьтесь с порядком установки контроллера домена в изолированной сети будут в следующих статьях.
Спасибо, все кратко, понятно, своими словами.
ОтветитьУдалить