■ ■■•CERBEP на Windows "Linux Windows Server - вы узнаете об управлении сервером; мониторинге процессов, сервисов и событий; автоматизации административных задач; основах безопасности; управлении учетными записями пользователя и группы, как управлять сетью TCP/IP и использовать сервисы DNS и DHCP. Также подробно рассмотрим Active Directory - разворачивание, основы администрирования, доменные службы Active Directory. Linux-сервер для локальной сети - вы узнаете об управлении процессами и загрузкой ОС; маршрутизации и настройке брандмауэра; доменной системе имен; как использовать удаленный вход в систему по SSH. Отдельно будет рассказано про файловый сервер FTP и DHCP-сервер, приведены примеры использования сервера. Виртуальные сервера на Windows и Linux - рассмотрим вопросы преобразования виртуальных машин из одного формата в другой; какой гипервизор выбрать; рассмотрим виртуальный сервер на базе коммерческого решения - VMWare, а также бесплатного гипервизора - KVM. издательство НАУКА и ТЕХНИКА Матее*» М. Д. Справочник Линуксоида рекомендует Матвеев м д. Справочник Сисадмина Администрирование и виртуализация Все «что нужно «под рукой «Издательство Наука и Техника» г. Санкт-Петербург Для заказа книг: т. (812) 412-70-26 E-mail: [email protected] Сайт: nit.com.ru ХШдотёльствоЗрг иНиТ г- Windows Server—управление, основы безопасности, Active Directory, сеть и сервисы г- Linux-сервер — процессы, пользователи и группы, маршрутизация, удаленка по SSH Файловый сервер FTP и DHCP-сервер, доменная система имен г- Виртуальные сервера на VMware и KVM ^НиТ nit.com.ru nit.com.ru Левицкий Н. Д., Завьялов А. В. СЕРВЕР НА WINDOWS и LINUX Администрирование и виртуализация ^НиТ \йздатёльствс£1^ ’’Издательство Наука и Техника” Санкт-Петербург УДК 004.42 ББК 32.973 Левицкий Н. Д., Завьялов А. В. Сервер на Windows и Linux. Администрирование и виртуализация — СПб.: Издательство Наука и Техника, 2023. — 544 с., ил. ISBN 978-5-907592-26-1 В этой книге вы сможете найти полезную информацию по администрированию и использованию серверов на Windows и Linux, причем как физических (локальных), так и виртуальных. Вы узнаете об отличиях, недостатках и преимуществах физиче­ ского и виртуального сервера - вполне возможно, что это поможет вам определиться с типом сервера для своих личных задач. В первой части книги будет рассмотрен Windows Server - вы узнаете об управлении сервером; мониторинге процессов, сервисов и событий; автоматизации администра­ тивных задач; основах безопасности; управлении учетными записями пользователя и группы, как управлять сетью TCP/IP и использовать сервисы DNS и DHCP. Также подробно рассмотрим Active Directory - разворачивание, основы администрирова­ ния, доменные службы Active Directory. Во второй части книги будет рассмотрен Linux-сервер для локальной сети - вы узнаете об управлении процессами и загрузкой ОС; маршрутизации и настройке брандмауэра; доменной системе имен; как использовать удаленный вход в систему по SSH. Отдельно будет рассказано про файловый сервер FTP и DHCP-сервер, при­ ведены примеры использования сервера. Заключительная часть книги посвящена виртуальным серверам на Windows и Linux - рассмотрим вопросы преобразования виртуальных машин из одного формата в другой; какой гипервизор выбрать (на случай, если вы предпочитаете строить инфраструктуру виртуализации самостоятельно), рассмотрим виртуальный сервер на базе коммерческого решения - VMWare, а также бесплатного гипервизора - KVM. Книга будет полезна как системным администраторам различного уровня, так и обычным пользователям, заинтересованным в изучении серверов и сетевых техно­ логий. Все права защищены. Никакая часть данной книги не может быть воспроизведена в какой бы то ни было форме без письменного разрешения владельцев авторских прав. Издательство не несет ответственности за возможный ущерб, причиненный в ходе использования материалов данной книги, а также за доступность материалов, ссылки на которые вы можете найти в этой книге.На момент подготовки книги к изданию все ссылки на интернет-ресурсы были действую­ щими. Информация, содержащаяся в данной книге, получена из источников, рассматриваемых издательством как надежные. Тем не менее, имея в виду возможные человеческие или технические ошибки, издательство не может гарантировать абсолютную точность и полноту приводимых сведений и не несет ответственности за возможные ошибки, связанные с использованием книги. ISBN 978-5-907592-26-1 Контактные телефоны издательства: (812)412 70 26 Официальный сайт: www.nit.com.ru © Левицкий Н. Д. © Издательство Наука и Техника (оригинал-макет) Содержание ВВЕДЕНИЕ В ВИРТУАЛЬНЫЕ СЕРВЕРЫ.................................. 13 В.1. ВИРТУАЛЬНЫЕ СЕРВЕРЫ.......................................................................................... 15 В. 1.1. Преимущества и недостатки......................................................................15 В. 1.2. Стоимость виртуального сервера...............................................................17 В. 1.3. Какие серверы можно виртуализировать?............................................. 19 В. 1.4. Преимущества собственной виртуальной инфраструктуры............ 20 В.2. ВЫБОР ГИПЕРВИЗОРА.................................................................................................20 В.2.1. Типы гипервизоров....................................................................................... 21 В.2.2. Hyper-V или VMware?.................................................................................. 21 В.2.3. KVM.................................................................................................................. 26 В.2.4. Что выбрать?.................................................................................................... 27 В.З. ВИРТУАЛЬНЫЙ СЕРВЕР: СОДЕРЖАНИЕ............................................................ 28 В.3.1. Сколько стоит физический сервер............................................................. 28 В.3.2. Стоимость содержания физического сервера........................................32 В.3.3. Варианты снижения стоимости владения................................................33 В.3.4. Что лучше? Муки выбора.............................................................................34 ЧАСТЫ. WINDOWS SERVER...................................... 37 ГЛАВА 1. УПРАВЛЕНИЕ СЕРВЕРАМИ НА БАЗЕ WINDOWS SERVER........................................................................... 37 1.1. ЗНАКОМСТВО С WINDOWS SERVER 2019............................................................. 38 1.2. КОНТРОЛЛЕРЫ ДОМЕНА, ОБЫЧНЫЕ СЕРВЕРЫ И СЛУЖБЫ ДОМЕНА ..40 1.2.1. Работа с Active Directory.............................................................................. 40 1.2.2. Контроллеры RODC...................................................................................... 42 1.2.3. Перезапускаемые доменные службы........................................................ 43 1.3. ИНСТРУМЕНТЫ УПРАВЛЕНИЯ WINDOWS SERVER........................................ 44 1.4. КОНСОЛЬ ’’ДИСПЕТЧЕР СЕРВЕРОВ”.................................................................... 45 1.5. РОЛИ СЕРВЕРОВ, СЛУЖБЫ РОЛЕЙ И КОМПОНЕНТЫ.................................. 46 1.6. УСТАНОВКА WINDOWS SERVER.............................................................................. 55 1.6.1. Системные требования.................................................................................. 55 1.6.2. Минимальный выпуск Essentials................................................................ 57 1.6.3. Выпуски Standard и Datacenter....................................................................58 1.6.4. Server Core......................................................................................................... 59 Сервер на Windows и Linux 1.6.5. Процесс установки Windows Server........................................................... 71 1.6.6. Дополнительные возможности при установке........................................ 76 Принудительное удаление раздела диска во время установки......... 76 Создание, форматирование, удаление и расширение разделов диска ..77 Загрузка драйверов устройств при установке......................................... 77 1.7. УПРАВЛЕНИЕ РОЛЯМИ, СЛУЖБАМИ РОЛЕЙ И КОМПОНЕНТАМИ....... 78 1.7.1. Обзор диспетчера серверов........................................................................... 78 1.7.2. Удаленное управление серверами............................................................... 83 1.8. ДОБАВЛЕНИЕ И УДАЛЕНИЕ РОЛЕЙ, РОЛЕВЫХ СЛУЖБ И КОМПОНЕНТОВ „ 85 ГЛАВА 2. МОНИТОРИНГ ПРОЦЕССОВ, СЕРВИСОВ И СОБЫТИЙ...................................................................... 91 2.1. УПРАВЛЕНИЕ ПРОЦЕССАМИ ИПРИЛОЖЕНИЯМИ.......................................... 92 2.1.1. Диспетчер задач............................................................................................... 93 Вкладка ’’Процессы”....................................................................................... 93 Вкладка ’’Подробности". Изменение приоритета процесса............... 97 Вкладка "Службы". Просмотр системных служб.................................102 Вкладка "Производительность"................................................................. 103 Вкладка "Пользователи"...............................................................................106 2.1.2. Управление службами.................................................................................. 108 Настройка входа в систему..........................................................................111 Реакция на сбой службы.............................................................................. 112 Отключение служб......................................................................................... 113 2.2. ПРОСМОТР И ПРОТОКОЛИРОВАНИЕ СОБЫТИЙ........................................... 114 2.2.1. Основные журналы........................................................................................ 114 2.2.2. Доступ к событиям в "Диспетчере серверов"....................................... 116 2.2.3. Средство "Просмотр событий"...................................................................117 Установка параметров журнала событий............................................... 121 Сохранение и очистка журналов............................................................... 122 ГЛАВА 3. АВТОМАТИЗАЦИЯ АДМИНИСТРАТИВНЫХ ЗАДАЧ............................................................................................. 125 3.1. ГРУППОВАЯ ПОЛИТИКА............................................................................................ 126 3.1.1. Основные сведения о групповой политике............................................ 126 3.1.2. Порядок применения политики................................................................. 128 3.1.3. Редакторы групповой политики................................................................ 129 3.1.4. Управление локальной групповой политикой....................................... 130 Содержание 3.1.5. Управление политиками сайта, домена или ОЕ................................... 133 3.1.6. Административные шаблоны.................................................................... 138 3.1.7. Создание и связь объекта групповой политики................................... 140 3.1.8. Удаление ссылок и удаление GPO............................................................ 141 3.1.9. Обновление групповой политики............................................................. 142 3.1.10. Если политика не применяется. Мастер результатов групповой политики 145 3.2. УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ И КОМПЬЮТЕРАМИПОСРЕДСТВОМ ГРУППОВОЙ ПОЛИТИКИ................................................................................ 146 3.2.1. Управление сценариями пользователя и компьютера........................ 147 3.2.2. Развертывание программного обеспечения через групповую политику... 150 Основы развертывания ПО....................................................................... 150 Развертывание программ в домене......................................................... 152 3.2.3. Настройка автоматических обновлений ОС......................................... 154 3.3. ПЛАНИРОВЩИК ЗАДАНИЙ...................................................................................... 156 ГЛАВА 4. ОСНОВЫ БЕЗОПАСНОСТИ WINDOWS SERVER. 161 4.1. ШАБЛОНЫ БЕЗОПАСНОСТИ................................................................................... 162 4.1.1. Введение в шаблоны безопасности.......................................................... 162 4.1.2. Использование оснасток «Шаблоны безопасности» и «Анализ и настройка безопасности».......................................................................................164 4.1.3. Изменение настроек для политик учетных записей, локальных политик и журнала событий................................................................................. 166 4.1.4. Настройка групп с ограниченным доступом....................................... 168 4.1.5. Включение, отключение и настройка системных служб................. 170 4.1.6. Настройка параметров безопасности для реестра и файловой системы.... 171 4.1.7. Анализ, просмотр и применение шаблонов безопасности............. 173 4.2. ПОЛИТИКИ, НА КОТОРЫЕ СТОИТ ОБРАТИТЬ ВНИМАНИЕ............... . 176 4.2.1. Удаляем лишние команды из Проводника............................................. 176 4.2.2. Запрещаем доступ к командной строке и PowerShell......................... 178 4.2.3. Максимальное время работы пользователя........................................... 180 4.2.4. Отключение элементов панели управления.......................................... 181 4.3. НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНА С ПОМОЩЬЮ ГРУППОВЫХ ПОЛИТИК............................................................................................ 181 ГЛАВА 5. РАЗВОРАЧИВАНИЕ ACTIVE DIRECTORY........... 185 5.1. ВВЕДЕНИЕ В ACTIVE DIRECTORY......................................................................... 186 5.2. КОНТРОЛЛЕР ДОМЕНА ТОЛЬКО ДЛЯ ЧТЕНИЯ (RODC).............................. 194 Содержание 3.1.5. Управление политиками сайта, домена или ОЕ................................... 133 3.1.6. Административные шаблоны.................................................................... 138 3.1.7. Создание и связь объекта групповой политики................................... 140 3.1.8. Удаление ссылок и удаление GPO............................................................ 141 3.1.9. Обновление групповой политики............................................................. 142 3.1.10. Если политика не применяется. Мастер результатов групповой политики 145 3.2. УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ И КОМПЬЮТЕРАМИ ПОСРЕДСТВОМ ГРУППОВОЙ ПОЛИТИКИ.............................................................. 146 3.2.1. Управление сценариями пользователяи компьютера.......................... 147 3.2.2. Развертывание программного обеспечения через групповую политику... 150 Основы развертывания ПО....................................................................... 150 Развертывание программ в домене........................................................ 152 3.2.3. Настройка автоматических обновлений ОС......................................... 154 3.3. ПЛАНИРОВЩИК ЗАДАНИЙ...................................................................................... 156 ГЛАВА 4. ОСНОВЫ БЕЗОПАСНОСТИ WINDOWS SERVER. 161 4.1. ШАБЛОНЫ БЕЗОПАСНОСТИ................................................................................... 162 4.1.1. Введение в шаблоны безопасности.......................................................... 162 4.1.2. Использование оснасток «Шаблоны безопасности» и «Анализ и настройка безопасности».......................................................................................164 4.1.3. Изменение настроек для политик учетных записей, локальных политик и журнала событий................................................................................. 166 4.1.4. Настройка групп с ограниченным доступом....................................... 168 4.1.5. Включение, отключение и настройка системных служб................. 170 4.1.6. Настройка параметров безопасности для реестра и файловой системы.... 171 4.1.7. Анализ, просмотр и применение шаблонов безопасности............. 173 4.2. ПОЛИТИКИ, НА КОТОРЫЕ СТОИТ ОБРАТИТЬ ВНИМАНИЕ............... . 176 4.2.1. Удаляем лишние команды из Проводника............................................. 176 4.2.2. Запрещаем доступ к командной строке и PowerShell......................... 178 4.2.3. Максимальное время работы пользователя........................................... 180 4.2.4. Отключение элементов панели управления.......................................... 181 4.3. НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНА С ПОМОЩЬЮ ГРУППОВЫХ ПОЛИТИК............................................................................................ 181 ГЛАВА 5. РАЗВОРАЧИВАНИЕ ACTIVE DIRECTORY........... 185 5.1. ВВЕДЕНИЕ В ACTIVE DIRECTORY......................................................................... 186 5.2. КОНТРОЛЛЕР ДОМЕНА ТОЛЬКО ДЛЯ ЧТЕНИЯ (RODC).............................. 194 Сервер на Windows и Linux 5.3. КОМПОНЕНТЫ ACTIVE DIRECTORY.................................................................... 195 5.4. СТРУКТУРЫ ДОМЕНА................................................................................................. 197 5.4.1. Домены.............................................................................................................. 198 5.4.2. Лес и дерево домена..................................................................................... 200 5.4.3. Организационные единицы (подразделения)........................................ 202 5.4.4. Сайты и подсети............................................................................................. 203 5.5. СТРУКТУРА КАТАЛОГА............................................................................................... 205 5.5.1. Хранилище данных....................................................................................... 206 5.5.2. Глобальные каталоги.................................................................................... 207 5.5.3. Роли FSMO (Flexible Single-Master Operations)................................... 209 5.6. КОРЗИНА ACTIVE DIRECTORY................................................................................ 211 ГЛАВА 6. ОСНОВЫ АДМИНИСТРИРОВАНИЯ AD.............. 215 6.1. УТИЛИТЫ УПРАВЛЕНИЯ ACTIVE DIRECTORY................................................ 216 6.1.1. Оснастка ’’Пользователи” и компьютеры Active Directory............... 218 6.1.2. Центр администрирования Active Directory.......................................... 221 6.2. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ КОМПЬЮТЕРА............................. 223 6.2.1. Создание учетной записи компьютера.................................................... 223 6.2.2. Удаление учетной записи компьютера.................................................... 226 6.2.3. Сброс заблокированных учетных записей............................................ 226 6.2.4. Перемещение учетных записей компьютера......................................... 227 6.2.5. Присоединение компьютера к домену.................................................... 228 6.3. УПРАВЛЕНИЕ КОНТРОЛЛЕРАМИ ДОМЕНА....................................................... 231 6.3.1. Понижение роли контроллера домена.....................................................231 6.3.2. Просмотр и передача ролей домена......................................................... 232 6.4. УПРАВЛЕНИЕ ОРГАНИЗАЦИОННЫМИ ЕДИНИЦАМИ.................................. 234 6.4.1. Создание организационных подразделений.......................................... 234 6.4.2. Просмотр и редактирование свойств организационных подразделений............................................................................................................ 235 6.4.3. Переименование и удаление организационных подразделений .... 235 6.4.4. Перемещение организационных подразделений................................. 236 ГЛАВА 7. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬ­ ЗОВАТЕЛЯ И ГРУППЫ........................ 237 7.1. ТИПЫ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ................................................ 239 6 Содержание 7.2. ИМЯ ВХОДА И ИДЕНТИФИКАТОРЫ БЕЗОПАСНОСТИ...................... 240 7.3. УЧЕТНЫЕ ЗАПИСИ ГРУПП....................................................................................... 241 7.3.1. Типы групп..................................................................................................... 242 7.3.2. Область действия группы.......................................................................... 242 7.3.3. Идентификаторы безопасности и учетные записи групп................ 243 7.4. УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП ПО УМОЛЧАНИЮ.... 244 7.4.1. Встроенные учетные записи пользователей........................................ 244 7.4.2. Учетная запись '’Администратор”............................................................245 7.4.3. Учетная запись "Гость”...............................................................................246 7.4.4. Неявные группы и специальные идентификаторы............................. 246 7.4.5. Группы, используемые администраторами........................................... 248 7.5. ВОЗМОЖНОСТИ УЧЕТНОЙ ЗАПИСИ................................................................... 250 7.5.1. Привилегии..................................................................................................... 251 7.5.2. Право входа.................................................................................................... 255 7.5.3. Встроенные возможности для групп в Active Directory.................... 257 7.6. ТРЕБОВАНИЯ К ИМЕНАМ ПОЛЬЗОВАТЕЛЕЙ И ПАРОЛЯМ....................... 258 7.6.1. Требования к имени учетных записей.................................................... 258 7.6.2. Использование безопасных паролей....................................................... 259 7.7. ПОЛИТИКИ УЧЕТНОЙ ЗАПИСИ............................................................................. 260 7.7.1. Установка политик учетных записей...................................................... 260 7.7.2. Настройка политики паролей................................................................... 262 Вести журнал паролей.......................................... 263 Максимальный срок действия пароля.................................................... 263 Минимальный срок действия пароля..................................................... 264 Минимальная длина пароля....................................................................... 264 Пароль должен отвечать требованиям сложности.............................. 264 Хранить пароли, используя обратимое шифрование......................... 265 7.7.3. Политики блокировки учетной записи................................................... 265 Пороговое значение блокировки.............................................................. 266 Продолжительность блокировки учетной записи...............................267 Время до сброса счетчика блокировки...................................................267 7.7.4. Политики Kerberos....................................................................................... 268 Максимальная погрешность синхронизации часов компьютера .. 269 Принудительное ограничение входа пользователей........................... 269 Политики задания максимального срока жизни.................................. 270 7.8. НАСТРОЙКА ГЛОБАЛЬНЫХ ПРАВ ПОЛЬЗОВАТЕЛЯ..................................... 270 7 Сервер на Windows и Linux 7.9. СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ............................................ 271 7.10. СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ГРУППЫ..........................................................275 7.11. УПРАВЛЕНИЕ ЧЛЕНСТВОМ В ГРУППЕ..............................................................277 ГЛАВА 8. УПРАВЛЕНИЕ СЕТЬЮ TCP/IP................................... 279 8.1. ВКЛЮЧЕНИЕ СЕТЕВОГО ОБНАРУЖЕНИЯ........................................................ 280 8.2. НАСТРОЙКА СЕТИ TCP/IP.......................................................................................... 285 8.3. НАСТРОЙКА НЕСКОЛЬКИХ ШЛЮЗОВ..................... 288 8.4. СБРОС СЕТИ..................................................................................................................... 289 8.5. ОТКЛЮЧЕНИЕ БРАНДМАУЭРА................................................................................290 ГЛАВА 9. СЕРВИСЫ DNS И DHCP................................................. 297 9.1. СЕРВИС DNS................... 298 9.1.1. Интеграция с Active Directory.................................................................... 298 9.1.2. Настройка разрешения имен на DNS-клиентах.................................... 300 9.1.3. Типы серверов................................................................................................ 303 9.1.4. Установка и базовая настройка DNS-сервера....................................... 303 9.1.5. Создание основной зоны............................................................................. 305 9.1.6. Создание дополнительного сервера DNS............................................... 309 9.1.7. Обратная зона................................................................................................. 310 9.1.8. Управление записями DNS......................................................................... 310 9.2. НАСТРОЙКА DHCP......................................................................................................... 314 9.2.1. Введение в DHCP........................................................................................... 314 9.2.2. Области адресов............................................................................................. 316 9.2.3. Установка DHCP-сервера............................................................................ 317 9.2.4. Консоль DHCP.................................................................................................320 9.2.5. Интеграция DHCP с DNS............................................................................ 321 9.2.6. Создание суперобластей............................................................................. 323 9.2.7. Создание обычных областей....................................................................... 324 ЧАСТЬ II. LINUX SERVER........................................... 329 ГЛАВА 10. УПРАВЛЕНИЕ ЗАГРУЗКОЙ LINUX....................... 329 10.1. ЗАГРУЗЧИКИ LINUX.................................................................................................... 330 л. ............ .............................................................. Ф Содержание 10.2. ЗАГРУЗЧИК GRUB2......................................................................................................331 10.2.1. Конфигурационные файлы .....................................................................331 10.2.2. Выбор метки по умолчанию................................................................... 338 10.2.3. Загрузка Windows....................................................................................... 338 10.2.4. Пароль загрузчика GRUB2....................................................................... 339 10.2.5. Установка загрузчика................................................................................. 341 10.3. СИСТЕМА ИНИЦИАЛИЗАЦИИ.............................................................................. 342 10.3.1. Принцип работы.......................................................................................... 343 10.3.2. Конфигурационные файлы systemd...................................................... 345 10.3.3. Цели................................................................................................................ 347 10.4. УПРАВЛЕНИЕ СЕРВИСАМИ ПРИ ИСПОЛЬЗОВАНИИ SYSTEMD............. 349 ГЛАВА 11 УПРАВЛЕНИЕ ПРОЦЕССАМИ LINUX................ 351 11.1. КОМАНДЫ PS, NICE И KILL..................................................................................... 352 11.1.1. Получение информации о процессе...................................................... 352 11.1.2. Изменение приоритета процесса............................................................ 358 11.1.3. Аварийное завершение процесса...........................................................358 11.2. КОМАНДА ТОР.............................................................................................................. 360 11.3. ИНФОРМАЦИЯ ОБ ИСПОЛЬЗОВАНИИ ПАМЯТИ И ДИСКОВОГО ПРОСТРАНСТВА................................................................................ 363 11.4. КОМАНДА FUSER......................................................................................................... 364 11.5. ПЛАНИРОВЩИКИ ЗАДАНИЙ................................................................................. 365 11.5.1. Планировщик cron...................................................................................... 365 11.5.2. Планировщик апасгоп............................................................................... 368 ГЛАВА 12. ПОЛЬЗОВАТЕЛИ И ГРУППЫ.................................. 371 12.1. ВВЕДЕНИЕ В УЧЕТНЫЕ ЗАПИСИ LINUX.......................................................... 372 12.2. ПОЛУЧЕНИЕ ПОЛНОМОЧИЙ ROOT................................................................... 375 12.3. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ.................... 381 12.3.1. Создание учетной записи пользователя............................................... 381 12.3.2. Файлы /etc/passwd и /etc/shadow............................................................. 383 12.3.3. Изменение и удаление учетных записей ............................................ 386 12.3.4. Группы пользователей............................................................................... 390 12.4. ГРАФИЧЕСКИЕ КОНФИГУРАТОРЫ..................................................................... 391 Сервер на Windows и Linux 12.5. МОДУЛИ РАМ................................................................................................................ 392 12.5.1. Ограничиваем доступ к системе по IP-адресу................................... 396 12.5.2. Ограничиваем время входа в систему.................................................. 398 12.5.3. Ограничение системных ресурсов с помощью РАМ....................... 399 ГЛАВА 13. МАРШРУТИЗАЦИЯ И НАСТРОЙКА БРАНДМАУЭРА.403 13.1. ПРОСМОТР ТАБЛИЦЫ МАРШРУТИЗАЦИИ..................................................... 404 13.2. ИЗМЕНЕНИЕ И СОХРАНЕНИЕ ТАБЛИЦЫ МАРШРУТИЗАЦИИ............. 407 13.3. НАСТРОЙКА БРАНДМАУЭРА IPTABLES............................................................. 412 13.3.1. Преобразование сетевого адреса............................................................ 413 13.3.2. Цепочки и правила...................................................................................... 414 13.3.3. Команда iptables........................................................................................... 415 13.3.4. Практический пример............................................................................... 418 13.4. НАСТРОЙКА БРАНДМАУЭРА UFW....................................................................... 423 13.4.1. Проверяем состояние брандмауэра.................................................. :... 424 13.4.2. Базовая настройка....................................................................................... 425 13.4.3. Создаем правила для других приложений........................................... 427 13.4.4. Разрешаем IP-адреса................................................................................... 427 13.4.5. Запрещаем IP-адреса и службы............................................................... 428 13.4.6. Удаление/сброс правил.............................................................................. 428 13.4.7. Отключение файрвола............................................................................... 429 ГЛАВА 14. УДАЛЕННЫЙ ВХОД В СИСТЕМУ ПО SSH....... 431 14.1. ПРОТОКОЛ SSH............................................................................................................. 432 14.2. SSH-КЛИЕНТ................................................................................................................... 434 14.3. НАСТРОЙКА SSH-CEPBEPA...................................................................................... 436 14.4. ЗАЩИЩЕННОЕ КОПИРОВАНИЕ ФАЙЛОВ....................................................... 439 14.5. ОПТИМИЗАЦИЯ SSH................................................................................................... 440 ГЛАВА 15. ВОПРОСЫ АДМИНИСТРИРОВАНИЯ ВЕБ-СЕРВЕРА.443 15.1. ВЫБОР ДОМЕННОГО ИМЕНИ................................................................................ 444 15.2. ВЫБОР ТИПА СЕРВЕРА.............................................................................................. 445 15.3. ВЫБОР ОБЛАЧНОГО ПРОВАЙДЕРА..................................................................... 448 15.4. ВЫБОР КОНФИГУРАЦИИ СЕРВЕРА..................................................................... 451 Содержание 15.5. ПЕРЕЕЗД С ХОСТИНГА НА СЕРВЕР.................................................................... 451 15.5.1. Этапы переноса......................................................................................... 451 15.5.2. Копирование файлов сайта на локальный компьютер.................... 452 15.5.3. Экспорт базы данных на локальный компьютер............................. 453 15.5.4. Установка веб-сервера, СУБД и другого ПО на VPS.......................453 15.5.5. Загрузка файлов с локальной системы на VPS.................................457 15.5.6. Редактирование конфигурации движка сайта.................................... 458 15.5.7. Импорт базы данных на VPS................................. 459 15.5.8. Перенос доменного имени................................................................... 459 ГЛАВА 16. ФАЙЛОВЫЙ СЕРВЕР FTP........................................ 461 16.1. ВЫБОР FTP-CEPBEPA................................................................................................. 462 16.2. НАСТРОЙКА FTP-CEPBEPA PROFTPD................................................................. 463 16.2.1. Установка и управление сервером......................................................... 463 16.2.2. Файл конфигурации proftpd.conf........................................................... 464 16.2.3. Обеспечение безопасности FTP-сервера............................................. 470 16.2.4. Аутентификация с помощью MySQL................................................... 475 16.3. СЕРВЕР VSFTPD............................................................................................................ 477 ГЛАВА 17. ДОМЕННАЯ СИСТЕМА ИМЕН.............................. 481 17.1. РАЗНООБРАЗИЕ DNS-CEPBEPOB........................................................................... 482 17.2. НАСТРОЙКА КЭШИРУЮЩЕГО DNS-CEPBEPA UNBOUND........................ 484 17.3. НАСТРОЙКА КЭШИРУЮЩЕГО СЕРВЕРА НА БАЗЕ BIND.......................... 485 17.4. НАСТРОЙКА ПОЛНОЦЕННОГО DNS-CEPBEPA.............................................. 489 17.5. НАСТРОЙКА ВТОРИЧНОГО DNS-CEPBEPA...................................................... 493 ГЛАВА 18. DHCP-CEPBEP.................................................................. 495 18.1. НАСТРАИВАТЬ DHCP-CEPBEP ИЛИ НЕТ?......................................................... 496 18.2. ПРИНЦИП РАБОТЫ ПРОТОКОЛА DHCP............................................................ 496 18.3. РЕДАКТИРОВАНИЕ КОНФИГУРАЦИИ DHCP.................................................. 497 18.4. DHCP-CEPBEP В БОЛЬШИХ СЕТЯХ..................................................................... 501 18.5. СТАТИЧЕСКИЕ IP-АДРЕСА. ДИРЕКТИВА HOST............................................. 502 ф............................................................................................. _ Сервер на Windows и Linux 18.6. НАСТРОЙКА DHCP-КЛИЕНТА В UBUNTU.......................................................... 503 ЧАСТЬ III. ВИРТУАЛИЗАЦИЯ................................... 507 ГЛАВА 19. ВИРТУАЛИЗАЦИЯ WINDOWS-СЕРВЕРА........... 507 19.1. КОНВЕРТИРОВАНИЕ ВИРТУАЛЬНЫХ МАШИН ИЗ ОДНОГО ФОРМАТА В ДРУГОЙ.................................................................................................................... 508 19.1.1. Преобразование из Hyper-V в VMWare................................................ 508 Выбор конвертера........................................................................................508 Установка модуля PowerShell для Hyper-V......................................... 509 Подготовка виртуальной машины.......................................................... 510 Конвертирование с помощью HypervOVAConverter ........................ 511 Конвертирование с помощью StarWind V2V Converter.................. 512 19.1.2. Перенос сервера из Amazon ЕС2 на виртуальную машину VMware.514 19.1.3. Перенос из Azure в VMWare.................................................................... 516 Команда Save-AzureVhd.............................................................................516 Несколько примеров................................................................................... 517 Конвертирование в формат VMDK........................................................ 517 19.2. ВИРТУАЛИЗАЦИЯ WINDOWS-СЕРВЕРА............................................................. 517 19.2.1. Преобразование в VMware........................................................................ 517 VMware® vCenter Converter Standalone............................................... 517 Преобразование в формат OVF............................................................. 522 19.2.2. Утилита Disk2Vhd: преобразование в Hyper-V................................. 522 ГЛАВА 20 ВИРТУАЛЬНЫЙ СЕРВЕР НА БАЗЕ VMWARE WORKSTATION.......................................................... 523 20.1. УСТАНОВКА VMWARE............................................................................................... 524 20.2. СОЗДАНИЕ ВИРТУАЛЬНОЙ МАШИНЫ..............................................................527 20.3. ВИРТУАЛИЗАЦИЯ ФИЗИЧЕСКОГО СЕРВЕРА..................................................531 ГЛАВА 21. KVM - БЕСПЛАТНОЕ РЕШЕНИЕ ДЛЯ ВИРТУАЛИЗАЦИИ. 533 21.1. ЧТО ТАКОЕ KVM........................................................................................................... 534 21.2. УСТАНОВКА KVM........................................................................................................ 535 21.3. СОЗДАНИЕ ВИРТУАЛЬНОГО СЕРВЕРА............ .................................................. 536 21.4. СПИСОК КОМАНД VIRSH......................................................................................... 540 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ИНФОРМАЦИИ....................... 540 12 Введение в виртуальные серверы Сервер на Windows и Linux Вопросы виртуализации и применения облачных технологий сами по себе заслуживают написания отдельной большой книги. Поэтому, чтобы не рас­ пыляться, в самом начале книги мы рассмотрим несколько фундаменталь­ ных вопросов: • Физический или виртуальный сервер - в последнее время наблюдают­ ся тенденции переноса серверов, да и всей инфраструктуры предприятия, в облако. Вполне возможно, что виртуальный сервер окажется предпо­ чтительным для вас. • Выбор гипервизора - если вы предпочитаете строить инфраструктуру виртуализации самостоятельно, вам нужно задуматься о выборе гипер­ визора. • Вопросы преобразования виртуальных машин из одного формата в другой - этому вопросу уделяется достаточно мало внимания, но от того он не становится менее востребованным. Если предприятие переходит с одного гипервизора на другой, становится вопрос преобразования вирту­ альных машин. 14 Введение в виртуальные серверы В.1. Виртуальные серверы ВЛ.1. Преимущества и недостатки Пожар, кража, стихийное бедствие - все это не страшно, если ваш сервер виртуальный. Просто физическое оборудование будет установлено в удален­ ном дата-центре, который, скорее всего, находится даже в другом городе и охраняется гораздо лучше, чем ваш офис (физическая охрана, круглосуточ­ ный мониторинг). Но это далеко не единственное преимущество виртуального сервера. Следу­ ющее, что нужно учитывать, - простоту и дешевизну обслуживания. Управ­ ление сервером, его конфигурацией осуществляется через удобную панель управления, и вы можете в любой момент сотворить с ним все что угодно. Например, модернизировать сервер, добавив модуль оперативной памяти или дополнительный жесткий диск всего за пару кликов мышки. Вам не нужно беспокоиться, что накопитель выйдет из строя - если это и произойдет, то это проблемы провайдера, а вы сможете восстановить свою виртуальную машину из бэкапа. О клонировании сервера нажатием одной кнопки - отдельный разговор. Вам не нужно ни о чем заботиться - ни о перепадах напряжения, ни об отключении электричества и т.д. Все это проблемы провайдера, которые будет решать именно он. Из-за перепада напряжения, грозы или просто из-за возраста могут выйти из строя довольно дорогие компоненты сервера - блок питания, оперативная память, жесткие диски. Все это влечет за собой следующее: • Незапланированный многочасовой простой сервера (пока будут куплены необходимые комплектующие, пока они будут установлены); • Финансовые потери, что следует из простоя; • Возможную потерю информации. Также не нужно забывать о банальном отключении электропитания, потере связи с Интернетом. Если второе интернет-соединение в большинстве слу­ чаев организовать не проблема, как и настроить автоматическое переклю­ чение на резервный канал в случае, если с основным что-то случится, то с 15 Сервер на Windows и Linux питанием - беда. Фермы UPS, способные обеспечивать многочасовое пита­ ние серверов, могут позволить себе далеко не все предприятия, а дизельные генераторы можно размещать далеко не везде, учитывая нормы пожарной безопасности. Что же касается виртуального сервера, то дата-центр уровня 3 (Tier III) га­ рантирует не более 1.6 часа простоя, при этом коэффициент отказоустой­ чивости составляет 99.982%. Дата-центр оснащен и резервным каналом, и резервным питанием. Вам не нужно заботиться об этом, лучше сконцентри­ роваться на задачах предприятия, чем заниматься рутинными вопросами. В таблице В.1 приводятся преимущества и недостатки физического и вирту­ ального серверов. Таблица В.1. Преимущества и недостатки физического и виртуального серверов Физический Виртуальный Гораздо дешевле физического сер­ вера Простота обслуживания, не нужен отдельный администратор в штате Настоящий компьютер из плат и проводов Обеспечение работоспособности не ваша проблема Сразу доступны все ре­ сурсы сервера Быстрое клонирование сервера Преимущества Более высокая произво­ дительность Больше дискового про­ странства доступно Быстрое создание ’’снимка” сервера, что позволяет восстановить сервер за считанные секунды Простая модернизация сервера Оплата только за используемые ре­ сурсы, возможность быстро изме­ нить конфигурацию сервера В стоимость уже входит IP-адрес и интернет-канал ф Введение в виртуальные серверы Значительно дороже при покупке и содержании Всю сумму нужно пла­ тить сразу Недостатки Требуется администра­ тор именно сервера Производительность немного ниже, чем у физического сервера Необходимо платить за colocation или обеспе­ чивать самому надлежа­ щие условия для работы сервера Нельзя увидеть/пощупать физиче­ ски Сложность ции модерниза­ В.1.2. Стоимость виртуального сервера Прежде чем говорить о стоимости виртуального сервера, нужно поговорить о стоимости покупки и содержания физического сервера. Стоимость физи­ ческого сервера составляет от 150 до 200 тысяч рублей, если мы говорим, ко­ нечно, о сервере, а не просто о мощном системном блоке, который вы будете использовать в качестве сервера (здесь и далее все цены указаны приблизи­ тельно, так как в зависимости от конкретного времени и ситуации они могут отличаться). Аналогию можно привести с грузовиком - в его кузове можно перевозить людей, но он для этого, мягко говоря, не предназначен. Как пра­ вило, у сервера должен быть специальный корпус, позволяющий установить его в стойку, модули памяти с коррекцией ошибок, SAS-накопители и т.д. Все это отражается на стоимости. Кроме покупки самого сервера, не нужно забывать о его содержании. В сто­ имость содержания физического сервера входят следующие составляющие: Стоимость программного обеспечения. Покупая виртуальный сервер, вы автоматически покупаете и лицензию на право использования того или иного программного обеспечения, например Microsoft Windows Server. В случае с физическим сервером за ’’математику” придется доплатить. Сервер на Windows и Linux • Зарплата администратору. В зависимости от уровня администратора и ва­ шего региона, эта сумма будет составлять 25-100 тысяч рублей в месяц. • Стоимость основного и резервного интернет-каналов. В стоимость вир­ туального сервера уже входит один выделенный IP-адрес и канал со ско­ ростью 10 Мбит/с. И будьте уверены: канал резервируемый. Никто не захочет, чтобы серверы клиентов остались без Интернета. Вам же для своего физического сервера придется обеспечить резервный канал само­ стоятельно. • Стоимость электричества. Сервер оснащен блоком питания на 900 Вт (при полной нагрузке). Стоимость электроэнергии несложно подсчитать самостоятельно. Сюда же посчитайте затраты на кондиционирование по­ мещения, в котором стоит сервер, - ему не должно быть слишком жарко, что особенно актуально для летнего периода. • Стоимость системы резервного электропитания. Вы же не хотите, чтобы работа вашей организации остановилась, если пропадет электричество? Стоимость виртуального сервера зависит от его конфигурации. Рассмотрим следующую достаточно простую конфигурацию: • 4 ядра процессора Xeon Е5 с частотой 3 ГГц; • 8 Гб ОЗУ; • 320 Гб SAS-накопителя; • канал связи 30 Мбит/с; • Один выделенный IP-адрес. Все это обойдется вам в менее чем 9 рублей в час или около 6000 рублей в месяц. Это средняя стоимость, у некоторых провайдеров будет чуть дешев­ ле, у некоторых - чуть дороже (стоимость может сильно отличаться в зави­ симости от времени прочтения данной книги). При работе с виртуальными серверами нужно помнить следующее: • Тарификация, как правило, почасовая. Вы можете отключать его на ночь, если он вам не нужен. Например, если ваш сервер не является веб­ сервером, а используется как терминальный сервер для работы бухгалте- Введение в виртуальные серверы ров с 1С, его можно выключать на ночь и на выходные. 22 рабочих дня по 8 часов обойдутся вам всего в 1500 рублей в месяц. • Стоимость виртуального сервера зависит от используемых ресурсов. Но вы можете выделять ресурсы по мере необходимости. Это означает, что вы можете купить сначала сервер с 6 Гб ОЗУ и 120 Гб накопителя, что обойдется вам всего 4400 р. в месяц. По мере необходимости вы можете добавить ресурсы. Скажем, первые полгода вам будет достаточно этих 120 Гб, далее вы увеличите размер накопителя. Этим вы сэкономите 9600 р. за полгода (6000 - 4400 = 1600 р./мес). • Вы можете возвращать неиспользуемые ресурсы в пул. Представим, что у вас есть веб-сервер для интернет-магазина. Сейчас для него вы исполь­ зуете 8 Гб ОЗУ. Но на новогодние праздники нагрузка на ресурс увели­ чивается, и вы можете запросить более широкий канал, скажем, не 30, а все 100 Мбит/с и дополнительный 4 Гб ОЗУ. После того, как пик нагрузки спадет, вы сможете вернуть ’’лишние” ресурсы в пул и тем самым сэко­ номить. Даже если не считать стоимость содержания физического сервера, то только одной стоимости физического сервера (напомню, от 150 тыс. руб.) вам хва­ тит на 25 месяцев использования виртуального сервера. Если же вы будете экономить и выключать сервер, когда он вам не нужен, то стоимость его вряд ли превысит 2000 p./мес., следовательно, этой суммы вам хватит на 75 ме­ сяцев. И заметьте: вам не нужно выкладывать всю сумму сразу, вы платите ежемесячно. В. 1.3. Какие серверы можно виртуализировать? Виртуализировать можно все что угодно. Например, вы можете виртуали­ зировать сервер с 1С, чтобы обеспечить непрерывный доступ бухгалтеров к базе данных предприятия, сервер для CRM, веб-сервер и т.д. Все зависит от специфики вашего предприятия. Вас никто не огранивает и с выбором облачных провайдеров, но вы не долж­ ны забывать о законодательстве. Если на серверах хранятся/обрабатываются персональные данные пользователей, серверы должны находиться в преде­ лах РФ. Об этом нужно помнить, дабы не было никаких проблем. * 19 Сервер на Windows и Linux В.1.4. Преимущества собственной виртуальной инфраструктуры Не всегда можно размещать данные на серверах третьей стороны (в нашем случае - на серверах дата-центра). Как минимум, это может быть запрещено политикой компании. Но использовать преимущества виртуальной инфра­ структуры хочется. В этом случае ее, эту инфраструктуру, можно развернуть самостоятельно. Да, это дорого, но если другого выхода нет, то почему бы не попробовать. В результате вы получаете все преимущества виртуализации: • Возможность создания и клонирования виртуальных машин. Вы може­ те создать шаблоны виртуальных мест. Например, места разработчика. Когда в компанию придет новый разработчик, подготовка его рабочего места займет считанные минуты - вы создадите виртуальную машину на основании шаблона разработчика, и он получит уже готовое рабочее место с настроенным ПО. • Любую виртуальную машину в любой момент можно остановить, переза­ грузить, приостановить и возобновить ее работу. • Можно легко выполнить резервное копирование целых серверов. • Легкость в миграции виртуальных машин. • Возможность создавать снапшоты. Например, если нужно внести серьез­ ные изменения в рабочий сервер, вы можете перед этим создать снапшот. Если что-то пойдет не так, откат (чтобы вернуть все, как было) займет пару минут. С физическим сервером такого не выйдет. В.2. Выбор гипервизора Технологии виртуализации уже насчитывается более 30 лет. Сегодня вир­ туализация стала ключевой технологией IT и основой сервисов нового по­ коления. Существует множество продуктов виртуализации, и такое многооб­ разие заставляет задуматься: а какой продукт лучше? ф 2(1 Введение в виртуальные серверы Выбирать продукт виртуализации нужно, прежде всего, исходя из потреб­ ностей бизнеса. В одном случае будет хорош один продукт, в другом - совершенно другой. Многие компании, ищущие решения для виртуали­ зации, выбирают между продуктами VMware, Hyper-V и KVM. В.2.1. Типы гипервизоров ^Illlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllll 1П11П1П II III IIIIIIIIIIII1 II I I II lllllllllll II II I III I ........ Illllll lllllllllllllllllllllll I III I II II II I II I II I I llllll II I I I I I I I I II II Illi I III Illi.... IIIIIIIIIIIIIIIIIIIL Существует два типа гипервизоров. ^iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiii....и..... ..................... uulu.......... ......................... ши.......... г Гипервизоры первого типа запускаются непосредственно на ’’железе” и не требуют установки какой-либо операционной системы. Для работы гипер­ визоров второго типа нужна операционная система - через нее производится доступ к аппаратной части. Считается, что производительность гипервизо­ ров первого типа выше, поскольку они работают напрямую с оборудовани­ ем. Примеры гипервизоров 1-го типа: Hyper-V, KVM, ESXi. Гипервизоры 2-го типа: VMware Workstation, Oracle Virtual Box, OpenVZ. Нас интересуют только гипервизоры первого типа, так как вторые больше подходят для индивидуального использования, чем в качестве решений уровня предприятия. Hyper-V и WMware - это проприетарные решения, и было бы правильнее сравнивать именно их. Но есть также и решение с открытым исходным ко­ дом - KVM. Многие предприятия выбирают именно KVM, несмотря на то, что некоторые независимые эксперты считают это решение довольно сы­ рым и непригодным на корпоративной кухне. Однако, согласно отчету IT Central Station, 25% операторов связи и 11% финансовых организаций выбрали именно KVM. Так что это решение нельзя игнорировать. Сначала мы рассмотрим проприетарные решения, а затем попытаемся выяснить, стоит ли использовать KVM. В.2.2. Hyper-V или VMware? Начнем с Hyper-V. Здесь нужно понимать, что есть Windows Server 2016/2019 со стандартной ролью Hyper-V и есть Hyper-V Server 2016/2019. Windows 21 Сервер на Windows и Linux Server 2016/2019 поставляется в двух редакциях - Datacenter и Standard. У каждой из них есть роль Hyper-V. С точки зрения виртуализации обе ре­ дакции аналогичны, но есть нюансы, связанные с лицензированием. В ре­ дакции Standard по одной серверной лицензии можно поднять только две виртуальных машины. В редакции Datacenter можно поднять любое коли­ чество виртуальных машин. В стандартной редакции тоже можно запустить любое количество виртуальных машин, но это будет не очень верно с точки зрения лицензирования. С другой стороны, лицензируется не факт создания виртуальной машины, а только ОС внутри виртуальной машины. Если нуж­ ны виртуальные Linux-серверы, то можно запустить любое их количество в стандартной версии Windows Server. В 2016 году в лицензионной политике Microsoft произошли изменения. Теперь стоимость лицензии на сервер за­ висит от количества ядер на физическом сервере. Hyper-V Server 2016/2019 - специально для тех, кто не хочет платить за ги­ первизор. Никаких ограничений виртуализации, и при этом он абсолютно бесплатный. Что-то невероятное, особенно когда речь идет о Microsoft. Но есть и подводные камни: 1. Нужно лицензировать все виртуальные машины, работающие под управ­ лением Windows. 2. Отсутствует графический интерфейс, правда, есть удаленная консоль. 3. Отсутствие поддержки производителя (но есть обновления). Хорошего администратора не испугает ни отсутствие поддержки, ни гра­ фического интерфейса. А вот необходимость в лицензировании каждой Windows-машины - это плохо. Иногда целесообразнее купить Datacenter так будет выгоднее. С другой стороны, если планируете разворачивать толь­ ко Linux-серверы, то данное решение можно действительно назвать бесплат­ ным. Теперь о VMware ESXi - ядре всех серверных решений виртуализации от VMware. В отличие от VMware Workstation, ESXi - это не приложение, это, можно сказать, операционная система, которая устанавливается на голое оборудование. ESXi похож на Linux - те же команды, те же названия стан­ дартных каталогов, однако он работает полностью на собственном пропри­ етарном ядре VMkernel. Если вам интересно, информацию об этом вы може­ те найти в Сети. 22 Введение в виртуальные серверы Отдельно купить ESXi нельзя. Если вы хотите купить ESXi, вам нужно ку­ пить VMware vSphere 6. При этом лицензия покупается на каждый физиче­ ский процессор на физическом сервере. Оперативная память и число вирту­ альных машин не влияют на стоимость. А есть что-то бесплатное? Да, VMware предлагает VMware ESXi Free или VMware Free vSphere Hypervisor. Бесплатный VMware ESXi требует реги­ страции и может работать в режиме полной пробной версии 60 дней, после этого нужно или мириться с ограничениями бесплатной версии, или же по­ купать полноценную. На данный момент у бесплатного VMware Free vSphere Hypervisor нет огра­ ничений для хоста по процессорам и памяти. Зато есть ряд других ограни­ чений: • API продукта доступны только на чтение. • Виртуальная машина может иметь не более 8 vCPU. • Нельзя использовать вместе с Veeam для создания резервных копий. • Не поддерживается подключение к vCenter Server. • Не поддерживаются технологии VM host live migration, VM storage live migration, не поддерживается высокая доступность. Обмануть судьбу не получится. Коммерческого решения на базе бесплатного ESXi создать не выйдет. Теперь немного цифр. Таблица В.2 содержит сравнительные характеристики гипервизоров MS Hyper-V и VMware vSphere 6.5. Таблица В.2. Сравнительные характеристики проприетарных гиперви­ зоров Система Хост Ресурс MS Hyper-V Free Hypervisor Essential Plus Enterprise Plus Логические процессоры 512 576 576 576 Физическая память, ТБ 24 4 4 12 vCPU на 1 хост 2048 4096 4096 4096 ВМ на 1 хост 1024 1024 1024 1024 Вложенный гипервизор + + + + 23 Сервер на Windows и Linux Вирту­ альная .машина (ВМ) Виртуальные CPU на 1 ВМ 240 для поко­ ления 2 или 64 для поко­ ления 1 8 128 128 Макс. ОЗУ для ВМ 12 Тб для поко­ ления 2 или 1 Тб для поко­ ления 1 6128 Гб 6128 Гб 6128 Гб Макс, дисковое пространство 64 Тб ДЛЯ формата VDHX, 2040 Тб для VHD 62 Тб 62 Тб 62 Тб К-во дисков 256 60 60 60 Макс, узлов 64 - 64 64 Макс. ВМ 8000 - 8000 8000 Кластер Как видите, по масштабируемости представленные гипервизоры очень похо­ жи. Free-версия, конечно, немного урезана - она не поддерживает кластеры, и виртуальная машина может содержать только 8 виртуальных процессоров. Но не это самое главное. Помимо ’’технических характеристик”, нужно рас­ смотреть еще и функционал гипервизоров. Основной недостаток Hyper-V не увидеть в таблице В.2. К сожалению, дан­ ный гипервизор до сих пор не поддерживает технологию USB Redirection, которая используется для проброса аппаратных USB-портов, что позволяет подключать аппаратные USB-ключи к виртуальным машинам. Вместо нее пытаются ’’сосватать" технологию Discrete Device Assignment, но это несколько не то. К тому же Hyper-V пока не умеет "на лету" добавлять CPU. Зато Hyper-V позволяет уменьшать размер диска, а не только увеличивать, как VMware. Сравнение функционала приведено в таблице В.З. Введение в виртуальные серверы Таблица В.З. Сравнение функционала гипервизоров Функция MS Hyper-V VM host live migration Free Hypervisor Essential Plus Enterprise Plus - + + - + VM storage live migration + - QoS для хранилища/сети + - Проброс обору­ дования Discrete Device Assignment PCI VMDirectPath/ USB redi­ rection PCI VMDirectPath/ USB redirection PCI VMDirectPath/ USB redirec­ tion Горячее добав­ ление Диски/vNIC/ ОЗУ Диски/vNIC/USB Диски/vNIC/ USB Диски/ vNIC/USB/ CPU/ОЗУ Горячее удаление Диски/vNIC/ ОЗУ Диски/vNIC/USB Диски/vNIC/ USB Диски/ vNIC/USB/ CPU Изменение раз­ мера диска Уменьшение и увеличение Увеличение Увеличение Увеличение Шифрование ВМ + - - + + Функционал говорит за себя. Если нужен проброс USB-портов в виртуаль­ ную машину, то однозначно - только VMware, даже бесплатный. С другой стороны, если необходимо шифрование виртуальной машины, то, возможно, дешевле будет использовать Hyper-V. Кроме функционала самого гипервизора, нужно оценить еще и средства управления. У каждого вендора есть свое решение для управления гипер­ визорами. Virtual Machine Manager (VMM) позволяет управлять серверами Hyper-V, а именно: создавать, клонировать, развертывать виртуальные ма­ шины и многое-многое другое. У VMware средство управления называется vSphere. vSphere подразумева­ ет использование ESXi-хостов и vCenter Server для их централизованного управления. Какое средство управления более удобное - судить сложно. Все индивиду­ ально, кто к чему привык. Однако нужно понимать, что в случае с VMware Сервер на Windows и Linux требуется обязательное наличие VMware vCenter, если вам нужен, напри­ мер, кластер. А вот Virtual Machine Manager (VMM) является опциональным компонентом, который очень полезен, но совсем не обязателен. Какой из гипервизоров лучше, сказать нельзя. Все зависит от того, что нуж­ но вам. В некоторых случаях, например, если нужен проброс USB, лучшим выбором будет VMware - даже бесплатное решение поддерживает эту тех­ нологию. Но не все готовы мириться с ограничением в 8 виртуальных про­ цессоров. В этом случае нужно или покупать Enterprise-версию, или же ис­ пользовать Hyper-V, который вообще бесплатный (а в случае с Linux даже не придется покупать лицензии). В любом случае, даже если вы почти определились с выбором, нельзя за­ бывать о полностью бесплатном KVM. В.2.3. KVM llllllllllllllllllllllllllllllllllltllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllN KVM (Kernel-based Virtual Machine) - полное решение виртуализации для платформ Linux/x86, поддерживающее аппаратные расширения (Intel VT и AMD-V). Изначально KVM поддерживал только процессоры х86, но современные версии KVM поддерживают самые различные процессоры и гостевые ОС, в том числе Linux, BSD, Solaris, Windows и др. KVM — простой в использовании, легкий, нетребовательный к ресурсам и довольно функциональный гипервизор. KVM позволяет в минимальные сроки развернуть площадку виртуализации. Все Wiki-ресурсы (MediaWiki, Wikimedia Foundation, Wikipedia, Wikivoyage, Wikidata, Wikiversity) исполь­ зуют именно это решение виртуализации. Поскольку гостевые операционные системы взаимодействуют с гипервизо­ ром, который интегрирован в ядро Linux, у них есть возможность обращать­ ся напрямую к оборудованию без нужды изменения гостевой ОС. Благодаря этому KVM считается довольно быстрым решением. Конечно, KVM - не идеален, и у него есть тоже свои недостатки. Начнем с того, что нет мощных средств для управления виртуальными машинами и сервером KVM. Средства, конечно, есть, но они не соответствуют по функ- Введение в виртуальные серверы ционалу аналогичным средствам для других гипервизоров. Одно из лучших решений - SolusVM - универсальная панель управления виртуальными сер­ верами KVM, Хеп и OpenVZ. Также часто отмечают плохую стабильность гипервизора KVM при выпол­ нении разнообразных задач с интенсивным вводом-выводом. Именно поэтому некоторые эксперты в сфере виртуализации и называют KVM сы­ рым решением, которое больше подходит для экспериментов, чем для кор­ поративного применения. Гипервизор Hyper-V более стабилен, специальные средства миграции вир­ туальной машины в нем надежнее, эффективнее применяется оборудование, нежели в Linux-KVM. Платформа Microsoft Azure построена на Hyper-V, и это говорит о многом. В.2.4. Что выбрать? Следующие небольшие тезисы помогут вам сделать правильный выбор: 1. VMware - самое дорогое решение, Hyper-V - дешевле (или при исполь­ зовании Hyper-V Server и виртуальных машин с Linux - вообще бесплат­ ное), KVM - изначально бесплатное. 2. Подсчитывая стоимость системы виртуализации, нужно учитывать еще и стоимость лицензий программного обеспечения, которое будет уста­ новлено в виртуальных машинах. Именно поэтому Hyper-V значительно дешевле VMware - при использовании VMware вам все равно придется покупать лицензии на гостевые ОС. 3. Hyper-V значительно дешевле и производительнее в гиперконвергентных решениях. 4. Таблица В.2 - сугубо информативная, большинство пользователей не столкнутся с этими ограничениями, и ее не нужно учитывать при выборе гипервизора. Самое жесткое ограничение - у свободной версии ESXi. 5. У VMware есть Fault Tolerance, у Microsoft - пока нет. Если это для вас важно, задумайтесь над VMware. 6. У VMware лучше VDI, но у Microsoft организация VDI будет дешевле. 7. Hyper-V менее требовательный к ’’железу”. 27 Сервер на Windows и Linux 8. Хранилище для Hyper-V дешевле, поскольку VMware тесно связан по ру­ кам и ногам HCL, a Hyper-V может использовать любой SMB 3.0 ресурс для хранения. 9. Hyper-V Server - это гипервизор Hyper-V, поставляемый с Соге-версией Windows без графического интерфейса. Ограничений в нем никаких нет (в отличие от бесплатной версии VMware), вы можете включить его в до­ мен, управлять им с помощью System Center, бэкапить и т.д. (в отличие от бесплатного vSphere). 10. В Hyper-V нет средств вроде Distributed Resource Scheduler или же Storage DRS, которые в VMware используются для балансировки нагрузок между ресурсами хостов. 11. SCVMM в Hyper-V открывает возможности, выходящие за рамки про­ стой серверной виртуализации. Вы можете создавать частные облака. 12. KVM - самый неприхотливый к ресурсам гипервизор. Это нужно учиты­ вать при разработке бюджетных решений виртуализации. 13. Для KVM можно также использовать интерфейс управления Virsh и GUIинтерфейс virtmanager. 14. Службы поддержки у KVM нет. Если что-то не получается, вы можете рассчитывать только на сообщество. Впрочем, поддержки нет и у бес­ платного Hyper-V Server. 15. Существует коммерческий вариант KVM - RHEV (Red Hat Enterprise Virtualization). Какой бы выбор вы ни сделали, он будет правильным в вашем случае. В.З. Виртуальный сервер: содержание В.3.1. Сколько стоит физический сервер Возьмем средней конфигурации физический сервер. Ничего примечательно­ го, пусть это будет HP Proliant DL180. Конфигурация весьма посредственная 28 Введение в виртуальные серверы - 8 ядер на Xeon Sliver 4208 2,1 ГГц (не самый мощный Xeon), 16 Гб ОЗУ и нет ни одного накопителя - их придется купить отдельно. Цена такого вари­ анта (на данный момент) - 201635 рублей. Добавьте к этому стоимость 1 или 3 накопителей. В двух накопителях осо­ бо нет смысла, поскольку RAID-массив с чередованием вы не построите из двух дисков, разве что в режиме зеркалирования, когда второй диск будет точной копией основного диска, но это очень нерационально с точки зрения расходования ресурсов. Но, тем не менее, такая защита данных лучше, чем вообще ничего. Посмотрим, сколько стоят серверные накопители. Здесь все зависит от со­ вести администратора и жадности руководства. Если устанавливать то, что действительно является серверным диском, а не только называется им, то цена будет около 15 000 рублей за один диск. За эти деньги вы получите SAS-диск со скоростью вращения шпинделя 15 000 об/мин, с буфером 16 Мб, но емкостью всего 300 Гб - это вполне нормально для сервера. Конечно, можно купить обычный SATA-диск со скоростью вращения 7200 об/мин и ценой 7000 рублей. При этом емкость этого диска будет составлять не 3 00 Гб, а 1 Тб. Если скорость и надежность для вас - не пустой звук, то выбери­ те первый вариант, если же на первом месте экономия - то второй вариант будет предпочтительнее. При выборе диска нужно обращать внимание на следующие характеристики: • Форм-фактор - наш сервер поддерживает 3.5” диски, поэтому подбира­ емые под него диски должны быть в этом форм-факторе. Другие (2.5”) не подойдут. • Интерфейс - наш сервер поддерживает интерфейсы SAS и SATA. Неко­ торые серверы не поддерживают SATA, об этом нужно помнить. Некото­ рые, наоборот, не поддерживают SAS. • Скорость вращения шпинделя - чем выше скорость вращения, тем быстрее будет работать диск. Для сервера нужно подбирать диски со ско­ ростью вращения от 10 000 оборотов в минуту. • Размер буфера - чем выше размер буфера, тем быстрее будут происхо­ дить операции записи данных. В то же время тем больше данных вы по­ теряете, если произойдет какой-то сбой до того, как все эти данные будут перемещены из буфера на сам диск. Мы выбрали диск с небольшим буфе­ ром на сегодняшний день - 16 Мб. Но есть в продаже более продвинутые Сервер на Windows и Linux накопители с размером буфера 128 Мб, правда, и емкость там около 2 Тб, и цена совсем другая. • Состояние - как ни странно, но обязательно обращайте внимание на состояние (новый или б/у) покупаемого диска. На том же Яндекс. Маркете можно найти б/у SAS-диски по цене от 4000 рублей. Гаран­ тии на такие диски, как правило, или нет вообще, или символическая гарантия 1-3 месяца. Как они будут работать в будущем - никому не известно. Скорее всего, они свой ресурс уже отработали, их заменили новыми, а старые - продают. Особенно на других досках объявлений веселят объявления ’’серверы из Европы” или ’’компьютерная техника из Европы”. Жесткие диски изнашиваются из-за вращения, а не из-за своего месторасположения. Итак, пусть разум победил над желанием сэкономить и вы остановились на варианте за 15 000 рублей, но все-таки желание сэкономить присутствовало, поэтому вы купили два, а не три диска, решив, что 300 Гб суммарного пространства будет достаточно. В принципе да, если не заниматься обработ­ кой видео и не хранить фотографии тысяч пользователей, то для организа­ ции того же интернет-магазина такого пространства хватит с запасом. Считаем стоимость сервера: 201635 + 15000 х 2 = 231635 Для обеспечения бесперебойной работы сервера нам нужно помещение с кондиционером. Будем считать, что таковое имеется, и не будем включать его в затраты. Стоимость резервного интернет-канала не так высока, и тоже спишем это на прочие затраты организации, тем более что резервный канал пригодится не только для сервера, но и для всего офиса. А вот о резервном питании нужно поговорить отдельно. Выбору ИБП посвящаются довольно большие и глубокие статьи, в которые нужно вникать. У нас сейчас другая задача - просчитать примерно, сколько часов наш сервер сможет проработать от ИБП и узнать стоимость такого ИБП. Стоимость серверных ИБП может доходить до 1 млн рублей и даже больше. Нам, конечно же, такие не нужны, но стоимость ’’бесперебойника” все равно будет достаточно высокой. 30 Введение в виртуальные серверы Мощность источника бесперебойного питания для IT-оборудования опреде­ ляется по тому же принципу, что и для любой другой техники. Необходимо просуммировать мощности всех подключаемых к устройству потребителей и сверх этого заложить запас, компенсирующий возможные эксплуатаци­ онные перегрузки (актуальное значение - 30%). Подбор подходящего ИБП производится по полученному в результате вышеуказанных действий значе­ нию (с округлением в большую сторону). В технической документации и на заводских этикетках 1Т-оборудования часто указывается максимальная мощность блока питания, а не действи­ тельное энергопотребление устройства. Рекомендуется уточнить реальную мощность, потребляемую нагрузкой, данные можно запросить у произво­ дителя либо произвести самостоятельные замеры с помощью электроизме­ рительной аппаратуры (мультиметры, ваттметры). Номенклатура (мощностные линейки) большинства производителей ИБП строится на основе полной мощности, измеряемой в вольт-амперах - ВА. Если мощность электрической нагрузки представлена только в ваттах - Вт (активная мощность), то перевод в вольт-амперы осуществляется делением на коэффициент мощности - Р (может обозначаться как cosq) или PF), рав­ ный для простейшего 1Т-оборудования — 0,6-0,8. Современное серверное и сетевое оборудование может быть оснащено бло­ ком питания с коррекцией коэффициента мощности (PFC), приближающей его значение к единице - 0,99. Если уверенности в наличии данной функции нет, то применяется типовое значение из указанного интервала. Обратите внимание - в характеристиках источника бесперебойного питания указываются входной и выходной коэффициенты мощности, зависящие от электронной схемы самого устройства: • Входной — отражает влияние ИБП на внешнюю сеть и не имеет прямого отношения к подключаемой нагрузке. • Выходной — необходим при определении максимальной нагрузки в ват­ тах, которую устройство способно запитать, для этого умножаем полную мощность ИБП на выходной коэффициент мощности. Расчет полной мощности защищаемой техники следует проводить, исполь­ зуя соответствующий ей коэффициент мощности, а не значения входного и выходного коэффициентов ИБП (на практике cos(p прописывается в руковод­ стве по эксплуатации большинства потребителей электрической энергии)! Сервер на Windows и Linux Полная (ВА) и активная мощность (Вт) правильно выбранного ИБП должна быть не меньше соответствующих мощностей подключенных электропри­ емников, а для гарантированно надежной работы - превышать их. Вычис­ лить примерное время работы от ИБП можно по ссылке http://proline.biz.ua/ calculator-ups-time-count. Для расчета времени вам нужно указать: • Среднюю потребляемую мощность - нужно учитывать не только мощ­ ность блока питания (точнее, потребляемую мощность) сервера, но и другого оборудования, которое будет подключено к ИБП. Помните о 30%. Если вы вычислили, что средняя потребляемая мощность будет 700 Вт, добавим еще 30%, получим 910 Вт. • Суммарная емкость аккумуляторов - укажите емкость ИБП, планируемо­ го к покупке. Пусть это будет 1000 А/час. • Остальные параметры оставьте по умолчанию, если вам не понятно их назначение, нажмите вопросительный знак возле названия параметра. Получится, что при средней потребляемой мощности в 910 Вт и суммарной емкости аккумуляторов 1000 А/ч наше оборудование сможет проработать 7 часов 11 минут. Вполне солидно - за это время смогут отремонтировать воз­ никшие проблемы с электропитанием. Теперь попробуем подобрать ИБП. Поскольку мы не планируем менять ба­ тареи раз в год, то лучше покупать ИБП с небольшим запасом, чтобы плани­ ровать старение батарей. Неплохим вариантом будет ИБП АРС SMC 150012U Smart-UPS С 1500VA (1500 ВА/900 Вт). Цена 136 600 рублей за именно серверный ИБП с возможностью горячей замены батарей (без выключения оборудования) и возможностью установки в стойку, это действительно не­ много. Получилось 368 235 рублей - без стоимости обеспечения охраны помеще­ ния, организации видеонаблюдения и т.д. В.3.2. Стоимость содержания физического сервера Стоимость содержания физического сервера состоит из следующих факто­ ров: 32 J Введение в виртуальные серверы • Стоимость основного и резервного интернет-каналов. В стоимость виртуального сервера уже входит один выделенный IP-адрес и канал со скоростью 10 Мбит/с. И будьте уверены: канал резервируемый. Никто не захочет, чтобы серверы клиентов остались без Интернета. Вам же для своего физического сервера придется обеспечить резервный канал само­ стоятельно и платить за оба канала. • Стоимость электричества. Мы уже посчитали, что будем потреблять 900 Вт (при средней нагрузке). На практике эта цифра может быть выше. Стоимость электроэнергии несложно подсчитать самостоятельно. Сюда же посчитайте затраты на кондиционирование помещения, в котором сто­ ит сервер - ему не должно быть слишком жарко, что особенно актуально для летнего периода. • Стоимость охраны серверной комнаты. Охрана может осуществляться как собственными силами (в этом случае будут расходы на зарплату ох­ ранникам), так и путем подключения к пульту охранного предприятия. В любом случае за физическую безопасность оборудования нужно платить. • Амортизация оборудования. Ваше железо - это ваше железо. Гаран­ тийный срок составляет 12-24 месяца в зависимости от производителя оборудования. Даже именитые вендоры вроде HP редко предоставляют более длительную гарантию. По истечении гарантийного срока любые комплектующие могут выйти из строя. Как правило, первыми выходят со строя блоки питания, модули оперативной памяти и жесткие диски. Это группа риска. Так что можете включить в будущие расходы стоимость пе­ речисленных компонентов. Также добавьте время простоя - пока вы ку­ пите и установите ’’железо”, может пройти несколько часов, а то и дней. Для кого-то это допустимо, а кто-то может потерять сотни тысяч рублей прибыли (например, если идет речь о популярном магазине). Другими словами, есть постоянные затраты, которые вам придется нести каждый месяц. В.3.3. Варианты снижения стоимости владения Стоимость владения можно снизить: И Сервер на Windows и Linux • Размещение сервера в дата-центре (colocation) - если сервер уже ку­ плен, его можно разместить в дата-центре. Да, ваш сервер будет физиче­ ски размещен в дата-центре. При этом вам не нужно платить ни за охрану, ни за электричество, ни за кондиционирование. Вам не нужно заботиться о резервном канале, об ИБП и т.д. Обо всем этом позаботится провайдер - и о резервировании канала, и о бесперебойной работе сервера. И все это стоит от 3 до 5 тысяч рублей в месяц. Средняя стоимость размещения 1 юнита с выделенным каналом 100 Мбит/с составляет 3000 рублей в месяц. • Аренда виртуального сервера - если сервера пока нет, гораздо дешевле арендовать виртуальный сервер. Средняя стоимость сервера средней кон­ фигурации (4 ядра по 2.8 ГГц, 8 Гб ОЗУ, 100 Гб накопителя) составляет 1790 рублей. Когда ваш проект выйдет за эти рамки, вы можете арендо­ вать виртуальный сервер, приближенный по конфигурации к нашему фи­ зическому (8 ядер по 2.8 ГГц, 16 Гб ОЗУ, 260 Гб накопителя), - он стоит в среднем 3600 рублей. • Виртуализация физического сервера - если сервер уже настроен, вы оценили стоимость затрат на его содержание, потом посмотрели на стои­ мость colocation и поняли, что она всего лишь на 600 рублей дешевле сто­ имости необходимой вам конфигурации сервера. Решение правильное. Далее будет показано, как виртуализировать физический сервер. Примечание. Если разместить свой физический сервер в ДЦ, то у вас становится гораздо меньше головной боли и из всех расходов остается стоимость colocation, стоимость ПО (если нужно) и зарпла­ та администратору (именно тому человеку, который будет отвечать за здоровье железа сервера). Конечно, спустя два года добавится и стоимость технического обслуживания. Гарантия на узлы сервера со­ ставляет как раз 2 года, а в составе сервера есть много механических частей, которые могут выйти из строя, - вентиляторы, жесткие диски ит.д. В.3.4. Что лучше? Муки выбора У виртуального сервера есть свои преимущества. Одно из них - простота обслуживания. Администратор сервера не нужен как таковой, поскольку 34 Введение в виртуальные серверы управление сервером, его конфигурацией осуществляется через удобную панель управления, и вы можете в любой момент сотворить с ним все что угодно. Например, модернизировать сервер, добавив модуль оперативной памяти или дополнительный жесткий диск всего за пару кликов мышки. Все это не требует каких-либо знаний и навыков, и справиться с подобными задачами может любой пользователь, владеющий компьютером. Также ав­ томатически создаются резервные копии сервера (или за дополнительную плату, или бэкапы уже входят в тариф) и все, что нужно вам, - это настроить их периодичность. Также у вас не будет никаких волнений относительно выхода из строя ком­ понентов сервера - если даже что-то и выйдет из строя, то, скорее всего, об этом вы не узнаете. Во-первых, это проблемы провайдера, во-вторых, современные системы обеспечения отказоустойчивости, применяемые в дата-центрах, позволяют минимизировать возможные простои в работе сер­ веров в случае выхода ’’железа” из строя. Отдельного внимания заслуживает возможность создания снапшотов моментальных снимков сервера. Например, вы настраиваете сервер и перед настройкой делаете снапшот. Если что-то пойдет не так, за считанные мину­ ты вы сможете вернуть все, как было. Да, хранение снапшотов - это платная функция, но она того стоит. Клонирование сервера - это еще одна функция, которая достанется вам в виде приятного бонуса, если вы арендуете виртуальный сервер. Обычным пользователям она редко нужна, но пригодится интеграторам, которые про­ дают типичные серверы своим клиентам. Все, что вам нужно, - сначала создать эталонный сервер, а затем клонировать его для каждого клиента. Максимум, что понадобится, - изменить некоторые настройки, ориентиро­ ванные на клиента. Но это гораздо быстрее, чем создавать подобный сервер с нуля. Арендовать виртуальный сервер в большинстве случаев выгоднее, проще и удобнее, чем связываться с физическим сервером. Сегодня, по сути, физи­ ческое оборудование имеет смысл приобретать, если вы сами планируете предоставлять виртуальные серверы в аренду. Во всех остальных случаях можно обойтись виртуальным сервером. Но есть и совершенно другие причины заполучить виртуальный сервер, например тестирование. Пусть у нас есть работающий сервер и нам нужно создать его виртуальную копию для всевозможных экспериментов. Такую копию можно отдать, предположим, разработчикам ПО, чтобы не вносить непроверенные изменения в production-сервер. Тогда разработчики могут JL Сервер на Windows и Linux работать с виртуальным сервером, а вы будете спокойны, что ничего не сло­ мается. Как только все будет готово, можно будет перенести на productionсервер измененные файлы. Покупать ради такого VDS не очень оправдано, поскольку он стоит денег. Ведь можно уже на имеющемся сервере развер­ нуть виртуальную машину и предоставить к ней доступ разработчикам. При этом для вас данная операция будет совершенно бесплатной, если не считать времени, затраченного на ее реализацию. Ну, почти бесплатной - если буде­ те использовать бесплатное решение. В большинстве случаев выбор гипервизора зависит от бюджета и от личных предпочтений администратора. Например, администратору нравится VM­ ware, но нет средств на его покупку, поэтому придется использовать бесплат­ ное решение. Или уже используется какой-то гипервизор, тогда есть смысл использовать именно его, а не разворачивать еще один. В последних двух главах книги будет показано, как создать виртуальный сервер на базе ком­ мерческого решения - VMware, а также бесплатного гипервизора - KVM. 36 Глава 1. Управление серверами на базе Windows Server Сервер на Windows и Linux Microsoft Windows Server 2019 — мощная, универсальная и полнофункцио­ нальная серверная операционная система от Microsoft. В Microsoft уделяют много внимания обратной совместимости, поэтому работа с предыдущими версиями (Windows Server 2012 и Windows Server 2016) во многом схожа, в том числе в управлении, настройке средств безопасности, сети и средств хранения данных. Поэтому большую часть информации о Windows Server 2019 можно применить и к более старым выпускам этой ОС. 1.1. Знакомство с Windows Server 2019 Существуют различные выпуски Windows Server 2019. Все они поддержива­ ют многоядерные процессоры. Важно указать, что компьютер может иметь всего лишь один процессор (будем называть его физическим процессором), но у него может быть восемь ядер (так называемые логические процессоры). Если говорить о версии 2019, то существует три выпуска - Datacenter, Standard и Essentials. Вкратце особенности этих выпусков приведены в табл. 1.1. Таблица 1.1. Особенности выпусков Windows Server Выпуск Подходит для Компоненты Модель лицензирования Datacenter Среды частного и общедо­ ступного облака с высоким уровнем виртуализации Полный набор функци­ ональных возможностей Windows Server с неогра­ ниченным количеством виртуальных экземпляров Ядро + CAL1 Client Access License - клиентская лицензия, позволяющая клиентам подключаться к серверу и использовать его сервисы 38 Глава I. Управление серверами на базе Windows Server Standard Essentials Среды низкой плотности или невиртуализированной среды Среды малого бизнеса для серверов, имеющих не бо­ лее двух процессоров Полный набор функци­ ональных возможностей Windows Server с двумя виртуальными экземпля­ рами Ядро + CAL Упрощенный интерфейс, предварительно настроен­ ное взаимодействие с об­ лачными службами, один виртуальный экземпляр основных компонентов Сервер (ограниче­ ние в 25 пользова­ телей) \ Примечание. Если вас интересуют подробности и вы желаете больше различных цифр и опций, посетите следующую страничку: https://docs.microsoft.com/en-us/windows-server/get-started-19/editions- | comparison-19. Windows Server 2019 — строго 64-разрядная операционная система (по сути, она является полностью 64-разрядной, начиная с версии 2012). Поскольку различные выпуски Windows Server поддерживают те же самые базовые компоненты и обладают одинаковыми инструментами управления, допу­ скается использовать методы, обсуждаемые в этой книге, независимо от ис­ пользуемого выпуска Windows Server. После установки ОС Windows Server нужно настроить систему в соответ­ ствии с ее ролью в сети: • Серверы — обычно являются частью рабочей группы или домена; • Рабочие группы — группы компьютеров, в которых каждый компьютер управляется отдельно; • Домены — группы компьютеров, которыми можно управлять коллектив­ но посредством контроллеров доменов, в роли которых может выступать система на базе Windows Server. Такие системы управляют доступом к сети, базе данных каталога и общим ресурсам. 39 При установке Windows Server 2019 на новую систему можно настроить как обычный сервер (например, веб-сервер или файловый сервер), так и контроллер домена или автономный сервер. Важно понимать разницу меж­ ду этими типами серверов. Рядовые серверы являются частью домена, но не хранят информацию каталога. Контроллеры домена отличаются от рядовых серверов тем, что хранят информацию каталога, производят аутентифика­ цию и предоставляют сервисы для домена. Автономные серверы не явля­ ются частью домена. Поскольку у автономных серверов собственные базы данных, они требуют отдельной аутентификации. 1.2.1. Работа с Active Directory Операционная система Windows Server поддерживает модель репли­ кации с несколькими хозяевами (multi-master), подразумевающую, что любой контроллер домена может обрабатывать изменения ката­ лога, затем эти изменения могут реплицироваться между остальными контроллерами домена автоматически. llllllllllllllllllltlllllllllllllHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIM Windows Server распространяет всю информацию каталога, называемую хранилищем данных. Внутри хранилища находятся наборы объектов, пред­ ставляющих учетные записи пользователя, группы, компьютера, а также ин­ формация об общих ресурсах — серверах, файлах и принтерах. Домены, использующие Active Directory, также называются ActiveDirectoryдоменами. Хотя эти домены могут работать только на одном контроллере до­ мена, обычно в сети есть несколько контроллеров. В этом случае если один контроллер будет недоступен, остальные контроллеры домена смогут обра­ батывать аутентификации и выполнять другие критические задачи. Функциональность каталога обеспечивается целым семейством связанных служб: ф 40 Глава I. Управление серверами на базе Windows Server • Службы сертификатов Active Directory (Active Directory Certificate Services, AD CS). Предоставляют функциональность, необходимую для выпуска и освобождения цифровых сертификатов пользователей, кли­ ентских компьютеров и серверов. Служба AD CS использует центры сертификации (СА), ответственные за подтверждение идентификации пользователей и компьютеров, а также за выпуск сертификатов под­ тверждения этих идентификационных данных. Домены обладают корпо­ ративными корневыми сертификационными центрами, которые являются сертификационными серверами на вершине сертификационной иерархии для доменов и пользуются наибольшим доверием в корпоративной сети, и подчиненные центры сертификации, которые являются членами суще­ ствующей корпоративной сертификационной иерархии. Рабочие группы имеют свои собственные автономные корневые сертификационные цен­ тры, являющиеся сертификационными серверами на вершине некорпора­ тивной сертификационной иерархии, а также автономные подчиненные центры сертификации, которые являются членами существующей некор­ поративной сертификационной иерархии. • Доменные службы Active Directory (Active Directory Domain Services, AD DS). Предоставляют службы каталогов, необходимые для установки домена, включая хранилище данных, в котором содержится информация об объектах в сети. Служба AD DS использует контроллеры домена для управления доступом к сетевым ресурсам. Как только пользователи ау­ тентифицировали себя при входе в домен, их учетные записи получают доступ к ресурсам сети. Для краткости данную службу в этой книге мы будем называть просто Active Directory (AD), поскольку она является ос­ новной для работы каталога. • Службы федерации Active Directory (Active Directory Federation Services, AD FS). Дополняют функции аутентификации и управления доступом AD DS, расширяя их до WWW. Как только служба AD FS настроена, пользователи могут использовать свои цифровые идентифи­ кационные данные для аутентификации в Web. Доступ к внутренним веб­ приложениям осуществляется с помощью веб-браузера. • Службы Active Directory облегченного доступа к каталогам (Active Directory Lightweight Directory Services, AD LDS). Предоставляют хра­ нилище данных для каталогозависимых приложений, которые не требу­ ют AD DS и которые не должны размещаться на контроллерах доменов. AD LDS не выполняется как служба операционной системы и может ис­ пользоваться как в домене, так и в рабочей группе. Каждое приложение, stWindows которое работает на сервере, может иметь свое хранилище данных, реа­ лизованное с помощью AD LDS. • Службы управления правами Active Directory (Active Directory Right Management Services, AD RMS). Предоставляют уровень защиты ин­ формации организации, которая может распространяться за пределы кор­ поративной сети, например, сообщения e-mail, документы, веб-страницы интрасети — все это может быть защищено от несанкционированного доступа. Служба AD RMS использует: сервис сертификации для выпу­ ска правильных сертификатов учетных записей, позволяющих иденти­ фицировать пользователей, группы и сервисы; службу лицензирования, предоставляющую авторизированным пользователям, группам и серви­ сам доступ к защищенной информации; сервис протоколирования, чтобы контролировать и обслуживать службу управления правами. Как только доверие будет установлено, пользователи с правильным сертификатом учетной записи смогут получить права на доступ к информации, опреде­ ляющие, какие пользователи могут получить доступ к информации и что они смогут с ней сделать. 1.2.2. Контроллеры RODC Контроллер домена только для чтения — дополнительный кон­ троллер домена, содержащий копию хранилища данных AD, доступ­ ную только для чтения. RODC идеально подходит для филиалов, где не гарантирована физическая безопасность контроллера домена. За исключением паролей, на RODC хранятся те же объекты и атрибуты, что и на обычном (перезаписываемом) контроллере домена. Эти объекты и атри­ буты реплицированы в RODC посредством однонаправленной репликации от перезаписываемого контроллера домена, который работает как партнер по репликации. Поскольку RODC по умолчанию не хранят пароли или учетные данные, кроме их собственной учетной записи компьютера и цели Kerberos (Kerbe­ ros Target), RODC получает учетные записи пользователя и компьютера от перезаписываемого контроллера домена, который работает под управлением Windows Server. Если это разрешено политикой репликации пароля, задан- 42 Глава I. Управление серверами на базе Windows Server ной на перезаписываемом контроллере домена, RODC получает и кэширует учетные записи по мере необходимости, пока эти учетные данные не изме­ нятся. Поскольку на RODC хранится только подмножество учетных запи­ сей, это существенно сужает число учетных данных, которые могут быть скомпрометированы. 1.2.3. Перезапускаемые доменные службы IIIITI III IIIIIIIMII III lltllllll 111111111!1Н IIHHIIIIIIIIII HUH Hill IIIIIIIIIII III IItIII IIIItIII III 1НИ1Н1Г1IIIIIIHIIIIIILL Перезапускаемые доменные службы Active Directory (Restartable Active Directory Domain Services) — функция, позволяющая админи­ стратору запускать и останавливать AD DS. illlll|llllllllllllllllllllll(ll!lllllll!lltlllllllllltllllfl|l|llllllllllltlllllllllllllllllllll|lllllilllllllllllllllllllllllllllllllll|||||||lllllllll||llllll|llllllll|||||lll||l||l|ll|||||lllll|lllllll||lllllllllllllllllll|lllllllllllllllllllllllllllllllllllllllllllllillllllllllllllllllllllllll1IIIIIIIIIIIIHIIIIIIIIIIIllinilllll|ll|lllllllll^ Служба Доменные службы Active Directory (Active Directory Domain Services) позволяет легко остановить и перезапустить AD DS, как и любую другую службу, которая локально запущена на сервере. Пока служба До­ менные службы Active Directory остановлена, можно выполнить задачи по техническому обслуживанию, которые могут потребовать перезапуска сервера, например оффлайн-дефрагментацию базы данных Active Directory, применение обновлений операционной системы или инициирование авто­ ритетного восстановления. При остановленной службе Доменные службы Active Directory на сервере другие контроллеры домена могут обрабатывать задачи аутентификации и входа в систему. Кэшируемые учетные данные, смарт-карты и биометрические методы входа в систему все еще будут рабо­ тать. Если же в сети нет других доступных контроллеров домена, ни один из этих методов входа в систему работать не будет. Однако все еще можно будет войти в систему сервера, используя режим восстановления служб каталогов (Directory Services Restore Mode). Контроллеры домена под управлением Windows Server могут находиться в одном из трех состояний: 1. Active Directory запущен — в этом состоянии контроллер домена может предоставлять услуги аутентификации и входа в систему для домена. 2. Active Directory остановлен — Active Directory остановлен, и контрол­ лер домена больше не может предоставлять услуги аутентификации и входа для домена. В этом режиме сохраняются некоторые характеристи- Сервер на Windows и Linux ки рядового сервера и контроллера домена в режиме DSRM (Directory Services Restore Mode). Как рядовой сервер, этот сервер может присоеди­ няться к домену. Пользователи могут входить интерактивно с помощью кэшированных учетных данных, смарт-карт и биометрических методов входа. Пользователи также могут входить по сети с использованием дру­ гих контроллеров домена. База данных Active Directory на локальном кон­ троллере домена находится в отключенном состоянии. Это означает, что можно выполнять оффлайн-операции AD DS, например дефрагментацию базы данных, обновление приложений без необходимости перезагрузки контроллера домена. 3. Режим восстановления службы каталогов (Directory Services Restore Mode) — Active Directory в режиме восстановления. В этом режиме раз­ решается проводить авторитетное или неавторитетное восстановление базы данных Active Directory. 1.3. Инструменты управления Windows Server Для администрирования системы Windows Server доступно много инстру­ ментов. Большинство утилит входит в состав следующих инструментов: • Панель управления — содержит набор утилит для управления конфигу­ рацией системы. Организовать список этих утилит можно разными спо­ собами. • Графические инструменты администратора — ключевые утилиты для управления сетевыми компьютерами и их ресурсами. Получить доступ к этим утилитам можно через программную группу Администрирование. • Административные мастера — утилиты, предназначенные для автома­ тизации ключевых задач администратора. Доступ к большинству таких утилит можно получить с помощью Диспетчера серверов — основной административной консоли Windows Server. • Утилиты командной строки — многие утилиты администратора можно запустить из командной строки. 44 Глава 1. Управление серверами на базе Windows Server 1.4. Консоль ’’Диспетчер серверов” Для осуществления базовых задач системного администрирования исполь­ зуется консоль Диспетчер серверов (Server Manager). Эта консоль (далее просто — Диспетчер серверов) позволяет произвести общую настройку и задать параметры конфигурации локального сервера, управлять ролями, компонентами на любом удаленно управляемом сервере предприятия. Задачи, которые можно выполнить с помощью Диспетчера серверов, тако­ вы: • Добавление серверов для удаленного управления; • Инициирование удаленных соединений к серверам; • Настройка локального сервера; • Управление установленными ролями и компонентами; • Управление томами и общими ресурсами; • Настройка объединения сетевых адаптеров NIC (Network Interface Card); • Просмотр событий и предупреждений; • Перезапуск серверов. Рис. 1.1. Диспетчер серверов 45 Сервер на W indims и I шп\ ^ЯЦМН^ИЦ |J^ Whiduv;, Диспетчер серверов идеально подходит для общего администрирования, но также вам пригодится утилита для более точной настройки параметров и свойств окружения. Речь идет об утилите Система2, которая используется для: • Изменения имени компьютера; • Настройки производительности приложений, виртуальной памяти и па­ раметров реестра; • Управления переменными окружения пользователя и системы; • Настройки запуска системы и параметров восстановления. 1.5. Роли серверов, службы ролей и компоненты Подготовка серверов происходит путем установки и настройки следующих компонентов. • Роли серверов - это связанный набор программных компонентов, позво­ ляющих серверу осуществить определенные функции для пользователей и других компьютеров сети. Компьютер может быть выделен для какойто определенной роли, например для роли Доменные службы Active Directory - тогда он будет контроллером домена. При желании один и тот же компьютер может выполнять несколько ролей. • Службы ролей (или ролевые службы) - это программные компоненты, обеспечивающие функциональность роли сервера. У каждой роли есть одна или несколько ролевых служб. Некоторые роли, например DNSсервер или DHCP-сервер, выполняют одну функцию, и добавление роли устанавливает эту функцию. Администратор может выбрать, какие служ­ бы ролей нужно установить. • Компоненты. Это программные компоненты, предоставляющие допол­ нительную функциональность. Компоненты вроде Шифрование диска Bit Locker и Система архивации данных Windows Server устанавлива­ ются отдельно от ролей и ролевых служб. В зависимости от конфигура­ ции компьютера компоненты могут быть установлены или отсутствовать. Компоненты сервера подобны компонентам комплектации автомобилей: Как и во всех других версиях Windows, проще всего вызвать эту утилиту с помощью щелчка правой кнопкой мыши на элементе Этот компьютер в Проводнике - после этого из контекстного меню нужно выбрать команду Свойства 2 46 Глава 1. Управление серверами на базе Windows Server хочешь, чтобы летом поездки были более комфортные, покупаешь авто­ мобиль с климат-контролем; хочешь резервное копирование — устанав­ ливаешь систему архивации данных. Роли, ролевые службы и компоненты настраиваются с помощью Диспетче­ ра серверов и Консоли управления Microsoft3. Некоторые роли, службы ролей и компоненты зависят от других ролей, служб ролей и компонентов. При установке ролей, служб ролей и компонентов Диспетчер серверов запрашивает у администратора подтверждение на выполнение этого дей­ ствия. Аналогично, при попытке удалить компонент, Диспетчер серверов предупреждает администратора, что нельзя удалить этот компонент, пока не будут удалены зависимая роль, служба роли или компонент. Все автомати­ зировано, и вам не нужно помнить, от каких служб ролей зависит та или иная роль - при установке роли необходимые службы будут установлены автоматически. Поскольку добавление или удаление ролей, служб ролей и компонентов мо­ жет менять требования к аппаратным ресурсам (о системных требованиях мы еще поговорим), необходимо внимательно планировать любые измене­ ния в конфигурации и определять, как они отобразятся на общей производи­ тельности сервера. Так как обычно хочется комбинировать дополнительные роли, что увеличивает нагрузку на сервер, то придется, соответственно, оп­ тимизировать аппаратные средства. Таблица 1.2 содержит обзор основных ролей, доступных для размещения на сервере под управлением Windows Server 2019. Таблица 1.2. Основные роли и связанные ролевые службы Роль Службы сертифика­ тов Active Directory Описание Предоставляют функции, необходимые для выпуска и отзыва циф­ ровых сертификатов для пользователей, компьютеров клиентов и серверов. Службы роли: Центр сертификации, Веб-служба политик регистрации сертификатов, Веб-служба регистрации сертификатов, Сетевой ответчик, Служба регистрации в центре сертификации че­ рез Интернет, Служба регистрации на сетевых устройствах Microsoft Management Console, ММС Сервер на Windows и Linux Доменные службы Active Directory Предоставляют функционал, необходимый для хранения информа­ ции о пользователях, группах, компьютерах и других объектах сети. Установка данной роли превращает компьютер в контроллер доме­ на. Контроллеры домена Active Directory предоставляют пользовате­ лям и компьютерам сети доступ к запрашиваемым ресурсам сети Службы федерации Active Directory Производят аутентификацию и управление доступом для AD DS путем расширения этих функций на WWW. Сервисы и подсервисы роли: Службы федерации, Поддерживающий утверждение агент AD FS 1.1, Агент Windows на основе токенов, Прокси-агент службы федерации Службы Active Directory облег­ ченного доступа к каталогам Предоставляют хранилище данных для каталогозависимых при­ ложений, которые не требуют AD DS и размещения на контроллере домена. Не требует дополнительных служб ролей Службы управле­ ния правами Active Directory Предоставляют контролируемый доступ к защищенным сообще­ ниям e-mail, документам, страницам корпоративной сети и другим типам файлов. Требуются службы: Сервер управления правами Active Directory и Поддержка федерации удостоверений Сервер приложений Используется для размещения приложений, построенных с помо­ щью ASP.NET, Enterprise Services и Microsoft .NET Framework 4.5. Требует более 10 служб ролей DHCP-сервер Используется для централизованного управления IP-адресацией. DHCP-серверы динамически назначают IP-адреса и другие TCP/IPпараметры другим компьютерам сети. Не требует дополнительных ролевых служб DNS-сервер Реализует функционал DNS-сервера. Не требует дополнительных ролевых служб Факс-сервер Используется для централизованного контроля над отправкой и приемом факсов на предприятии. Факс-сервер может работать как шлюз для факсов и позволяет управлять факс-ресурсами: заданиями и отчетами, факс-устройствами на сервере или в сети. Не требует дополнительных служб Глава Г Управление серверами на базе Windows Server Файловые службы и службы храни­ лища Используется для управления файлами и хранилищем. Некоторые роли требуют дополнительных типов файловых служб. Службы роли: BranchCache для сетевых файлов, Дедупликация данных, Рас­ пределенная файловая система, Пространства имен распределенной файловой системы, Репликация DFS, Файловый сервер, Диспетчер ресурсов файлового сервера, Конечный iSCSI-сервер, Загрузка цели iSCSI и Storage Services Hyper-V Используется для создания и управления виртуальными машинами и эмулирования физических компьютеров. На виртуальные машины можно установить операционные системы, отличные от операцион­ ной системы сервера Службы политики сети и доступа Предоставляют службы для управления политиками сетевого досту­ па. Ролевые сервисы: Сервер политики сети, Протокол авторизации учетных данных узла и Центр регистрации работоспособности Службы печати и документов Предоставляют службы для управления сетевыми принтерами, сете­ выми сканерами и соответствующими драйверами. Ролевые серви­ сы: Сервер печати, Печать через Интернет, Сервер распределенного сканирования, Служба LPD Удаленный доступ Обеспечивает сервисы управления маршрутизацией и удаленным доступом к сетям. Используйте эту роль, если необходимо настро­ ить виртуальную частную сеть (VPN), трансляцию сетевых адресов (NAT) и другие сервисы маршрутизации. Службы: DirectAccess и VPN (RAS), Маршрутизация Службы удаленных рабочих столов Предоставляют службы, позволяющие пользователям запускать Windows-приложения, установленные на удаленном сервере. При запуске пользователями сервиса на терминальном сервере весь про­ цесс выполнения происходит на сервере, по сети передаются только данные от приложения Volume Activation Services Предоставляет службы для автоматического управления лицензион­ ными ключами томов и активацией ключей томов Веб-сервер (IIS) Используется для размещения веб-сайтов и веб-приложений. Веб­ сайты, размещаемые на веб-сервере, могут иметь статический и/или динамический контент. Содержит около 10 служб ролей Сервер на Windows и Linux Служба развертыва­ ния Windows Предоставляет сервисы для размещения Windows-компьютеров на предприятии. Службы ролей: Сервер развертывания, Транспортный сервер Службы Windows Server Предоставляет сервисы для Microsoft Update, разрешая предостав­ лять обновления для определенных серверов Таблица 1.3 содержит обзор основных компонентов операционной системы Windows Server 2019. Обратите внимание, что далеко не все компоненты устанавливаются по умолчанию. Наоборот, по умолчанию не устанавлива­ ются даже очень важные компоненты, такие как система архивации данных. Таблица 1.3. Основные компоненты Windows Server 2019 Компонент Описание Фоновая интеллектуальная служба передачи (BITS) Обеспечивает фоновую интеллектуальную передачу. После установки этого компонента сервер может действовать как BITS-сервер, который способен принимать загрузки файлов от клиентов. Дополнительные подкомпоненты: Расширение сервера IIS и Облегченный сервер загрузки Шифрование диска BitLocker Обеспечивает основанную на аппаратных средствах защиту данных с помощью шифрования всего тома. Компьютеры, оснащенные модулем Trusted Platform Module (TPM), могут использовать Шифрование диска BitLocker в режиме Startup Key или TPM-Only Сетевая разблокировка BitLocker Позволяет автоматически разблокировать BitLockerзащищенные диски операционной системы, если присоеди­ ненный к домену компьютер будет перезапущен. Обычно при перезагрузке компьютера, если его жесткий диск за­ шифрован с помощью BitLocker, нужно вводить пароль. Этот компонент позволяет автоматически разблокировать такие компьютеры без ввода пароля или каких-либо других действий со стороны оператора. Однако данный компонент работает только в домене AD и вне домена его использова­ ние невозможно BranchCache Предоставляет функциональность, необходимую для клиен­ тов и серверов BranchCache 50 Глава 1. Управление серверами на базе Windows Server Клиент для NFS Обеспечивает функциональность для доступа к файлам, на­ ходящимся на NFS-серверах под управлением UNIX Мост для центра обработки данных Поддерживает набор IEEE-стандартов для улучшения ло­ кальных Ethernet-сетей путем обеспечения гарантированной аппаратной пропускной способности Enhanced Storage Обеспечивает поддержку устройств Enhanced Storage Отказоустойчивая класте­ ризация Позволяет нескольким серверам работать вместе для обе­ спечения высокого уровня доступности ролей серверов. Можно кластеризировать многие типы серверов, в том чис­ ле файловый сервер и сервер печати. Серверы баз данных и сообщений — отличные кандидаты для кластеризации Управление групповой по­ литикой Устанавливает консоль управления групповой политикой для централизованного администрирования групповой по­ литики Служба рукописного ввода Обеспечивает использование ручки или стилуса, а также распознавание рукописного ввода Сервер управления IPадресами Централизованно управляет пространством IP-адресов и соответствующими серверами инфраструктуры Клиент печати через Ин­ тернет Позволяет клиентам использовать протокол HTTP для печа­ ти на принтерах, подключенных к веб-серверам печати Служба iSNS-сервера Предоставляет управление и функции сервера для iSCSIустройств. Позволяет серверу обрабатывать запросы регистрации и дерегистрации, также запросы от iSCSIустройств Монитор LPR-порта Позволяет выполнять печать на принтерах, подключенных к UNIX-компьютерам Media Foundation Обеспечивает необходимую функциональность для Windows Media Foundation 51 Сервер на Windows и Linux Очередь сообщений Функции управления и сервер-функции для распределенной очереди сообщений. Как правило, доступна группа допол­ нительных подкомпонентов Multipath I/O (МРЮ) Обеспечивает функциональность, необходимую для исполь­ зования путей данных к устройствам хранения данных .NET Framework 4.5 Предоставляет API для разработки приложений. Допол­ нительные подкомпоненты: .NET Framework 4.5, ASP.NET 4.5 и Windows Communication Foundation (WCF) Activation Components Балансировка сетевой нагрузки (NLB) Распределяет трафик между несколькими серверами по про­ токолу TCP/IP. Идеальными кандидатами для балансировки нагрузки являются веб-серверы Протокол однорангового разрешения имен (PNRP) Предоставляет функциональность Link-Local Multicast Name Resolution (LLMNR), обеспечивая тем самым одно­ ранговое разрешение имен QWave (Quality Windows Audio Video Experience) Сетевая платформа для передачи аудио/видео по домашним сетям Пакет администриро­ вания диспетчера RASподключений Фреймворк для создания профилей соединений к удален­ ным серверам и сетям Удаленный помощник Разрешает удаленному пользователю подключаться к серве­ ру для обеспечения или получения удаленной помощи Удаленное разностное сжатие Вычисляет и передает различия между двумя объектами данных и минимизирует объем передаваемых данных Средства удаленного ад­ министрирования сервера (RSAT) Устанавливает средства управления ролями и компонента­ ми, которые могут использоваться для удаленного админи­ стрирования других Windows-серверов RPC через НТТР-прокси Предоставляет прокси для передачи RPC-сообщений от клиентских приложений к серверам через НТТР-прокси. RPC по HTTP — это альтернатива доступа клиента к серве­ ру через частную сеть Глава I. Управление серверами на базе Windows Server 4 Простые службы TCP/IP Устанавливает дополнительные TCP/IP-сервисы, в том чис­ ле Character Generator, Daytime, Discard, Echo и Quote of the Day SMTP-сервер После установки этого компонента сервер может работать как базовый SMTP-сервер4. В некоторых случаях этого до­ статочно, в некоторых нужно будет установить полноцен­ ный почтовый сервер вроде Microsoft Exchange Server Служба SNMP Протокол SNMP используется для централизованного управления сетью, если в сети есть SNMP-совместимые устройства. Также протокол SNMP применяется для мони­ торинга сети с помощью программного обеспечения мони­ торинга сети Подсистема для UNIXприложений Предоставляет возможность запуска UNIX-приложений. Дополнительные инструменты управления доступны для загрузки с сайта Microsoft (не рекомендуется использовать) Клиент Telnet Используется для подключения к удаленному Telnet-серверу и запуска приложений на этом сервере Сервер Telnet Представляет функциональность Telnet-сервера. Это уста­ ревшая технология, и протокол Telnet не обеспечивает шиф­ рования передаваемых данных, что делает использование небезопасным Пользовательские интер­ фейсы и инфраструктура Позволяет контролировать параметры пользовательского интерфейса (Графические средства управления и инфра­ структура, Возможности рабочего стола, Графическая обо­ лочка сервера) Биометрическая платформа Windows Поддерживает устройства сканирования отпечатков пальцев Внутренняя база данных Windows Реляционное хранилище данных, которое может быть ис­ пользовано только функциями и ролями Windows Server, например AD RMS, UDDI Services, WSUS, Windows SharePoint Services и WSRM Windows PowerShell Разрешает управлять функциями Windows PowerShellсервера. Windows PowerShell 3.0 и PowerShell ISE устанав­ ливаются по умолчанию SMTP — сетевой протокол для контроля, передачи и маршрутизации сообщений e-mail Сервер на Windows и Linux Windows PowerShell Web Access Превращает сервер в веб-шлюз для удаленного управления серверами с помощью веб-браузера Служба активации процес­ сов Windows Обеспечивает поддержку распределенных веб-приложений, которые используют HTTP- и не-НТТР-протоколы Стандартизированное управление хранилищами Windows Позволяет обнаруживать запоминающие устройства, управ­ лять ними и контролировать их работу. Предоставляет клас­ сы для WMI и Windows PowerShell Система архивации данных Windows Server Используется для резервного копирования и восстановле­ ния операционной системы и любых данных, хранящихся на сервере Диспетчер системных ре­ сурсов Windows (WSRM) Позволяет управлять использованием ресурсов (не рекомен­ дуется) Фильтр Windows TIFF IFilter Используется для распознавания текста в файлах, соответ­ ствующих стандарту TIFF 6.0 Расширение IIS WinRM Позволяет серверу принимать запросы от клиента, исполь­ зуя протокол WS-Management WINS-сервер Сервис разрешения имен, который сопоставляет имена ком­ пьютеров их IP-адресам. Установка этого компонента пре­ вращает компьютер в WINS-сервер Служба беспроводной ло­ кальной сети Позволяет серверу использовать беспроводную сеть Поддержка WoW64 Поддержка WoW64, необходимая для полной установки сервера. Удаление этого компонента превращает полную установку сервера в установку основных компонентов Средство просмотра XPS Программа для просмотра XPS-документов 54 Глава 1. У правление серверами па базе Windows Server 1.6. Установка Windows Server Казалось бы, что можно рассказать об установке Windows Server? Ведь в большинстве случаев вам не придется ее устанавливать: • Если вы устроились в организацию с уже существующей инфраструкту­ рой, Windows Server уже установлена. • Если вы покупаете новый сервер, то, как правило, он уже будет постав­ ляться с предустановленной ОС. • Арендуемый виртуальный сервер также уже поставляется с предустанов­ ленной ОС. Конечно, есть и частные случаи. Первый - покупка сервера без операцион­ ной системы. Такие серверы тоже продаются для экономии - вы покупаете "железо" без "математики", а затем сами всю эту "математику" будете уста­ навливать. Также возможно придется устанавливать Windows Server и в вир­ туальную машину - не все облачные провайдеры предоставляют серверы с установленной операционной системой. 1.6.1. Системные требования В большинстве случаев то, что называется на данный момент "сервером", способно выполнять Windows Server, которая отличается вполне неболь­ шими по современным меркам системными требованиями. Но у вас могут возникнуть задачи, когда вам необходимо знать системные требования (например, при заказе виртуального сервера). Если речь идет об экономии, тогда нужно выбирать Windows Server 2019 Essentials (далее мы поговорим об этом выпуске), который отличается минимальными системными требо­ ваниями: • Процессор: » . Производительность зависит не только от частоты процессора, но и от количества ядер и размера кэша, учитывайте это при конфигуриро­ вании сервера - восьмиядерная машина с меньшей рабочей частотой будет работать быстрее, чем 4-ядерная с более высокой частотой. 55 Сервер на Windows и Linux • • • » Минимальные требования к рабочей частоте - 1.4 ГГц, 64-бит. » Совместимость с набором команд х64. » Поддержка NX и DEP. » Поддержка CMPXCHG16b, LAHF/SAHF и PrefetchW. » Поддержка Second Level Address Translation (EPT или NPT). ^-^^ Оперативная память: » 512 Мб для Essentials. » 2 Гб для Standard. » ЕСС (Error Correcting Code) или аналогичная технология. Контроллеры дискового пространства: » Компьютеры, на которых работает Windows Server 2016/2019, должны включать адаптер с памятью, совместимый со спецификацией архи­ тектуры PCI Express. » Интерфейс РАТА не поддерживается. » Windows Server 2016/2019 не работает с ATA/PATA/IDE/EIDE для за­ грузки, подкачки и как с накопителями данных. » Предположительные минимальные требования к свободному про­ странству на жестком диске для системных разделов - 32 Гб. Сетевой адаптер: » Адаптер Ethernet с пропускной способностью от 1 Гбит/с. » Совместимость со спецификациями архитектуры PCI Express. » Поддержка Pre-boot Execution Environment (PXE). » Сетевой адаптер с поддержкой отладки сети (KDNet) может быть по­ лезен, но не является минимальным необходимым условием. • DVD-привод (для установки с диска). • Система на базе UEFI 2.3.1с и прошивка, поддерживающая безопасную загрузку. • Графическое устройство и монитор с разрешением Super VGA (1024 х 768) и выше (необязательно). 56 Глава 1. Управление серверами на базе Windows Server • Клавиатура и мышь (необязательно). • Подключение к Интернету (необязательно). Примечание. Начиная с Windows Server 2016, жесткие диски РАТА I (IDE, EIDE) больше не поддерживаются - ни для загрузки, ни для хра| нения данных. Если вам нужно работать с такими дисками, обратите внимание на Windows Server 2012, где еще есть поддержка РАТА. 1.6.2. Минимальный выпуск Essentials Как уже отмечалось ранее, для версии Windows Server 2019 доступны три выпуска - Standard, Datacenter и Essentials. Выбор выпуска осуществляется при установке операционной системы. Windows Server 2019 Essentials - это серверная операционная система для малого бизнеса с количеством пользователей до 25 и устройств до 50. Ранее он назывался Small Business Server (SBS) или Microsoft BackOffice Server. Редакция Essentials ограничена в возможностях и вариантах лицензирования и, соответственно, самая дешевая среди семейства. По словам Microsoft, из­ дание Essentials ’’идеально подходит для малых предприятий с количеством пользователей до 25 и 50 устройствами”. В Essentials отсутствуют ’’расши­ ренные” функции, такие как поддержка службы миграции хранилищ (SMS), которые доступны в выпусках Standard и Datacenter. Essentials также ограни­ чена во многих аспектах. ОС Windows Server 2019 Essentials поставляется по единой лицензии, кото­ рая включает лицензии клиентского доступа CAL (до 25 пользователей / 50 устройств), имеет более низкую цену и возможность запуска традиционных приложений и других функций, таких как совместная работа с файлами и печатью. Windows Server 2019 Essentials имеет те же лицензии и технические характе­ ристики, что и ее предшественница Windows Server 2016 Essentials. Если она 57 С ервер на Windows и !{ИИИИИЦ # w < настроена как контроллер домена, то должна быть единственным контрол­ лером домена, выполнять все роли мастера FSMO и не может иметь двусто­ ронние отношения с другими доменами Active Directory. Другими словами, вы можете сэкономить и выбрать выпуск Essentials - он сможет работать как контроллер домена. Windows Server 2019 Essentials включает в себя новую аппаратную под­ держку и улучшения, такие как поддержка Azure Active Directory через AAD Connect, новые опции Windows Server 2019 Standard, службы миграции па­ мяти и другие. Windows Server 2019 Essentials не поддерживает резервное копирование и удаленный доступ к сети. 1.6.3. Выпуски Standard и Datacenter Основными продуктами семейства Windows Server 2019 являются Windows Server 2019 Standard и Datacenter. IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIUIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII Windows Server 2019 Datacenter является наиболее полным вы* пуском семейства продуктов Microsoft Server и, вместе с тем, самым дорогим, по оценкам Microsoft. tlllllllllllllllllllllllllllllllllllllllHIIIHIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIII..... IIIIIIIIIIHIIIIII .... . Это отражает увеличение цены по сравнению с MSRP аналогичного сервера версии 2016 года. Выпуск Datacenter будет примерно в 6 раз дороже выпуска Standard. А вот выпуск Essentials будет примерно в два раза дешевле, чем Standard. Лицензия Datacenter предоставляет самый широкий набор функций и воз­ можностей с наименьшим количеством лицензионных ограничений среди всех выпусков Server. Например, все серверы, которые виртуализированы на сервере Datacenter, лицензируются автоматически их хостом Datacenter, учитывая, что хост-сервер и гостевые серверы имеют одинаковую версию. Такие гости также могут быть автоматически активированы с помощью ак­ тивации виртуальной машины (AVMA). В Windows Server 2016 была представлена защищенная виртуальная машина - новая функция, доступная только в выпуске Datacenter. В отличие от этого, Host Guardian Service был доступен только в выпуске Datacenter Windows Глава I. Управление серверами на базе Windows Server Server 2016, хотя в выпуске Windows Server 2019 служба Host Guardian ста­ ла доступна также и в Standard-версии. Хотя такое и происходит время от времени, это не правило, а скорее исключение. В итоге: новые возможно­ сти представлены в новых выпусках Windows Server, в то время как другие функции отключены. Некоторые функции являются эксклюзивными для вы­ пуска Datacenter, тогда как иногда такие функции становятся доступными для более дешевых вариантов лицензирования. I Windows Server 2019 Standard и Datacenter - это, по сути, один и тот же | продукт, отличающийся друг от друга по функциям только благодаря лицензированию. Таким образом, выпуски Datacenter и Standard могут быть преобразованы друг в друга после установки. Это можно сделать после активации, введя ключ активации, который затем определяет и при необходимости преобра­ зует Windows в соответствующую редакцию. Вкратце: Windows Server 2019 Datacenter может быть активирован в Standard и наоборот. 1.6.4. Server Core Выпуски Datacenter и Standard могут быть установлены в режимах Server Core и Desktop Experience (GUI). Если выбрана установка Server Core, будет установлен пользовательский ин­ терфейс с ограниченным окружением рабочего стола для локального управ­ ления сервером. Этот минимальный интерфейс содержит: • Экран входа в систему, который служит для входа в систему и выхода из нее; • Редактор Блокнот (notepad.exe) для редактирования файлов; • Редактор реестра (regedit.exe) для управления реестром; • Диспетчер задач (taskmgr.exe) для управления задачами и запуска новых задач; • Командную строку (cmd.exe) для администрирования; Сервер на Windows и Linux • Оболочку PowerShell для администрирования; • Утилиту Проверка подписи файла (sigverif.exe) для проверки цифровых подписей системных файлов; • Утилиту Сведения о системе (msinfo32.exe) для получения системной информации; • Установщик Windows (msiexec.exe); • Панель Дата и время (timedata.cpl) для просмотра/установки даты, вре­ мени и часового пояса; • Панель Язык и региональные стандарты (intl.cpl) для просмотра/изменения региональных и языковых опций, в том числе форматов и рас­ кладки клавиатуры; • Утилиту конфигурации сервера (sconfig), предоставляющую текстовое меню для управления настройкой сервера. При запуске сервера с основными серверными компонентами для входа в систему можно использовать экран входа в систему, точно такой же есть на сервере с полной установкой системы. В домене действуют стандартные ограничения входа на серверы, и на сервер может войти только пользователь с надлежащими правами и полномочиями входа. На серверах, не являющих­ ся контроллерами домена, и серверах в рабочих группах можно использовать команды NET USER (для добавления пользователей) и NET LOCALGROUP для добавления пользователей в локальную группу для локального входа в систему. После входа в сервер на базе установки с основными серверными компо­ нентами будет доступно ограниченное окружение (нет рабочего стола, есть только окно командной строки) с командной строкой администратора. Ко­ мандная строка используется для администрирования сервера. Если окно ко­ мандной строки было нечаянно закрыто, открыть новое можно с помощью следующих шагов: 1. Нажмите комбинацию клавиш <Ctrl>+<Shift>+<Esc> для запуска Дис­ петчера задач. 2. Нажмите Подробнее, чтобы отобразить меню Диспетчера задач. 3. В меню Файл выберите команду Запустить новую задачу. 4. В окне Создание задачи введите cmd и нажмите кнопку ОК. Глава 1. Управление серверами па базе Windows Server Этот же способ можно использовать для запуска дополнительной команд­ ной строки. Хотя можно запустить Блокнот и редактор реестра с помощью команд notepad.exe и regedit.exe вместо cmd, есть возможность запустить Блокнот и редактор реестра прямо из командной строки командами notepad, ехе и regedit.exe. Л IlllllltllllllllllllllllllllHlllllllllllllllll I I Hill III II I I II III II I II I II И I III I II lllllllllllllllllllllll I II I I II I II II II I I I I I I I I lilt II II Illi I llllllllllllllllllll Утилита конфигурации сервера (sconfig) предоставляет текстовое меню, позволяющее легко выполнить следующие операции (рис. 1.2): IIIIIIIIIIIIIIIIIIIIII I II II II II I II II I II II II I I И II I I I II II I IIIIIIIII I Illi IIIIIII I IIIIII I I III I I I I I I II II I I I I II I I II II I II II I II III I llllllllllll • Настроить членство в домене или рабочей группе; • Добавить локальную учетную запись администратора; • Настроить функции удаленного управления; • Настроить параметры Windows Update; • Загрузить и установить обновления Windows; • Включить или отключить удаленный рабочий стол; • Настроить сетевые параметры TCP/IP; • Настроить дату и время; • Выйти из системы, перезагрузить компьютер и завершить работу компьютера. Рис. 1.2. Утилита sconfig Сервер на Windows и Linux После входа в систему отобразить экран входа в любой момент можно с по­ мощью нажатия комбинации клавиш <Ctrl>+<Alt>+<Delete>. В установке сервера с основными серверными компонентами экран входа такой же, что и в полной установке, пользователь может заблокировать компьютер, пере­ ключить пользователей, выйти из системы, сменить пароль или запустить диспетчер задач. В командной строке разрешается использовать все стан­ дартные команды и утилиты командной строки, предназначенные для управ­ ления сервером. Однако команды, утилиты и программы будут доступны, только если они есть в установке сервера с основными серверными компо­ нентами. Таблица 1.4. содержит список полезных команд, которые вам наверняка при­ годятся для администрирования Essentials-выпуска. Таблица 1.4. Список полезных команд Команда Описание Cscript Scregedit.wsf Настраивает операционную систему. Исполь­ зуйте параметр /cli для вывода доступных областей настройки Diskraid.exe Настраивает программный RAID-массив ipconfig /all Выводит информацию о настройке IP-адреса компьютера Netdom RenameComputer Устанавливает имя сервера Netdom Join Подключает сервер к домену Netsh Предоставляет контекст для управления кон­ фигурацией сетевых компонентов. Введите netsh interface ipv4 для настройки параметров IPv4 или netsh interface ipv6 для настройки IPv6 Ocsetup.exe Добавляет или удаляет роли, ролевые серви­ сы и компоненты ~ » ф Глава 1. Управление серверами па базе Windows Server Pnputil.exe Устанавливает или обновляет драйверы устройств Sc query type^driver Выводит установленные драйверы устройств Slmgr -ato Средство Windows Software Licensing Management, используется для активации операционной системы. Запускает Cscript slmgr. vbs -ato Slmgr -ipk Устанавливает или заменяет ключ продукта. Запускает Cscript slmgr.vbs -ipk Systeminfo Выводит подробности конфигурации систе­ мы Wecutil.exe Создает и управляет подписками на перена­ правляемые события Wevtutil.exe Позволяет просматривать системные собы­ тия Winrm quickconfig Настраивает сервер на прием запросов WSManagement от других компьютеров. Запу­ скает Cscript winrm.vbs quickconfig Wmic datafile where name=”FullFilePath" get version Выводит версию файла Wmic nicconfig index=9 call enabledhcp Настраивает компьютер на использование динамического IP-адреса (вместо статическо­ го IP) Wmic nicconfig index=9 call enablestatic("IPAddress"), ("SubnetMask") Изменяет IP-адрес компьютера и сетевую маску Сервер на Windows и Linux Wmic nicconfig index=9 call setgateways("GatewaylPAddr ess”) Устанавливает или изменяет шлюз по умол­ чанию Wmic product get name / value Выводит список установленных MSIприложений Wmic product where name="Name" call uninstall Удаляет MSI-приложение Wmic qfe list Выводит список обновлений и исправлений Wusa.exe PatchName.msu / quiet Применяет обновление/исправление к опера­ ционной системе Также вам пригодятся базовые команды командной оболочки, представлен­ ные в табл. 1.5. В обычном выпуске толку от них мало, поскольку там есть полноценный интерфейс пользователя, а вот в Essentials они могут приго­ диться. Таблица 1.5. Базовые команды командной оболочки Windows Команда Описание ARP Отображает и модифицирует таблицы преобразования IPадресов в физические адреса с использованием протокола ARP (Address Resolution Protocol) ASSOC Отображает и модифицирует привязку расширений файлов ATTRIB Показывает и изменяет атрибуты файлов CALL Вызывает один сценарий из другого CD/CHDIR Используется для отображения имени текущего каталога и изменения текущего каталога Глава I. Управление серверами на базе Windows Server CHKDSK Проверяет диск на наличие ошибок и отображает отчет CHKNTFS Показывает статус томов. Позволяет добавить/удалить том из списка автоматической проверки, которая осуществляет­ ся при запуске операционной системы CHOICE Создает список, из которого пользователи могут выбрать один из нескольких вариантов (используется в пакетном сценарии) CLS Очищает окно консоли CMD Запускает новый экземпляр окна командной строки Windows COLOR Устанавливает цвет окна командной оболочки Windows CONVERT Конвертирует FAT-тома в NTFS COPY Копирует или комбинирует файлы DATE Отображает/устанавливает системную дату DEL Удаляет один или больше файлов DIR Отображает список файлов и подкаталогов заданного ката­ лога DISKPART Вызывает командный интерпретатор, позволяющий управ­ лять дисками, разделами и томами, используя отдельную командную строку и внутренние команды DISKPART DISM Управляет образами Windows DOSKEY Используется для создания макросов, состоящих из команд Windows 65 ECHO Отображает сообщения, а также переключает режим ото­ бражения команд на экране ENDLOCAL Завершение локализации окружения в пакетном файле ERASE Стирает один или более файлов EXIT Выход из командного интерпретатора EXPAND Разархивирует файлы FIND Производит поиск текстовой строки в файлах FOR Запускает указанную команду для каждого файла из набора файлов FORMAT Форматирует дискету или жесткий диск FTP Передает файлы FTYPE Отображает/изменяет типы файлов, используемые в ассоци­ ации расширений GOTO Передает управление содержащей метку строке командного файла HOSTNAME Выводит имя компьютера IF Осуществляет проверку условия в пакетных программах IPCONFIG Отображает конфигурацию TCP/IP LABEL Создает, изменяет или удаляет информацию о томе диска Глава I Управление серверами на базе W indows Server MD/MKDIR Создает каталог или подкаталог MORE Поэкранно выводит данные MOUNTVOL Управляет точкой монтирования тома MOVE Перемещает файлы из одного каталога в другой на одном и том же диске NBTSTAT Отображает статус NetBIOS NET ACCOUNTS Управляет учетной записью пользователя и политиками паролей NET COMPUTER Добавляет/удаляет компьютер в домен или из домена NET CONFIG SERVER Отображает/модифицирует конфигурацию службы Сервер NET CONFIG WORKSTATION Отображает/модифицирует конфигурацию службы Рабочая станция NET CONTINUE Возобновляет работу приостановленной службы NET FILE Отображает открытые файлы на сервере или управляет ими NET GROUP Показывает глобальные группы или управляет ими NET LOCALGROUP Показывает локальные группы или управляет ими NET NAME Отображает/модифицирует получателей для службы со­ общений NET PAUSE Приостанавливает службу 67 Сервер на Windows и лил NET PRINT Отображает/модифицирует задания печати и управляет оче­ редью печати NET SEND Отправляет сообщение с использованием службы сообще­ ний NET SESSION Показывает или завершает установленные сеансы NET SHARE Показывает общие принтеры и каталоги или управляет ими NET START Запускает сетевые сервисы или отображает запущенные сервисы NET STATISTICS Отображает статистику рабочей станции и сервера NET STOP Останавливает сервисы NET TIME Отображает/синхронизирует сетевое время NET USE Отображает удаленные соединения или управляет ими NET USER Управляет локальными учетными записями пользователей NET VIEW Отображает сетевые ресурсы или компьютеры NETSH Открывает отдельную командную оболочку, позволяющую управлять конфигурацией разных сетевых сервисов на ло­ кальном и удаленном компьютерах NETSTAT Отображает статус сетевых соединений PATH Отображает или устанавливает путь поиска исполняемых файлов в текущем командном окне PATHPING Трассирует маршрут и предоставляет информацию о потере пакетов ...................... ф Глава 1. Управление серверами на базе Windows Server PAUSE Приостанавливает обработку сценария и ждет ввод с клави­ атуры PING Определяет, установлено ли сетевое соединение POPD Переходит в каталог, сохраненный командой PUSHD PRINT Выводит текстовый файл PROMPT Изменяет приглашение командной строки Windows PUSHD Сохраняет текущий каталог, а затем переходит в указанный каталог RD/RMDIR Удаляет каталог RECOVER Восстанавливает информацию на поврежденном диске REG ADD Добавляет новый подключ или запись в реестр REG COMPARE Сравнивает подключи или записи реестра REG COPY Копирует запись реестра на локальной или удаленной ма­ шине REG DELETE Удаляет подключ или записи из реестра REG QUERY Отображает элементы ключа реестра и имена подключей (если они есть) REG RESTORE Записывает сохраненные подключи и записи обратно в ре­ естр REG SAVE Сохраняет копию указанных подключей, элементов и их значений в файл Сервер на Windows и Linux 88-Windows REGSVR32 Регистрирует и отменяет регистрацию DLL-библиотеки REM Добавляет комментарии в сценарии REN Переименовывает файл ROUTE Управляет таблицами сетевой маршрутизации SET Отображает или модифицирует переменные окружения Windows. Также используется для вычисления числовых выражений в командной строке SETLOCAL Начинает локализацию окружения в пакетном файле SFC Сканирует и проверяет защищенные системой файлы SHIFT Смещает подставляемые параметры для пакетного файла START Запускает новое окно командной строки и запускает в нем указанную программу или команду SUBST Сопоставляет букву диска указанному пути TIME Отображает или устанавливает системное время TITLE Устанавливает заголовок окна командной строки TRACERT Отображает путь между компьютерами TYPE Показывает содержимое текстового файла VER Отображает версию Windows ^|ава 1 Управление серверами на базе Windows Server VERIFY Включает или отключает режим проверки правильности записи файлов на диск VOL Отображает метку тома диска и серийный номер Чтобы конвертировать полную установку в установку с минимальным гра­ фическим интерфейсом, нужно удалить компонент Графическая оболочка сервера. Хотя можно использовать мастер удаления ролей и компонентов, данную операцию можно выполнить с помощью команды PowerShell:^ uninstall-windowsfeature server-gui-shell -restart Чтобы конвертировать установку с минимальным интерфейсом в полную установку, нужно добавить компонент Графическая оболочка сервера: install—windowsfeature server-gui-shell -restart Эта команда устанавливает компонент Графическая оболочка сервера и перезапускает сервер для завершения установки. Если также нужно доба­ вить компонент Возможности рабочего стола, используйте эту команду вместо предыдущей:^ install-windowsfeature server-gui-shell, desktop-experience -restart 1.6.5. Процесс установки Windows Server Перед началом установки необходимо решить, нужно ли проверить и деф­ рагментировать диски и разделы компьютера перед началом установки. При желании использовать средства программы установки для создания и фор­ матирования разделов необходимо загрузить компьютер с дистрибутивного диска. Если загрузка произведена иным способом, эти средства не будут доступны и управлять разделами можно будет только из командной строки, используя утилиту DiskPart. 71 Сервер на Windows и Linux Для осуществления чистой установки Windows Server 2019 выполните сле­ дующие действия: 1. Загрузитесь с дистрибутивного диска. Для этого нужно вставить дистрибутивный диск в DVD-привод (при желании можно подготовить загрузочный USB-диск) и выполнить перезагрузку системы. Если про­ цесс загрузки с дистрибутивного диска не начался, значит нужно изме­ нить параметры BIOS SETUP - выбрать загрузку с дистрибутивного диска. 2. При запуске компьютера с использованием дистрибутивного носителя выберите язык, форматы времени и валюты, а также раскладку клавиа­ туры (рис. 1.3). Когда будете готовы начать установку, нажмите кнопку Далее. 3. Нажмите кнопку Установить для начала установки. 4. В корпоративных выпусках ОС Windows Server 2019 не нужно вводить ключ продукта. Однако в OEM-версиях следует ввести ключ продукта, как только инсталлятор попросит это сделать (рис. 1.4). 5. На странице Выберите операционную систему, которую вы хотите установить выберите нужный вам выпуск операционной системы (рис. 1.5). В зависимости от инсталляционного диска в этом же окне произво­ дится выбор варианта Server Core/Desktop Experience. 6. Лицензионное соглашение Windows Server 2019 отличается от предыду­ щих версий Windows. Прочитайте его, отметьте флажок Я принимаю ус­ ловия лицензии и нажмите кнопку Далее. 7. На странице Выберите тип установки выберите тип установки, которую необходимо осуществить. Поскольку выполняется чистая установка, для замены существующей инсталляции или для настройки нового компью­ тера нажмите кнопку Выборочная: только установка Windows (для опытных пользователей). Если компьютер загружен с дистрибутивного диска, кнопка Обновление (Upgrade) будет недоступна. 8. На странице Где вы хотите установить Windows? выберите диск или раздел диска (рис. 1.6), на который необходимо установить операцион­ ную систему. Существуют две версии этой страницы, поэтому нужно иметь в виду следующее: » 72 Когда у компьютера есть один жесткий диск с одним разделом на весь диск или одной областью нераспределенного пространства, указыва­ ют весь диск, и можно нажать кнопку Далее для выбора этого диска в качестве назначения установки. Инсталлятор автоматически создаст новые разделы при необходимости. » Когда у компьютера имеется несколько дисков или один диск с несколькими разделами, нужно либо выбрать существующий раздел для установки операционной системы, либо создать новый раздел. » Нельзя выбрать диск, использующий файловую систему FAT/FAT32. Также нельзя отформатировать диск в этой файловой системе. Если раздел, на который планируется установить Windows Server, отформа­ тирован как FAT32, нужно конвертировать его в NTFS, нажав кнопку Форматировать (в этом случае все данные будут потеряны) или с по­ мощью специальных утилит, выполняющих преобразование файло­ вых систем. 9. Дождитесь завершения установки (рис. 1.7). Компьютер будет перезагру­ жен автоматически. 10.После перезагрузки вам будет предложено установить пароль для локаль­ ной учетной записи администратора (рис. 1.8). После этого вы увидите окно входа в систему: нажмите Ctrl + Alt + Del и, используя имя Админи­ стратор и только что указанный пароль, войдите в систему. Рис. 1.3. Выбор языка и других параметров локализации Рис. 1.4. Ввод лицензионного ключа Рис. 1.5. Выбор выпуска Hindoos Server Глава 1. Управление серверами на базе Windows Server 0 ^ Уст»имк» Window: Где вы хотите установить Windows? Файл Общий ₽«i. Г&Т Н***и,^,,Ч|^^^т*9*^Аи*'»в ^Обноеиг» ^ крутит» 1 — -^ ^.^ЛИЛ 60ЙГ6 ^£<ф<И*1>ф4*«1Ъ С|ободне Тип 60.0 ГБ ^-Ошп. ^ху^ициг» 2 Рис, 1.6, Где вы хотите установить Windows Рис, 1.7, Идет установка ОС Рис. 1.8. Задание пароля администратора 1.6.6. Дополнительные возможности при установке Во время установки на странице Где вы хотите установить Windows? мож­ но нажать комбинацию клавиш Shift + F10 для доступа к командной строке. Данную командную строку можно использовать для ввода различных ко­ манд, в частности для ввода команды diskpart, используемой для более гиб­ кого управления дисками. Далее будут рассмотрены несколько сценариев, которые могут произойти при установке Windows Server. Принудительное удаление раздела диска во время установки Во время установки, возможно, не получится использовать желаемый раздел диска. Причиной может быть неверное значение байта смещения раздела жесткого диска. Чтобы исправить проблему, необходимо удалить разделы (что повлечет полную потерю данных) и создать необходимые разделы с ис­ пользованием расширенных параметров программы установки на странице Где вы хотите установить Windows?. 76 Глава I. Управление серверами на базе Windows Server Удалить нераспознанные разделы диска можно с помощью следующих дей­ ствий: 1. Нажмите комбинацию клавиш <Shift>+<F10>, чтобы открыть окно ко­ мандной строки. 2. В окне командной строки введите diskpart для запуска утилиты работы с разделами диска. 3. Для просмотра перечня дисков компьютера введите list disk. 4. Выберите диск командой select disk номер диска. где номердиска — это номер диска, с которым планируется работать. 5. Для удаления всех разделов на выбранном диске введите clean. 6. Введите команду exit для выхода из DiskPart. 7. Введите команду exit для завершения работы в окне командной строки. Создание, форматирование, удаление и расширение разделов диска При осуществлении чистой установки (при условии, что компьютер загру­ жен с дистрибутивного носителя) на странице Где вы хотите установить Windows? появится кнопка Настройка диска, нажав которую можно полу­ чить набор дополнительных возможностей: • Создать — создает раздел; после этого нужно отформатировать раздел; • Форматировать — форматирует новый раздел так, чтобы он был досту­ пен для установки операционной системы; • Удалить — удаляет раздел, который больше не нужен; • Расширить — расширяет раздел, увеличивая его размер. Загрузка драйверов устройств при установке В процедуре установки существует страница Где вы хотите установить Windows?, на которой присутствует кнопка Загрузить. Ее можно нажать для L 77 на \\ imhms и &v&oWJ загрузки драйвера жесткого диска или контроллера жесткого диска. Обычно эту возможность нужно использовать, когда диск, на который планируется установка операционной системы, не отображается в списке, поскольку не­ доступен его драйвер. Для загрузки драйвера диска выполните следующие действия: 1. Во время установки на странице Где вы хотите установить Windows? нажмите кнопку Загрузить. 2. Когда вас попросят вставить инсталляционный носитель в DVD-дисковод или подключить флешку (USB-диск), сделайте это и нажмите кнопку ОК. Инсталлятор произведет поиск драйверов устройств на всех сменных но­ сителях. » Если инсталлятор найдет несколько драйверов, выберите драйвер, ко­ торый нужно установить, и нажмите кнопку Далее. » Если инсталлятор не найдет драйвер устройства, нажмите кнопку Об­ зор для появления окна выбора папки, выберите папку с драйвером и нажмите кнопку ОК, а затем кнопку Далее. Для повторного сканирования сменных носителей на предмет наличия драй­ веров нажмите кнопку Обновить. Если драйвер найти не удалось, нажмите кнопку со стрелкой назад для возврата на предыдущую страницу инсталля­ тора. 1.7. Управление ролями, службами ролей и компонентами Для управления ролями, ролевыми службами и компонентами используется консоль Диспетчер серверов. Диспетчер серверов применяется не только для установки/удаления ролей, ролевых служб и компонентов, но и для про­ смотра конфигурации сервера и статуса этих программных компонентов. 1.7.1. Обзор диспетчера серверов Диспетчер серверов — центральная консоль для осуществления начальной настройки и настройки ролей и компонентов. Данная консоль позволяет быстро настроить не только новый сервер, но и окружение управления. 78 Imot^ I ЛЗВЗ 1. Управление серверами на базе Windows Server Примечание. Обычно Windows Server 2019 автоматически запускает Диспетчер серверов при входе в систему, и получить доступ к Дис­ петчеру серверов можно через рабочий стол. Если не нужно запускать консоль при каждом входе в систему, выберите меню Управление, далее — Свойства диспетчера серверов. В окне Свойства диспетчера серверов установите флажок Не запускать диспетчер серверов авто­ матически при входе в систему и нажмите кнопку ОК. Откройте Диспетчер серверов или посмотрите на рис. 1.1. Вид по умол­ чанию для Диспетчера серверов — Панель мониторинга. Здесь находятся ссылки для быстрого добавления ролей и функций на локальные и удален­ ные серверы, добавления серверов для управления ими, а также создания групп серверов. В меню Управление находятся следующие команды. • Добавить роли и компоненты — запускает мастер добавления ролей и компонентов, позволяющий установить роли, ролевые службы и компо­ ненты на сервер. • Добавление серверов — открывает диалоговое окно Добавить серве­ ры, используемое для добавления серверов, которые будут доступны для управления. Список всех добавленных серверов отображается на пане­ ли Все серверы. Нажмите и удерживайте пальцем или щелкните правой кнопкой мыши на имени сервера на панели Серверы раздела Все сер­ веры для отображения списка команд управления, в том числе команды перезагрузки/завершения работы, управления компьютером и т. д. • Создание группы серверов — открывает одноименное диалоговое окно, использующееся для добавления серверов в группы, что упрощает управ­ ление ими. Диспетчер серверов автоматически создает группы серверов на основании ролей. Например, контроллеры домена перечислены в группе AD DS. Быстро найти информацию о любом контроллере домена можно с помощью выбора соответствующего узла. На левой панели Диспетчера серверов находятся команды для доступа к Панели мониторинга, локального сервера, всех серверов, доступных для управления, и групп серверов. Выбрав пункт Локальный сервер (рис. 1.10), можно управлять базовой конфигурацией локального сервера. 79 Сервер на Windows и Linux Рис. 1.9. Меню ^Управление” диспетчера серверов Рис. 1.10. Управление свойствами локального сервера Информация о локальном сервере распределена по нескольким панелям: • СВОЙСТВА — показывает свойства компьютера, домена, конфигурации сети, часового пояса и т. д. Каждое свойство активно — по нему можно щелкнуть, чтобы вызвать соответствующий интерфейс управления. • СОБЫТИЯ — общая информация об ошибках и предупреждениях, взя­ тая из журналов сервера. Нажмите или щелкните по событию, чтобы по­ лучить больше информации о нем. Глава 1. Управление серверами на базе Windows Server • СЛУЖБЫ — выводит список служб, запущенных на сервере (по имени, статусу и типу запуска). Для изменения статуса службы используйте кон­ текстное меню. • АНАЛИЗАТОР СООТВЕТСТВИЯ РЕКОМЕНДАЦИЯМ — позволя­ ет запустить анализатор соответствия рекомендациям на сервере и про­ смотреть результат. Для начала сканирования нажмите список-меню Задачи, а потом выберите команду Начать проверку ВРА. • ПРОИЗВОДИТЕЛЬНОСТЬ — позволяет настроить и просмотреть ста­ тус предупреждений производительности относительно использования центрального процессора и памяти. • РОЛИ И КОМПОНЕНТЫ — выводит список ролей и компонентов в порядке их установки на сервер. Для удаления роли или компонента щел­ кните правой кнопкой мыши (или нажмите и удерживайте палец) и вы­ берите команду Удалить роль или компонент. Панель СВОЙСТВА позволяет произвести начальную настройку сервера. Для быстрой настройки доступны следующие свойства: • Имя компьютера/Рабочая группа — отображает имя компьютера и домена. Щелкните по соответствующей ссылке, чтобы отобразить окно Свойства системы с активной вкладкой Имя компьютера. Затем мож­ но изменить имя компьютера и имя домена, нажав кнопку Изменить. После чего введите имя компьютера и домена и нажмите кнопку ОК. По умолчанию серверам назначаются случайным образом сгенерированные имена, и они настраиваются как часть рабочей группы WORKGROUP. • Ethernet — показывает конфигурацию TCP/IP для проводных Ethernetсоединений. Щелкните по соответствующей ссылке, чтобы открыть кон­ соль Сетевые подключения. Для настройки соединения дважды щелкни­ те на нем, а затем нажмите Свойства для открытия одноименного окна. По умолчанию серверы настраиваются для использования динамической адресации для IPv4 и IPv6. Консоль Сетевые подключения можно также вызвать из Центра управления сетями и общим доступом, выбрав задачу Изменение параметров адаптера. • Конфигурация усиленной безопасности Internet Explorer — показыва­ ет статус расширенной безопасности Internet Explorer (IE ESC). Щелкни­ те по соответствующей ссылке для включения или отключения IE ESC. Сервер на Windows и Linux Данная функция может быть включена/выключена для пользователей, ад­ министраторов либо для тех и других одновременно. IE ESC — средство защиты, которое уменьшает восприимчивость сервера к потенциальным атакам, повышая стандартные уровни безопасности в зонах безопасности Internet Explorer и изменяя настройки этого браузера по умолчанию. По умолчанию функциональность IE ESC включена для администраторов и для пользователей. • Объединение сетевых карт — показывает статус и конфигурацию объединения сетевых карт. Щелчок по соответствующей ссылке позво­ лит добавить/удалить объединенные сетевые интерфейсы и изменить их настройки. • Код продукта — показывает идентификатор продукта Windows Server. Щелкните по соответствующей ссылке для ввода кода продукта и актива­ ции операционной системы через Интернет. • Удаленный рабочий стол — щелкните по соответствующей ссылке, что­ бы отобразить окно Свойства системы с активной вкладкой Удаленный доступ. Для настройки удаленного рабочего стола установите необходи­ мые параметры и нажмите кнопку ОК. По умолчанию удаленные соеди­ нения к серверу запрещены. • Удаленное администрирование — показывает, включено ли для этого сервера удаленное администрирование. Щелкните по соответствующей ссылке для включения или выключения удаленного администрирования. • Часовой пояс — показывает текущий часовой пояс для сервера. Щел­ кните по соответствующей ссылке для отображения окна Дата и время. Далее нажмите кнопку Изменить часовой пояс, выберите нужный часо­ вой пояс и дважды нажмите кнопку ОК. • Брандмауэр Windows — показывает статус брандмауэра Windows. Если брандмауэр активен, это свойство отображает имя активного профиля и статус брандмауэра. Щелкните по соответствующей ссылке для отобра­ жения окна утилиты Брандмауэр Windows. • Центр обновления Windows — показывает текущий статус Центра об­ новления Windows. Щелчок (или нажатие) по соответствующей ссылке позволяет вызвать утилиту Центр обновления Windows, которую можно использовать для автоматического обновления (если обновление отклю­ чено) или проверить наличие обновлений (если обновление включено). Аналогично, данную утилиту можно вызвать через Панель управления. ' S2 ^ Глава I. Управление серверами па базе Windows Server • Последние установленные обновления — показывает, когда было уста­ новлено последнее обновление ПО Windows Server. Щелчок по дате последней установки позволяет просмотреть, какие именно обновления были установлены. • Последняя проверка наличия обновлений — когда была произведена последняя проверка наличия обновлений Windows Server. • Антивирусная программа "Защитник Windows" — показывает состо­ яние антивирусной защиты, а щелчок по значению этого поля позволяет включить/выключить антивирусную защиту. 1.7.2. Удаленное управление серверами Диспетчер серверов и другие консоли управления Microsoft (Microsoft Management Consoles, ММС) могут использоваться для администрирования удаленных компьютеров, входящих как в состав I домена, так и в состав рабочей группы. Возможно подключение к серверам, работающим под управлением полной установки, установки с минимальным графическим интерфейсом пользова­ теля и установки Server Core. На компьютере, который будет использоваться для удаленного управления другими компьютерами, должна быть установ­ лена как минимум ОС Windows 8 или Windows Server 2012, а также Средства удаленного администрирования сервера. В Windows Server 2012/2016/2019 Средства удаленного администрирования сервера могут быть установлены в виде компонента с помощью мастера до­ бавления ролей и компонентов (см. далее). По умолчанию удаленное управление включено для серверов под управле­ нием Windows Server 2012/2016/2019 для двух типов приложений и команд: 1. Приложения и команды, которые используют для управления удаленный доступ WinRM и Windows PowerShell; 2. Приложения и команды, которые для удаленного управления исполь­ зуют WMI (Windows Management Instrumentation) и DCOM (Distributed Component Object Model). 83 Сервер pa Windows и Linux Данные типы приложений и команд разрешены для удаленного управления, поскольку для них настроены исключения в правилах брандмауэра Windows, который включен по умолчанию в Windows Server. В брандмауэре Windows есть исключения для разрешенных приложений, использующих удаленное управление, включая следующие средства: • Windows Management Instrumentation; • Windows Remote Management; • Windows Remote Management (в режиме совместимости). В дополнительных параметрах брандмауэра Windows имеются правила для входящих соединений, которые соответствуют стандартным разрешенным приложениям. Для управления компьютером с помощью Диспетчера серверов пользователь должен быть членом группы Администраторы. Для удаленных соединений вам нужно войти в систему с использованием встроенной учетной записи Администратор или настроить ключ реестра LocalAccountTokenFilterPolicy для разрешения удаленного доступа с вашего компьютера. Для установки этого ключа используется следующая команда, которую нужно ввести в ко­ мандной строке с привилегиями администратора: <\ reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f Используя Диспетчер серверов, можно подключиться к удаленным серве­ рам и управлять ими при условии, что сервер добавлен в список для управ­ ления. Для добавления серверов в Диспетчер серверов выполните следую­ щие действия: 1. Откройте Диспетчер серверов. В левой панели выберите пункт Все сер­ веры для просмотра всех добавленных для управления серверов. Если необходимого сервера нет в списке, в меню Управление выберите ко­ манду Добавление серверов. Откроется одноименное диалоговое окно. 2. В окне Добавление серверов есть две панели: Глава I. Управление серверами на базе Windows Server » Active Directory (выбрана по умолчанию) — позволяет ввести корот­ кое или полное имя удаленного сервера, работающего под управлени­ ем Windows Server. Введите имя сервера и нажмите кнопку Найти; » DNS — позволяет добавить серверы по имени или IP-адресу. Введите имя или IP-адрес и нажмите кнопку Поиск. 3. Дважды щелкните на найденном сервере для помещения его в список Выбрано. 4. Повторите действия 2-3 для добавления других серверов. Нажмите кноп­ ку ОК. Рис. 1.11. Все серверы В меню Управление есть две ключевые команды для работы с ролями и компонентами: 1. Добавить роли и компоненты — запускает мастер добавления ролей и компонентов, который используется для установки ролей и компонентов на сервере, добавленном для управления. 2. Удалить роли и компоненты — запускает мастер удаления ролей и ком­ понентов, используемый для деинсталляции ролей и компонентов на сер­ верах, доступных для администрирования. Сервер на Windows и Linux В ОС Windows Server 2019 можно установить роли, компоненты и виртуаль­ ные жесткие диски на запущенных серверах (без разницы — виртуальных или физических). Серверы должны быть добавлены в Диспетчер серверов и находиться в онлайн-режиме. Виртуальные жесткие диски, с которыми необходимо работать, не должны быть в онлайн-режиме, они должны быть доступны для выбора. Учитывая все это, добавить роль сервера или компонент можно с помощью следующих действий: 1. В консоли Диспетчер серверов в меню Управление выберите команду Добавить роли и компоненты. Будет запущен мастер добавления ролей и компонентов. Если мастер отобразит страницу Перед началом работы (рис. 1.12), прочитайте вступительный текст и затем нажмите кнопку Да­ лее. Можно отказаться от просмотра этой страницы при каждом запуске мастера, установив флажок Пропускать эту страницу по умолчанию перед нажатием кнопки Далее. 2. На странице Выбор типа установки по умолчанию отмечен переклю­ чатель Установка ролей или компонентов (рис. 1.13). Нажмите кнопку Далее. 3. На странице Выбор целевого сервера можно указать, где нужно устано­ вить роли и компоненты — на сервере или виртуальном жестком диске (рис. 1.14). Когда будете готовы продолжить, нажмите кнопку Далее. 1м Мастер добавления ролей и компонентов □ Перед началом работы КОНЕЧНЫЙ СЕРВЕР WN-U5O0BECWS «ип установки Выбор сервера Этот мастер поможет вам установить роли, службы ролей или компоненты. Определите, что нужно установить, на основании потребностей своей организации, таких как общий доступ к документам или размещение веб-сайта. Чтобы удалить роли, службы ролей или компоненты: Запустить мастер удаления ролей и компонентов Прежде чем вы продолжите, убедитесь, что выполнены следующие задачи: Учетная запись администратора защищена надежным паролем Настроены сетевые параметры, такие как статические IP-адреса Установлены новейшие обновления безопасности из Центра обновления Windows Если вам требуется проверить, выполнены ли какие-либо предшествующие необходимые условия, закройте мастер, выполните необходимые шаги и запустите мастер снова. Чтобы продолжить, нажмите кнопку "Далее’. О Пропускать эту страницу по умолчанию Отмена Рис. 1.12. Перед началом работы 86 5 Глава 1. Управление серверами на базе Windows Server - lb Мастер добавления ролей и компонентов Выбор сервера х КОНЕЧНЫЙ СЕРВЕ? WIN46OGSECFFJ5 Выбор типа установки Перед началом работы □ выберите тип установки Вы можете установить роли и компоненты на работающем физическом компьютере, иэ виртуальной машине или на автономном виртуальном жестком диске (VHD) ■® Установка ролей или компонентов Настройте один сервер путем добавления ролей, служб ролей и компонентов. ' Установка служб удаленных рабочих столов Установите службы ролей для инфраструктуры виртуальных рабочих столов (VD1). чтобы создать развертывание на основе виртуальных компьютеров или сеансов. 5 * Назад i * Ддлее > t1 Рис. 1.13. Выбор типа установки 1^ Мастер добавления ролей и компонентов КОНЕЧНЫЙ СЕРВЕР WIN-IGQG8ECFFJS Выбор целевого сервера Перед началом работы Выберите сервер или виртуальный жесткий диск, на котором будут установлены роли и компоненты Тип установки Выбор <л’рвг^лз ^ Выберите сервер из пула серверов . О Выберите виртуальный жесткий диск Роли сервера Компоненты На этой странице показаны серверы под управлением Windows Server 2012 или более нового выпуска Windows Server, которые были добавлены с помощью команды "Добавите серверы" в диспетчере серверов. Не выводятся автономные серверы и добавленные новые серверы, данные с которых пока полностью не получены. | < Назад Далее > ; • Утмсччмь ■ [ Отмена Рис. 1.14. Выбор сервера: Windows Server 2019 поддерживает серверы под управ­ лением Windows Server 2019, 2016 и 2012 4. На странице Выбор ролей сервера выберите одну или несколько ролей для установки. Если для установки роли требуются дополнительные ком­ поненты, будет отображено дополнительное диалоговое окно. Нажмите кнопку Добавить компоненты для добавления необходимых компонен­ тов в инсталляцию сервера. Нажмите кнопку Далее для продолжения. 87 Ж^0^0^ Сервер на Windows и Linux Если вам нужно установить компонент сервера, не обязательно выбирать какую-либо роль. Например, для установки компонента Система архи­ вации данных Windows Server на странице Выбор ролей сервера ниче­ го не выбирайте, а просто нажмите Далее, а на следующей странице уже выберите необходимый компонент. На Мастер добавления ролей и компонентов КОНЕЧНОЙ СЕРВЕР WHjGQGBECFFJS Выбор ролей сервера Выберите одну или несколько ролей для установки на этом сервере. Тип установки Описание Выбор сервера Компоненты DHCP-сервер позволяет □ DNS-сервер П Hyper-V централизованно настраивать Г] Аттестация работоспособности устройств с ними данные, предоставлять их □ Веб-сервер (HS) □ Доменные службы Active Directory клиентским компьютерам, а также управлять ими. временные if3-адреса и связанные Г1 Служба опекуна узла О Службы Active Directory облегченного доступа к Q Службы Windows Server Update Services П Службы активации корпоративных лицензий О Службы печати и документов Q Службы политики сети и доступа Q Службы развертывания Windows □ Службы сертификатов Active Directory Q Службы удаленных рабочих столов О Службы управления правами Active Directory П Службы федерации Active Directory Q Удаленный доступ г |i Файловые службы и службы хранилища (Устанс Рис. 1.15. Выбор ролей сервера 5. На странице Выбор компонентов выберите один или несколько компо­ нентов для установки (рис. 1.16). Если нужно установить дополнитель­ ные компоненты, от которых зависит устанавливаемый компонент, будет отображено соответствующее диалоговое окно. Нажмите кнопку Доба­ вить компоненты для закрытия этого окна и установки требуемых ком­ понентов на сервер. По окончании выбора компонентов нажмите кнопку Далее. 6. В случае с некоторыми ролями будут показаны дополнительные страни­ цы мастера, на которых нужно будет предоставить дополнительную ин­ формацию относительно использования и настройки роли. Также можно установить дополнительные ролевые службы как часть роли. 88 Глава I. Управление серверами на базе Windows Server Ц& Мастер добавления ролей и компонентов КОНЕЧНЫЙ СЕРВЕР WIN-IGCGBECFWS Выбор компонентов Выберите один или несколько компонентов для установки из этом сервере. Тип установки Компоненты Описание Выбор сервера Роли сервера Подтверждение Provides services to collect and archive Windows Server system data. [Л System insights О ’etnet Client □ TFTP Client -✓ Windows Defender Antivirus (Установлено) Ц Windows Identity Foundation 3.5 [■i Windows PowerShell (Установлено 3 из 5) ГП Windows TIFF (Filter Q WfNS-cepsep V KPS Viewer (Установлено) [j Балансировка сетевой нагрузки С Биометрическая платформа Windows L1 Виртуализации сети Q Внутренняя база данных Windows О Внутрипроцессное веб-ядро IIS С Качество обслуживания ввода-вывода Q Клиент для NFS С Клиент печати через Интернет [И Монитор LPR-оорта | < Назад ■ Далее > Рис. 1.16. Выбор компонентов: установка системы архивации 7. На странице Подтверждение установки компонентов щелкните по ссылке Экспорт параметров конфигурации для создания отчета уста­ новки, который можно просмотреть в Internet Explorer (рис. 1.17). ^ Мастер добавления ролей и компонентов КОНЕЧНЫЙ СЕРВЕР WIN-LGOGBECFFJS Подтверждение установки компонентов Перед началом работы Чтобы установить на выбранном сервере следующие роли, службы ролей или компоненты, нажмите кнопку ’Установить”. Тип установки Выбор сервера Рож сервера Компоненты rX.^T^I*^^.!’®₽^!WK*S^.^&^ На этой странице могут быть отображены дополнительные компоненты (например, средства администрирования), так как они были выбраны автоматически. Если вы не хотите устанавливать эти дополнительные компоненты, нажмите кнопку “Назад', чтобы снять их флажки. : Система архивации данных Windows Server Экспорт параметров конфигурации Указать альтернативный исходный путь «Назад > че установись Рис. 1.17. Подтверждение установки компонентов Отмена ’ Сервер на Windows и Linux 8. Для начала установки нажмите кнопку Установить. Если нужно, вклю­ чите параметр Автоматический перезапуск конечного сервера, если требуется. Будьте осторожны с этой опцией при установке компонента/ роли на реальный работающий сервер. Вполне вероятно, его перезапуск возможен только вне бизнес-времени - тогда можно будет не перезагру­ жать сервер сразу, а сделать это позже - вручную. 9. О завершении установки выбранных ролей и компонентов сообщит стра­ ница Ход установки (рис. 1.18). Просмотрите подробности установки и убедитесь, что все фазы инсталляции завершены успешно. Нажмите кнопку Закрыть. HU Мастер добавления ролей и компонентов - □ X КОНЕЧНЫЙ СЕРВЕР WlN-lGOGBECWS Ход установки Просмотр хода установки 0) Установка компонента «■мвмямммаа Установка выполнена на Wihl-LGOGBECFRS. Система архивации данных Windows Server ц Этот мастер можно закрыть, не прерывая выполняющиеся задачи. Наблюдайте за ходом выполнения задачи или откройте эту страницу снова, выбрав на панели команд пункт ' Уведомления', а затем ’ Сведения о задаче". Экспорт параметров конфигурации • г^Л ^“" Г w* 1 -^ч Рис. 1.18. Компонент установлен Для удаления роли сервера или компонента в меню Управление выберите команду Удалить роли и компоненты. Далее нужно использовать мастер удаления ролей и компонентов аналогично установке роли/компонента, только нужно галочку в списке роли/компонента не устанавливать, а снимать. Все предельно просто. ф Глава 2. Мониторинг процессов, сервисов и событий Сервер на Windows и Linux Администратору нужно тщательно присматривать за сетевыми системами сервера. Состояние использования системных ресурсов может измениться в любой момент и вовсе не в лучшую сторону. Службы могут перестать ра­ ботать. В файловых системах может закончиться свободное пространство. Приложения могут порождать исключительные ситуации, что приведет к системным проблемам. Неавторизованные пользователи будут пытаться по­ лучить несанкционированный доступ. Методы, рассмотренные в этой главе, помогут идентифицировать и разрешить эти и другие системные проблемы. 2.1. Управление процессами и приложениями Когда вы запускаете приложение или вводите команду в командной строке, операционная система запускает один или более процессов. Все запускае­ мые процессы называются интерактивными, поскольку пользователь вза­ имодействует с ними с помощью клавиатуры или мыши. Если приложение (или программа) активно и выбрано, интерактивный процесс контролирует клавиатуру и мышь, пока пользователь не завершит программу или не вы­ берет другую. Однако процесс может работать и в фоновом режиме, такие процессы на­ зывают фоновыми. $2 Глава 2. Мониторинг процессов, сервисов и событий Фоновые процессы могут выполняться независимо от пользова­ тельского сеанса; обычно такие процессы запускает сама операцион­ ная система. Пример такого фонового процесса — задание планировщика, которое за­ пускает сама операционная система. В этом случае пользователь говорит системе, что ей нужно выполнить команду в указанное время. 2.1.1. Диспетчер задач Для управления системными процессами и приложениями используется Диспетчер задач. Есть несколько способов открыть Диспетчер задач в Windows Server 2019: • С помощью комбинации клавиш Ctrl + Shift + Esc. • С помощью щелчка правой кнопки мыши на кнопке открытия главного меню (ранее кнопка Пуск) - в появившемся меню нужно выбрать коман­ ду Диспетчер задач. • С помощью команды taskmgr (ее можно ввести в командной строке, в окне Выполнить, которое появляется при нажатии комбинации Win + R, или в любом другом средстве запуска приложений). Вкладка ’’Процессы” У диспетчера задач есть два представления: 1. Сводка — перечисляются только приложения, запущенные в интерак­ тивном режиме, что позволяет быстро выбирать такие приложения. 2. Подробный вид — расширенное предоставление, где есть дополнитель­ ные вкладки, которые можно использовать для получения информации обо всех запущенных процессах, производительности системы, подклю­ ченных пользователях и настроенных службах. Сервер на Windows и Linux Находясь в первом представлении, переключиться во второе представление можно нажатием кнопки Подробнее. Для переключения со второго пред­ ставления в первое используется кнопка Меньше. При повторном открытии диспетчера задач он будет находиться в последнем выбранном представле­ нии. Для администратора представляет интерес именно расширенное представ­ ление. В нем есть несколько вкладок (рис. 2.1), позволяющих работать с за­ пущенными процессами, производительностью системы, подключенными пользователями и настроенными службами. Вкладка Процессы, также по­ казанная на рис. 2.1, показывает общий статус процессов. Процессы группи­ руются по типу и выводятся в алфавитном порядке в пределах каждого типа. Есть три общих типа процессов: 1. Приложения — процессы, запущенные в интерактивном режиме; 2. Фоновые процессы — процессы, работающие в фоновом режиме; 3. Процессы Windows — процессы, запускаемые операционной системой. ЙР Диспетчер задач Файл — □ X Параметры Вид Процессы Производительность Пользователи Подробности Службы Л : Состояние Имя 5% 63% ЦП Память Приложения (4) > ^ Server Manager 0,6% 152,0МБ > ^ Диспетчер задач 1,2% 14,8МБ > 0 Параметры 0% 19,2МБ > п Проводник 0% 22.1МБ ВЗ Antimalware Service Executable 0% 161.2МБ ® Application Frame Host 0% El COM Surrogate 0% ® COM Surrogate 0% 3.1МБ ^ CTF-загрузчик 0% 3,7МБ Фоновые процессы (25) > > / 4,7МБ го мб Меньше Рис. 2.1. Диспетчер задач в расширенном представлении I LUM.! Moilll I 01)11111 IIpOHCCCOB. CCpBIICOB II СООЫ I IIII При просмотре списка процессов учитывайте следующее: • Многие Windows-процессы также группируются по узлу службы, под управлением которой они работают. Узлы службы могут быть такими: Локальная служба, Локальная система, Сетевая служба. В круглых скоб­ ках указывается число сгруппированных процессов. Чтобы просмотреть фактические процессы, можно развернуть узел. В меню Вид есть коман­ да Развернуть все для разворачивания всех групп процессов для более простого просмотра. • В меню Вид также есть команда Группировать по типу, определяющая, будут ли процессы группироваться по типу или выводиться просто в ал­ фавитном порядке. • Также заметьте, что можно запустить программу прямо из диспетчера за­ дач. Для этого в меню Файл выберите команду Запустить новую зада­ чу. В появившемся окне у вас будет возможность выбрать исполняемый файл программы и запустить задачу с правами администратора. • Колонка Состояние показывает, выполняется ли приложение или же остановлено. Если в этой колонке ничего нет, это означает нормальное выполнение процесса. Любое другое значение в этой колонке свиде­ тельствует о наличии какой-то проблемы, например, приложение мо­ жет «зависнуть», и администратору придется завершить соответству­ ющую ему задачу. Однако некоторые приложения могут не отвечать на запросы системы во время интенсивных вычислений. Поэтому перед завершением задачи убедитесь, что приложение действительно завис­ ло. Для завершения процесса нужно выбрать его и нажать кнопку Снять зада­ чу. Однако не нужно пытаться завершить работу Windows-процессов с по­ мощью этой кнопки. При попытке остановить Windows-процесс или груп­ пу процессов диспетчер задач отобразит предупреждение, что завершение данного процесса может привести к нестабильной работе системы и даже завершению работы. Чтобы продолжить, нужно установить флажок Не сохранять данные и завершить работу и нажать кнопку Завершить ра­ боту. 9 95 Сервер на Windows и Linux lllllllllllllllllllllllllllllllllll II II I Illi I I I II Illi Illi I Illi I I I II Illi I II II II II I I I I Illi llllll 1111 II nil lllll II I II III lllllll I II II II III III lllllllll I llllllllllllllllllllllll I Illi III lllll II II II II II II llllllllllllllll I Mini Illi III I II I lllllllinillllllll lllllllllll lllllll lllllllllllllll Примечание. Учтите, что даже администратор не может завершить некоторые системные процессы. Например, при попытке завершить процесс Antimalware Service Executable (процесс антивируса) вы полу­ чите сообщение «Отказано в доступе». Чтобы выключить временно антивирус, откройте окно Параметры, перейдите в раздел Безопас­ ность Windows, нажмите кнопку Открыть службу «Безопасность Windows», перейдите в раздел Защита от вирусов и угроз, щелкните по ссылке Управление настройками, выключите параметр Защита в режиме реального времени (рис. 2.2). Только так можно отключить антивирус Защитник Windows. Немного запутанно, но другого способа нет. Allllllllllllllllllllllillllllllllllllllllllllllllllllllllllllillllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllilllllllllllllllllillllllllillllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllillllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllll Параметры Безопасность Windows Bi пр уст Обновление и безопасность у Параметры защиты от вирусов и других угроз Просмотрите и обновите параметры защиты от вирусов и угроз для антивирусной программы 'Защитника Windows ’. Центр обновления Windows 01 Оптимизация доставки Защита в режиме реального времени Обнаруживает и останавливает установку или запуск вредоносных программ на вашем устройстве. Можно на короткое время отключить этот параметр, после чего он будет снова включен автоматически. Безопасность Windows Устранение неполадок ® Восстановление Облачная защита Активация Я Для разработчиков | © Обеспечивает улучшенную и ускоренную защиту благодаря доступу к новейшим данным о защите в облаке. Для наилучшего результата рекомендуется включить функцию автоматической отправки За Windows прэдщтаеляет параметр Рис. 2.2. Отключение процесса антивируса Другие колонки вкладки Процессы предоставляют дополнительную инфор­ мацию о выполнении процессов. Эти сведения можно использовать, чтобы определить, какие процессы потребляют больше всего системных ресурсов. По умолчанию на вкладке отображаются только столбцы ЦП и Память, но добавить дополнительные можно, щелкнув правой кнопкой мыши по лю­ бому заголовку и затем выбрав нужный столбец из появившегося меню. В дополнение к названию и состоянию, доступны следующие столбцы: Глава 2. Мони торинг процессов, сервисов и событий • ЦП — процент использования процессора текущим процессом (по всем ядрам). Значение в заголовке — общее использование процессора (по всем ядрам) всеми запущенными процессами; • Память — общий объем памяти, зарезервированный для процесса. Зна­ чение в заголовке столбца — общее использование физической памяти сервером; • Командная строка — полный путь к исполняемому файлу процесса, а также любые переданные при запуске аргументы; • ИД процесса — числовой идентификатор процесса; • Имя процесса — имя процесса или исполняемого файла процесса; • Издатель — название издателя процесса, например Microsoft Corporation; • Тип — тип процесса (приложение, фоновый процесс, Windows-процесс). Эта информация полезна, если опция Группировать по типу в меню Вид выключена. Щелчок правой кнопкой мыши по процессу отображает контекстное меню действий над ним: • Снять задачу — завешает задачу приложения; • Создать файл дампа — создает файл дампа для отладки; • Подробно — открывает страницу Подробности и отображает на ней выбранный процесс; • Открыть расположение файла — открывает папку, в которой находится исполняемый файл процесса; • Свойства — открывает окно Свойства для соответствующего исполня­ емого файла процесса. Вкладка "Подробности". Изменение приоритета процесса ^llllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllIIIlllllllllllllllllllIlliIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIH Вкладка Подробности диспетчера задач (рис. 2.3) предоставляет подробную информацию о запущенных процессах. 97 ^нН^НННННП^/tnd^ Сервер на Windows и Linux Столбцы, по умолчанию отображаемые на этой вкладке, подобны тем, ко­ торые отображаются на вкладке Процессы. Колонка Виртуализация UAC отображает состояние виртуализации UAC (User Account Control) для опре­ деленного процесса. ® Диспетчер задач Файл Параметры Дид Процессы Производительность Пользователи Подробности Службы Имя ИД а.. Состояние Имя пользователя ЦП Память (активн­ Ш AppiicatsonFrameHo... 1836 Выполняется Администратор ое 3 616 К Не разрешено Виртуализация МАС rSrscsfss.exe 380 Выполняется СИСТЕМА 00 1 384 К Не разрешено H3csrss.exe gjfctfnnon.exe 460 Выполняется 00 1 392 К Не разрешено 772 Выполняется СИСТЕМА Администратор 00 3 832 К Не разрешено ffidilho$Le«ce 3008 Выполняется СИСТЕМА 00 3 196К Не разрешено ^idsthostexe 4332 Выполняется 00 ®dwm.exe W expiorer.exe 920 1468 Выполняется Выполняется Администратор OWM-1 Администратор 00 2 128К Не разрешено 28 580 К Отключено 22 236 К Не разрешено ':*?:! fontdrvhostexe 752 Выполняется UMFD-0 00 ® fontdtvhostexe 760 Выполняется UMFD-1 00 Si isassexe 620 Выполняется СИСТЕМА 00 Ж ManagementAgentH^ msdtc.exe 2320 Выполняется СИСТЕМА 00, 1832 Выполняется NETWORK SERVICE 00 2 292 К Не разрешено Si MsMpEng.exe 2296 Выполняется СИСТЕМА 00 160 352 К Не разрешено Ж NssSrv.exe 3236 Выполняется LOCAL SERVICE 00 2 552 К Не разрешено ^ Registry 88 Выполняется СИСТЕМА 00 984 К Не разрешено ^ RuntimeBroker-exe Выполняется Выполняется Администратор 00 3 320 К Не разрешено SB Runtime8roker.exe 1840 956 Администратор 00 Не разрешено Ж Runtime8roter.exe 4372 Выполняется Администратор 00 19 728 К 2 2ООК 00 1 100 К Отключено 1 492 К Отключено 5 448 К Не разрешено 2 696 К Не разрешено Не разрешено б^у Меньше Смять задачу Рис. 2.3. Вкладка "Подробности" Вкладка Подробности интересна администратору дополнительными столб­ цами, предоставляющими много интересной информации о процессе. Если щелкнуть правой кнопкой мыши по заголовку любого столбца и выбрать команду Выбрать столбцы, можно добавить дополнительные колонки, ко­ торые пригодятся при решении системных проблем. Выбор столбцов X Выберите столбцы, которые будут отображаться в таблице. а [ □ Имя пакета 0 ИД процесса 0 Состояние 0 Имя пользователя 0 ИД сеанса 0 ИД объекта задания □ ЦП 0 Время ЦП 0 Цикл 0 Рабочий набор (память) 0 Пиковый рабочий набор (память) 0 Дельта рабочего набора (память)у □К Отмена Рис. 2.4. Дополнительные столбцы Глава 2. Мониторинг процессов, сервисов и событий Рассмотрим эти пункты чуть подробнее: • Базовый приоритет — определяет, сколько системных ресурсов будет выделено процессу. Для установки приоритета щелкните правой кнопкой мыши по процессу и выберите команду Задать приоритет. Затем выбе­ рите приоритет: Низкий, Ниже среднего, Обычный, Выше среднего, Высокий, Реального времени. Большинство процессов выполняется с обычным приоритетом. Наивысший приоритет у процессов реального времени. • Время ЦП — общее процессорное время, использованное процессом с момента его запуска. Чтобы просмотреть процессы, использующие боль­ ше всего процессорного времени, отобразите эту колонку и щелкните на ее заголовке для сортировки записей по процессорному времени. • Предотвращение выполнения данных — показывает, включена ли функциональность DEP для этого процесса. • С более высоким уровнем разрешений — показывает, выполняется ли процесс с правами администратора. • Дескрипторы — общее число дескрипторов, связанных с процессом. Используйте число дескрипторов, чтобы определить, сколько файлов открыл процесс. Некоторые процессы открывают тысячи файлов, что расходует системную память. Однако большое количество открытых де­ скрипторов не означает, что процесс нужно сразу «убить». Нет. Нужно выполнить его настройку, чтобы уменьшить количество потребляемых ресурсов. • Операций чтения, Операций записи — общее число операций диско­ вого ввода/вывода (I/O) с момента запуска проекта. Общее число опера­ ций чтения и записи говорит о том, как активно процесс использует диск. Если число операций чтения/записи растет непропорционально фактиче­ ской активности сервера, процесс может не использовать кэширование файлов или же кэширование не настроено должным образом. В идеале кэширование сокращает потребность в операциях ввода/вывода. • Ошибки страницы — ошибки страниц возникают, когда процесс запрашивает страницу в памяти, которую система не может найти в запрашиваемом месте. Если страница находится где-то в памяти, ошибка называется мягкой. Если же запрашиваемая страница находится на дис­ ке, ошибка называется жесткой. Большинство процессоров может обра- 99 ботать огромное число мягких ошибок. Жесткие ошибки вызывают су­ щественные задержки. Выгружаемый пул, невыгружаемый пул — выгружаемый пул — область системной памяти для объектов, которые могут быть записаны на диск, если они не используются. Невыгружаемый пул — область системной памяти для объектов, которые не могут быть записаны на диск. Отметьте процессы, требующие большого объема невыгружаемой памяти. Если недостаточно свободной памяти на сервере, эти процессы могут стать причиной большого количества ошибок страниц. Пиковый рабочий набор — наибольшее количество памяти, использу­ емой процессом. Разница, или дельта, между текущим использованием памяти и пиковым значением также важна. Приложения с большой дель­ той между использованием базовой памяти и пиковым рабочим набором, как например Microsoft SQL Server, нуждаются в выделении большего объема памяти при запуске — так они будут лучше работать. Платформа — платформа, для которой предназначен процесс (32- или 64-битная). 64-разрядные версии Windows могут выполнять 64- и 32-разрядные приложения, используя уровень эмуляции WoW64 (Windows on Windows 64) x86. Подсистема WoW64 изолирует 32-разрядные приложе­ ния от 64-разрядных. Это позволяет избежать проблем с файловой систе­ мой и реестром. ИД процесса — числовой идентификатор процесса. ИД сеанса — идентификатор сеанса, в котором запущен процесс. Потоки — текущее число потоков, используемых процессом. Большин­ ство серверных приложений являются многопотоковыми. Многопоточ­ ность допускает параллельное выполнение запросов процесса. Неко­ торые приложения могут динамически управлять числом параллельно выполняющихся потоков для улучшения производительности приложе­ ния. Однако слишком много потоков может фактически уменьшить про­ изводительность, поскольку операционная система должна слишком часто переключать контексты потока. Виртуализация UAC — показывает, включена ли виртуализация кон­ троля учетных записей (User Account Control, UAC). Виртуализация мо­ жет быть включена, выключена или не поддерживаться процессом. Вир­ туализация необходима для очень старых приложений, написанных для Глава 2. Мониторинг процессов, сервисов и событий Windows ХР, Windows Server 2003 и более ранних версий Windows. Ког­ да виртуализация контроля учетных записей включена, уведомления об ошибках и протоколирование ошибок, связанных с виртуализированными файлами и значениями реестра, будут записаны в виртуализированное расположение, а не в фактическое, в которое процесс пытался записать. Если виртуализация выключена или не поддерживается, при попытке за­ писать данные в защищенные папки или области реестра процесс пре­ кратит свою работу. Примечание. В списке Диспетчера задач есть специальный процесс I — Бездействие системы. Нельзя установить приоритет для этого про-1 цесса. В отличие от других процессов, для этого процесса выводится | количество свободных ресурсов (которые не используются). Так, 99% I в колонке ЦП (CPU) для бездействия системы означает, что система I практически не используется. Помните, что одно приложение может запускать несколько процессов. Эти процессы зависимы от центрального процесса. Начиная с этого главного процесса, формируется дерево процесса, состоящее из зависимых процес­ сов. Найти главный процесс приложения можно, щелкнув на нем правой кнопкой мыши на вкладке Процессы и выбрав команду Подробно. При за­ вершении приложения нужно завершить основной процесс приложения, а не зависимые процессы. Это гарантирует, что приложение будет корректно остановлено. Чтобы закрыть основной процесс приложения и все зависимые процессы, можно выполнить одно из следующих действий: • Находясь на вкладке Процессы, щелкнуть на приложении правой кноп­ кой мыши и выбрать команду Снять задачу; • Находясь на вкладке Подробности, щелкнуть правой кнопкой мыши на главном процессе приложения и выбрать команду Снять задачу; • Находясь на вкладке Подробности, щелкнуть правой кнопкой мыши на главном или зависимом процессе и выбрать команду Завершить дерево процессов. [ ни; Window s II Вкладка "Службы". Просмотр системных служб 4iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiuiiiiiiiiiim I Вкладка Службы диспетчера задач предоставляет обзор системных | служб. | Вкладка отображает имя службы, ИД процесса, описание, состояние и груп­ пу службы. У нескольких служб может быть один и тот же ИД процесса (рис. 2.5). Можно быстро отсортировать службы по их ИД процесса, щелкнув по соответствующему заголовку. Аналогично, можно отсортировать службы по их состоянию — Выполняется или Остановлено. § Диспетчер задач файл Параметры Вид Процессы Производительность Пользователи Подробности Службы Описание Состояние Группа ^AJRouter Служба маршрута... Остановле... LocalServic... 4alg Служба шлюза ур... Остановле... ИД п.„ Удостоверение п... Остановле... LocalServic.. Сведения о прия». Выполняет.» netsvcs ^AppMgmt Управление прил... Остановле... netsvcs ^AppReadiness Готовность прило... Остановле... AppReadin... ^AppVCIient Microsoft App-V Cl... Остановле... ^ AppXSvc Служба разверты». Остановле». wsappx Выполняет... LocalSyste... Остановле... AxInstSVGr... %AppiDSvc ^.Appinfo 1 WO v^AudioEndpo... 1012 Средство построе... %Audiosrv 1900 Windows Audio %AxlnstSV ^BFE Установщик Activ... 1932 LocalServic.. Служба базовой... Выполняет». LocalServic,» 4&BITS Фоновая интелле... Остановле». netsvcs ^Brokerlnfrast... 724 Служба инфрастр». Выполняет.» DcomLaunch <BTAGService Служба звукового... Остановле... LocalServic... LocalService 44 BthAvctpSvc 1076 Служба AVCTP Выполняет.» ^bthserv ^carnsvc Служба поддержк... Остановле». LocalService Служба диспетче... Остановле... appmodel ^CeptureServi.» Captureservice Остановле... LocalService (/■9 Меньше 44 Открыть службы Рис, 2.5, Просмотр системных служб Колонка Группа предоставляет дополнительную информацию о контекстах узла службы, под которым выполняется служба. Для служб, работающих с ограничениями, эти ограничения указываются в колонке Группа. Напри­ мер, если для локальной службы в колонке указано LocalServiceNoNetwork, это означает, что у службы нет доступа к сети; также может быть указано LocalServiceNetworkRestricted, т.е. у службы ограниченный доступ к сети. Некоторые службы выполняются через Svchost.exe (параметр -К}. Например, служба RemoteRegistry запускается командой svchost.exe -к regsvc. В колонке Группа для нее будет значение regsvc. 102 Глава 2. Мониторинг процессов, сервисов и событий ^Windows Если щелкнуть правой кнопкой мыши (или нажать и удерживать палец) по службе, появится контекстное меню, позволяющее выполнить следующие операции: • Запустить остановленную службу; • Остановить работающую службу; • Перейти к процессу службы на вкладку Подробности. Вкладка ’’Производительность” | Вкладка Производительность предоставляет общую информацию об использовании ЦП и памяти и отображает графики и статистику (рис. 2.6). Эта вкладка позволяет быстро получить данные об использовании систем­ ных ресурсов. — ^ Диспетчер задач файл Параметры □ £ид Процессы | Производительность ] Пользователи Подробности Службы ЦП 22% 2.71 ГГц Intel(R) Core(TM) iS-7200U CPU © 2.50GHz О Память 2,0/3,0 ГБ (67%) О Ethernet 0:0 кбит/с П 0 кбит/с 60 С*<уНД Использомание Скорости Базом m скорость: 2,71 ГГц 22% 2,71 ГГц с<’™<’ «: 1 Прошка» Паюк^ Дескрипторы Енщуальны* процессор» я^рм» лыны метима: 65 895 31844 к™ и 2 Да Н/Д Время работы 0:12:19:39 ('S’ Меньше ® Открыть монитор ресурсе» Рис. 2.6. Вкладка "Производительность" Графики на вкладке Производительность предоставляют следующую ин­ формацию: • ЦП — график использования ЦП в разрезе времени; Сервер на Windows и Linux • Память — график использования памяти в разрезе времени; • Ethernet — график использования сети в разрезе времени. Для просмотра подробной информации в области справа щелкните по свод­ ному графику на левой панели вкладки. Чтобы увидеть крупный план лю­ бого графика, дважды щелкните по нему. Повторный двойной щелчок воз­ вращает прежний режим просмотра. В меню Вид вы найдете команду Скорость обновления, которая позволяет изменять скорость обновления графика. При низкой скорости график обнов­ ляется каждые 4 секунды, 2 секунды при обычной скорости и дважды в се­ кунду при высокой скорости. Информацию с графика ЦП можно использовать для быстрого определения времени работы сервера (с момента запуска), числа физических процессо­ ров, числа логических процессоров, кэша процессора (LI, L2, L3), а также определения, включена ли аппаратная виртуализация. • Дескрипторы — показывает число используемых дескрипторов вводавывода, которые действуют как токены, позволяющие программам полу­ чать доступ к ресурсам. Пропускная способность ввода-вывода и про­ изводительность дисковой подсистемы влияют на систему больше, чем высокое число дескрипторов ввода-вывода. • Потоки — показывает число используемых потоков, поток — базовая единица выполнения в пределах процесса. • Процессы — показывает число используемых процессов. Процессы — это запущенные экземпляры исполнимых файлов программы. • Время работы — показывает, как долго система работает с последнего запуска. При выборе режима Память график Использование памяти покажет общее использование частного рабочего набора за последние 60 секунд. Гисто­ грамма Структура памяти показывает следующее: • Используется — объем памяти, используемый процессами; • Изменено — память, содержимое которой необходимо записать на диск, прежде чем использовать ее в других целях; • Зарезервировано — память, содержащая кэшированные данные и код, которые сейчас не используются; Глава 2. Мониторинг процессов, сервисов и событий • Свободно — память, которая сейчас не используется ни для каких целей. Рис, 2.7. Информация о памяти Общий объем физической памяти сервера выводится в правом верхнем углу при работе с графиком памяти. Снизу под графиком выводится следующая информация: • Используется — сколько физической памяти используется. • Доступно — показывает объем физического ОЗУ, доступный для исполь­ зования (включает память, помеченную как «зарезервировано» и «сво­ бодно»). Должно быть не менее 5% свободной физической памяти на сервере. Если доступно менее 5%, сервер пора модернизировать - или добавить память в панели управления (если речь идет о виртуальном сер­ вере), или установить модуль памяти (для физического сервера). • Выделено — показывает виртуальную память, используемую в данный момент, и общий объем виртуальной памяти. Если первое значение всего лишь на 10% меньше второго (общий объем), тогда нужно добавить фи­ зическую память и/или виртуальную память (увеличить файл подкачки). • Кэшировано — показывает объем памяти, используемой для системного кэша. • Выгружаемый пул — предоставляет информацию о некритической па­ мяти ядра, которая используется ядром ОС. Сервер на Windows и Linux • Indows Невыгружаемый пул — предоставляет информацию по критической памяти ядра, которая используется ядром ОС. При выборе режима Ethernet диспетчер задач отобразит общую информа­ цию об использовании сетевых адаптеров системы. Можно учитывать эти сведения для быстрого определения процента использования, скорости со­ единения и операционного статуса использования каждого сетевого адапте­ ра, настроенного в системе. Имя активного сетевого адаптера отображается в правом верхнем углу. Если в системе есть всего один сетевой адаптер, график показывает информацию об использовании только этого сетевого адаптера. Если у системы есть не­ сколько сетевых адаптеров, график выводит общую информацию по всем сетевым соединениям, обо всем сетевом трафике. Вкладка ’’Пользователи" Удаленные пользователи могут использовать удаленный рабочий стол для подключения к серверу. Удаленный рабочий стол позволяет администриро­ вать системы удаленно, как будто это локальные системы. Операционная система Windows Server 2019 поддерживает два активных одновременных сеанса. □ ® Диспетчер задач файл Параметры йид Процессы Производительность Пользователи Подробности Службы Состояние Пользователь * Я Администратор (20) 8% 58% ЦП ■ Память 7,1% 294,9 МБ 0% 3.5 МБ $3 COM Surrogate 0% 2,1 МБ gf СТР-загрузчик 0% 3.8 МБ ^ Runtime Broker 0% 19,3 МБ ЗГ Runtime Broker 0% 2.1МБ <«' Runtime Broker 0% 3,2 МБ & Server Manager 0% 156,3 МБ ^ Sheil infrastructure Host 0% 4,1 МБ Ж Smartscreen Защитника... 0% * Application Frame Host 6.2 МБ ^1 Usermode Font Driver Host 0% 1,5 МБ Q| VMware Tools Core Service 3.2% 15.3 МБ a Windows She!: Experience... Приостановле... ^ Диспетчер задач tF- Диспетчер окон рабочее- И Поиск ...,,„.. П лл»« XMMV..... Приостановле... »,.,— ,..»—,..:-, 0% 0 МБ 26% 16.7 МБ 13% 28.1 МБ 0% . 0 МБ ..... XI > м«. Отключить Меньше Рис. 2.8. Вкладка "Пользователи" 106 i Глава 2. Мониторинг процессов, сервисов и событий Один из способов контролировать подключения удаленного рабочего стола заключается в использовании диспетчера задач. Откройте диспетчер задач и перейдите на вкладку Пользователи (рис. 2.8). Данная вкладка показывает интерактивные сеансы пользователей (как локальные, так и удаленные). Для каждого сеанса пользователя по умолчанию выводится имя пользовате­ ля, статус, загрузка ЦП, использование памяти. Другие колонки можно до­ бавить с помощью правого щелчка мышью по заголовку и выбора нужной колонки. Доступны следующие варианты: • Код — идентификатор сессии; • Сеанс — тип сеанса. У пользователя, зарегистрировавшегося в системе локально, будет тип Console. В других случаях выводятся тип соедине­ ния и используемый протокол, например RDP-TCP для Remote Desktop Protocol (RDP) и TCP в качестве транспортного протокола; • Имя клиента — для удаленных соединений здесь выводится имя ком­ пьютера клиента; • ЦП и Память — они пригодятся при решении проблем производитель­ ности, связанных с зарегистрированными в системе пользователями. Об­ щий процент использования по всем пользователям приводится в заго­ ловке таблицы. Если щелкнуть правой кнопкой мыши на сеансе пользователя, появится кон­ текстное меню со следующими командами: • Подключить — позволяет подключиться к сеансу удаленного пользова­ теля, если он неактивен; • Отключить — позволяет отключить сеанс удаленного или локального пользователя и завершить все запущенные пользователем приложения без сохранения данных; • Выход из системы — позволяет осуществить нормальный процесс вы­ хода из системы. Приложения будут закрыты с сохранением данных так, как если бы пользователь выполнил нормальный выход из системы; • Отправить сообщение — позволяет отправить консольное сообщение зарегистрированному пользователю. по? Сервер на Windows и Linux 2.1.2. Управление службами Службы предоставляют ключевую функциональность рабочим станциям и серверам. Для управления системными службами можно использовать панель Службы в Диспетчере серверов или узел Службы в оснастке Управ­ ление компьютером. Откройте Диспетчер серверов и перейдите к панели Службы (в разделе Локальный сервер). Рис. 2.9. Панель "Службы" Панель Службы предоставляет информацию о зарегистрированных в систе­ ме службах в виде таблиц со следующими колонками: • Имя сервера — имя сервера, на котором запущена служба; • Полное имя сервера — полное доменное имя сервера, на котором за­ пущена служба; • Отображаемое имя — отображаемое имя службы, используется для луч­ шего восприятия службы; • Имя службы — внутреннее название службы; • Описание — краткое описание назначения службы; • Состояние — состояние службы (может быть Выполняется, Приостанов­ лена, Остановлена); ^ 108 ] Глава 2. Мониторинг процессов, сервисов и собы i ни • Тип запуска — тип запуска службы. Службы с автоматическим запуском загружаются при загрузке системы. Пользователи или другие службы мо­ гут запускать службы с типом запуска Вручную. Отключенные службы не могут быть запущены, пока их статус Отключена. Если какая-то из колонок у вас не отображается, щелкните на заголовке таблицы правой кнопкой мыши и выберите необходимые колонки. Щелчок правой кнопкой мыши по службе открывает контекстное меню, в котором будут команды запуска, останова, приостановки, перезапуска и возобновления работы службы. Однако в этом меню не будет привычной команды Свойства, позволяющей изменить параметры службы, например, изменить ее тип запуска. Запустите оснастку Управление компьютером, перейдите в раздел Служ­ бы и приложения, выберите узел Службы. Вы увидите привычное (если говорить о настольных версиях Windows) представление для администриро­ вания служб, см. рис. 2.10. ^ Управление компьютером Файл Действие Дид Справка $ Управление компьютер ■ • Службе» v Й Служебные програм; CaptureServIce 5Ьа93 ' 0 Планировщик зал; & Просмотр событий . службу ' ^ Общие папки > Локальные польз • ^ Производительяс Описание. Л Диспетчер устрой Служба записи ОпеСоге v g? Запоминающие устс ^ Система архивам да Управление диск» « Ц» Службы и приложен S Маршрутизация > ■4 Службы ай Управляющий зле . Действия Имя Описание :/ConsentUX_5pa93 ч'й CoreMessagi ng Й De/cePicker_5ba93 4s DevicesHow_Sba93 ^DHCP-клиент Позволяет... Manages с.. выполняется Состояние Тип запуска Вход от имени Вручную Локальная сис... Автоматиче... Отключена Локальная слу... Служб® Дололнительн... Эта польз... Позволяет... Регистрир... Выполняется Служба О... 4i Graphs csPerfSvc Graphics р... ^KtnrRm для координ... Координи.. выполняется 4^ DNS-клиент S: Microsoft App-V Ghent Manages А... ii/OpenSSH Authenhcat:. . Agent to h... ^Piug and Play Позволяет... выполняется i4 Pri>itWorkf:ow_5ba93 Рабочий л.» ^Quality Windows Audi... Quality Wi„. ^Shared PC Account M... Manages р... ^SMP дисковых прост... Служба уз... Локальная сис... Локальная сис.» Локальная слу... Автоматиче... Сетевая служба Локальная сис... Отключена Вручную (ак... Сетевая служба Локальная сис... Отключена Отключена Локальная сис. вручную Локальная сис... Локальная сис.» Вручную вручную Локальная слу... Отключена Локальная сис... CaptureSewe3ba$3 * Дополнителен... Автоматиче... вручную ij^SysMain Поддержи.» выполняется Автоматиче... ДТР AutoConnect Servi.. ThinPrint с... Вручную S^TP VC Gateway Service Вручную ШUpdate Orchestrator S... Управляет... Выполняется Автоматиче... ^ VMware Ai:as Manag.. Alias Mana.. Выполняется Автоматиче... ...... .....:*! VMware ГА? АМП? Г.....VMware.Г.... А Расширенный /.Стандартный/ Сетевая служба Локальная сис... Локальная сис... Локальная сис... Локальная сис.» Локальная сис... Рис. 2.10. Службы Колонки таблицы с информацией о службах следующие: • Имя — имя службы. Здесь приводятся только службы, которые устанав­ ливаются в системе. Двойной щелчок по имени службы позволит настро­ ить параметры загрузки. Если нужной службы здесь нет, ее можно уста­ новить путем инсталляции соответствующей роли или компонента. И Windows! Сервер на Windows и Linux • Описание — короткое описание сервиса и его назначения. • Состояние — показывает статус службы (может быть Выполняется, При­ остановлена, Остановлена). • Тип запуска — тип запуска службы. Службы с автоматическим запуском загружаются при загрузке системы. Пользователи или другие службы мо­ гут запускать службы с типом запуска Вручную. Отключенные службы не могут быть запущены, пока у них статус Отключена. • Вход от имени — учетная запись, от имени которой работает служба. В большинстве случаев служба запускается от имени Локальная система (Local System). Администратору приходится часто запускать, останавливать или приоста­ навливать службы. Для запуска, остановки или приостановки службы щел­ кните по ее имени правой кнопкой мыши и выберите команду Запустить, Остановить, Приостановить соответственно. Можно также выбрать Пере­ запустить для остановки и повторного запуска сервиса после небольшой па­ узы. Если служба была приостановлена, для восстановления ее нормальной работы выберите команду Продолжить. Свойства: CaptureService_5ba93 (Локальный компьютер) Общие Вход в систему Имя службы: Восстановление X Зависимости вЯШ® Отображаемое имя: CaptufeService_5ba93 Описание Служба записи ОлеСоте Исполняемый файл: С \Windows\system32\svcho9texe -k LocaService -р Тип запуска: Вручную Состояние Остановлена Запустить v С&тйнкшю Вы можете указать параметры запуска, применяемые при запуске службы из этого диалогового окна. Параметры запуска: J™™ ОК ; Отмена Рис. 2.11. Окно свойств службы Команда Свойства открывает окно свойств службы (рис. 2.11). Обычно дан­ ное окно используется для изменения типа запуска службы: НО ^ к____ Глава 2. Мониторинг процессов, сервисов и событий • Автоматически — установите этот тип запуска для автоматического за­ пуска службы во время загрузки системы. • Автоматически (отложенный запуск) — выберите этот тип для отсроч­ ки запуска службы, ее запуск будет отложен, пока не будут запущены все службы, запуск которых нельзя отложить. • Вручную — выберите этот тип запуска, когда нужен ручной запуск службы. • Отключена — выберите этот тип для выключения службы. Настройка входа в систему I На вкладке Вход в систему можно настроить как от имени системной учетной записи, так и от имени конкретного пользователя. Свойства: CaptureService_5ba93 (Локальный компьютер) X Общие Вход в систему Восстановление Зависимости Вход в систему Q С системной учетной записью Разрешить взаимодействие с рабочим столам (|/£ учетной записью:' ■ О^зор.. Пароль ••••••••••♦•••• Подтверждение: ••♦•••♦•••♦•••♦ j ОК | Отмена Пгч.^<иг^ Рис. 2.12. Вход в систему Необходимо отслеживать любые учетные записи, которые используются со службами. Эти учетные записи могут быть источником проблем безопасно­ сти, если не настроены должным образом. У таких учетных записей должны быть самые строгие настройки безопасности и как можно меньше полно­ мочий, позволяющих службе выполнить только необходимые функции. Как Сервер на Windows и Linux правило, учетные записи, используемые со службами, не требуют многих полномочий, которые присвоены нормальной учетной записи пользователя. Например, большинство учетных записей службы не требует права локаль­ ного входа в систему Каждый администратор должен знать, какие учетные записи службы используются (так, чтобы лучше отследить использование этих учетных записей), и должен обрабатывать их, как будто они являются учетными записями администратора. Это означает использование безопас­ ных паролей, тщательный контроль использования учетной записи, тща­ тельное назначение полномочий учетной записи и т. д. Реакция на сбой службы Вкладка Восстановление позволяет настроить реакцию на сбой | службы. Например, попытаться перезапустить службу или запустить | приложение. Свойства: СарГиге$еплсе_5Ьа93 (Локальный компьютер) Общие Вход в систему Восстановление Зависимости Действие компьютера, выполняемое при сбое службы. Помощь г^ настройке действий по восстановлению! Первый сбой: Перезапуск службы Второй сбой: : Не выполнять никаких действий Последующие сбои: Не выполнять никаких действий Сбрйс счетчика ошибок через: Перезапуск службы через: : дн. мин. Q Включить действия для остановок с ошибками. Выполнение программы Рис. 2.13. Вкладка "Восстановление" Здесь можно указать действия для первого, второго и всех последующих сбоев. • Не выполнять никаких действий — операционная система не будет восстанавливать службу для этого отказа, но она все еще может попы- Глава 2. Мониторинг процессов, сервисов и событий таться применить восстановление для предыдущего или последующего отказов. • Перезапуск службы — останавливает и затем запускает службу после непродолжительной паузы. • Запуск программы — позволяет запустить программу или сценарий в случае сбоя. Сценарий может быть командным сценарием или Windowsсценарием. Установите полный путь к исполняемому файлу программы, которую нужно запустить, а также в случае необходимости задайте па­ раметры, которые будут переданы программе при ее запуске. Например, можно отправлять администратору сообщение о том, что произошел сбой службы. • Перезапуск компьютера — завершает работу и перезагружает компью­ тер. Перед выбором этой опции дважды проверьте параметры запуска и восстановления. Нужно, чтобы система выбрала параметры по умолча­ нию быстро и автоматически. Отключение служб Администратор должен убедиться, что серверы и сеть безопасны, а ненуж­ ные службы являются потенциальным источником проблем безопасности. Например, во многих организациях автор этой книги обнаруживал пробле­ мы безопасности, находил запущенные и не использующиеся WWW-, FTPи SMTP-серверы. Такие службы предоставляют анонимным пользователям доступ к серверам, а также открывают сервер для атаки, если он не был должным образом настроен. Для отключения службы выполните следующие действия: • В оснастке Управление компьютером щелкните правой кнопкой мыши по службе, которую нужно настроить, и выберите команду Свойства. На вкладке Общие из списка Тип запуска выберите команду Отключена. • Отключение службы не означает ее остановку. Отключение только пре­ дотвращает запуск службы при следующей загрузке компьютера, поэтому риск для безопасности все еще есть. Чтобы завершить службу, нажмите кнопку Остановить на вкладке Общие окна Свойства, а затем нажмите кнопку ОК. Сервер на Windows и Linux 2.2. Просмотр и протоколирование событий Журналы событий предоставляют историческую информацию, которая мо­ жет помочь при отслеживании проблем с системой. Служба Журнал событий Windows контролирует события Windows. После запуска этой службы можно будет отследить действия пользо­ вателей и использование ресурсов в журналах событий. Доступны два вида журналов: 1. Журналы Windows — сюда записываются системные события, относящи­ еся к приложениям, безопасности, установке и системным компонентам; 2. Журналы приложений и служб — сюда записываются сведения, относя­ щиеся к приложениям и службам. 2.2.1. Основные журналы К журналам Windows относятся следующие журналы: • Приложение — здесь хранятся записи событий, относящиеся к приложе­ ниям, например сбой SQL Server при доступе к базе данных. Размещение по умолчанию — %SystemRoot%\System32\Winevt\Logs\Application.evtx. • Перенаправленные события — когда настроено перенаправление собы­ тий, этот журнал содержит записи журналов, перенаправленные с других серверов. По умолчанию журнал находится в %SystemRoot%\System32\ Config\ForwardedEvents.evtx. • Безопасность — содержит записи, которые можно использовать для ау­ дита локальных и глобальных групповых политик. Этот журнал — один из наиболее важных, его нужно просматривать очень тщательно. Если журнал безопасности не содержит событий, наиболее вероятная причина в том, что локальный аудит не был настроен должным образом либо настроен глобальный аудит домена — в этом случае необходимо проема114 8jj WindowsНИННИ Глава 2. Мониторинг процессов, сервисов и собы i nil тривать журналы безопасности на контроллерах домена, а не на рядовых серверах. По умолчанию журнал называется %SystemRoot%\System32\ Winevt\ Logs\Security.evtx. • Установка — записи в этот журнал заносит сама операционная систе­ ма или ее компоненты при инсталляции чего-либо. Название журнала по умолчанию — %SystemRoot%\System32\Winevt\Logs\Setup.evtx. • Система — в журнал записывают данные либо операционная система, либо ее компоненты, записи касаются системных событий вроде сбоя службы при ее запуске. Размещение по умолчанию — %SystemRoot%\ System32\Winevt\Logs \System.evtx. К журналам приложений и служб относятся следующие журналы: • Репликация DFS — регистрирует записи активности DFS-репликации (Distributed File System). Имя журнала по умолчанию — %SystemRoot%\ System32\Winevt\Logs\ DfsReplication.evtx. • Служба каталогов — регистрирует записи AD DS (Active Directory Domain Services) и связанных служб. Журнал по умолчанию — %SystemRoot%\System32\Winevt\Logs\Directory Service.evtx. • DNS-сервер — регистрирует события DNS-сервера — запросы, ответы и другую активность DNS. Файл журнала по умолчанию — %SystemRoot%\ System32\Winevt\Logs\DNS Server.evtx. • Служба репликации файлов — регистрирует активность репликации файлов в системе. Журнал по умолчанию — %SystemRoot%\System32\ Winevt\Logs\File Replication Service.evtx. • События оборудования — когда подсистема событий оборудования на­ строена, в этом журнале будут события, относящиеся к оборудованию. Журнал по умолчанию — %SystemRoot%\System32\Config\Hardware.evtx. • Microsoft\Windows — предоставляет журналы событий, относящихся к Windows-службам и компонентам. Журналы организованы по типу ком­ понента и категории события. Операционные журналы генерируются стандартными операциями связанного компонента. В некоторых случаях у вас появятся дополнительные журналы для анализа, отладки и записи задач, связанных с администрированием. Сервер на Windows и Linux И Windom • Windows PowerShell — записывает активность, связанную с исполь­ зованием Windows PowerShell. Имя файла журнала по умолчанию — %SystemRoot%\System32\ Winevt\Logs\Windows PowerShell.evtx. 2.2.2. Доступ к событиям в ’’Диспетчере серверов” Если при работе с Диспетчером серверов выбрать узел Локальный сервер, Все серверы или группу серверов, на панели справа появится панель СОБЫТИЯ (рис. 2.14), которая отобразит события выбранного сервера. Эту панель можно использовать так: • Для локального сервера можно использовать панель СОБЫТИЯ в раз­ деле Локальный сервер или Все серверы с целью просмотра последних предупреждений и ошибок в журналах приложений и системы; • Для автоматически созданной группы серверов: узлы группируются по ролям сервера, таким как AD DS или DNS, и администратор может просмотреть последние события, относящиеся к роли сервера, если это возможно. Не у всех ролей есть ассоциированный журнал, но зато у не­ которых ролей, например у AD DS, есть несколько ассоциированных журналов; • Для пользовательских групп серверов, созданных администраторами, используется панель СОБЫТИЯ для просмотра последних событий и ошибок в журналах приложений и системы. Рис. 2.14. Просмотр событий через ffДиспетчер серверов 116 Пр.... Глава 2. Мониторинг процессов, сервисов и собы гий Столбцы панели СОБЫТИЯ можно настроить так: щелкните правой кноп­ кой мыши по заголовку таблицы, выберите столбцы, которые нужно доба­ вить или удалить. Столбцы могут быть следующими: • Имя сервера — имя сервера, на котором запущена служба; • Полное доменное имя — полное доменное имя сервера, на котором за­ пущена служба; • Код — числовой идентификатор определенного события, который может быть полезен при поиске описания событий в различных базах знаний; • Важность — уровень важности события, например ошибка или пред­ упреждение; • Источник — приложение, служба или компонент, который зарегистри­ ровал событие; • Журнал — журнал, в котором было зарегистрировано событие; • Дата и время — дата и время записанного события. 2.2.3. Средство ’’Просмотр событий” Получить доступ к журналам событий можно с помощью следующих дей­ ствий: 1. В Диспетчере серверов выберите группу Все серверы или любую группу серверов на панели слева. 2. В панели СЕРВЕРЫ щелкните правой кнопкой мыши по серверу, к кото­ рому нужно подключиться. 3. Выберите команду Управление компьютером для автоматического под­ ключения к выбранному серверу. 4. В оснастке Управление компьютером можно просматривать и работать с журналами событий, развернув узел Служебные программы и выбрав элемент Просмотр событий, как показано на рис. 2.15. Сервер на Windows и Linux Рис. 2.15. Просмотр событий Как показано на рис. 2.14, записи на главной панели средства Просмотр со­ бытий предоставляет быстрый обзор того, когда, где и как произошло со­ бытие. Чтобы получить подробную информацию о событии, просмотрите подробности на вкладке Общие в нижней части главной панели. Там же вы­ водится уровень события, ключевое слово и дата и время события. Уровни события могут быть: • Информация — информационное событие, относится к успешному вы­ полнению действия. • Аудит успеха — событие, относящиеся к успешному выполнению дей­ ствия. • Аудит отказа — события, относящиеся к неудачному выполнению дей­ ствия. • Предупреждение — предупреждение. Описания предупреждений часто могут быть полезны для предотвращения будущих проблем. • Ошибка — некритическая ошибка, например ошибка передачи зоны на DNS-сервере. • Критическое — критическая ошибка, например завершение работы службы кластера из-за потери кворума. 118 Глава 2. Мониторинг процессов, сервисов и событий В дополнение к уровню, дате и времени предоставляется общее описание события: • Источник — приложение, служба или компонент, который зарегистри­ ровал событие; • Код — числовой идентификатор определенного события, который может быть полезен при поиске события в базах знаний; • Категория задачи — категория события, которая часто не заполняется, но иногда может быть использоваться для описания связанного действия; • Пользователь — учетная запись пользователя, которая была зарегистри­ рована в системе, когда произошло событие; • Компьютер — имя компьютера, на котором произошло событие; • Описание — текстовое описание события; • Данные — любые данные или код ошибки, переданные событием. У администратора есть возможность фильтровать журналы событий. Филь­ тры представлений находятся в узле Настраиваемые представления. Если выбрать узел События управления, станет доступен список всех ошибок и предупреждений для всех журналов. Если развернуть узел Роли сервера и выбрать представление, специфичное для роли, можно будет просмотреть все события для выбранной роли. Для создания собственного представления используются следующие действия в оснастке Управление компьютером: 1. На панели слева выберите узел Настраиваемые представления, затем нажмите Создать настраиваемое представление на панели справа. Откроется диалоговое окно, показанное на рис. 2.16. 2. Раскрывающийся список Дата используется, чтобы задать период вре­ мени для события. Можно выбрать события за последний час, последние 12 часов, последние 24 часа, последние 7 дней или последние 30 дней. Альтернативно можно указать свой диапазон. 3. Флажки в группе Уровень события используются, чтобы указать, собы­ тия какого уровня вас интересуют. Установите флажок Подробности для отображения дополнительных деталей события. 4. Можно создать настраиваемое представление, указав набор журналов или набор источников событий. Используйте раскрывающийся список Журналы событий, чтобы выбрать необходимые журналы событий. Чтобы выбрать несколько журналов событий, отметьте их переключате­ ли. Список Источники событий используется для выбора источников событий. Чтобы выбрать несколько источников, отметьте их переключа­ тели. Остальные источники будут исключены. 5. Используйте поля Пользователь и Компьютеры для указания пользо­ вателей и компьютеров, связанных с событиями. Если не указать эти па­ раметры, будут выбраны события, относящиеся ко всем пользователям и компьютерам. 6. После нажатия кнопки OK Windows отобразит окно Сохранить фильтр в настраиваемое представление. 7. Введите имя и описание настраиваемого представления. 8. Выберите, где нужно сохранить настраиваемое представление. По умол­ чанию настраиваемые представления сохраняются в узле Настраивае­ мые представления. 9. Нажмите кнопку ОК для закрытия окна Сохранить фильтр в настра­ иваемое представление. Теперь список событий будет отфильтрован. Просмотрите эти события и исправьте существующие проблемы. Создание настраиваемого представления X [фильтр} XML Да1а: Любое время Уровень события: П Критическое О Предупреждение П Подробности □ Ошибка * О Сведения ® Па журналу Журналу событий: О По источник Источники событий: : V ~ Включение или исключение кодов событий. Введите коды событий или диапазоны . кодов, разделяя их запятыми. Для исключения условия введите знак минус Например: 1,3,5-99.-76 <&< коды событий * Категория задачи: Г Ключевые слова: ; Пользователь: «See папьшмтели » Компьютеры: «Все компьютеры* Оуистить X , Отмена Рис. 2.16. Создание собственного фильтра Установка параметров журнала событий I Параметры журнала позволяют управлять размером журналов со- | I бытий, а также способом обработки журналирования. По умолчанию | максимальный размер журнала событий — максимальный размер файла. Когда журнал достигнет этого предела, события будут перезаписаны, чтобы предотвратить превышение максимального размера файла. Щелкните на журнале, параметры которого вы хотите изменить, и выберите команду Свойства. Далее вы сможете изменить следующие параметры: 1. Введите или установите максимальный размер в килобайтах в поле Макс, размер журнала (КБ). Убедитесь, что диск, содержащий операционную систему, имеет достаточно свободного места для хранения файла журна­ ла указанного вами размера. По умолчанию файлы журналов хранятся в каталоге %SystemRoot%\System32\Winevt\Logs. 2. Выберите действие при достижении максимального размера. Доступны опции: » Переписывать события при необходимости (сначала старые собы­ тия) — при достижении максимального размера журнала события в журнале будут перезаписаны. Это лучший выбор для системы низкого приоритета. » Архивировать журнал при заполнении; не перезаписывать собы­ тия — когда будет достигнут максимальный размер файла, Windows заархивирует события путем сохранения текущего журнала в каталоге по умолчанию. Затем Windows создаст новый журнал для хранения текущих событий. » Не переписывать события (очистить журнал вручную) — когда будет достигнут максимальный размер файла, система сгенерирует сообщения об ошибке ввиду того, что журнал событий полон. Рис. 2.17. Параметры журнала событий Сохранение и очистка журналов Кнопка Очистить журналы позволяет очистить выбранный журнал. Перед очисткой журнала бывает полезно его сохранить. Для этого закройте окно параметров журнала, если оно открыто, щелкните правой кнопкой мыши по журналу, выберите команду Очистить журнал. В появившемся окне нажмите кнопку Сохранить и очистить (рис. 2.18). Просмотр событий X Вы можете сохранить содержимое этого журнала, прежде чем очистить его. Сохранить и очистить Очистить Отмена Рис. 2.18. Сохранение журнала перед его очисткой Журналы могут храниться в четырех форматах: 1. Формат файлов событий (evtx), который можно просмотреть с помо­ щью средства Просмотр событий; Глава 2. Мониторинг процессов, сервисов и собы гни 2. Текстовый формат с разделителем табуляции (txt), который можно просмотреть в текстовых редакторах и текстовых процессорах или им­ портировать в электронную таблицу или базу данных; 3. Текст, разделенный запятой (csv), удобный для импорта в электронную таблицу или базу данных; 4. Текст формата XML (xml) для сохранения в XML-файле. Соответственно, при сохранении журнала нужно выбрать один из этих фор­ матов. Выбирайте тот, с которым вам будет проще работать в дальнейшем. Если вы не используете специальных средств для работы с журналами, тогда выбирайте CSV - его с легкостью можно будет открыть в любой электрон­ ной таблице, например в MS Excel. J ^Сохранение & < boranes ' Документы Код события ; Категория задачи О новая папка 5^ быстрый доступ ^ Рабочий стол 4 Загрузки < / ^ Изображения # 1001 Отсутствует 8224 Отсутствует 15384 Отсутствует 16394 325 637 105 ^ ^ Документы ерог.. Действия Приложение Отсутствует Общие Общие Общие 102 Общие 16384 Отсутствует <S Этот компьютер 3198 Отсутствует Открыть сохСоздать наст... Импорт наст... Очистить жу... Фильтр теку... Свойства Найти. Сохранить в... 4# Сеть Привязать зЗиД Обновить Имя файла:; Справка Тип файла:;Файлы событий C.evtx) |Хт1 (Xml-файл) (*лт1) ■ Скрыть лапки iText (с разделением табуляцией) (‘.txtj ...................{CSV (сраадел^ием ^ Э Маршрутизация у 1 ПодморН/Д ^ Службы Код операции: $4 Управляющий ме Подробности: Свойства со... Привязать зКомпьютер; WIN-LGOG8KFFJS Копировать Сохранить в... Обновить Справка Рис. 2.19. Выбор формата журнала перед его сохранением 123] Глава 3. Автоматизация административных задач Сервер на Windows и Linux Выполнение ежедневных рутинных задач — не очень эффективное исполь­ зование рабочего времени. Намного эффективнее автоматизировать эту ра­ боту и сфокусироваться на более важных проблемах — поддержке служб, повышении производительности, а в результате меньше времени будет потрачено на приземленные вопросы и больше на то, что действительно важно. Для автоматизации многих административных задач вы можете использо­ вать групповые политики (позволяют развернуть одни и те же параметры на множество компьютеров сети), планировщик заданий и другие компоненты Windows Server. В этой главе будет показано, как выполнять целый ряд ад­ министративных задач посредством групповой политики. 3.1. Групповая политика 3.1.1. Основные сведения о групповой политике £|111П|11П111111111111111111111111Н1111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111Н111111111111111111111111111111111НШ I Групповые политики упрощают администрирование, предоставляя | I администраторам централизованное управление привилегиями, пра- | вами и возможностями как пользователей, так и компьютеров. Riiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiii ..... Глава 3. Автоматизация административных задач С помощью групповых политик можно сделать следующее: • Контролировать доступ к Windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам Панели управления, рабочему столу и глав­ ному меню; • Создать централизованно управляемые каталоги для специальных папок, например для пользовательской папки Документы; • Определить сценарии пользователя и сценарии компьютера, которые бу­ дут запускаться в конкретное время; • Настроить политики для блокировки учетных записей, параметры паро­ лей, аудита, назначения прав пользователей и безопасности, но о них мы поговорим в дальнейшем. О политике можно думать как о ряде правил, которые помогают управлять пользователями и компьютерами. Групповые политики можно применить к нескольким доменам сразу, отдельным доменам, подгруппам в домене или отдельным системам. Политики, которые применяются к отдельным систе­ мам, называются локальными групповыми политиками и хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory. Групповые политики применяются только к системам, работающим под управлением ОС Windows 2000 и более поздних версий Windows. Настрой­ ки групповой политики сохранены в объекте групповой политики (Group Policy Object, GPO). GPO - это контейнер для применяемых политик и для их настроек. Несколько GPO можно применить к одному сайту, домену или организационной единице. Поскольку групповая политика описана с ис­ пользованием объектов, применяется много объектно-ориентированных понятий. Если думать об объектно-ориентированном программировании, можно предположить, что понятия родительских/дочерних отношений и наследования применимы к GPO, и это действительно так. Контейнер — высокоуровневый объект, содержащий другие объ­ екты. Посредством наследования политика, которая применялась к родительскому контейнеру, наследуется дочерним контейнером. ф 127 Сервер на Windows и Linux По существу это означает, что установка политики, применяемой к роди­ тельскому объекту, будет передана и дочернему объекту. Например, если применяете установку политики в домене, ее установка будет наследована организационными единицами в домене. В этом случае GPO домена — родительский объект, a GPO организационных единиц — дочерние объекты. Порядок наследования — сайт, домен, организационная единица. Это озна­ чает, что настройки групповой политики для сайта будут переданы доменам этого сайта, затем настройки домена будут переданы организационным еди­ ницам в этом домене. Наследование можно переопределить. Для этого можно присвоить настрой­ ку политики дочернему контейнеру, которая отличается от настройки поли­ тики для родительского контейнера. Пока переопределение разрешено (т.е. пока оно не заблокировано), будет применяться установка политики дочер­ него контейнера. 3.1.2. Порядок применения политики Определен следующий порядок применения групповых политик: 1. Локальные групповые политики. 2. Групповые политики сайта. 3. Групповые политики домена. 4. Групповые политики организационной единицы. 5. Групповые политики дочерней организационной единицы. Если настройки политики конфликтуют, приоритет имеют настройки поли­ тики, которые применялись позже — они перезаписывают более ранние настройки. Например, политики организационной единицы имеют приори­ тет над другими групповыми политиками домена. Существует два типа групповых политик - политики, применяемые к компьютерам, и политики, применяемые к пользователям. Политики компьютера обычно применяются во время запуска системы, а политики пользователя — во время входа в систему. 1.К1ВИ?. \вюм:и 1вация aiMiiiiiici p:i i пвпых hi дач По умолчанию групповая политика обновляется, когда пользователь выхо­ дит из системы, во время перезапуска компьютера и автоматически каждые 90-120 минут. Можно изменить это поведение, устанавливая интервал об­ новления групповой политики. Чтобы сделать это, откройте окно командной строки и введите команду gpupdate. Некоторые настройки пользователя, например, перенаправление папок, не могут быть обновлены, пока пользователь зарегистрирован в системе. Поль­ зователь должен выйти из системы и затем зайти заново для применения этих настроек. | Для автоматического выхода пользователя из системы после обнов- | I ления можно ввести команду gpupdate /lofogg в командной строке или в | поле поиска. Аналогично, некоторые настройки компьютера могут быть определены только при его запуске. Для применения этих настроек компьютер должен быть перезагружен. Для этого можно ввести в командной строке или в поле поиска команду gpupdate /boot. 3.1.3. Редакторы групповой политики Чтобы оптимизировать управление групповой политикой, Microsoft удалила функции управления из инструментов Active Directory и переместила их в основную консоль, названную Управление групповой политикой1. Для уста­ новки GPMC необходимо установить соответствующий компонент (Управ­ ление групповой политикой) с помощью мастера установки ролей и ком­ понентов. После этого редактор групповой политики будет доступен через меню Средства диспетчера серверов. Необходимо понимать, что для редактирования групповой политики суще­ ствует почти два одинаковых редактора: 1. Редактор стартового объекта групповой политики (Group Policy Starter GPO Editor) — редактор, который можно использовать для соз­ дания и управления стартовыми объектами групповой политики. Как 4 Group Policy Management Console (GPMC) Сервер на Windows и Linux H^B^B^Egw^ подразумевает имя, стартовый GPO призван обеспечить начальную точку для объектов политики, которые используются всюду по своей организа­ ции. При создании объекта политики можно определить стартовый GPO как источник или фундамент объекта. 2. Редактор локальной групповой политики (Local Group Policy Object Editor) — применяется для создания и управления объектами полити­ ки для локального компьютера. Как подразумевает имя, локальный GPO призван обеспечить настройки политики для определенного компьютера в противоположность настройкам для сайта, домена или организацион­ ной единицы. 3.1.4. Управление локальной групповой политикой Компьютеры под управлением современных версий Windows имеют три уровня локальных объектов групповой политики. 1. Локальная групповая политика (Local Group Policy). Это только ло­ кальный GPO, позволяющий конфигурациям компьютера и пользователя применяться ко всем пользователям компьютера. 2. Административная и неадминистративная локальная групповая политика (Administrators and Non-Administrators local Group Policy). Со­ держит только настройки конфигурации пользователя и применяется на основании того, является ли учетная запись членом локальной группы Администраторы. 3. Пользовательская локальная групповая политика (User-specific local Group Policy). Содержит только конфигурацию пользователя и применя­ ется к отдельным пользователям и группам. Эти уровни локальных GPO обрабатываются в следующем порядке: локаль­ ная групповая политика, административная и неадминистративная локаль­ ная групповая политика и пользовательская групповая политика. Внимание! Поскольку доступные настройки пользовательской кон­ фигурации одинаковы для всех локальных GPO, настройки в одном I GPO могут конфликтовать с настройками в другом GPO. ОС Windows I 130J Aidovvse^idt^ Глава 3. Автоматизация административных задач разрешает конфликты в настройках, перезаписывая любые преды­ дущие настройки настройками, считанными последними. Windows использует последнее установленное значение. Когда Windows раз­ решает конфликты, имеет значение только включенное/выключенное состояние настроек. Значение Не задано (Not Configured) не оказывает никакого эффекта на состояние настройки из предыдущего приложе­ ния политики. Чтобы упростить администрирование домена, можно отключить обработку локальных GPO на компьютерах под управле­ нием Windows Vista и более поздних версий, включив политику Вы­ ключение обработки локальных объектов групповой политики в GPO домена. Эта настройка находится в узле Конфигурация компьютера\ Административные шаблоны\Система\Групповая политика групповой политики. На всех компьютерах под управлением текущих выпусков Windows есть ло­ кальный GPO, доступный для редактирования. Хотя на контроллере домена тоже есть локальный GPO, его настройки редактировать не нужно. Самый быстрый способ получить доступ к локальному GPO компьютера — это ввести следующую команду в командной строке или поле поиска при­ ложений:^ gpedit.msc Для получения доступа к локальному GPO верхнего уровня удаленного компьютера введите следующую команду в командной строке: gpedit.msc /gpcomputer: ’’RemoteComputer” Здесь RemoteComputer — имя или полное имя (FQDN) удаленного компью­ тера. Снова необходимо использовать двойные кавычки, как показано в сле­ дующем примере: gpedit.msc /gpcomputer: ’’win-j kfbl2 91 ” 131 Сервер на Windows и Linux □ ■J Редактор локальной групповой политики Файл Действие Дид X ^правка В ^^Т Система Вход s App-V Состояние Состояние & Включить вход с помощью удобного ПИН-КО... Не задана & Выключить вход с графическим паролем Не задана Нет & Назначить стандартного поставщика учетны- Не задана Нет :Установка домена по умолчанию для входа Не задана Нет .<к Исключить поставщики учетных данных Не задана Нет :. Запретить пользователю отображать данны... Не задана Нет & Не обрабатывать список запуска старых про... Не задана Нет г Не обрабатывать список однократного залу... Не задана Нет г. Отключить уведомления приложений на экр... Не задана & Отключить звук запуска Windows Не задана Нет & Не отображать пользовательский интерфейс.. Не задана Нет i Не перечислять подключенных пользователе Не задана Нет &. Показать анимацию при первом входе в сис„ Не задана Нет £‘ Перечислить локальных пользователей на к... Не задана Нет £i Скрыть точки входа для быстрого переключе... Не задана Нет v й Всегда использовать классический вход в си» Не задана Нет Разрешает пользователям Device Guard iSCSI Kerberos выбирать, необходим ли ввод пароля при возобновлении работы из .. Аудит создания процессов . Й Восстановление ... Восстановление системы ' Вход s систему > й Групповая политика iS Диагностика й Дисковые квоты л Диспетчер сервера j Дисплей '.Й Доступ к съемным запомни ^ Доступ к устройствам Enhan ® Завершение работы .. Защита DMA ядра И Защита файлов Windows J Инфраструктура классифика : : Параметры завершения paf Параметры уменьшения ри v режима ожидания с подключением Изменить параметр политики Требования: Не ниже Windows Server 2012, Windows 8 или Windows RT Описание: Этот параметр политики позволяет управлять возможностью изменения пользователем промежутка времени до Комментарии ■ИИ Нет Расширенный дСтандартный 7 21 параметров Рис. 3.1. Редактор локальной групповой политики По умолчанию единственный локальный объект политики, существующий на компьютере, является локальным объектом групповой политики. Можно создать и управлять другими объекты при необходимости (за исключением объектов на контроллерах доменов). Можно создать или получить доступ к административному объекту локальной групповой политики, к неадмини­ стративному объекту локальной групповой политики и объекту пользова­ тельской локальной групповой политики так: 1. В командной строке или окне Выполнить (Win + R) введите mmc и нажмите клавишу <Enter>. В консоли управления Microsoft выберите ко­ манду меню Файл, Добавить или удалить оснастку. 2. В диалоговом окне Добавление или удаление оснасток выберите ос­ настку Редактор объектов групповой политики и нажмите кнопку До­ бавить. 3. В окне Выбор объекта групповой политики нажмите кнопку Обзор. В окне Поиск объекта групповой политики перейдите на вкладку Поль­ зователи. 4. На вкладке Пользователи в колонке Объект групповой политики при­ водятся сведения о том, существует ли объект групповой политики для того или иного пользователя. Выполните следующие действия: 132 Глава 3. Автоматизация административных задач » Выберите запись Администраторы для создания или получения доступа к объекту административной локальной групповой политики. » Выберите запись Не администраторы для создания или получения доступа к объекту административной локальной групповой политики. » Выберите локального пользователя для создания или получения доступа к пользовательскому локальному GPO. 5. Нажмите кнопку ОК. Если выбранный объект не существует, он будет создан. В противном случае будет открыт существующий объект для просмотра и редактирования. 3.1.5. Управление политиками сайта, домена или ОЕ При разворачивании сервисов Active Directory (AD DS) можно использовать групповую политику на базе Active Directory. Каждый сайт, домен и орга­ низационная единица могут иметь одну или больше групповых политик. У групповых политик, перечисленных выше в списке групповой политики, бо­ лее высокий приоритет, чем у политик, перечисленных ниже в списке. Это позволяет удостовериться, что политики применены всюду по связанным сайтам, доменам и организационным единицам. Посредством групповых политик и Active Directory достигается та самая автоматизация настройки всех компьютеров предприятия. Например, вам нужно сделать какие-то настройки (все что угодно, например, запретить запуск определенной службы, запретить доступ к сменным дис­ кам и т.д.) на всех компьютерах сети. Вместо того чтобы настраивать каж­ дый компьютер отдельно, вы можете использовать для этого Active Directory и групповую политику. Конечно, нужно, чтобы в сети был развернут AD, а настраиваемые компьютеры должны быть членами домена. У каждого домена в организации по умолчанию есть два GPO: 1. GPO политики контроллера домена по умолчанию (Default Domain Controllers Policy GPO) создается и связывается для организационной единицы контроллера домена. Этот GPO применим ко всем контроллерам домена в домене (до тех пор, пока они не будут перемещены из этой ор­ ганизационной единицы). Используйте его для управления параметрами безопасности для контроллеров доменов в этом домене. ( CpBCp HU W illtloWS И ^Cndo;vs| 2. GPO политики домена по умолчанию (Default Domain Policy GPO) соз­ дается и связывается для всего домена в пределах Active Directory. Ис­ пользуйте этот GPO для установки базовых значений для широкого круга настроек политик, которые применяются ко всем пользователям и ком­ пьютерам в домене. Как правило, GPO политики домена по умолчанию — GPO высшего приори­ тета, связанный с уровнем домена. GPO политики контроллеров домена по умолчанию — GPO высшего приоритета, связанный с контейнером контрол­ леров домена. Можно присоединить дополнительные GPO уровня домена и контроллеров домена. При этом настройки в GPO наивысшего приоритета переопределяют настройки в объектах групповой политики более низкого приоритета. Эти GPO не предназначены для общего управления групповой политикой. GPO политики домена по умолчанию используется только для управления настройками дефолтовых политик учетных записей, и, в частности, есть три области применения политик учетных записей: политика паролей, полити­ ка блокировки учетной записи и политика Kerberos. Через этот GPO можно управлять несколькими параметрами безопасности: • Учетные записи: Переименование учетной записи администратора; • Учетные записи: Состояние учетной записи "Администратор"; • Учетные записи: Состояние учетной записи "Гость"; • Учетные записи: Переименование учетной записи гостя; • Сетевая безопасность: Принудительный вывод из сеанса по истечении допустимых часов; • Сетевая безопасность: не хранить хеш-значения LAN Manager при следу­ ющей смене пароля. Один из способов перезаписи этих настроек — создать GPO с соответству­ ющими настройками и присоединить его к контроллеру домена с более вы­ соким приоритетом. Объект GPO политики контроллера домена по умолчанию содержит параме­ тры Назначение прав пользователя (User Rights Assignment) и Параметры безопасности (Security Options), которые ограничивают способы использо134 Глава 3. Автоматизация административных задач вания контроллеров домена. Один из способов перезаписи этих настроек — создать GPO с перезаписывающимися настройками и присоединить его к контейнеру контроллеров домена с более высоким приоритетом. Для управления другими областями политики нужно создать GPO и при­ соединить его к домену или соответствующей организационной единице в пределах домена. Запустить консоль управления групповой политикой (GPMC) можно из меню Средства Диспетчера серверов. Также можно в командной строке или в поле поиска приложений ввести gpmc.msc и нажать клавишу <Enter>. Как показано на рис. 3.2, корневой узел консоли называется Управление групповой политикой, а ниже есть узел Лес. Узел Лес представляет со­ бой лес, к которому консоль подключена в настоящий момент, и называется именем корневого домена этого леса (на рис. 3.2 — Лес: example.com). Если существуют соответствующие учетные данные, можно добавить соедине­ ния с другими лесами. Для этого щелкните правой кнопкой мыши по узлу Управление групповой политикой и выберите команду Добавить лес. В диалоговом окне Добавление леса введите имя корневого домена леса в поле Домен и нажмите кнопку ОК. Рис. 3.2. Управление групповой политикой сайта, леса, домена В узле Лес находятся следующие узлы: 135 • Домены — предоставляет доступ к параметрам политики для доменов в соответствующем лесе. По умолчанию консоль подключена к доме­ ну входа в систему Если есть другие учетные данные, можете добавить соединения с другими доменами в связанном лесу. Для этого щелкните правой кнопкой мыши по узлу Домены и выберите команду Показать до­ мены. В окне Отображение доменов выберите домены, которые нужно добавить, и нажмите кнопку ОК. • Сайты — предоставляет доступ к настройкам политики для сайтов в соответствующем лесе. Сайты скрыты по умолчанию. Если есть соот­ ветствующие учетные данные, можно подключиться к сайтам. Для этого щелкните правой кнопкой мыши на узле Сайты и выберите команду По­ казать сайты. В окне Отображение сайтов выберите сайты, которые нужно добавить, и нажмите кнопку ОК. • Моделирование групповой политики — предоставляет доступ к масте­ ру моделирования групповой политики, который поможет спланировать развертывание групповой политики и симулировать настройки с целью тестирования. Также доступны любые сохраненные модели. • Результаты групповой политики — предоставляет доступ к мастеру результатов групповой политики. Для каждого домена, к которому под­ ключена консоль, все связанные объекты групповой политики и органи­ зационные единицы доступны для работы в одном месте. Объекты GPO, перечисленные в контейнерах Домены, Сайты в GPMC, яв­ ляются ссылками на GPO, а не самими GPO. Доступ к фактическому GPO можно получить через контейнер Объекты групповой политики выбран­ ного домена. Обратите внимание на то, что у значков ссылок на GPO есть не­ большие стрелки в левом нижнем углу, подобно ярлыку, а на значках самих GPO таких стрелок нет. При запуске консоль GPMC подключится к хранилищу каталогов Active Directory, запущенному на контроллере домена, который работает как PDCэмулятор для домена входа и получает список всех объектов групповой по­ литики и организационных единиц в этом домене. Это возможно благода­ ря протоколам LDAP (Lightweight Directory Access Protocol) для доступа к хранилищу каталогов и SMB (Server Message Block) для доступа к каталогу SYS VOL. Если PDC-эмулятор недоступен по какой-то причине, например, когда сервер находится в режиме оффлайн, GPMC отобразит подсказку, что­ бы можно было работать с настройками политик на любом другом доступB6J Глава 3. Автоматизация административных задач ном контроллере домена. Для смены контроллера домена щелкните правой кнопкой мыши на узле домена, для которого нужно сменить активный кон­ троллер домена, затем выберите команду Сменить контроллер домена. В окне Смена контроллера домена текущий контроллер домена приведен в области Текущий контроллер домена. Используйте область Изменить на, выберите другой контроллер домена и нажмите кнопку ОК. С помощью консоли GPMC можно отредактировать GPO, щелкнув на нем правой кнопкой мыши и выбрав команду Изменить. После этого откроется редактор GPO (рис. 3.3). У него есть два основных узла: • Конфигурация компьютера — разрешает использовать политики, ко­ торые будут применены к компьютерам, вне зависимости от того, какой пользователь вошел в систему; • Конфигурация пользователя — позволяет установить политики, кото­ рые будут применены к пользователям, вне зависимости от того, на каких компьютерах они входят в домен. и?? Редактор управления групповыми политиками файл Действие Справка Дид S Политика Default Dorna Имя ^ Конфигурация компф ^ Конфигурация компьютера ■ ..; Политики si Конфигурация пользователя : Настройка < Конфигурация польз йй Политики > й Настройка > \ Расширенныйд Стандартный / Рис. 3.3. Редактор управления групповыми политиками В узлах Конфигурация компьютера и Конфигурация пользователя нахо­ дятся узлы Политики и Настройки. Настройки общих политик находятся в узле Политики. Параметры общих настроек — в узле Настройки. Точная конфигурация узлов Конфигурация компьютера и Конфигурация пользователя зависит от установленных расширений и типа созданной политики. Сервер на Windows и Linux Windom В узлах Конфигурация компьютера и Конфигурация пользователя есть следующие подузлы: • Конфигурация программ — политики для настроек программного обе­ спечения. При установке программного обеспечения в узле Конфигура­ ция программ появятся новые подузлы; • Конфигурация Windows — набор политик для перенаправления папок, сценариев и безопасности; • Административные шаблоны — набор политик для операционной системы, компонентов Windows и программ. Административные шабло­ ны настраиваются с помощью файлов шаблонов. При необходимости можно добавить или удалить файлы шаблонов. 3.1.6. Административные шаблоны iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiuiiiiiiiiiiiiiiiiiiiiiiiuiiiiiiiiiiiiiin ......... iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiih ^ Административные шаблоны предоставляют легкий доступ к настройкам реестра, которые можно изменить. Набор администра­ тивных шаблонов по умолчанию настроен в редакторе политик для пользователей и компьютеров. При необходимости можно добавить/удалить административные шаблоны. Любые изменения, вносимые в политики, доступны через административ­ ные шаблоны, сохранены в реестре. iiiiiiiiiiiiiiiiiiiiiniiiiiiiiHiiiiinitiniiiiiiiiiiitiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiHiiiiiiiiiiiiiiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiitiiiiiiiiniiiiiiiiiiiiiiiiiiuiiiiHiiiiiiiiiiiiiiiiiiiiiiw Конфигурации компьютера хранятся в разделе HKEY_LOCAL_MACHINE, а конфигурации пользователя — в разделе HKEY_CURRENT_USER. Просмотреть настроенные в данный момент шаблоны можно в узле Адми­ нистративные шаблоны редактора политик. Этот узел содержит политики, которые можно сконфигурировать для локальных систем, организационных единиц, доменов и сайтов. В конфигурации пользователя и конфигурации компьютера находятся разные наборы групповой политики. При установке 1.38 Глава 3. Автоматизация административных задач новых компонентов Windows можно добавить шаблоны с новыми полити­ ками. Административные шаблоны могут использоваться для управления следую­ щими настройками: • Панель управления — содержит настройки Панели управления и ее утилит; • Рабочий стол — настраивает рабочий стол Windows и доступные опции рабочего стола; • Сеть — настраивает сеть и параметры сетевых клиентов для оффлайнфайлов, DNS-клиентов и сетевых соединений; • Принтеры — настраивает параметры принтера, просмотра сети, спула и каталога; • Общие папки — разрешает публикацию общих файлов и распределен­ ной файловой системы (DFS); • Меню "Пуск" и панель задач — контролирует доступные опции и кон­ фигурацию экрана Пуск и панели задач; • Система — настраивает параметры системы для дисковых квот, профи­ лей пользователей, входа пользователя, восстановления системы, отчетов об ошибках и т. д.; • Компоненты Windows — определяет доступные опции и конфигурацию различных Windows-компонентов, в том числе средства Просмотр собы­ тий, Internet Explorer, установщика Windows и обновлений Windows. Желаете узнать, какие административные шаблонные политики доступны? Просмотрите подузлы узла Административные шаблоны. Политики мо­ гут находиться в одном из трех состояний: 1. Не задано — политика не используется, и в реестр не записываются ни­ какие значения. 2. Включено — политика применена, ее значение сохранено в реестре. 3. Выключено — политика выключена и не применяется, соответствующая настройка записана в реестре. Сервер на Windows и Linux Для включения, выключения и настройки политики используются следую­ щие действия: 1. В редакторе политик разверните узел Конфигурация пользователя\ Административные шаблоны или Конфигурации компьютера\ Административные шаблоны, в зависимости от типа политики, кото­ рую планируется использовать. 2. На панели слева выберите подпапку, содержащую политики, с которыми нужно работать. Соответствующие политики будут отображены на пра­ вой панели. 3. Дважды щелкните по политике, чтобы открыть окно Свойства. Описа­ ние политики можно прочитать на панели Справка. Описание доступно, только если оно определено в соответствующем файле шаблона. 4. Чтобы установить состояние политики, выберите одну из опций: » Не задано — политика не сконфигурирована; » Включено — политика включена; » Выключено — политика отключена. 5. Если политика включена, установите дополнительные параметры и нажмите кнопку ОК. 3.1.7. Создание и связь объекта групповой политики При работе с объектом политики создание и связь объекта со специфическим контейнером в пределах Active Directory — разные действия. Можно создать GPO и не соединять его ни с каким доменом, сайтом или организационной единицей. Затем, можно создать GPO и подсоединить его к определенному домену, сайту или организационной единице. Также можно создать GPO и соединить его автоматически с доменом, сай­ том или организационной единицей. Выбранный метод зависит, прежде всего, от личных предпочтений и от того, как планируется работа с GPO. Имейте в виду, что при создании GPO и его соединении с доменом, сайтом, организационной единицей, GPO будет применен к объектам ’’пользователь” ' 140 J Глава 3. Автоматизация административных задач и ’’компьютер” в этом сайте, домене или организационной единице, согласно параметрам Active Directory, порядку приоритета GPO и другим параметрам. Для создания и подсоединения GPO к сайту, домену и организационной еди­ нице выполните следующие действия: 1. В консоли GPMC щелкните правой кнопкой мыши на сайте, домене или организационной единице, к которым нужно привязать GPO, а затем вы­ берите команду Создать объект групповой политики для этого домена и связать его. 2. В окне Новый объект групповой политики введите описывающее имя GPO, например GPO безопасной рабочей станции. Если нужно исполь­ зовать исходный GPO в качестве источника для начальных настроек, вы­ берите исходный GPO из списка Исходный объект групповой полити­ ки. После нажатия кнопки ОК новый GPO будет добавлен в контейнер Объекты групповой политики и связан с ранее выбранным сайтом, до­ меном или организационной единицей. 3. Щелкните правой кнопкой мыши (или нажмите) на новом GPO и выбе­ рите команду Изменить. В редакторе политики настройки задайте необ­ ходимые настройки и закройте редактор политики. Когда групповая по­ литика обновится, будут применены настройки из GPO для сайта, домена или организационной единицы. 3.1.8. Удаление ссылок и удаление GPO В консоли GPMC можно остановить использование связанных объектов групповой политики двумя способами: 1. Удалить ссылку на GPO, но не удалять сам GPO; 2. Удалить GPO и все ссылки на него. Удаление ссылки на GPO предотвращает использование соответствующих настроек политик в сайте, домене или организационной единице, но не уда­ ляет сам GPO. Однако GPO остается соединенным с другими сайтами, до­ менами или организационными единицами. В GPMC можно удалить ссылку на GPO, щелкнув правой кнопкой мыши по ссылке на GPO в контейнере и *........ 9 Сервер на Windows и Linux й’^*то^ выбрав команду Удалить. Когда консоль попросит подтвердить намерение, нажмите кнопку ОК. Если удалить все ссылки на GPO с сайтов, доменов и организационных единиц, GPO продолжит существование в контейнере Объекты групповой политики, но его настройки не будут иметь никакого эффекта в организации. Удаление GPO удаляет GPO и все ссылки на него. Больше GPO не будет су­ ществовать в контейнере Объекты групповой политики и не будет связан ни с одним сайтом, доменом или организационной единицей. Есть только один способ восстановить удаленный GPO — это восстановить его из ранее созданной резервной копии (если она доступна). Удалить GPO и все ссылки на этот объект можно в консоли GPMC из узла Объекты групповой поли­ тики. Щелкните правой кнопкой мыши на GPO и выберите команду Уда­ лить. Для подтверждения своего намерения нажмите кнопку Да. 3.1.9. Обновление групповой политики При внесении изменения в политику эти изменения применяются немедлен­ но. Однако они не распространяются автоматически. Клиентские компьюте­ ры запрашивают политики в следующих случаях: • При запуске компьютера; • При входе пользователя; • Когда приложение или пользователь запрашивает обновления; • Когда истекает интервал обновления групповой политики, установлен­ ный для нее. Настройки конфигурации компьютера применяются во время запуска опе­ рационной системы. Настройки конфигурации пользователя — при входе пользователя в систему. Если произошел конфликт между настройками пользователя и компьютера, у конфигурации компьютера более высокий приоритет, и именно ее настройки будут применены. Как только настройки политики будут применены, настройки будут обнов­ лены автоматически, чтобы можно было гарантировать, что они являются текущими. По умолчанию интервал обновления для контроллеров домена 142 Глава 3. Автоматизация административных задач — 5 минут. Для других компьютеров интервал обновления — 90 минут с 30-минутными вариациями, чтобы избежать перегрузки контроллера доме­ на многочисленными параллельными запросами клиентов. Это означает, что актуальный временной промежуток обновления для компьютеров, не являю­ щихся контроллерами домена, составляет 90-120 минут. Во время обновления групповой политики клиентский компьютер обраща­ ется к доступному контроллеру домена в его локальном сайте. Если есть изменения в одном или более объекте политики в домене, контроллер до­ мена предоставляет список объектов политики, которые применяются к компьютеру и к пользователям, которые в данный момент вошли в систему. Контроллер домена делает это независимо от того, изменились ли номера версий на всех перечисленных объектах политики. По умолчанию компью­ тер обрабатывает объекты политики, только если изменился номер версии хотя бы одного из объектов политики. Если какая-то из связанных политик изменилась, все политики должны быть обработаны снова из-за наследова­ ния и взаимозависимостей между политиками. Настройки безопасности — известное исключение к правилу обI работки. По умолчанию эти настройки обновляются каждые 16 часов I (960 минут) независимо от того, содержат ли объекты политики изме­ нения. Чтобы уменьшить влияние на контроллеры домена и сеть, во время обнов­ лений добавляется случайное смещение до 30 минут (эффективное окно обновления 960-990 минут). Кроме того, если клиентский компьютер об­ наруживает, что подключается по медленному сетевому соединению, он со­ общает об этом контроллеру домена, и по сети передаются только настройки безопасности и административные шаблоны. Это означает, когда компьютер работает по медленному соединению, будут применены лишь настройки безопасности и административные шаблоны. Можно настроить способ об­ наружения медленного соединения. Необходимо тщательно сбалансировать частоту обновления политики с уче­ том частоты ее изменения. Если политика изменяется редко, можно увели­ чить окно обновления, чтобы уменьшить использование ресурсов. Напри­ мер, можно установить интервал обновления 20 минут на контроллерах домена и 180 минут на других компьютерах. Сервер на Windows и Linux Интервал обновления групповой политики для каждого объекта политики можно настроить индивидуально. Для установки интервала обновления для контроллеров домена выполните следующие действия: 1. В консоли GPMC щелкните правой кнопкой мыши на объекте группо­ вой политики, который нужно изменить, и выберите команду Изменить. Этот GPO должен быть связан с контейнером, который содержит объекты компьютеров контроллера домена. 2. В узле Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика дважды щелкните на полити­ ке Установить интервал обновления групповой политики для кон­ троллеров домена. Аналогичная политика для компьютеров называется Установить интервал обновления групповой политики для компью­ теров. В результате будет отображено окно Свойства (рис. 3.4). 3. Включите политику, выбрав переключатель Включено. Установите базо­ вый интервал обновлений в первом поле Мин. Обычно интервал обнов­ ления устанавливают от 5 до 59 минут. 4. Во втором поле Мин (пролистайте область, чтобы увидеть его) устано­ вите случайную величину времени, которая будет добавлена к интервалу обновления. Эта случайная величина создает окно обновления, что пре­ пятствует перегрузке сервера при многочисленных параллельных запро­ сах групповой политики клиентами. Нажмите кнопку ОК. 1 Рис. 3.4. Установка интервала обновления групповой политики для контролле­ ров домена ф Глава 3. Автоматизация административных задач Внимание! В GPO для контроллеров домена вам нужно изменять политику Установка интервала обновления групповой политики для контроллеров домена. Групповую политику Установить интервал обновления групповой политики для компьютеров вам нужно изме- нять в GPO для домена/компьютеров! Если вы измените политику для | компьютеров в GPO для контроллеров домена, она не будет применена к I компьютерам! I Инициировать обновление можно несколькими способами. Можно ввести команду gpupdate в командной строке или в поле поиска приложений, в результате будут обновлены и конфигурация компьютера, и конфигурация пользователя на локальном компьютере. Будут обработаны и применены только измененные настройки политики. Для обновления всех настроек по­ литики нужно использовать параметр /Force. Также можно обновлять конфигурации пользователя и компьютера раздель­ но. Для обновления только конфигурации компьютера введите gpupdate / target computer в командной строке. Для обновления только конфигурации пользователя предназначена другая команда — gpupdate /target: us er. Также можно использовать команду gpupdate для выхода пользователя или перезапуска компьютера после обновления групповой политики. Это полез­ но, поскольку некоторые политики могут быть применены, лишь когда поль­ зователь входит в систему или только при запуске компьютера. Для выхода пользователя после обновления добавьте параметр /Logoff, а для перезапу­ ска компьютера после обновления — параметр /Boot. 3.1.10. Если политика не применяется. Мастер результатов групповой политики При попытке определить, почему политика не применяется, как ожидалось, первым делом нужно исследовать результаты групповой политики для поль­ зователя и компьютера, чтобы понять суть проблемы. Определить, что политики GPO применены, можно так: Сервер на Windows и Linux • В консоли GPMC щелкните правой кнопкой мыши по узлу Результаты групповой политики и выберите команду Мастер результатов группо­ вой политики. Когда мастер запустится, нажмите кнопку Далее. • На странице Выбор компьютера установите переключатель Этот компьютер, чтобы просмотреть информацию для локального компьюте­ ра. Чтобы просмотреть информацию для удаленного компьютера, отметь­ те переключатель Другой компьютер и затем нажмите кнопку Обзор. В окне Выбор: "Компьютер" введите имя компьютера и нажмите кнопку Проверить имена. После того как выберете правильное имя компьюте­ ра, нажмите кнопку Далее. • На странице Выбор пользователя выберите пользователя, чью информа­ цию о политике нужно просмотреть. Можно просмотреть информацию о политике для любого пользователя, который ранее был зарегистрирован на компьютере. Нажмите кнопку Далее. • Просмотрите установленные параметры и нажмите кнопку Далее. После того как мастер получит необходимую информацию, нажмите кнопку Готово. По окончании создания отчета он будет выбран в левой панели, а результаты будут отображены в правой панели. • Чтобы определить, какие параметры были применены, просмотрите от­ чет. Информация политики для компьютера и пользователя выводится отдельно: для компьютера — в разделе Сводка о компьютере, для поль­ зователя — в разделе Сводка о пользователе. 3.2. Управление пользователями и компьютерами посредством групповой политики Групповую политику можно использовать для централизованного управления, пользователями и компьютерами, например, вы можете управлять сценариями, запускаемыми при запуске/завершении ра> боты компьютера, при входе/выходе пользователя, также вы можете | использовать групповую политику для развертывания программного I | обеспечения на всю сеть. I i.......................................................................................... 146 I . 1И P.3 ' \В1ОМ111И ПИШИ IMIIIIIICI 1)111 11В11ЫХ Hl 1114 3.2.1. Управление сценариями пользователя и компьютера В Windows Server можно настроить четыре типа сценариев: 1. Computer Startup — выполняется при запуске; 2. Computer Shutdown — выполняется при завершении работы; 3. User Logon — выполняется, когда пользователь входит в систему; 4. User Logoff — выполняется, когда пользователь выходит из системы. Windows 2000 и более поздние версии поддерживают сценарии, написанные на языке командной оболочки, с расширением bat и cmd или сценарии, кото­ рые используют Windows Script Host (WSH). WSH — это компонент Windows Server, позволяющий использовать сценарии, написанные на языке сценари­ ев вроде VBScript без необходимости вставки сценария в веб-страницу. Для предоставления доступа к многоцелевой среде WSH основывается на движ­ ках сценариев. Движок сценариев — это компонент, определяющий основ­ ной синтаксис и структуру определенного языка сценариев. Windows Server поддерживает движки сценариев для VBScript и JScript. Также доступны другие движки. Операционные системы Windows 7/8/10, Windows Server 2012/2016/2019 также поддерживают сценарии PowerShell. Если Windows PowerShell уста­ новлен на компьютеры, которые обрабатывают определенные GPO, можно использовать сценарии Windows PowerShell так же, как и остальные сцена­ рии. Есть возможность запуска сценариев Windows PowerShell до или после других типов сценариев. Сценарии Computer Startup и Computer Shutdown назначаются как часть GPO. Таким образом, все компьютеры, которые являются членами сайта, до­ мена и организационной единицы или всех трех структур одновременно, вы­ полняют сценарии автоматически, когда загружаются или завершают работу. Чтобы назначить сценарий запуска или завершения работы, выполните сле­ дующие действия: • В Проводнике Windows откройте папку, содержащую сценарии, которые нужно использовать. Сервер на Windows и Linux • В консоли GPMC щелкните правой кнопкой мыши по GPO сайта, домена или организационной единицы, с которыми будете работать. Выберите команду Изменить, чтобы открыть редактор GPO. • В узле Конфигурация компьютера дважды щелкните на папке Конфи­ гурация Windows, затем перейдите в подпапку Сценарии (запуск/ завершение). • Для работы со сценариями запуска щелкните правой кнопкой мыши на элементе Автозагрузка и выберите команду Свойства. Для работы со сценариями завершения работы щелкните правой кнопкой на элементе Завершение работы и выберите команду Свойства. Откроется окно, подобное изображенному на рис. 3.5. • На вкладке Сценарии можно управлять сценариями командной строки (с расширениями bat или cmd) и сценариями Windows Scripting Host. На вкладке Сценарии PowerShell можно управлять сценариями Windows PowerShell. Для перехода к папке, в которой находятся сценарии, нажми­ те кнопку Показать файлы. • Скопируйте файлы в окне Проводника Windows и вставьте их в окно, которое будет открыто после нажатия кнопки Показать файлы. • Нажмите кнопку Добавить для назначения сценария. Откроется окно До­ бавление сценария. В поле Имя сценария введите имя сценария, кото­ рый был скопирован в папку Machine\Scripts\Startup или папку Machine\ Scripts\Shutdown. В поле Параметры сценария введите любые параме­ тры, которые нужно передать сценарию. Повторите этот шаг для других сценариев. • Во время запуска и завершения работы сценарии будут выполнены в том порядке, в котором они указаны в окне Свойства. Для измене­ ния порядка используйте кнопки Вверх и Вниз. На вкладке Сценарии PowerShell есть также список, позволяющий выбрать, когда должны за­ пускаться сценарии Windows PowerShell: до или после запуска других типов сценариев. • Если нужно отредактировать имя сценария или его параметры, выберите сценарий и нажмите кнопку Изменить. Для удаления сценария выберите его и нажмите кнопку Удалить. • Для сохранения изменений нажмите кнопку ОК. Глава 3. Автоматизация административных задач Рис. 3.5. Назначение сценариев компьютера Сценарии пользователя можно назначить с помощью одного из трех спосо­ бов: 1. С помощью групповой политики. В этом случае все пользователи, явля­ ющиеся членами сайта, домена или организационной единицы (или всех трех сразу) автоматически запустят сценарии при входе или выходе. 2. Можно назначить сценарии входа индивидуально, используя консоль Active Directory - пользователи и компьютеры. В этом случае можно назначить каждому пользователю или каждой группе отдельный сцена­ рий входа. 3. Посредством планировщика заданий. Для создания расписаний задач ис­ пользуется мастер создания задачи. Чтобы назначить сценарии входа или выхода в GPO, выполните следующие действия: • В Проводнике Windows откройте папку, содержащую сценарии, которые нужно использовать. • В консоли GPMC щелкните правой кнопкой мыши по GPO сайта, домена или организационной единицы, с которыми планируете работать. Выбе­ рите команду Изменить, чтобы открыть редактор GPO. 149 Сервер на Windows и Linux • В узле Конфигурация пользователя дважды щелкните на папке Кон­ фигурация Windows, затем перейдите в узел Сценарии (вход/выход из системы). • Для работы со сценариями входа щелкните правой кнопкой мыши на пап­ ке Вход в систему и выберите команду Свойства. Для работы со сце­ нариями выхода щелкните правой кнопкой мыши на папке Сценарии выхода и выберите команду Свойства. Откроется окно, подобное изо­ браженному на рис. 3.6. • Далее процесс назначения сценариев аналогичен назначению сценариев для компьютера. Рис. 3.6. Назначение сценариев пользователя 3.2.2. Развертывание программного обеспечения через групповую политику Основы развертывания ПО В групповой политике можно развертывать ПО на основе компьютеров и на основе пользователей. Приложения на базе компьютеров доступны всем пользователям компьютера и настраиваются в узле Конфигурация компьютера\Конфигурация программХУстановка программ. Можно развернуть программы тремя основными способами: 150 ^^dows Глава 3. Автоматизация административных задач 1. Назначение компьютеру — назначает программное обеспечение на компьютеры клиента, чтобы установка ПО происходила при запуске ком­ пьютера. Эта техника не требует какого-либо вмешательства со стороны пользователя, но она нуждается в перезагрузке системы для установки программ. Установленное программное обеспечение будет доступно всем пользователям компьютера. 2. Назначение пользователю — назначает программное обеспечение пользователям так, что оно будет установлено при входе пользователя в систему. Эта техника не требует какого-либо вмешательства со стороны пользователя, не предполагает входа в систему для установки програм­ мы. Установленное программное обеспечение будет доступно только конкретному пользователю. 3. Публикация пользователю — публикует программное обеспечение так, что пользователи могут установить его вручную с помощью утилиты Программы и компоненты. Эта техника требует вмешательства поль­ зователя для установки программы или активации установки. Установ­ ленное программное обеспечение будет доступно только конкретному пользователю. При использовании назначения пользователю или публикации пользовате­ лю можно объявлять программное обеспечение так, чтобы компьютер мог установить программу при ее первом использовании. В этом случае про­ граммное обеспечение может быть установлено автоматически в следую­ щих ситуациях: • Когда пользователь пытается открыть документ, для работы с которым нужна программа; • Когда пользователь открывает ярлык приложения; • Когда другому приложению требуется компонент программы. При настройке политики Установка программ не нужно использовать су­ ществующие GPO. Вместо этого следует создать объекты GPO, которые будут настраивать установку программ, и затем привязать эти GPO к соот­ ветствующим контейнерам в групповой политике. При использовании этого подхода значительно проще повторно развернуть программное обеспечение и применить обновления. 151 Сервер ив \\ indows и I Unix После создания GPO для разворачивания программного обеспечения нужно настроить точку распространения. I Точка распространения — это общая папка, которая доступна компьютерам и пользователям, для которых вы разворачиваете ПО. | Как правило, можно подготовить точку распространения путем копирова­ ния файла пакета инсталлятора и всех необходимых приложению файлов на общий ресурс и настройкой разрешений так, чтобы все эти файлы были доступны. Для других приложений, например Microsoft Office, можно подго­ товить точку восстановления путем административной установки на общий ресурс. В случае с MS Office нужно запустить программу установки с пара­ метром /а и указать общий ресурс как назначение установки. Преимущество административной установки состоит в том, что программное обеспечение может быть обновлено и повторно развернуто через политику Установка программ. Развертывание программ в домене Политика Установка программ используется только с пакетами установщика Windows (msi) и пакетами приложений нижнего уровня ZAW (zap). Iltlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllin При использовании назначения компьютера, назначения пользователя или публикации можно развернуть ПО с помощью пакетов установщика Windows. При использовании публикации можно применять как msi-пакеты, так и zap-пакеты. Необходимо установить разрешения на файле пакета уста­ новщика так, чтобы у соответствующих компьютеров и пользователей был доступ для чтения. Поскольку политика Установка программ применяется во время обработки настроек политики, развертывание приложения на компьютере обрабатыва­ ется при его запуске, а развертывание приложения для пользователя осу­ ществляется при входе в систему. Можно настроить установку с использова­ нием файлов преобразований (mst). Эти файлы изменяют процесс установки 152 Глава 3. Автоматизация административных задач согласно настройкам, которые заданы для определенных компьютеров и пользователей. Развернуть программное обеспечение можно с помощью следующих дей­ ствий: 1. В консоли GPMC щелкните правой кнопкой мыши на GPO, который нуж­ но модифицировать для распространения, и затем нажмите кнопку Из­ менить. 2. В редакторе политики разверните узел Конфигурация компьютера\ Конфигурация программ\Установка программ или узел Конфигура­ ция пользователя\Конфигурация программ\Установка программ в зависимости от типа разворачивания ПО. 3. Щелкните правой кнопкой мыши на политике Установка программ. В появившемся контекстном меню выберите команды Создать, Пакет. 4. В окне Открытие перейдите к сетевому ресурсу, в котором размещены пакеты, щелкните на пакете для его выбора и нажмите кнопку Открыть. 5. В окне Развертывание программ выберите один из следующих методов развертывания и нажмите кнопку ОК (рис. 3.7): » публичный — публикует приложение без изменений; » назначенный — назначает приложение без изменений; » особый — развертывание приложения с использованием расширен­ ных параметров настройки. Рис. 3.7. Развертывание программы Сервер на Windows и Linux После добавления пакета можно изменить его параметры. Для этого дважды щелкните по нему, чтобы открыть окно Свойства. На вкладке Развертыва­ ние можно изменить тип развертывания и настроить следующие параметры развертывания и установки. • Автоматически устанавливать приложение при обращении к файлу с соответствующим расширением — связывает приложение с файлами, которое оно обрабатывает. Программа будет установлена при первом об­ ращении к файлу связанного типа. Используется по умолчанию. • Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления — удаляет приложение, если оно больше не применимо к пользователю. • Не отображать этот пакет в окне мастера установки и удаления про­ грамм панели управления — запрещает отображение приложения в окне Установка/удаление программ, что предотвращает удаление прило­ жения пользователем. • Устанавливать это приложение при входе в систему — при входе пользователя в систему будет произведена полная установка программы, а не "объявление" приложения. Эта опция не может быть выбрана, когда приложение публикуется для пользователя. • Пользовательский интерфейс при установке — контролирует, как будет произведена установка. Значение по умолчанию — Полный, при этом пользователь увидит все экраны программы установки и все сооб­ щения. При значении Простой пользователь увидит только сообщения об ошибках и сообщение о завершении установки. 3.2.3. Настройка автоматических обновлений ОС Автоматические обновления помогают поддерживать операционную систе­ му в актуальном состоянии. Хотя можно настроить автоматические обнов­ ления на основе компьютеров, обычно необходимо настроить эту функцию для всех пользователей и компьютеров, которые обрабатывают GPO, — это более эффективная техника управления. Описанные далее групповые политики будут актуальны для систем Windows 8/10/11/Windows Server 2012/2016/2019. Глава 3. Автоматизация административных задач При управлении автоматическими обновлениями через групповую политику можно выбрать конфигурацию обновления: • Автоматическая загрузка и установка по расписанию — обновления будут автоматически загружены и установлены в соответствии с создан­ ным расписанием. Когда обновления будут загружены, операционная система уведомит пользователя, что он может просмотреть запланиро­ ванные обновления. Пользователь может установить обновления или по­ дождать, пока придет время запланированной установки. • Автоматическая загрузка и уведомление об установке — операцион­ ная система получит все обновления и, когда они станут доступны, уве­ домит пользователя, что они готовы к установке. Пользователь может принять или отклонить обновления. Принятые обновления будут уста­ новлены. Отклоненные обновления не будут установлены, но останутся в системе, и их можно будет установить позже. • Уведомление о загрузке и установке — операционная система уведом­ ляет пользователя перед получением любых обновлений. Если пользова­ тель выберет загрузку обновлений, у него есть еще возможность принять или отклонить их. Принятые обновления будут установлены. Отклонен­ ные обновления не будут установлены, но останутся в системе, и их мож­ но будет установить позже. • Разрешить локальному администратору выбирать параметры — позволяет локальному администратору настраивать автоматическое об­ новление. Заметьте, что используются любые другие опции, локальные пользователи и администраторы не могут изменить параметры автомати­ ческого обновления. Настроить автоматическое обновление можно так: 1. В консоли GPMC щелкните правой кнопкой мыши по GPO, с которым нужно работать, и выберите команду Изменить. 2. В редакторе политик разверните узел Конфигурация компьютерах ПолитикиХАдминистративные шаблоны\Компоненты WindowsX Центр обновления Windows. 3. Дважды щелкните на политике Настройка автоматического обновле­ ния. В появившемся окне можно включить или отключить управление Сервер на Windows и Linux автоматическими обновлениями с помощью групповой политики. Для включения управления автоматическими обновлениями установите пере­ ключатель Включено, для отключения управления — переключатель Отключено. Нажмите кнопку ОК и пропустите следующие шаги. 4. Из списка Настройка автоматического обновления выберите опцию обновления. 5. Если выбрана опция Автоматическая загрузка и установка по распи­ санию, можете выбрать день и время установки обновлений. Нажмите кнопку ОК для сохранения изменений. 3.3. Планировщик заданий I Посредством планировщика заданий можно автоматизировать за­ пуск различных задач на сервере. Вызвать планировщик заданий можно через меню Средства диспетчера серверов (рис. 3.8). ® Планировщик заданий файл Действие 2ид Справка ©Планировщик заданий (До •■*• © Библиотека планировир > ^ Microsoft Действия Обзор планировщика заданий Подключиться к другом... ’ © Для создания и управления общими заданиями, автоматически выполняемыми в указанное время, можно использовать планировщик заданий. Для начала выберите команду в меню "Действие*. Создать простую задачу... Создать задачуЗадания хранятся в папках библиотеки планировщика заданий. Для просмотра или выполнения действия с отдельными заданиями выберите задание а библиотеке планировщика заданий и щелкните команду в меню "Действие* — Состояние задач, начатых в указанный период времени.- за последние 2* часа Сводка: всего - 51,0 - выполнение. 51 - успех, 0 - остановлено. О - ошибка Импортировать задачу... Отображать все выполн. Отключить журнал всех... настройка учетной запи... Вид Обновить Справка Результ... Начало вы... Название задачи Завершени... Иницииро.. ЕВ .NET Framework NGEN у™ Ш .NET Framework NGEN vШ AnaiyzeSystem (последи... И appunverifierdaiiy (поел... Ш ConsoMdator (посоеднеШ Device (последнее вып... Последнее обновление в 06.04.2020 15:36:59 Рис. 3.8. Планировщик заданий Для создания новой задачи выполните следующие действия: Г 156 I i;iiu 3 \biom:ii и шипя a imiiiiiici p:u пвных hi лич 1. На панели Действия выберите команду Создать задачу. 2. В появившемся окне Создание задачи на вкладке Общие введите назва­ ние задачи, ее описание (если нужно). 3. Нажав кнопку Изменить, можно выбрать учетную запись, от имени ко­ торой будет запущена задача. На рис. 3.9 задача будет выполняться от имени администратора. 4. Выберите, для кого нужно выполнять эту задачу - только для пользовате­ лей, вошедших в систему, или для всех пользователей. 5. Перейдите на вкладку Триггеры и нажмите кнопку Создать. Триггеры позволяют определить, когда именно будет выполнена задача. 6. В окне Создание триггера определите, когда именно будет выполнена задача: » Однократно - задача будет выполнена один раз в указанное время. » Ежедневно - задача будет выполняться каждый день в указанное вре­ мя. » Еженедельно - задача будет выполняться раз в неделю в указанное время. » Ежемесячно - задача будет выполняться раз в месяц в указанное вре­ мя. 7. Определите другие параметры триггера, например, задайте срок действия задания. После того как будете готовы, наймите кнопку ОК. 8. Перейдите на вкладку Действия и нажмите кнопку Создать. 9. В окне Создание действия выберите тип действия: » Запуск программы - единственное рекомендуемое действие. » Отправить сообщение электронной почты - данное действие не ре­ комендуется Microsoft. » Вывести сообщение - пользователю будет выведено сообщение в указанное время (не рекомендуется). 10. Установите параметры в зависимости от выбранного действия. Для за­ пуска программы нужно указать путь к программе и задать (если нужно) аргументы и рабочий каталог. Сервер на Windows и Linux_________________________ 11. Нажмите кнопку ОК. 12. Перейдите на вкладку Условия и задайте условия, определяющие необ­ ходимость выполнения задачи: » Запускать задачу при простое компьютера — будет ли задача запу­ щена при простое компьютера. » Останавливать при выходе из простоя — выполнение задачи будет прервано, как только компьютер выйдет из состояния простоя (пользо­ ватель пошевелит мышкой или нажмет любую клавишу). » Перезапускать при возобновления простоя — задача будет переза­ пущена, если простой возобновится. » Запускать только при питании от электросети — актуально для но­ утбуков, чтобы не увеличивать разряд аккумулятора. » Останавливать при переходе на питание от батарей — если вы­ полнение задачи началось, а затем компьютер перешел на питание от батарей, выполнение задачи будет приостановлено. » Запускать только при подключении к следующей сети — позволяет выбрать сеть, при подключении к которой будет выполнено задание. Для серверов этот параметр неактуален, поскольку они, как правило, подключены к одной и той же сети. 13. Перейдите на вкладку Параметры и установите дополнительные пара­ метры задачи: » Выполнять задачу по требованию — позволяет настроить запуск за­ дания по требованию (то есть вручную) до или после назначенного запуска. » Немедленно запускать задачу, если пропущен плановый запуск — если случилось так, что задача не была выполнена, например, из-за отключения электричества, то этот параметр позволит сразу же, как только появится возможность, выполнить задачу. » При сбое выполнения перезапускать через — позволяет перезапу­ стить задачу, если произошел сбой. » Останавливать задачу, выполняемую дольше — если выполнение задачи заняло больше указанного промежутка времени, ее выполнение будет прервано. I 158 ] Глава 3. Автоматизация административных задач » Принудительная остановка задачи, если она не прекращается по запросу — если задача не реагирует на ’’мягкий” останов, она будет остановлена принудительно. » Если повтор задачи не запланирован, удалять через — позволяет удалить задачу, если не запланирован ее повтор. » Если задача уже выполняется, то применять правило — позволяет применить одно из правил к задаче, если она уже выполняется. До­ пустим, вы создали задачу, которая должна выполняться каждый час. Но выполнение задачи заняло более часа, поэтому она еще выполняет­ ся, но пришло время снова выполнить ее. По умолчанию применяется правило Не запускать новый экземпляр, что позволит не запускать задачу снова, если она еще выполняется. 14. Нажмите кнопку ОК для создания задачи. X Создание задачи Общие Триггеры Действия Условия Параметры Имя: Размещение: \ Автор: ЕХАМР1Е\Администратор Описание: Параметры безопасности При выполнении задачи использовать следующую учетную запись пользователя: Изменить... ЕХАМР1Е\Администратор # Выполнять только для пользователей, вошедших в систему : О выполнять для всех пользователей I ; Не сохранять .пароль. Будут доступны ресурсы только локального компьютера, □ Выполнить с наивысшими правами □ Скрытая задача Настроить для: Windows Vista™. Windows Server™ 2008 OK। Отмена Рис. 3.9. Создание задачи Мы рассмотрели основные вопросы, связанные с автоматизацией админи­ стративных задач. ' 159 J Глава 4. Основы безопасности Windows Server Сервер на Windows и Linux Методы обеспечения безопасности важны для успешного системного ад­ министрирования. Существуют два ключевых способа сконфигурировать настройки безопасности: использование шаблонов безопасности и политик безопасности. 4.1. Шаблоны безопасности 4.1.1. Введение в шаблоны безопасности 11111111111111111111111П1111111111111111111111111111111В1111111111111111111111111111111111!11111111111111111111111111111111111111111111111111Ш1111111111Н11111111111111111П1111Н111111111111Н1111111111111111^^ Шаблоны безопасности предоставляют централизованный способ | управления настройками, связанными с безопасностью рабочих стан-1 ций и серверов. Можно использовать шаблоны безопасности для применения их к определе­ ниям групповой политики на конкретных компьютерах. Данные определения политики обычно влияют на следующие политики: • Политики учетных записей. Контролируют безопасность паролей, учетных записей пользователей и безопасность Kerberos. S Endows Глава 4. Основы безопасности Windows Server • Локальные политики. Управляют аудитом, назначением прав пользова­ телям и другими настройками безопасности. • Политики протоколирования событий. Управляют безопасностью для протоколирования событий. • Политики ограниченных групп. Управляют безопасностью локальной группы. • Политики системных служб. Контролируют безопасность и режим за­ пуска локальных служб. • Политики файловой системы. Контролируют безопасность файлов и па­ пок локальной файловой системы. • Политики реестра. Контролируют права доступа на ключах реестра, свя­ занных с безопасностью. Работа с шаблонами безопасности — сложный процесс, состоящий из сле­ дующих шагов: • Используйте оснастку Шаблоны безопасности для создания нового шаблона или выбора существующего шаблона, который нужно изменить. • Используйте оснастку Шаблоны безопасности для внесения необходи­ мых изменений в настройки шаблона и для сохранения изменений. • Используйте оснастку Анализ и настройка безопасности для анализа различий между выбранным шаблоном и текущими настройками ком­ пьютерной безопасности. • При необходимости пересмотрите шаблон после того, как найдете разли­ чия между настройками шаблона и текущими настройками компьютера. • Используйте оснастку Анализ и настройка безопасности для примене­ ния шаблона и перезаписи существующих настроек безопасности. При работе с шаблонами безопасности нужно определить, можно ли исполь­ зовать существующий шаблон в качестве отправной точки. Другие админи­ страторы, возможно, тоже создали шаблоны, или у организации есть базовые шаблоны, которые нужно использовать. Также можно создать новый шаблон и принять его в качестве начальной точки. 163 и _ ___ __________ _______ |ЦИНИ|ИО^ _ Примечание. Шаблоны безопасности доступны во всех инсталля­ циях Microsoft Windows Server и могут быть импортированы в любой объект групповой политики. Шаблоны безопасности применяются только к области Конфигурация компьютера групповой политики. Они не применяются к области Конфигурация пользователя. В групповой политике вы найдете применяемые параметры в Конфигурация компьютера\Конфигурация Windows\F1apaMeTpbi безопасности. Неко­ торые параметры безопасности не включены, например те, которые применяются к беспроводным сетям, публичным ключам, ограничени­ ям программного обеспечения и IP-безопасности. Совет. Если вы выбираете шаблон, который вы хотите использовать в качестве начальной точки, вы должны пройти через каждую установку, которую применяет шаблон. Оценить, как эта установка влияет на вашу среду. Если установка не целесообразна, вы должны изменить или удалить ее. Не используйте оснастку Шаблоны безопасности для применения шабло­ нов. Для применения шаблонов нужно использовать оснастку Анализ и настройка безопасности. Также вы можете использовать эту оснастку для сравнения настроек шаблона с текущими настройками компьютера. Резуль­ таты анализа выделяют области, где текущие настройки не соответствуют настройкам в шаблоне. 4.1.2. Использование оснасток «Шаблоны безопасности» и «Анализ и настройка безопасности» Вы можете открыть оснастки Шаблоны безопасности и Анализ и настрой­ ка безопасности (рис. 4.1) так: 1. Запустите консоль управления Microsoft (команда ттс). Один из спосо­ бов сделать это - нажать клавишу Windows, ввести mmc.exe и нажать Enter. 164 Ф Глава 4. Основы безопасности Windows Server 2. В консоли управления выберите команду Файл, Добавить или удалить оснастку. 3. В окне Добавление и удаление оснасток выберите Шаблоны безопас­ ности и нажмите Добавить. 4. Выберите Анализ и настройка безопасности, нажмите Добавить, по­ том нажмите ок. Добавление и удаление оснасток Вы можете выбрать оснастки для этой консоли из доступных на компьютере оснасток и затем настроить их. Для расширяемых оснасток можно настроить требуемое расширение. Доступные оснастки: Выбранные оснастки: Оснастка Поставщик ^Анализ и настрой.... Корпорация... : Я Корень консоли i ^Анализ и настройка безопасней Изменить расширения... ^Диспетчер автори.... Корпорация... ^Диспетчер служб .... Microsoft Со... Л Диспетчер устрой.. . Корпорация... ^Локальная архив... (с) Корпора... ^ Локальные польз..., Microsoft Со... Ж Маршрутизация и.... Microsoft Со... S Монитор 1Р-безоп.... 1^ Монитор брандма.... Microsoft Со... ^ Общие папки Я Папка Microsoft Со... й Просмотр событий (с) Корпора... Microsoft Со... Корпорация... 0Планировщик зад... (с) Корпора... J/ Редактор объекте... Microsoft Со... Дополнительно... Описание: "Анализ и настройка безопасности'' • это оснастка ММС, позволяющая анализировать и настраивать параметры безопасности на компьютерах Windows с помощью файлов шаблонов безопасности. ОК Отмена Рис, 4.1. Добавление оснастки Шаблоны безопасности в консоль ттс По умолчанию оснастка Шаблоны безопасности ищет шаблоны в каталоге %SystemDrive%\Users\%UserName%\Documents\Security\Templates. Вы можете добавить другие пути для поиска шаблонов с помощью следую­ щих действий: 1. Выберите оснастку Шаблоны безопасности в ММС, из меню Действие выберите команду Новый путь для поиска шаблонов. 2. В окне Обзор папок выберите папку с шаблонами, например %SystemRoot%\security\templates\policies, и нажмите ОК. Теперь, когда вы определили местоположение для поиска шаблонов, с кото­ рыми вы будете работать, выберите шаблон и просмотрите его настройки. Если готовых шаблонов пока нет, самое время их создать. ж И Windows Сервер на Windows и Linux Создать новый шаблон можно так: 1. В оснастке Шаблоны безопасности щелкните правой кнопкой мыши по пути, в котором нужно создать шаблон, и выберите команду Создать шаблон. 2. Введите имя и описание шаблона в появившемся окне. 3. Нажмите ОК для создания шаблона. Будет создан шаблон, но ни один из параметров не будет настроен, поэтому вам нужно внимательно настро­ ить шаблон перед его использованием. 4. После того как вы измените настройки шаблона, щелкните на его назва­ нии и выберите команду Сохранить. Альтернативно, вы можете исполь­ зовать команду Сохранить как, чтобы назначить шаблону новое имя. % Консоль! - [Корень консоли\Шаблоны 6езолэсности\СЛизег5\Администратор\Ооситепгз\5есип!у\Тетр1а!е$\5ег¥ег] ^ файл Действие 4* *! ^й ж ' Дид Избранное Qkho Справка Е ^ ..'.. Корень консоли 4 ^ Анализ и настройка безопасности Л Политики учетных записей v ^ Шаблоны безопасности Я Локальные политики Имя * ^i C:\Usea\A4MHHecrpaTop\Documents\Secur<1 J Журнал событий * 3 Server Ж Группы с ограниченным досту... •’ И Политики учетных записей ^Системные службы > Л Локальные политики 4 Реестр ' J Журнал событий Ш Группы с ограниченным доступом '^Файловая система Описание Политики паролей и блокировки у... Политики аудита, прав пользовате... Журнал событий Дополнительные ► Группы с ограниченным доступом Параметры системной службы Параметры безопасности реестра Параметры безопасности файлов© .. . 4 Системные службы > С4 Реестр > ^ Файловая система Рис. 4.2. Шаблон Server создан 4.1.3. Изменение настроек для политик учетных записей, локальных политик и журнала событий Настройки политики учетных записей (узел Политики учетных записей) контролируют безопасность паролей, блокировки учетных записей, а также безопасность Kerberos. Параметры локальных политик (узел Локальные политики) контролиру­ ют безопасность аудита, назначения прав пользователям и другие настройки безопасности. I kii'j 4 Основы бсюнаснос! и W indows Server g|w/ndou3 Параметры журнала событий (узел Журнал событий) контролируют без­ опасность журнала событий. Настройки политики учетных записей, локальных политик и журнала без­ опасности можно изменить с помощью следующих действий: • В оснастке Шаблоны безопасности разверните нужный узел, а затем вы­ берите соответствующий подузел, например Политика паролей или По­ литика блокировки учетной записи. • На правой панели параметры политики выводятся в алфавитном порядке. Значение в колонке Параметр компьютера отображает текущее значе­ ние. Если шаблон изменяет настройки так, что политика больше не ак­ тивна, в этой колонке будет значение Не определено. • Дважды щелкните на параметре, чтобы отобразить диалог Свойства, изображенный на рис. 4.3. Для определения назначения параметра пере­ йдите на вкладку Объяснение. Для определения политики в шаблоне включите флажок Определить следующий параметр политики в шаблоне. Для отмены применения политики снимите этот флажок. Свойства: Минимальная длина пароля ? X Параметр шаблона политики безопасности Объяснение Минимальная длина пароля 0 Определит* следующий параметр политики ■ шаблоне Длина пароля не менее. Н X ’* I 0* 44 : Отмена Применить ; Рис. 4.3. Изменение настроек шаблона • Если вы включите настройку политики, укажите ее значение и любые другие дополнительные параметры. • Нажмите ОК для сохранения изменений. Вы увидите диалог Suggested Value Changes, показанный на рис. 4.4. Этот диалог информирует вас Сервер на Windows и Linux о других значениях, которые изменены на основании измененных вами значений. Например, когда вы изменяете настройки Пороговое значение блокировки, Windows также может изменить настройки Время до сбро­ са счетчика блокировки и Продолжительность блокировки учетной записи. Предлагаемые изменения значений X Так как значение “Пороговое значение блокировки* изменено на "5 ошибок входа в систему", следующие элементы получат предлагаемые значения. Политика Параметр шаблона Предлагаемое значен... . Время до сброса счетчика блокировки Не определено 30 мин Не определено 30 мин. ч Продолжительность блокировки уче.. > < ОК Отмена Рис. 4.4. Предлагаемые значения 4.1.4. Настройка групп с ограниченным доступом Настройки политики групп с ограниченным доступом управля-1 ют списком членов групп, а также группами, к которым принадлежит | настроенная группа. . ............................................................... iiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii....... iiiHiiiiiiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiitiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiitF Вы можете настроить ограниченную группу так: 1. В оснастке Шаблоны безопасности выберите узел Группы с ограни­ ченным доступом. На правой панели вы увидите уже настроенные груп­ пы с ограниченным доступом в алфавитном порядке. Также перечислены члены группы. 2. Для добавления ограниченной группы щелкните правой кнопкой мыши по узлу Группы с ограниченным доступом и выберите команду Доба­ вить группу. В диалоге Добавление группы нажмите кнопку Обзор. 3. В диалоге Выбор: «Группы» введите группу, которую вы хотите ограни­ чить, или нажмите Проверить имена. Если будет найдено несколько со­ впадений, выберите учетную запись, которую вы хотите использовать, и затем нажмите ОК. Если совпадения не будут найдены, измените введен- I kii i 4 Основы бе {опасное i и \\ melons Sein er ное вами имя и попытайтесь поискать снова. Повторите этот шаг столько раз, сколько будет необходимо, затем нажмите ОК. 4. В диалоге Свойства, показанном на рис. 4.5, вы можете использовать опцию Добавить членов группы для добавления членов в груп­ пу. Нажмите кнопку Добавить членов группы, а затем укажите чле­ нов группы. Если в группе не должно быть никаких членов, выделите всех членов и нажмите Удалить. Любые члены, которые не определены в установке политики для ограниченной группы, будут удалены при при­ менении шаблона безопасности. 5. В диалоге Свойства нажмите кнопку Добавить группы для указания групп, к которым эта группа будет принадлежать. Если вы не определяете членство в группах, группы, которым принадлежит эта группа, не будут изменены при применении шаблона. 6. Нажмите ОК для сохранения настроек. HSJUSRS Свойства ? X Настройка членства для HSJUSRS Члены этой группы: НЭтв группа должна быть пустой» Ц|2^^Т^^^Л^ПГТЫ J Zta»'« Эта группа входит в ;<Группы. которым принадлежит эта группа. н< ; изменяться» » ^:!- Добавить группы ОК Отмена ‘ ■>«□« Рис. 4.5. Свойства группы Для удаления ограниченной группы выполните эти действия: • В оснастке Шаблоны безопасности выберите узел Группы с ограни­ ченным доступом. На панели справа будут в алфавитном порядке вы­ ведены группы. Члены группы будут выведены напротив имени группы. • Щелкните правой кнопкой мыши (или нажмите и удерживайте имя груп­ пы пальцем) и выберите команду Удалить. Когда вас попросят подтвер­ дить действие, нажмите Да. и j|Windows 4.1.5. Включение, отключение и настройка системных служб Настройки политики для системных служб контролируют об­ щую безопасность и режим запуска локальных служб. Вы можете включить, выключить и настроить системные службы: 1. В оснастке Шаблоны безопасности выберите узел Системные службы. На панели справа будут отображены установленные в данный момент службы, выводится имя службы, тип запуска и настройка разрешений. Когда работаете со службами, помните следующее: » Если шаблон не изменяет тип запуска службы, в колонке Автозагруз­ ка выводится Не определено. В противном случае выводится одно из следующих значений: Автоматически, Вручную, Отключен. » Если шаблон не изменяет конфигурацию безопасности службы в ко­ лонке Разрешение, выводится значение Не определено. В противном случае выводится Настроено. 2. Дважды щелкните по записи службы, чтобы открыть ее диалог Свой­ ства, изображенный на рис. 4.6. Чтобы определить и применить пара­ метры политики, включите флажок Определить следующий параметр политики в шаблоне. Для очистки политики и отмены ее применения снимите этот флажок. 3. Если вы включите настройку политики, укажите тип запуска службы: Ав­ томатический, Вручную, Запрещен. Помните следующее: » Автоматический - служба будет запущена автоматически при за­ пуске операционной системы. Выберите эту установку для важных служб, которые точно безопасны. Эти службы будут запущены на всех компьютерах, к которым применяется шаблон безопасности, если, ко­ нечно, службы установлены на этих компьютерах. » Вручную - предотвращает автоматический запуск службы, но раз­ решает запуск службы вручную пользователем, приложением или другой службой. Выберите эту установку, когда нужно ограничить не­ нужные или неиспользуемые службы или когда вам нужно ограничить службы, которые не совсем безопасны. 170 U Window;I кии । ( к новы ос юниспос i и \\ indows Sci \ er » Запрещен - предотвращает запуск службы, автоматический или руч­ ной. Выберите эту установку для службы, запуск которой вы хотите запретить. 4. Если вы хотите изменить (или просто просмотреть) конфигурацию безо­ пасности, нажмите кнопку Изменить параметры. Появится диалог Без­ опасность для <Название службы>, в котором вы сможете установить разрешения для определенных пользователей и групп, которые могут за­ пускать, останавливать и приостанавливать службу на компьютере. 5. Нажмите ОК. ? Свойства: DHCP-клиент X Параметр шаблона политики безопасности QОпределить следующий параметр политики в шаблоне; Выберите режим запуска службы: Q автоматический ОВручную Запрещен Изменить параметры... Отмена Прицепить Рис. 4.6. Изменяем настройки шаблона для системных служб 4.1.6. Настройка параметров безопасности для реестра и файловой системы Настройки политик для файловой системы контролируют безопас­ ность для файлов и папок в локальной файловой системе. Параметры политик для реестра контролируют значения ключей реестра, связан­ ных с безопасностью. Illlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllr Вы можете просмотреть или изменить параметры для определенных в дан­ ный момент ключей реестра и путей файловой системы с помощью следую­ щих действий: [ 171 .a 1. В оснастке Шаблоны безопасности выберите узел Реестр или Файло­ вая система, в зависимости от того, с чем вы хотите работать. На правой панели будет выведен список всех защищенных путей. Для добавления пути в список щелкните правой кнопкой мыши на узле Реестр или Фай­ ловая система и выберите команду Добавить раздел или Добавить файл соответственно. 2. Дважды щелкните на пути реестра или файловой системы для просмотра его параметров, как показано на рис. 4.7. ^ Файл Действие Вид Избранное Окно Справка П X ^;О Корень консоли Is Анализ и настройка безопасности $$ SOFTWARE fe Шаблоны безопасности ф & Classes Добавление объекта v ^ C.XUsersXAAMHHHopaTopxDocuments'i ф<' Clients «? DefauWLiseiEwiront ~ 3 Server К Google MACHIN&.SOFTWARE'.GoogleXChfcime'NamMessastngHostsVconYi * 31 Политики учетных записей Ж? Chrome ; Ж Политика паролей й v’ NMveM«ssai Ж’ Политика блокировки учет* ф ^? Intel ' Ж Политика Kerberos ф Настроить этот раздел Ф •£' Microsoft IS Локальные политики $ Распространить наследуемые разрешения на все Ф ^' ODBC J Журнал событий подразделы ф £• Partner .» Группы с ограниченным досту( Ф k’ Policies Q Заменить текущие разрешения во всех подраздел! й Системные службы наследуемыми ДыОрэнныЯ раздел: в Реестр li^HmsoFTW^ О запретить замену разрешений а этен разделе Ж Файловая система Дополнительные. Изменить параметры I22KZ] : °™«ма l\ Расширенный \Стандартный ' Рис. 4.7. Измените параметры шаблона для файлов и ключей реестра 3. Чтобы убедиться, что путь или ключ не заменяется, выберите Запретить замену разрешений в этом разделе, а затем нажмите ОК. Пропустите оставшиеся шаги этой процедуры. 4. Чтобы заменить разрешения, выберите Настроить этот раздел, а затем одну из двух опций: » Распространить наследуемые разрешения на все подразделы (или соответствующее название для файлов) - выберите эту опцию для применения всех наследуемых разрешений к этому пути реестра или файловой системы и ко всем вложенным путям реестра/файловой системы. Существующие разрешения будут заменены, только если они конфликтуют с разрешениями безопасности для этого пути. Ф I . iuiu 4 Основы бе юнаснос i и XX indows Sen er » Заменить текущие разрешения во всех подразделах наследуемы­ ми (или соответствующее название для файлов) - выберите эту опцию для замены всех существующих разрешений для этого пути реестра или пути файловой системы и для всех вложенных путей реестра или путей файловой системы. Любые существующие разрешения будут удалены, останутся только текущие разрешения. 5. Нажмите Изменить параметры в диалоге Безопасность базы данных для настройки разрешения безопасности для пользователей и групп. Установка разрешений подобна аналогичной процедуре для файлов/папок на файловой системе NTFS. 6. Нажмите ОК дважды для сохранения изменений. 4.1.7. Анализ, просмотр и применение шаблонов безопасности Как было указано ранее, оснастка Анализ и настройка безопасности ис­ пользуется для применения шаблонов и для их сравнения с текущими на­ стройками компьютера. Применение шаблона позволяет удостовериться, что параметры шаблона были применены к конфигурации компьютера. Сравнение настроек может помочь идентифицировать любые несоответ­ ствия между тем, что реализовано в настоящее время, и тем, что определено в шаблоне безопасности. Это может также быть полезно, чтобы определить, изменялись ли настройки безопасности в течение долгого времени. Основной недостаток использования оснастки Анализ и настройка без­ опасности в том, что вы не можете сконфигурировать несколько компью­ теров сразу. Вы можете настроить безопасность только на компьютере, на котором вы запускаете оснастку. Если нужно использовать этот инструмент, чтобы развернуть конфигурации безопасности, вы должны войти в систе­ му и запустить ее на каждом компьютере. Этот метод нормально работает на автономных компьютерах, но является далеко не самым оптимальным в домене. В домене вам нужно импортировать настройки шаблонов в объект групповой политики и затем развернуть конфигурацию безопасности сразу на множестве компьютеров. Об этом мы поговорим позже. Оснастка Анализ и настройка безопасности использует базу данных для хранения настроек шаблона безопасности и затем применяет настройки из этой базы данных. Для анализа и сравнения настройки шаблона перечисле- Сервер на Windows и Linux ны как настройки базы данных, а конфигурация компьютера - как настрой­ ки компьютера. Имейте в виду, что если вы активно редактируете шаблон в оснастке Шаблоны безопасности, вам нужно сохранить шаблон, чтобы изменения могли быть проанализированы и использованы. После создания шаблона (или выбора существующего шаблона) вы можете проанализировать и затем настроить шаблон следующим образом: 1. Откройте оснастку Анализ и настройка безопасности. 2. Щелкните правой кнопкой мыши на Анализ и настройка безопасности, затем выберите команду Открыть базу данных. Будет открыт одноимен­ ный диалог. 3. По умолчанию путь в диалоге Open Database будет установлен в %SystemDrive%\Users\%UserName%\Documents\Security\Database. При не­ обходимости смените каталог. В поле Имя файла введите описываю­ щее имя базы данных, например Сравнение конфигурации, и нажмите Открыть. База данных безопасности будет создана в формате Security Database Files (расширение .sdb). 4. Откроется окно Импорт шаблона. По умолчанию путь для поиска шаблонов - %SystemDrive%\Users\%UserName%\Documents\Security\ Templates. При необходимости вы можете перейти в другую папку. Выбе­ рите шаблон безопасности, который вы желаете использовать, и нажмите Открыть. Файл шаблона безопасности имеет расширение .inf. 5. Щелкните правой кнопкой мыши по узлу Анализ и настройка безопас­ ности и выберите команду Анализ компьютера. Когда вас попросят установить путь для журнала, нажмите ОК, чтобы использовать путь по умолчанию. 6. Дождитесь, пока оснастка выполнит анализ шаблона. Если во время ана­ лиза произойдет ошибка, вы сможете просмотреть журнал ошибок, щел­ кнув правой кнопкой мыши по Анализ и настройка безопасности и выбрав команду Показать файл журнала. Когда вы работаете с оснасткой Анализ и настройка безопасности, вы сможете просмотреть разницу между настройками шаблона и текущими настройками компьютера. Как показано на рис. 4.8, настройки шаблона вы­ водятся в колонке Параметр базы данных, а настройки компьютера - в 174 Параметр компьютера. Если настройка не анализируется, выводится Не определено. ^| Консоль! - [Корень консоли\Анаяиэ и настройка беэопасностИ\Политиюг учетных мписей\Полигика паролей! Дид Ill файл Действие *♦ Г Х^ В 'Г Избранное Окно □ X Оправка Корень консоли Ж Анализ и настройка безопасности * Л Политики учетных записей Jb Политика паролей В Политика блокировки учетной записи .1 Локальные политики Л Журнал событий за Группы с ограниченным доступом Политика Параметр баз... Параметр компь... Действия ввести журнал паролей Не определено 0 сохраненных па» Политика паролей ^Максимальный срок действия пароля Не определено 42 ди. ^ Минимальная длина пароля Не определено Озн. 33 Минимальный срок действия пароля Не определено Одн. £3 Пароль должен отвечать требованиям слож... Не определено Включен & Хранить пароли, используя обратимое шиф... Не определено Отключен Дополнительные... ► за Системные службы 4 Реестр 4 Файловая система v Ж Шаблоны безопасности v 4 C:\Users\A3MHHHCTpaTop\Documents\Secii4 3 Server Рис. 4.8. Просмотрите разницу между настройками шаблона и компьютера Внести изменения в базу данных (то есть изменить значение в колонке Параметр базы данных) можно следующим образом: • В оснастке Анализ и настройка безопасности дважды щелкните на зна­ чении, которое вы хотите изменить. • В диалоге Свойства (рис. 4.9) выводится текущее значение, установлен­ ное в настройках компьютера. Если назначение параметра вам непонят­ но, перейдите на вкладку Объяснение. • Для определения значения политики включите флажок Определить сле­ дующую политику в базе данных. Для очистки политики и отмены ее применения выключите этот флажок. • Если вы включаете настройку политики, укажите, как значение политики должно использоваться, указав любые дополнительные параметры. • При необходимости повторите этот процесс. Для сохранения изменений в базе данных щелкните правой кнопкой по узлу Анализ и настройка безопасности и выберите команду Сохранить. Сервер на Windows и Linux Свойства: Максимальный срок действия пароля ? X Анализируемый параметр политики безопасности Объяснение Максимальный срок действия пароля Параметр компьютера Срок истечения действия пароля. Й2дн. [✓Определить следующую политику в базе данных!) Срок истечения действия пароля: Этот параметр влияет только на базу данных. Он не изменяет текущие параметры компьютера. OK J Отмена Применить Рис. 4.9. Изменение настройки политики в базе данных перед применением шаблона Когда вы будете готовы применить шаблон, щелкните правой кнопкой мыши по узлу Анализ и настройка безопасности и выберите команду Настроить компьютер. Когда вас попросят ввести путь к журналу ошибок, нажмите ОК для использования пути по умолчанию. Для просмотра журнала ошибок щелкните правой кнопкой мыши по узлу Анализ и настройка безопасно­ сти и выберите команду Показать файл журнала. Обратите внимание на любую проблему и примите соответствующие меры. 4.2. Политики, на которые стоит обратить внимание 4.2.1. Удаляем лишние команды из Проводника Откройте редактор групповой политики (команда gpedit.msc) и перейдите в раздел Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Проводник (рис. 4.10.). 176 Глава 4. Основы безопасности Windows Server □ J? Редактор локальной групповой политики файл Действие Вид Справка Windows fowerSheii ' Виртуализация средств взаимодейс У Гаджеты рабочего стола □ Диспетчер вложений ■3 Диспетчер окон рабочего стола ; Добавить компоненты 8 Windows К < Запуск при первом включении коме ; Звукозапись 3 Календарь Windows S3 Консоль управления (МЫС) S3 Магазин .3 Найти S3 Общий сетевой доступ S3 Отзыв файлов Чтобы просмотреть описание элемента, выделите его. Состояла Комментарий г: Отключить отображение эскизов и отображ... Не задана Нет £ Отключить отображение эскизов и отображ... Не задана Нет 1; Отключить кэширование эскизов в скрытых... Не задана Нет В не показывать центр начальной настройки .... Не задана Нет Состояние . Общее диалоговое окно открытия файлов х Панель кадра проводника 3: Предыдущие версии Нет Щ Эключить классическую оболочку 1: Запрашивать подтверждение при удалении... Не задана Нет ^ Место, где располагаются see Файлы опрсде„ Не задана Нет 10 Отключить прямую привязку к iPrnpertySetSt. ЛО Отключить возможности библиотеки Windo.. S3 Отчеты об ошибках Windows :3 Параметры входа Windows s Параметры презентации .. 'Планировщик заданий S3 Планшет S3 Политики автозапуска S3 Пользовательский интерфейс грани Пользовательский интерфейс учеты : Проводник S3 Проигрыватель Windows Media S3 Рабочие папки :; Расположение и датчики .3 Редактор метода ввода IS Отключить известные папки 13 Отключить отображение предыдущих поиск.. Не задана .И Разрешить использование только пельзовзт... Не задана Не задана 13 Запускать проводник со свернутой лентой Нет 1J Отключить отображение фрагментов в режи». Не задана ЙЗ Не отслеживать ярлыки оболочки при пере», Не задана т. Максимальная длина списка «Недавние доку... Не задана нет 1; Удалить возможности записи компакт-дисков Не задана Нет & Отключить кэширование эскизов изображен... Не задана Нет Не задана Нет незадача J&L ;L Запретить изменение видеоэффектов для ме.. 1} Запретить изменение указателя клавиатурная . >s Удад&ь акдц^ Расширенный 4 Стандартный / __ 4? параметре® Рис. 4.10. Параметры Проводника Как видите, есть много полезных и не очень политик. Рассмотрим несколь­ ко полезных. Так, политика Скрыть выбранные диски из окна «Мой компьютер» (рис. 4.11) позволяет удалить значки выбранных дисков из окна Этот компьютер (в последних версиях Windows это окно называется именно так). Ц Скрыть выбранные диски из окна «Мой компьютер» К Скрыть выбранные диски из окна «Мой компьютер» О Не задано „ . Предыдущий параметр Следующим параметр Комментарий: ф включено Оточено Греб08ания K6epc„. ^е ^же w^$^...... ............................... ......... :................................. Параметры: Выберите одну из указанных комбинаций Справка: Этот параметр политики позволяет скрывать выбранные диски в окне «Мой компьютер». Ограничить доступ к диску О Этот параметр политики позволяет удалять значки выбранных жестких дисков из окна «Мой компьютер» и проводника. Кроме того, буквы дисков, представляющие выбранные диски, не отображаются в стандартном диалоговом окне «Открыть». ■Если вы включаете этот параметр политики, выберите диск или группу дисков в раскрывающемся списке. Примечание. Этот параметр политики удаляет значки дисков. Пользователи при этом могут получить доступ к содержимому скрытых дисков с помощью других Рис. 4.11. Ограничиваем доступ пользователей к определенным дискам Сервер на Windows и Linux Впрочем, если пользователь окажется умным и введет путь диска (напри­ мер, D:\) в окне Проводника, он сможет получить доступ к нему. Для таких умных пользователей предназначена политика Запретить доступ к дискам через «Мой компьютер» (рис. 4.12). Рис. 4.12. Запретить доступ к дискам Неплохо было бы еще и запретить пользователю использовать окно Выпол­ нить (открывается при нажатии Win + R). Для этого нужно включить поли­ тику Отключить сочетания клавиш Windows + X. Правда, эта политика «убьет» все сочетания, в том числе и Win + R, но отдельной политики, кото­ рая бы отключала отдельные команды, в современных версиях Windows нет (хотя раньше была политика, скрывающая команду Выполнить). 4.2.2. Запрещаем доступ к командной строке и PowerShell Окно Выполнить используют самые начинающие пользователи. Продвину­ тые пользователи используют или командную строку, или PowerShell. Запретить пользователям использовать командную строку можно с помо­ щью политики Конфигурация пользователя, Административные шабло­ ны, Система, Запретить использование командной строки (рис. 4.13). Также включите опцию Запретить также обработку сценариев в команд­ ной строке, чтобы нельзя было запускать сценарии из командной строки. 178 ** Windows Глава 4. Основы безопасности Windows Server Рис. 4.13. Запрещаем использование командной строки Отдельной политики, запрещающей запуск PowerShell, нет, но есть полити­ ка, запрещающая запуск определенных приложений. Она называется Не за­ пускать указанные приложения Windows и находится все в том же разде­ ле Система. Включите ее и запретите запуск powershell.exe и powershell ise. ехе (рис. 4.14). Рис. 4.14. Запрет запуска PowerShell 179 Также, пока вы еще не «ушли» из раздела Система, неплохо было бы запретить запуск редактора реестра. Для этого включите политику Запре­ тить доступ к средствам редактирования реестра. 4.2.3. Максимальное время работы пользователя Политика Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Ограничение сеансов по времени, Задать ограничение по времени для активных сеансов служб удаленных рабо­ чих столов позволяет задать максимальную продолжительность сеанса. Ее можно установить, например, в 8 часов. J Задать ограничение по времени для активных сеансов служб удаленных рабочих столов □ X § Задать ограничение по времени для активных сеансов служб удаленных рабочих столов Предыдущий параметр О й* wans Следующий параметр Комментарий & 5>л«чепе О йтклюмвно Требования к версии: Параметры; Справка; Ограничение активного сеанса: 8 «асов Не ниже операционных систем Windows Server Ж1 или Windows ХР Professional м Этот параметр позволяет задать максимальный период времени, в течение которого сеанс служб удаленных рабочих столов может оставаться активным прежде чем будет а к тс магически отключен. Если вы включаете этот параметр политики, необходимо выбрать требуемое ограничение по времени в списке ограничений для активных сеансов. Службы удаленных рабочих столов автоматически отключают активные сеансы по истечении указанного времени За две минуты до отключения сеанса служб удаленных рабочих столов пользователь получает предупреждение, после которого он может сохранить открытые файлы и закрыть программы. Для консольного сеанс» ограничения ле времени к активным сеанс ам не применяются. Если вы отключаете или не настраиваете этот параметр политики, на уровне групповой политики он не определен. По умолчанию службы удаленных рабочих столов Отмена Применить Рис. 4.15. Ограничиваем время сеанса К сожалению, ничто не помешает пользователю снова залогиниться на сер­ вере. Ограничить время входа на сервер можно только с помощью оснастки Пользователи и компьютеры Active Directory, но далеко не все терминаль­ ные серверы являются контроллерами домена, к сожалению. Разворачивать контроллер домена только ради этой функции не хочется (например, если терминальный сервер у вас используется только ради совместного доступа к 1С, нет смысла настраивать контроллер домена). Глава 4. Основы безопасности Windows Server Рис. 4.16. Установка времени входа учетной записи 4.2.4. Отключение элементов панели управления I С помощью групповых политик можно отключить некоторые элемен­ ты панели управления. В разделе Конфигурация пользователя, Административные шаблоны, Панель управления находятся две замечательных политики - Скрыть указанные элементы панели управления и Запретить доступ к панели управления и параметрам компьютера. Первая позволяет запретить выбранные элементы панели управления, а вторая вообще запрещает доступ к панели управления и к параметрам компьютера. 4.3. Настройка межсетевого экрана с помощью групповых пол итик В последних версиях Windows брандмауэр по умолчанию включен. Однако его параметры, установленные по умолчанию, удобны не для всех: защита ль Сервер на Windows и Linux активна, но задействованы исключения, обеспечивающие работу компьюте­ ра в локальной сети. В сетях с развернутыми системами управления бранд­ мауэр будет блокировать доступ таких программ. Не будет обеспечиваться и должный уровень защиты в публичных сетях. Именно поэтому брандмауэры Windows нуждаются в централизованной настройке с помощью групповых политик. Параметры настройки групповой политики брандмауэра Windows можно найти по следующему пути: Конфигурация компьютера, Администра­ тивные шаблоны, Сеть, Сетевые подключения, Брандмауэр Защитни­ ка Windows (рис. 4.17). В политике Брандмауэр Защитника Windows вы найдете контейнеры Про­ филь домена и Стандартный профиль. Первый используется при работе компьютера в домене, а второй — когда компьютер подключен к сети, где нет домена Windows. Если на предприятии внедрена система удаленного мониторинга, то нужно открыть для этой программы все порты и включить опцию Разрешать ис­ ключения для удаленного управления — что даст возможность управле­ ния через удаленную консоль. □ / Редактор локальной групповой политики файл Действие Дид Справка й «II т Windows Connect Now Состояние а Автономные файлы □ Беспроводной дисплей Состояние Комментарий Не задана Нет Ci Профиль домена ^ Стандартный профиль j Диспетчер подключений Windows :: Индикатор состояния сетевого подк Л Обнаружение топологии связи (Link J:, Брандмауэр Защитника Windows: Разрешить ... > □ Параметры TCP/IP ^ Параметры взаимодействия клиент. ; Параметры конфигурации SSL ;.Ш Планировщик пакетов QoS ^ Поставщик сети □ Проверка подлинности для террито ■ j Рабочая станция Lanman О Сервер Lanman ... Сетевая изоляция * ■';'.': Сетевые подключения .:. Брандмауэр Защитника Windows > Ei Служба WLAN z . □ Служба WWAN X Фоновая интеллектуальная служба г v Н I \ Расширенный Д Стандартный / 1 параметров Рис. 4.17. Настройка параметров брандмауэра Windows при помощи групповых политик Для стандартного профиля нужно запретить использование всех исключе­ ний брандмауэра, потому что такой вариант является самым безопасным для публичной сети, а мы организуем сеть предприятия. 182 ИИИМИИ Windows I i !i,j Основы <к юписнос i и \\ iiidow s Sd \d Рекомендуемые настройки параметров групповой политики для брандмауэ­ ра Windows приведены в табл. 4.1. Таблица 4.1. Рекомендуемые параметры настройки брандмауэра Windows Параметр Профиль домена Стандартный профиль Защита всех сетевых под­ ключений Включен Включен Не разрешать исключения Не задан Включен, и настроены исключения для используе­ мых программ Определение входящих исключений программ Включен, и настроены исключения для ис­ пользуемых программ Включен, и настроены исключения для используе­ мых программ Разрешить локальные ис­ ключения программ Отключен Отключен Разрешить входящее ис­ ключение удаленного ад­ министрирования Отключен Отключен Разрешить исключение для входящего общего доступа к файлам и прин­ терам Отключен Отключен Разрешить исключения ICMP Отключен Отключен Разрешить входящие ис­ ключения удаленного ра­ бочего стола Включен Включен Разрешить исключения входящего трафика для UPnP Отключен Отключен Сервер на Windows и Linux Запретить уведомления Отключен Отключен Разрешить ведение жур­ нала Не задан Не задан Запретить одноадресные ответы на многоадресные или широковещательные запросы Включен Включен Определять входящие ис­ ключения портов Отключен Отключен Разрешить локальные ис­ ключения портов Отключен Отключен 184 Глава 5. Разворачивание Active Directory Сервер на Windows и Linux Ц Windows Доменные службы Active Directory (Active Directory Domain I Services, AD DS) — расширяемая и масштабируемая служба каталогов, которую можно использовать для активного управления сетевыми I ресурсами. AHiiininiiiiiiiiiiiiiiHiiiiiiiiiiiiiiiiHiiiiiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiHiiiniHinuiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiHmiiiHiiiniiiiiiiiiiiiiHiiiiiiiiiiiiiiiniiuiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiim^ Администратору нужно четко понимать, как работает Active Directory. Дан­ ная технология усовершенствована и имеет множество функций. 5.1. Введение в Active Directory Active Directory — сердце доменов на базе Microsoft Windows. Практиче­ ски любая административная задача в той или иной мере затрагивает Active Directory. Технология Active Directory основана на стандартных интернетпротоколах и разработана для того, чтобы помочь вам определить четкую структуру вашей сети. Служба каталогов Active Directory использует систему доменных имен (Domain Name System, DNS). DNS — это стандартный интернет-сервис, объединяющий группы компьютеров в домены. Домены DNS организованы в иерархическую структуру. Иерархия домена DNS определена на основе всего Интернета, разные уровни в иерархии идентифицируют компьютеры, объединяя их в домены и домены верхнего уровня. DNS также используется для преобразования имен узлов в числовые адреса TCPДР. С помощью DNS структура иерархии домена Active Directory может быть частью доменной иерархии Интернета или же может быть отделена от Интернета (частной). Глава 5. Разворачивание Active Directory При обращении к компьютерам в домене DNS используется полное домен­ ное имя (fully qualified domain name, FQDN), например dev.example.com. Здесь dev — имя отдельного компьютера, example — домен организации, а сот — домен верхнего уровня. Домены верхнего уровня (top-level domains, TLD) — база DNS-иерархии. TLD организованы по географическому признаку с использованием двух­ буквенного кода страны (например, ru для России), по типу организации (например, сот для коммерческих организаций), по функции (например, info для информационных ресурсов, org - для общественных организаций). DNS интегрируется в технологию Active Directory, причем так глубоко, что сначала нужно настроить DNS в своей сети, а затем уже устанавливать Active Directory. В случае с Windows Server 2019 процесс установки Active Directory состоит из двух частей. Первая часть - это установка программного обеспечения. Процесс установки начинается в диспетчере серверов выбором команды До­ бавить роли и компоненты, которая запустит Мастер добавления ролей и компонентов, используемый для установки роли Доменные службы Active Directory (рис. 5.1, рис. 5.2). В результате будут установлены двоичные фай­ лы, необходимые для роли, а процесс установки будет показан на странице Ход установки. ^ Мастер добавления ролей и компонентов конечный СЕРВЕР WIN-U5OG8KFH5 Выбор ролей сервера Перед началом работы Выберите одну или несколько ролей для установки на этом сервере. Тип установки Выбор сервера Компоненты Описание □ DN S-сервер □ Hyper-V Cl Аттестация работоспособности устройств ■•гЙКя«б'пч«хвнгг^ О Доменные службы Active Directory I -*--гН?*у>«б*~вне*унв“У,«н1^^ U Службы Active Directory облегченного доступа к i О С лужбы Windows Server Update Services О Службы активации корпоративны* лицензий О Службы печати и документов О Службы политики сети и доступе О Службы развертывания Windows О Службы сертификатов Active Directory О Службы удаленных рабочих столое О Службы управления правами Active Directory О Службы федерации Active Directory □ Удаленный доступ й Файловые службы и службы хранилища 'Устано □ Факс-сервер | * НвМА | i Далее > DHCP-сервер позволяет централизованно настраивать временные 1Р-вдреса и связанные с ними данные, предоставлять их клиентским компьютерам, а также управлять ими. ] Остановит г ! Отмена I Рис. 5.1. Установка роли "Доменные службы Active Directory 187 Сервер на Windows и Linux Ь Мастер добавлений ролей и компонентов , Добавить компоненты, необходимые для Доменные службы Active Directory? Вы не можете установить Доменные службы Active Directory, если также не установлены следующие службы ролей или компоненты. л Средства удаленного администрирования сервера * Средства администрирования ролей -* Средства AD DS и AD LDS Модуль Active Directory для Windows PowerShell л Средства AD DS [Средства] Центр администрирования Active Dire; [Средства] Оснастки и программы командной ср; ^Средства] Управление групповой политикой @ Включить средства управления (если применимо) fr^^v^tvm^^vtvm^iN'vr^vv»^ r'^w*»?*^'^ Добавить компоненты ^ i Отмена Рис. 5.2. Нажмите кнопку "Добавить компоненты" для установки необходи­ мых для работы AD DS компонентов ^ Мастер добавления ролей и компонентов КОНЕЧНЫЙ СЕРВЕР WIN-LSOGBECFHS Доменные службы Active Directory Перед незлом работы Тип установки Выбор сервера Роли сервера Доменные службы Active Directory (АО OS) хранят сведения о пользователя*' компьютерах и других устройствах сети Они помогают администраторам безопасно управлять этими сведениями и упрощают общий доступ к ресурсам и совместную работу пользователей. На что обратить внимание: Компонент»: • Чтобы пользователи могли входить в сеть в случае отключения сервера, установите в каждом домене как минимум два контроллера домена. Подтверждение • Доменные службы X tive Directory требуют наличия в сети установленного DNS-сервера. Если DNS-cepcep не установлен, будет предложено установить роль DNS-сервера на данном компьютере. Отдельная веб-служба Azure Active Directory предоставляет пользователям возможность упрощенного управления удостоверениями и доступом, отчетность о безопасности, единый вход в облако и локальные веб-приложения. Дополнительные сведения о Azure Active Directory Настройка Office 365 с подключением Azure Active Directory «Назад г 5 Далее* установить : Отмена Рис. 5.3. На что обратить внимание при установке В ходе установки вам будет сообщено, что для обеспечения отказоустойчи­ вой работы сети нужно установить как минимум два контроллера домена и настроить DNS-сервер - если такая роль еще не установлена, ее будет пред­ ложено установить на этом же компьютере (рис. 5.3). Просмотрите список 188 Глава 5. Разворачивание Active Directory устанавливаемого программного обеспечения и нажмите Установить. Все, можно сделать перерыв на кофе, а потом приступим ко второй части. ^ Мастер добавления ролей и компонентов КОНЕЧНЫЙ СЕРВЕ» WlN-tGOGSECFEJS Подтверждение установки компонентов 1еред началом работы Чтобы установить из выбранном сервере следующие роли, службы ролей или компоненты, нажмите кнопку “Установить’', ^ Автоматический перезапуск конечного сервера, если требуется На этой странице могут быть отображены дополнительные компоненты (например, средства администрирования), гак как они были выбраны автоматически, если вы не хотите устанавливать эти дополнительные компоненты, нажмите кнопку "Назад", чтобы снять их флажки. • ; Доменные службы Active Directory Подтзжкдйние : Средства удаленного администрирования сервера Средства администрирования ролей Средства AD DS и AD LDS Модуль Active Directory для Windows PowerShell Средства AD DS Центр администрирования Active Directory Оснастки и программы командной строки AD DS i Управление групповой политикой Экспорт параметров конфигурации Указать альтернативный исходный путь [ «Назад . Далее: ^Установить;; Отмена ] Рис. 5.4. Нажмите кнопку "Установить" Вторая часть развертывания - необходимо Повысить роль этого сервера до уровня контроллера домена (рис. 5.5). Нажмите данную ссылку, и при­ ступим ко второй части развертывания AD DS. Будет запущен Мастер настройки доменных служб Active Directory (рис. 5.6). ^ Мастер добавления ролей и компонентов КОНЕЧНЫЙ СЕРВЕ» WiN-LGOGBECFEJS Ход установки Просмотр хода установки ^| Установка компонента Требуется настройка. Установка выполнена на WK^CtoG&ECIHS. Доменные службы Active Directory Чтобы сделать этот компьютер контроллером домена, требуются дополнительные действия. Повысить роль этого сервере до уровня контроллера домена Средства удаленного администрирования сервера Средства администрирования ролей Средства AD DS и AD LDS Модуль Active Directory для Windows PowerShell Средства AD DS Центр администрирования Active Directory ц Этот мастер можно закрыть, не прерывая выполняющиеся задачи. Наблюдайте за ходом выполнения задачи или откройте эту страницу снова, выбрав на панели команд пункт "Уведомления", а затем "Сведения о задаче". Экспорт параметров конфигурации ^Закрыть 5 Рис. 5.5. Установка AD DS завершена Сервер на Windows и Linux □ ^ Мастер настройки доменных служб Active Directory ЦЕЛЕВОЙ СЕРВЕР Конфигурация развертывания ^Ф*^2^ WW’W ] Параметры контроллере...; X W1N-LGOGBECFWS Выберите операцию развертывания О Добавить контроллер домена в существующий домен Дополнительные парам.. = О Добавить новый домен в существующий лес Пути ® Добавить новый дес Просмотреть параметры : Укажите сведения о домене для этой операции Проверка предваритель... i Имя корневого домена: exampfexon^ Подробнее о возможных конфигурациях развертывания Наш ; : Далее > ] установит* [ Отмена Рис. 5.6. Мастер настройки доменных служб Active Directory Данный мастер заменяет файл Dcpromo.exe, который использовался для на­ стройки контроллеров домена в старых версиях Windows Server. Мастер так­ же запускает файл Adprep.exe для подготовки надлежащей схемы. Если ра­ нее Adprep.exe не запускался отдельно, будет установлен первый контроллер домена на базе Windows Server 2019 в существующем домене/лесу, мастер попросит ввести соответствующие учетные данные, необходимые для запу­ ска команды Adprep. Для подготовки леса нужно предоставить учетные дан­ ные члена одной из следующих групп: Администраторы предприятия, Ад­ министраторы схемы или Администраторы домена. Для подготовки домена необходимо предоставить учетные данные члена группы Администраторы домена. При установке первого контроллера домена только для чтения (read­ only domain controller, RODC) в лесу нужно предоставить учетные данные члена группы Администраторы предприятия. Ваши действия зависят от текущей инфраструктуры. При настройке новой сети, когда не было существующих контроллеров домена, нужно выбрать Добавить новый лес и указать имя корневого домена, например example. com. Далее нужно выбрать режим работы леса и режим работы домена. Если вы не планируете в этом домене использовать старые версии Windows Server, выбирайте самый новый режим - Windows Server 2016. Да, даже если вы используете Windows Server 2019, самым новым режимом работы леса явля­ ется Windows Server 2016. л Глава 5. Разворачивание Active Directory Обратите внимание на следующие параметры: • Режим работы леса - определяет, какие функции и возможности есть на уровне леса. • Режим работы домена - определяет, какие функции будут доступны на уровне домена. • DNS-сервер - если DNS-сервер еще не был установлен, тогда не выклю­ чайте этот параметр. • Глобальный каталог - на начальной установке доменных служб Active Directory обязателен; когда вы разворачиваете второй контроллер домена, то можете не устанавливать этот параметр. • Контроллер домена только для чтения (RODC) - позволяет настро­ ить этот сервер как контроллер домена только для чтения. При установке первого контроллера в этом домене данная опция будет недоступна. Но вы сможете настроить RODC после установки первого контроллера до­ мена. Позже мы еще не раз поговорим о RODC. • Пароль для режима восстановления служб каталогов (DSRM) - он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора. Дан­ ный пароль должен отличаться от того, который вы используете для учет­ ной записи Администратор. Сохраните этот пароль в надежном месте. & Мастер настройки доменных служб Active Directory . — □ X ЦЕЛЕВОЙ СЕРВЕР wiN-tGOGBECFFJs .................... ................................ Параметры контроллера домена Конфигурация разверты.. Выберите режим работы нового леса и корневого домена П&рамегры ю»|жмдй.,; Режим работы леса: : Windows Server 2056 Режим работы домена: ; Windows Server 20’6 Укажите возможности контроллера домена SI ONS-сервер 1 Глобальный каталог (GQ ' Контрол лер домена только для чтения (RODC) Введите пароль для режима восстановления служб каталогов (DSRM) Пароль: 1| Подтверждение пароля Рис. 5.7. Параметры контроллера домена [ 191 & Сервер на Windows и Linux Далее будет момент с делегированием DNS, но так как это у нас новый лес и домен, то мы этот пункт пропускаем - просто нажмите кнопку Далее (рис. 5.8). Следующий шаг - задаем короткое имя (NetBIOS) домена, обычно оставляют то, что предлагается мастером установки домена Active Directory. Set Мастер настройки доменных служб Active Directory □ ЦЕЛЕВОЙ СЕРВЕР WIN-LGOGSEOTJS Параметры DNS | .| Делегирование для этого DNS-сервера невозможно создать, поскольку полномочная родительск... Дополнительно Конфигурация рвзаерты. Укажите параметры делегирования DNS Параметры контроллера. ; Создать делегирование DNS Дополнительные парам. 1росмспреть параметры Дополнительные 'ведение о делегировании DNS Остановить . i Отмена Рис. 5.8. Просто нажмите кнопку 'Далее ^ Мастер настройки доменных служб Active Directory О Дополнительныё параметры ЦЕЛЕВОЙ СЕРВЕР WJN-LGOGBECFDS Конфигурация раззерты... Проверьте NetBiOS-имя. присвоенное домену., и при необходимости измените его Параметры контроллера... Параметры DNS Имя домена NetBIOS: EXAMPLE Лулл Просмотреть параметры Проверка предеаритеды.. Подробнее о дополнительных возможностях Хсшйжить . Рис. 5.9. Короткое имя домена L 192 ’ X Глава 5. Разворачивание Active Directory Затем нужно указать расположение базы данных AD DS, файлов журналов и папки SYSVOL. Как правило, предложенные значения нет смысла менять. Просмотрите заданные параметры (рис. 5.10) и нажмите кнопку Далее, если все правильно. Нажмите кнопку Установить, чтобы приступить к повыше­ нию уровня сервера. Сервер будет автоматически перезагружен после повы­ шения уровня. fc Мастер настройки доменных служб Active Directory ЦЕЛЕВОЙ СЕРВЕР WiN4GOG8ECFFJS П рос мот per ь пара метры Просмотрите выбранные параметры: Параметры кс Сделать данный сервер первым контроллером домена Active Directory в новом лесу. Имя нового домена: ’6xample.com". Это имя является также именем нового леса. NetBIOS-имя домена EXAMPLE ; Режим работы леса: Windows Server 2016 Режим работы домена: Windows Server 2016 Дополнительные параметры: : Глобальный каталог Да ■ DNS-сервер: Да i Создать DNS-делегирование: Нет Для автоматизации дополнительных установок эти параметры можно экспортировать в сценарий Windows Power Shell < Назад : Далее > Рис. 5.10. Просмотр параметров □ ^ Мастер настройки доменных служб Active Directory ЦЕЛЕВОЙ СЕРВЕР WIN LGOGBECFHS звании I ^ See проверки готовности к установке выполнены успешно. Чтобы запустить установку, нажмите... Перед установкой доменных служб Active Directory на этом компьютере нужно проверить, что выполнены предварительные требования Просмотр результатов На контроллерах домена под управлением Windows Server 2019 по умолчанию применяется параметр безопасности ’ Разрешать алгоритмы шифрования, совместимые с Windows NT 4.0". который не позволяет использовать менее надежные алгоритмы шифрования при создании сеансов по защищенным каналам. Дополнительные сведения об этом параметре см. в статье 942554 базы знаний Gtttp^/go.microsoft.com/fsMink/?linkl<i= 104751). Данный компьютер имеет по крайней мере один физический сетевой адаптер, свойствам IP которого не назначен(-ы} статический(-ие) 1Р-адрес(-а). Если для Если вы нажмете кнопку "Установить", сервер будет автоматически перезапущен после повышения уровня. Установить: : Рис. 5.11. Нажмите кнопку "Установить Отмена XX и №Vhidoivs 5.2. Контроллер домена только для чтения (RODC) Любой контроллер домена под управлением Windows Server 2008 R2 или бо­ лее поздней версии может быть настроен как RODC. После установки служ­ бы DNS-сервера на RODC последний может также работать как DNS-сервер только для чтения (read-only DNS, RODNS). Примечание. С одной стороны, возможность использования древ- ■ | них версий Windows Server позволяет использовать старые серверы, I I работающие под управлением этих версий, как RODC, что позволяет | сэкономить некоторые средства. С другой стороны, тогда уровень I леса/домена придется понижать до уровня этих серверов, что лишит | вас функционала, который предоставляют новые версии Windows Server. Выбор за вами. aiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiihiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii F Функции RODC: • RODC тиражирует разделы каталога приложения, которые использует DNS, включая раздел ForestDNSZones и DomainDNSZones. Клиенты мо­ гут запрашивать RODNS-сервер для разрешения имен. Однако RODNSсервер не поддерживает прямые клиентские обновления, поскольку RODNS не регистрирует записи ресурсов ни для какой размещаемой зоны Active Directory. • Когда клиент пытается обновить DNS-записи, сервер возвращает ссыл­ ку. Затем клиент может попытаться обновить DNS-сервер, указанный в ссылке. Посредством репликации в фоновом режиме сервер RODNS пы­ тается получить обновленную запись от DNS-сервера, который и произ­ вел обновление. Этот запрос репликации делается только для измененной записи DNS. Данные зоны или домена не передаются во время этого спе­ циального запроса. Первый установленный в лесу или домене контроллер домена не может быть контроллером домена только для чтения. Однако можно настроить по­ следующие контроллеры домена как RODC. 194 J Sundews Глава 5. Разворачивание Active Directory Разворачиваются RODC-контроллеры аналогичным образом: нужно вклю­ чить параметр Контроллер домена только для чтения (RODC) в настрой­ ках контроллера домена. 5.3. Компоненты Active Directory Функциональный уровень домена задает функциональность, доступную в этом домене. Для доменов Windows Server 2016/2019 доступны следующие компоненты: • Корзина Active Directory — позволяет администраторам отменять оши­ бочное удаление объектов Active Directory аналогично восстановлению удаленных файлов из обычной Корзины Windows. • Управляемые учетные записи служб — представляют специальный тип доменной учетной записи пользователя для управляемых служб, которые сокращают приостановки обслуживания и устраняют другие проблемы путем автоматического управления паролями учетной записи и SPN (Service Principal Name, имя участника службы). • Управляемые виртуальные учетные записи — представляют специ­ альный тип локальной учетной записи компьютера для управляемых служб, которые обеспечивают доступ к сети с идентификацией компью­ тера в окружении домена. • Обеспечение механизма аутентификации — улучшает процесс аутен­ тификации, позволяя администраторам управлять доступом к ресурсам на основе входа пользователя в систему с применением метода входа на основании сертификата. Таким образом, администратор может опреде­ лить, какой набор прав доступа есть у пользователя: при входе в систему с использованием смарт-карты применяется один набор прав доступа, при входе в систему без смарт-карты — другой набор прав доступа. • Оффлайн-соединение с доменом — позволяет администраторам пред­ варительно настраивать учетные записи компьютера в домене, чтобы подготовить операционные системы к развертыванию. Это дает возмож­ ность компьютерам присоединяться к домену без необходимости связи с контроллером домена. 1 05 1 Модуль Active Directory для Windows PowerShell — предоставляет командлеты Windows PowerShell для управления Active Directory. Импорти­ ровать модуль Active Directory можно с помощью команды import-module activedirectory, введенной в командной строке PowerShell. Центр администрирования Active Directory — предоставляет ориенти­ руемый на задачу интерфейс для управления Active Directory. В диспет­ чере серверов в меню Средства выберите команду Центр администри­ рования Active Directory. Веб-службы Active Directory — представляют веб-интерфейс для доме­ нов Active Directory. Активация с помощью Active Directory — позволяет использовать AD для автоматической активации клиентов под управлением Windows 8/10/11 и Windows Server 2012/2016/2019. Любой клиент, подключенный к службе, активирован. Средства управления политикой на основе заявок — предоставляют доступ и гибкие политики аудита. Создание индекса с задержкой — позволяет задерживать создание ин­ декса в каталоге, пока не получен UpdateSchemaNow или пока не пере­ загружен контроллер домена. Расширенная детальная политика паролей — позволяет администра­ торам использовать Центр администрирования Active Directory Windows Server для создания и управления объектами настроек пароля (password­ settings objects, PSO). Расширенная Корзина — позволяет администраторам восстанавливать удаленные объекты с использованием Центра администрирования Active Directory для Windows Server. Групповые управляемые учетные записи службы — позволяет нескольким службам использовать одну управляемую учетную запись службы. Ограниченное делегирование Kerberos по доменам — позволяет управляемым учетным записям службы действовать от имени пользова­ телей в доменах и лесах. Защита Kerberos — улучшает безопасность домена; позволяет присо­ единенному к домену клиенту и контроллеру домена связываться по за­ щищенному каналу. • Внешнее подключение к домену — позволяет подключение компьютера к домену по Интернету. • Предупреждения относительных идентификаторов — добавляет предупреждения, поскольку глобальное пространство RID израсходова­ но. Добавляет мягкий потолок в 900 млн RID, что предотвращает пере­ определение RID администратором. • Интеграция диспетчера серверов — позволяет выполнять все шаги, необходимые для разворачивания локальных и удаленных контроллеров домена. • Клонирование виртуального контроллера домена — позволяет без­ опасно развертывать виртуальные копии контроллеров домена. Также по­ могает поддерживать состояние контроллера домена. • Присоединение AD к Azure (Azure Active Directory Join) — предостав­ ляет преимущества локальной Active Directory среды без сопутствующей сложности владения и управления. Устройства, поставляемые с Windows 10, могут быть включены в Azure AD, и это позволяет компаниям без полноценного IT-отдела управлять своими корпоративными ресурсами. • Управление привилегированным доступом (Privileged Access Manage­ ment) - предназначен для управления лесом, группами безопасности и членством в группах. Microsoft полагает, что если организации потребо­ вался РАМ, то ее лес Active Directory уже скомпрометирован. Поэтому при настройке РАМ создаётся новый лес AD. Он изолирован для работы с привилегированными учётными записями и, так как MIM его только что создал, чист от любых сторонних действий. • Microsoft Passport - предоставляет двухфакторную аутентификацию при работе с пользовательскими паролями. При использовании Microsoft Passport IT-администратор может больше не беспокоиться о смене паро­ лей пользователей, так как всё равно нужен второй метод аутентифика­ ции. 5.4. Структуры домена Active Directory предоставляет логические и физические структуры для се­ тевых компонентов. Логические структуры помогают организовать объекты ^^^^^^^^Bgw^lc^ II каталога и управляют сетевыми учетными записями и общими ресурсами. К логическим структурам относятся: 1. Организационные единицы (подразделения) — подгруппа доменов, которая зеркально отображает бизнес-структуру или функциональную структуру предприятия; 2. Домены — группа компьютеров, которые совместно используют общую базу данных каталога; 3. Деревья домена — один или более доменов, разделяющих непрерывное пространство имен; 4. Лес домена — одно или более деревьев, которые делятся общей инфор­ мацией каталога. Физические структуры служат для упрощения сетевых коммуникаций и установки физических границ вокруг сетевых ресурсов. Физические струк­ туры, помогающие отображать физическую структуру сети, следующие: • Подсети — сетевая группа с определенным диапазоном IP-адресов и маской сети; • Сайты — одна или более подсетей. Сайты используются для настройки доступа к каталогу и репликации. 5.4.1. Домены Домен Active Directory — это просто группа компьютеров, разде­ ляющих общую базу данных. Имена доменов Active Directory должны быть уникальными. Например, у вас не может быть двух доменов example.com, но допустимо иметь родительский домен example.com и дочерние домены dev.example. com и sales.example.com. Если домен — это фрагмент частной сети, то имя, присвоенное новому домену, не должно конфликтовать с другими существу­ ющими доменными именами этой частной сети. Если домен — часть Ин­ тернета, то имя, присвоенное новому домену, не должно конфликтовать с Глава 5. Разворачивание Active Directory другими существующими именами Интернета. Чтобы обеспечить уникаль­ ность имени в Интернете, нужно зарегистрировать родительское доменное имя перед его использованием. Домен можно зарегистрировать через любо­ го регистратора доменных имен, например reg.ru. I У каждого домена есть собственная политика безопасности и довери- | | тельные отношения с другими доменами. I.............................................................................................................................................. I Также домены могут охватывать несколько физических расположений. Это означает, что домен может состоять из множества сайтов, а у этих сайтов мо­ жет быть много подсетей. В базе данных каталога домена находятся объек­ ты, определяющие учетные записи для пользователей, группы и компьюте­ ров, а также совместно используемые ресурсы, такие как принтеры и папки. Функции домена ограничены и контролируются функциональным уровнем (режимом работы) домена. Доступно несколько режимов работы домена: • Windows Server 2003 — поддерживаются контроллеры домена, работаю­ щие под управлением Windows 2003 и более поздних версий; • Windows Server 2008 — поддерживаются контроллеры домена под управ­ лением Windows 2008 и более поздних версий; • Windows Server 2008 R2 — поддерживаются контроллеры домена под управлением Windows 2008 R2 и Windows Server 2012; • Windows Server 2012 — поддерживаются контроллеры домена, работаю­ щие только под управлением Windows Server 2012, 2012 R2, 2016, 2019; • Windows Server 2012 R2 — поддерживаются контроллеры домена, рабо­ тающие только под управлением Windows Server 2012 R2, 2016, 2019; • Windows Server 2016 — поддерживаются контроллеры домена, работаю­ щие только под управлением Windows Server 2016, 2019. Примечание. Операционная система Windows Server 2019 не имеет новых режимов работы леса или домена. Подробная информация доступна по адресу https://docs.mlcrosoft.com/ru-ru/wlndows-server/ identity/ad-ds/active-dlrectory-functional-levels. IlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllinilllllllllllllllllllllllllinillU 5.4.2. Лес и дерево домена У каждого домена Active Directory есть доменное имя DNS, например example.com. Один или более доменов, разделяющих один общий каталог, называются лесом. Доменные имена в этом лесу могут быть последователь­ ными или непоследовательными в иерархии имен DNS. Когда у доменов последовательная структура имен, говорят, что они обра­ зуют дерево домена. Представим, что у корневого домена example.com есть два дочерних домена: sales.example.com и dev.example.com. Эти домены, в свою очередь, имеют поддомены. Все домены являются частью одного дере­ ва, поскольку у них один и тот же корневой домен. Получить доступ к доменным структурам можно с помощью оснастки Active Directory - домены и доверие (рис. 5.12). Данную оснастку мож­ но вызвать в консоли управления Microsoft (Microsoft Management Console, ММС). Также можно запустить ее из меню Средства диспетчера серверов. В оснастке находятся отдельные записи для каждого корневого домена. На рис. 5.12 активный домен — example.com. Рис. 5.12. Оснастка Active Directory - домены и доверие Режимы работы леса/домена определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Они также определяют, какие операционные системы Windows Server можно запускать на контрол­ лерах домена в домене или лесу. Однако режимы работы не влияют на то, ка- Глава 5. Разворачивание Active Directory кие операционные системы можно запускать на рабочих станциях и рядовых серверах, которые присоединены к домену или лесу. При развертывании AD DS задайте для режимов работы домена и леса самое высокое значение, которое может поддерживать среда. Так вы сможете ис­ пользовать максимальное количество функций AD DS. При развертывании нового леса будет предложено задать его режим работы, а затем задать ре­ жим работы домена. Для режима работы домена можно установить значение, превышающее значение режима работы леса. Однако для него нельзя задать значение, которое будет ниже значения режима работы леса. При наличии разношерстного парка серверов помните, что вы можете повысить режим работы домена/леса, например, до Windows Server 2016, но не сможете по­ низить его. Следовательно, в его состав уже не смогут входить контроллеры под управлением более старых версий Windows Server. Повысить функциональный уровень домена можно с помощью следующих действий: 1. Запустите оснастку Active Directory - домены и доверие. В дереве кон­ соли щелкните правой кнопкой мыши по домену, а затем выберите коман­ ду Изменение режима работы домена. 2. В окне Повышение режима работы домена будет отображено текущее имя домена и его функциональный уровень. 3. Для изменения функциональности домена выберите новый функцио­ нальный уровень домена из предоставленного списка, а затем нажмите кнопку Повысить. 4. Нажмите кнопку ОК. Новый функциональный уровень домена будет ре­ плицирован каждому контроллеру домена. Эта операция может занять некоторое время в большой организации. Повысить функциональный уровень леса можно с помощью следующих действий: 1. Откройте оснастку Active Directory - домены и доверие. В дереве кон­ соли щелкните правой кнопкой мыши по узлу Active Directory - домены и доверие, а затем выберите команду Изменение режима работы леса. 2. В окне Повышение режима работы леса будет отображено имя леса и текущий режим его работы. Сервер на Windows и Linux 3. Для изменения режима работы леса выберите новый функциональный уровень леса и нажмите кнопку Повысить. 4. Нажмите кнопку ОК. Новый режим работы леса будет реплицирован на каждый контроллер домена в лесу. В большой организации данная опера­ ция займет некоторое время. 5.4.3. Организационные единицы (подразделения) Организационные единицы (ОЕ), или подразделения, являются I подгруппами в доменах, которые часто зеркально отражают функцио­ нальную или деловую структуру организации. Также можно представлять ОЕ как логические контейнеры, в которые по­ мещаются учетные записи, общие ресурсы и другие организационные еди­ ницы. Например, можно создать ОЕ с названием Sales, IT, Marketing для до­ мена example.com. Позже можно развернуть эту схему, включив дочерние единицы. Объекты, помещенные в ОЕ, могут прибыть только из родительского до­ мена. Например, организационная единица, связанная с sales.example.com, может содержать объекты только для этого домена. Нельзя добавить объекты из dev.example.com в эти контейнеры, но можно создать отдельную ОЕ, чтобы зеркально отразить структуру sales.example.com. Организационные подразделения полезны в организационных объектах для отражения деловой или функциональной структуры. Но это не единственная причина использовать ОЕ. Есть и другие причины. • Организационные единицы позволяют назначить групповые политики небольшому числу ресурсов домена без применения этих политик ко все­ му домену. Это помогает устанавливать и управлять групповыми полити­ ками на соответствующем уровне в предприятии. • Организационные единицы создают небольшие, более управляемые представления объектов каталога в домене. Это помогает более эффек­ тивно управлять ресурсами. 202 Глава 5. Разворачивание Active Directory • Организационные единицы позволяют делегировать полномочия и легко управлять административным доступом к доменным ресурсам. Это по­ могает управлять объемом полномочий администратора в домене. Можно предоставить пользователю А административные полномочия для одной организационной единицы, а пользователю Б — для всех организацион­ ных единиц в домене. В оснастке Пользователи и компьютеры Active Directory организацион­ ные единицы представлены в виде папок (рис. 5.13). Эта утилита выполнена в виде оснастки для ММС, ее также можно запустить из меню Средства диспетчера серверов. < Active Directory - пользователи и компьютеры файл Действие Дид Справка Ф 0 '/ si О : □ ^ , : й si ^ ^ . г ^ ^ Пользователи и компьк Тип Имя J Сохраненные запрос £3 Builtin Й examp1e.com Описание builtinDomain 73 Computers Контейнер Default container for upgraded computer accounts Ж Domain Controllers Подразделение Default container for domain controllers □ ForeignSecurityPrincip... Контейнер Default container for security identifiers (SIDs) asso... ^ Managed Service Ассо... Контейнер Default container for managed service accounts 3 Users Default container for upgraded user accounts Контейнер Puc, 5,13. Оснастка ^Пользователи^ и компьютеры Active Directory 5.4.4. Сайты и подсети Сайт — это группа компьютеров в одной или более IP-подсети. Сайты ис­ пользуются для отображения физической структуры вашей сети. Отобра­ жение сайта независимо от логических структур домена, поэтому нет не­ обходимости устанавливать связь между физической структурой сети и ее логической доменной структурой. С помощью Active Directory можно соз­ давать множество сайтов в пределах одного домена или создать один сайт, 203 который будет обслуживать несколько доменов. Диапазоны IP-адресов, ис­ пользуемые сайтом и пространством имен домена, также не связаны. Можно подумать о подсети как о группе сетевых адресов. В отличие от сай­ тов, где могут быть разные диапазоны IP-адресов, у подсетей есть только один определенный диапазон IP-адресов и сетевая маска. Имена подсетей выводятся в форме «сеть / битовая маска», например 192.168.19.0/24. Здесь адрес сети 192.168.19.9 и маска 255.255.255.0 комбинируются для создания имени подсети 192.168.19.0/24. Компьютеры объединяются в сайты на основе их расположения в подсети или ряде подсетей. Если компьютеры в подсетях могут эффективно взаимо­ действовать друг с другом, говорят, что они хорошо соединены. Идеально, если сайты состоят из подсетей и компьютеров, которые хорошо соединены. Если подсети не являются хорошо соединенными, возможно, нужно устано­ вить несколько сайтов. Есть несколько преимуществ хорошего соединения: • Когда клиенты входят в домен, процесс аутентификации сначала ищет контроллеры домена, которые находятся в том же сайте, что и клиент. Это означает, что сначала используются локальные контроллеры домена, если это возможно, что в итоге локализует сетевой трафик и ускоряет процесс аутентификации. • Информация каталога тиражируется чаще в пределах сайта, чем между сайтами, что уменьшает сетевой трафик, вызванный репликацией, а так­ же позволяет убедиться, что локальные контроллеры домена быстро по­ лучили актуальную информацию. Также можно использовать соединения сайта, чтобы настроить, как информация каталога будет реплицировать­ ся между сайтами. Контроллер домена, выделенный для осуществления межсайтовой репликации, называется сервером-плацдармом (bridgeheadсервером). Определяя сервер-плацдарм для обработки репликации между сайтами, администратор помещает основную нагрузку на определенный сервер, а не на любой доступный сервер сайта. Доступ к сайтам и подсетям администратор получает через утилиту Active Directory - сайты и службы. Данная утилита — оснастка для ММС, и ее можно добавить к любой обновляемой консоли. Также мож­ но запустить оснастку Active Directory - сайты и службы из меню Средства диспетчера серверов. Глава 5. Разворачивание Active Directory ^ Active Directory — сайты и службы файл Действие Ф е^ 'Z r Дид Справка g ^ В Active Directory — сайтъ Sites Имя Размещение Тип Ш Default-First-Site-Name Сайт Ш Inter-Site Transports Контейнер... 3 Subnets Контейнер... Описание Рис. 5.14. Оснастка "Active Directory" - съмты и службы 5.5. Структура каталога У Active Directory есть много компонентов, поскольку он основан на мно­ гих технологиях. Данные каталога сделаны доступными для пользователей и компьютеров через хранилища данных и глобальные каталоги. Несмотря на то, что задачи Active Directory наиболее влияют на хранилище данных, глобальные каталоги одинаково важны, потому что они используются во время входа в систему и для поиска информации. Фактически, если глобаль­ ный каталог недоступен, типичные пользователи не смогут войти в домен. Единственный способ изменить это поведение заключается в локальном кэ­ шировании состава универсальной группы. У кэширования состава универ­ сальной группы есть преимущества и недостатки, которые мы рассмотрим чуть позже. Администратор получает доступ и распределяет данные Active Directory с помощью протоколов доступа к каталогу и репликации. Протоколы доступа к каталогу позволяют клиентам связываться с компьютерами, на которых выполняются службы Active Directory. Репликация нужна, чтобы убедить­ ся, что обновления данных отправлены контроллерам доменов. Несмотря на то, что мультимастер репликации — основной метод тиражирования об­ новлений, некоторые изменения в данных должны быть обработаны только Сервер на Windows и Linux 23 Endows! индивидуальными контроллерами домена, которые называются хозяевами операций (operation master). Одна из функций, которая также изменяет спо­ соб работы мультимастера репликации, — Application Directory Partitions (разделы каталога приложений). С помощью разделов каталога приложений администраторы предприятия (принадлежат к группе Администраторы предприятия) могут создавать раз­ делы репликации в лесу доменов. Эти разделы — логические структуры, используемые для управления репликацией данных в лесу доменов. Напри­ мер, можно создать раздел, чтобы строго управлять репликацией информа­ ции DNS в домене, предотвращая репликацию информации DNS на другие системы. Раздел каталога приложения может появиться как дочерний элемент домена, дочерний элемент другого раздела приложения или новое дерево в лесу до­ менов. Копии раздела каталога приложения можно сделать доступными на любом контроллере домена Active Directory, работающем под управлением Windows Server 2012 (или более поздних версий), в том числе сервере гло­ бального каталога. Несмотря на то, что разделы каталога приложения по­ лезны в больших доменах и лесах, они добавляют издержек с точки зрения планирования, администрирования и обслуживания. 5.5.1. Хранилище данных iiiiiiiiiiiiiiiiiiiiiiiiiiiiiHiiiiitiiiiiiiiiiiiiiiiiiiiiiiiiiiiuiiHiiiiiiiiiiiiiuiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiuniiMiiiiiiiiiiiiiiiiiiiiiiiiiiiiiHiiiiiiiiiiiiiiiiiiim Хранилище данных содержит информацию об объектах, таких как учетные записи, совместно используемые ресурсы, организационные единицы и групповые политики. IHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIUIIIIIIinillllllllllHIIHIIIIIIIIIIIIIIIIIIIIIIIIIillll1IHIIII1IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIH^ Другое название хранилища данных — каталог, что относится к самому Active Directory. На контроллерах домена хранится файл Ntds.dit (обычно находится в папке C:\Windows\NTDS). Расположение этого файла устанав­ ливается при установке Active Directory, он должен находиться на системном диске с файловой системой NTFS, отформатированном для использования с Windows Server 2012 или более поздними версиями. Также можно хранить данные каталога отдельно от основного хранилища данных. Так лучше де­ лать для групповых политик, сценариев и других типов публичной инфор­ мации, которая хранится на общем системном томе (SYSVOL). [206] Глава 5. Разворачивание Active Directory Предоставление общего доступа к информации каталога называ­ ется публикацией. Например, можно опубликовать информацию о принтере путем предостав­ ления к нему общего доступа по сети. Точно также публикуется информация о папке — путем предоставления к ней общего доступа. Контроллеры домена тиражируют большинство изменений в хранилище данных способом мультимастера. Администраторы сетей небольшого и среднего размера редко управляют репликацией хранилища данных. Репли­ кация обрабатывается автоматически, но можно настроить ее, чтобы она соответствовала потребностям крупных организаций или организаций с особыми требованиями. Не все данные каталога реплицируются. Вместо этого реплицируется только публичная информация, попадающая в одну из трех категорий: 1. Данные домена — содержит информацию об объектах домена: учетные записи, общие ресурсы, организационные единицы и групповые политики. 2. Конфигурационные данные — описывают топологию каталога. Содер­ жат список всех доменов, деревьев домена и леса, также расположений контроллеров домена и глобальных серверов каталога. 3. Данные схемы — описывают все объекты и типы данных, которые могут храниться в каталоге. Схема по умолчанию, предоставляемая с Windows Server, описывает объекты учетных записей, объекты общих ресурсов и др. Можно расширить схему по умолчанию, определяя новые объекты и атрибуты или добавляя атрибуты в существующие объекты. 5.5.2. Глобальные каталоги Когда состав универсальной группы не кэшируется локально, глобальные каталоги включают сетевой вход в систему, предоставляя информацию о составе универсальной группы при инициировании процесса входа в систе­ му. Также глобальные каталоги включают поиск по каталогу по всем доме­ нам леса. Контроллер домена, определяемый как глобальный каталог, хранит | в каталоге полную копию всех объектов для его домена и частичную | копию (partial replica) для всех других доменов в лесу. Сервер на Windows и Linux По умолчанию первый установленный в домене контроллер назначается глобальным каталогом. Если в домене есть только один контроллер домена, то контроллер домена и глобальный каталог — один и тот же сервер. В про­ тивном случае глобальный каталог находится на специально настроенном контроллере домена. Также можно добавить глобальные каталоги в домен, чтобы улучшить время отклика при входе в систему и поиске информации. Рекомендуется иметь один глобальный каталог для сайта в пределах домена. Контроллеры домена, размещающие глобальный каталог, должны быть хо­ рошо соединены с контроллерами домена, действующими как владельцы инфраструктуры. Роль владельца инфраструктуры (infrastructure master) — одна из пяти | операций, которую можно назначить контроллеру домена. В домене мастер инфраструктуры отвечает за обновление ссылок на объект. Хозяин инфраструктуры делает это, сравнивая ее данные с данными из гло­ бального каталога. Если хозяин инфраструктуры находит устаревшие дан­ ные, он запрашивает обновленные данные из глобального каталога. После этого мастер инфраструктуры реплицирует изменения другим контроллерам домена. Если в домене находится только один контроллер, можно назначить роль ма­ стера инфраструктуры и роль глобального каталога на один и тот же сервер. Когда в домене два или больше контроллера, глобальный каталог и хозяин инфраструктуры должны располагаться на отдельных контроллерах домена. Если это не так, тогда хозяин инфраструктуры не сможет найти устаревшие данные и больше никогда не будет реплицировать изменения. Единственное исключение — ситуация, когда все контроллеры домена содержат глобаль­ ный каталог. В этом случае нет разницы, какой из них является мастером инфраструктуры. Одна из основных причин сконфигурировать дополнительные глобальные каталоги в домене заключается в том, чтобы убедиться в доступности ка­ талога при входе в систему и при поиске по каталогу. Снова, если у домена есть только один глобальный каталог, который недоступен, и нет локального кэширования состава универсальных групп, обычные пользователи не смо­ гут войти в систему, а те, которые уже вошли, не смогут произвести поиск по каталогу. В этом случае единственные пользователи, которые могут войти Глава 5. Разворачивание Active Directory в домен (при недоступности глобального каталога), — члены группы Адми­ нистраторы домена. Поиск в глобальном каталоге очень эффективен. Каталог содержит инфор­ мацию обо всех объектах во всех доменах в лесу. Это позволяет разрешать поисковые запросы в локальном домене, а не в домене другой части сети. Локальное разрешение запросов уменьшает сетевую нагрузку и в большин­ стве случаев гарантирует более быстрые ответы на поисковые запросы. 5.5.3. Роли FSMO (Flexible Single-Master Operations) Роли хозяина операций выполняют задачи, решение которых способом муль­ тимастера непрактично. Определено пять ролей операций, и можно присво­ ить эти роли одному или нескольким контроллерам домена. Несмотря на то, что определенные роли могут быть присвоены только один раз в лесу, некоторые роли должны быть определены один раз в каждом домене. У каждого леса Active Directory должны быть следующие роли: • Владелец схемы (Schema Master) — контролирует обновления и моди­ фикации схемы каталога. Для обновления схемы каталога нужно полу­ чить доступ к владельцу схемы. Чтобы определить, какой сервер является текущим владельцем схемы в домене, откройте окно командной строки и введите команду dsquery server -hasfsmo schema. • Владелец доменных имен (Domain Naming Master) — контролирует добавление или удаление доменов в лесу. Для добавления или удаления доменов нужно получить доступ к владельцу доменных имен. Для опре­ деления, какой сервер является текущим хозяином доменных имен, от­ кройте окно командной строки и введите команду dsquery server -hasfsmo name. Эти роли должны быть уникальными в лесу. То есть можно назначить лишь одного владельца схемы и одного владельца доменных имен в лесу. У каждого домена Active Directory должны быть следующие роли: • Владелец относительных идентификаторов (Relative ID master) — распределяет относительные идентификаторы для контроллеров Сервер ни Windows и Linux домена. Независимо от того, создается ли объект пользователя, группы или компьютера, контроллеры домена присваивают этому объекту уни­ кальный идентификатор безопасности. Идентификатор безопасности состоит из префикса идентификатора безопасности домена и уникаль­ ного относительного идентификатора, назначенного владельцем относи­ тельных идентификаторов. Для определения, какой сервер является теку­ щим владельцем относительных идентификаторов для домена, откройте окно командной строки и введите команду dsquery server -hasfsmo rid. • Эмулятор основного контроллера домена (PDC emulator) — при ис­ пользовании операции смешанного режима эмулятор PDC работает как Windows NT PDC. Его задача — аутентификация входов Windows NT, из­ менение паролей и репликация обновлений на BDC. Эмулятор PDC явля­ ется сервером времени по умолчанию и как таковой осуществляет син­ хронизацию времени в домене. Чтобы определить, какой сервер является текущим эмулятором PDC, откройте окно командной строки и введите команду dsquery server -hasfsmo pdc. • Владелец инфраструктуры домена (Infrastructure master) — обновляет ссылки объектов путем сравнения их данных каталога с глобальным ка­ талогом. Если данные устарели, владелец инфраструктуры запрашивает обновленные данные из глобального каталога и затем реплицирует из­ менения на другие контроллеры домена. Чтобы определить, какой сервер является владельцем инфраструктуры, откройте окно командной строки и выполните команду dsquery сервер -hasfsmo infr. Эти роли должны быть уникальными в пределах домена. Это означает, что в пределах домена можно назначить только одного владельца относительных идентификаторов, один PDC-эмулятор и одного владельца инфраструктуры. Роли FSMO обычно назначаются автоматически, но при желании мож­ но назначить их вручную. При установке новой сети для выполнения всех пяти FSMO-ролей назначается первый контроллер домена. Если позже будет создан дочерний домен или корневой домен в новом дереве, автоматически будет назначен первый контроллер домена нового домена для выполнения FSMO-ролей. В новом лесу контроллер домена назначается для выполнения всех FSMO-ролей. Если новый домен находится в том же лесу, назначают­ ся следующие роли: владелец относительных ID, PDC-эмулятор и владелец инфраструктуры. Роли хозяина схемы и хозяина доменных имен остаются в первом домене леса. ГЖ] ^WndowsMHHHI| I .кша 5. Разворачивание Active Directory Когда в домене только один контроллер домена, то этот компьютер обраба­ тывает все FSMO-роли. Если вы работаете с единственным сайтом, назначе­ ние ролей FSMO по умолчанию является вполне приемлемым. Когда же до­ бавите новые контроллеры домена и новые домены, возможно, понадобится распределить FSMO-роли на другие контроллеры домена. Если в домене есть два или больше контроллера, можно настроить два вла­ дельца операций. Здесь один контроллер домена можно сделать владельцем операций, а второй сервер сделать резервным. Резервный владелец опе­ раций будет использоваться, когда что-то случится с основным сервером. Убедитесь, что контроллеры домена — прямые партнеры по репликации и хорошо соединены. Когда доменная структура вырастет, можно разделить роли между различ­ ными контроллерами домена. Это повысит скорость отклика владельцев операций. Обратите внимание на текущие обязанности контроллера домена, который планируется использовать. 5.6. Корзина Active Directory Корзина Active Directory добавляет легкую в использовании функ- j цию восстановления для объектов Active Directory. При включении этой функции все атрибуты удаленного объекта сохраняются, позво- I ляя восстановить объект в том же состоянии, что и до удаления. Также можно восстановить объекты из Корзины без инициирования аутен­ тичного восстановления (authoritative restore). Это существенно отличается от ранее доступного метода, который использовал авторитетное восстанов­ ление для восстановления удаленных объектов из контейнера Deleted Objects. Ранее при удалении объекта большая часть нессылочных атрибутов очищалась, а все ссылочные атрибуты удалялись. В результате даже если получалось восстановить удаленный объект, то нельзя было восстановить его состояние. По умолчанию Корзина выключена, и для ее активации ее необходимо вклю­ чить. Помните, что после включения Корзины вы больше не сможете ее отключить. 211 Сервер на Windows и Linux Для включения Корзины выполните следующие действия: 1. Из меню Средства выберите команду Центр администрирования Active Directory. 2. Выберите ваш домен из списка слева. 3. На панели Задачи (справа) выберите команду Включить корзину (рис. 5.15). Рис. 5.15. Центр администрирования Active Directory 4. В появившемся окне нажмите ОК. 5. В следующем окне внимательно прочитайте предупреждение и снова нажмите ОК. 6. Нажмите кнопку Обновить в Центре администрирования Active Directory. Команда Включить корзину станет недоступной - это свидетельствует о том, что корзина включена. Теперь при удалении объекта Active Directory он будет переведен в состо­ яние «логически удален» и перемещен в контейнер Deleted Objects (рис. 5.17). Также изменится его имя. Удаленный объект остается в контейнере Deleted Objects определенный период времени, который по умолчанию ра­ вен 180 дней. THE Глава 5. Разворачивание Active Directory Центр администрирования Active Directory х Обновите центр администрирования Active Directory прямо сейчас. Доменные службы Active Directory приступили к включению корзины для этого леса. Корзина не будет работать надежно, пока все контроллеры доменов в лесу не реплицируют изменение конфигурации этой корзины. Рис. 5.16. Предупреждение о включении корзины Рис. 5.17. Контейнер Deleted Objects Для восстановления ранее удаленного объекта выполните действия: 1. Перейдите в контейнер Deleted Object. 2. Выберите объект, щелкнув на нем. 3. На панели справа выберите команду Восстановить (рис. 5.18). Сервер на Windows и Linux Центр адмннистрирсзания Active Directory —OX Рис. 5.18. Восстановление удаленного объекта Команда Восстановить в восстанавливает объект в альтернативный контей­ нер в пределах исходного домена или в другой домен в пределах текущего леса. В этой главе было показано, как развернуть Active Directory, и были объяснены некоторые основные понятия, без понимания которых невозмож­ на работа с AD. 214 Глава 6. Основы администрирования AD Сервер на Windows н Linux Базовое администрирование Active Directory фокусируется на ключевых задачах доменных служб Active Directory — создании учетной за­ писи компьютера или присоединении компьютера к домену. В этой главе будут рассмотрены средства, которые используются для управления Active Directory, а также методы для управления компьютерами, контроллерами до­ менов и организационными подразделениями. 6.1. Утилиты управления Active Directory Для управления Active Directory используются следующие основные утили­ ты: • Центр администрирования Active Directory — для осуществления за­ дач управления; • Active Directory - домены и доверие — для работы с доменами, деревья­ ми доменов и лесами доменов; • Модель Active Directory для Windows PowerShell — для управления Active Directory при работе с Windows PowerShell; • Active Directory - сайты и службы — для управления сайтами и под­ сетями; 3 Глава 6. Основы администрирования А1) • Пользователи и компьютеры Active Directory — для управления поль­ зователями, группами, компьютерами и организационными подразделе­ ниями; • Управление групповой политикой — для управления способом ис­ пользования групповой политики в организации. Предоставляет доступ к RSoP для моделирования и журналирования. Запустить эти средства администрирования Active Directory можно из меню Средства диспетчера серверов или добавить их в любую консоль ММС. Разумеется, Active Directory должен быть развернут, иначе эти инструменты будут недоступны С компонентом Средства удаленного администрирования сервера уста­ навливается множество утилит поддержки Active Directory. В табл. 6.1 пред­ ставлен список наиболее полезных утилит поддержки для настройки, управ­ ления и решения проблем Active Directory. Таблица 6.1. Утилиты поддержки Active Directory Имя ис­ полнимого файла Описание Редактирование ADSI (ADSI Edit) Adsiedit.msc Открывает и редактирует Active Directory Services Interface для контейнеров домена, схемы и конфигурации Active Directory Administration Tool Ldp.exe Осуществляет операции LDAP на Active Directory Утилита отображения раз­ решений (список ACL) объекта доменных служб AD DS (Directory Services Access Control Lists Utility) Dsacls.exe Управляет списками контроля доступом (ACL) для объектов в Active Directory Утилита 217 ннинини jptadows и Управление пространства­ ми имен, серверами и кли­ ентами DFS (Distributed File System Utility) Dfsutil.exe Управляет распределенной фай­ ловой системой (DFS) и отобра­ жает информацию DFS DNS Server Troubleshooting Tool Dnscmd.exe Управляет свойствами DNSсерверов, зонами и записями ресурсов Replication Diagnostics Tool Repadmin.exe Управляет и контролирует репли­ кацию с использованием команд­ ной строки Windows Domain Manager Netdom Позволяет управлять доменами и доверительными отношениями из командной строки 6.1.1. Оснастка "Пользователи" и компьютеры Active Directory Данная оснастка является одной из основных утилит администратора, которая используется для управления каталогом. С ее помощью мож­ но управлять всеми задачами, связанными с пользователем, группой и компьютером, а также организационными утилитами. IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII ...... IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIH..... IIIIII1III.... IIIIII.... ..........................................Illllll.... .................................. Illlllllllll ..... Ill.... Illllllllllllllll Запустить оснастку можно через меню Средства диспетчера серверов. Ко­ манда называется Пользователи и компьютеры Active Directory. Обратите внимание, что заголовок самой оснастки немного отличается от названия команды, использующейся для ее вызова: Active Directory - пользователи и компьютеры (рис. 6.1). В оснастке Active Directory - пользователи и компьютеры отображается стандартный набор папок: • Builtin — список встроенных пользователей и групп; • Computers — контейнер по умолчанию для учетных записей компьюте­ ра; 2 218 J Глава 6. Основы админио рпрования АО • Domain Controllers — контейнер по умолчанию для контроллеров до­ мена; • ForeignSecurityPrincipals — содержит информацию по объектам из до­ веренного внешнего домена. Обычно эти объекты создаются, когда объ­ екты из внешнего домена добавлены в группу текущего домена; • Managed Service Accounts — контейнер по умолчанию для управляемых учетных записей служб; • Users — контейнер по умолчанию для пользователей. Active Directory - пользователи и компьютеры файл Действие £ид ^правка Пользователи и компьк Имя Сохраненные запрос ^DnsAdmms •к. exampie.com ^DnsUpaateProxy ®u"tin ^Protected Users Описание Группа администр... Группа безопасности Группа безопасности Г... DNS-клиенты, кот... Группа безопасности Г .. Участникам этой г... Computers а х Control ^v*^^ Пользователь ForeisnSKum^rm. «А^имаи»»» домена Группа безопасности Г... Группа безопасности Г... Члены этой групп... Группа безопасности У.. Идены этой групп... Группа безопасности У... Назначенные адм... Группа безопасности У... Назначенные адм... ^Владельцы-создатели групповой поли... Группа безопасности Г... Идены этой групп... Г... Все гости домена . Managed Service А ^Администраторы основного уровня ' Тип Users г ^Администраторы основного уровня т ^Администраторы предприя'ия J ^Администраторы схемы у £& Гости домена Л ......... _......................... . / Группа безопасности Встроенная учетн... Назначенные адм... ?.-Гость Пользователь Встроенная учетн... ; ^Группа с запрещением репликации г... Группа безопасности Пароли членов да... Г ^Группа с разрешением репликации и... Группа безопасности Пароли членов да... 4$, Издатели сертификатов Группа безопасности 1& Клонируемые контроллеры домена Группа безопасности 4&Компьютеры домена 4&Контррллепы лпмена Члены этой групп... г... Члены этой групп.. Группа безопасности Г Все рабочие стам... Гриппа безопасности Г., Все КОнтполлепы .. . . Рис. 6.1. Оснастка для управления пользователями и компьютерами Оснастка Active Directory - пользователи и компьютеры обладает расши­ ренными параметрами, которые по умолчанию не отображаются. Для полу­ чения доступа к этим опциям в меню Вид выберите команду Дополнитель­ ные компоненты. После этого будут доступны следующие дополнительные папки: • LostAndFound — содержит объекты, которые потеряли родителя. Такие объекты можно удалить или восстановить; • NTDS Quotas — содержит данные квотирования службы каталога; • Program Data — содержит сохраненные в Active Directory данные для приложений Microsoft; [ 219 " Сервер на Windows и Linux • System — содержит встроенные системные параметры; • TPM Devices — выводит устройства с сохраненной в Active Directory ин­ формацией владельца TPM (Trusted Platform Module). По умолчанию оснастка подсоединяется к локальному домену и к первому контроллеру домена, который ответит на запрос. Можно работать с любым доменом леса, при условии, что есть соответствующие права доступа. Для смены домена из меню Действия нужно выбрать команду Сменить домен. В оснастке Active Directory - пользователи и компьютеры есть встроен­ ная функция поиска, которую можно использовать для нахождения учетных записей, совместно используемых ресурсов и других объектов каталога. Можно легко произвести поиск по текущему домену, определенному доме­ ну или всему каталогу. Для активации функции поиска выполните команду меню Действия, Найти. “0 Поиск: Пользов,, контакты и группы Файл Найти Правка Вид Пользов . контакты и груг v- Где § example.com ^ Обзор... Пользов . контакты и группы Дополнительно ” старой и ■. Описание: Очистить все Рис. 6.2. Что нужно найти Далее (рис. 6.2) выберите, что нужно найти: • Пользователи, контакты и группы — поиск учетных записей пользова­ телей и групп, а также контактов, сохраненных в каталоге; • Компьютеры — поиск учетных записей компьютеров по типу, имени и владельцу; • Принтеры — поиск принтеров по имени, модели и функциям; ' 220 ] Глава 6. Основы администрирования Л1) • Общие папки — поиск общих папок по имени или ключевым словам; • Организационные подразделения — поиск организационных подраз­ делений по имени; • Пользовательский поиск — расширенный поиск или LDAP-запрос; • Общие запросы — быстрый поиск по именам учетных записей, описа­ ниям учетных записей, отключенным учетным записям, паролям и дням с момента последнего входа в систему. 6.1.2. Центр администрирования Active Directory I Центр администрирования Active Directory предоставляет ориенти| рованный на задачу интерфейс для управления Active Directory (рис. 6.3). Рис. 6.3. Центр администрирования Active Directory Для запуска этой утилиты выберите соответствующую команду из меню Средства диспетчера серверов. Эту утилиту можно использовать для выполнения множества задач, в том числе: HHHHHMjtwfndows • Подключения к одному или нескольким доменам; • Создания учетных записей пользователей, групп и организационных под­ разделений и управления ими; • Создания параметров паролей и управления ими; • Повышения режима работы леса и домена; • Восстановления удаленных объектов из корзины Active Directory. Центр администрирования Active Directory по умолчанию устанавливается в Windows Server 2012-2019, а на клиентских компьютерах эта программа доступна после установки компонента Средства удаленного администри­ рования сервера (RSAT, Remote Server Administration Tools). Эта утилита использует Windows PowerShell для осуществления административных за­ дач и основана на Microsoft .NET Framework. Оба этих компонента должны быть установлены и правильно настроены, иначе нельзя будет использовать Центр администрирования Active Directory. В Центре администрирования Active Directory по умолчанию для админи­ стрирования открыт локальный домен. Если нужно работать с другим до­ меном, в меню Управление выберите команду Добавить узлы перехода. В окне Добавление узлов выберите домен, с которым нужно работать, и нажмите кнопку ОК. После этого выберите домен, щелкнув по нему на ле­ вой панели. По умолчанию утилита подключается к первому контроллеру домену, отве­ тившему на запрос. Чтобы соединиться с определенным контроллером до­ мена, щелкните правой кнопкой мыши по имени домена на панели слева и выберите команду Смена контроллера домена. Подобно утилите Active Directory - пользователи и компьютеры, Центр администрирования Active Directory имеет встроенные функции, которые можно использовать для поиска объектов каталога. Основной поисковый фильтр, находящийся на левой панели, можно использовать для выбора кон­ тейнера каталога. Поисковый фильтр поможет быстро найти объекты уровня контейнера в пределах домена или дочернего организационного подразделения. После выбора узла домена на панели слева можно использовать фильтр, чтобы бы­ стро найти организационное подразделение высшего уровня или встроен­ ные контейнеры, которые начинаются с введенных в фильтр букв. 222 1 Глава 6. Основы администрирования AD 6.2. Управление учетными записями компьютера ЦНИИ I II I II IIIIIIIIIII IIIIIII I II I II II III I I I II I I I II I II II II I I II I I I I I III I III II I 111 II I I I I I I II III I lllll II I II II II1II II II I II II II II II I I III II Illi lllllllllll II IlllllllllllilllllirillllX Учетные записи компьютеров хранятся в Active Directory в виде I объектов. Учетные записи используются для контроля доступа к сети | и ее ресурсам. ^llliiiillilliliiliilillillillilliiliiiiliiiliiiiiliiliiliiiililiiiiiiiiiliiiiiliiiliiliiiiiiiiiiiiiiiiiliiliiliiiiiiiiiiiiiliiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiliiiiiililiiiiiliiliiiliiiiiilililliiiiiiiiiliiiiiiiiiilliiiliiliiiiliiiiiliilllliliiiliiiiiliiliiiiliiililliiiiiiiiiiiliiiiiliiiiiiiliiiiiiliiiilliiiiiliiiiiliiiiiiiiiililiiillillillllilinilliilF Администратор может добавить учетные записи компьютера в стандартные контейнеры, отображенные в оснастке Active Directory - пользователи и компьютеры. Как правило, учетные записи компьютеров хранятся в кон­ тейнере Computers, контроллеров домена — в Domain Controllers. При же­ лании вы можете создать любые другие организационные подразделения. 6.2.1. Создание учетной записи компьютера Создать учетную запись компьютера можно с помощью любого инструмен­ та - как с помощью Центра администрирования Active Directory, так и с помощью оснастки Active Directory - пользователи и компьютеры. В первом случае щелкните правой кнопкой мыши на контейнере, в который нужно поместить учетную запись компьютера, далее выберите команду Соз­ дать, Компьютер. Это откроет окно Создать Компьютер, показанное на Рис. 6.4. Создание учетной записи компьютера с помощью Центра администрирования AD Сервер на Windows и Linux widows В оснастке Active Directory - пользователи и компьютеры щелкните пра­ вой кнопкой мыши по контейнеру, в который нужно поместить учетную за­ пись компьютера, затем выберите команду меню Создать, Компьютер. Будет отображено окно Новый объект - Компьютер, изображенное на рис. 6.5. Новый объект - Компьютер Создать в: X example.com/Computers Имя компьютера: | admin| Имя компьютера (пред-Windows 2000): | ADMIN Присоединить к домену этот компьютер могут пользователь или группа пользователей, указанные ниже. Имя пользователя или группы: = По умолчанию: администраторы домена Изменить... Q Назначить учетной записи статус пред-Windows 2000 компьютера [ ОК ] Отмена ' Справка Рис. 6.5. Создание учетной записи компьютера посредством оснастки f Active Directory - пользователи и компьютеры " Очевидно, что при использовании Центра администрирования Active Directory у вас будет больше возможностей при создании учетной записи компьютера — вы сможете заполнить больше полей с информацией о созда­ ваемом объекте. Но нужно ли вам все это? Обычно возможностей оснастки Active Directory - пользователи и компьютеры вполне достаточно. Выполните в ней следующие шаги: 1. Введите имя компьютера. 2. По умолчанию только члены группы Администраторы домена могут присоединить этот компьютер к домену. Чтобы разрешить другому поль­ зователю или группе присоединять компьютер к домену, нажмите кнопку Изменить, а затем выберите учетную запись пользователя или группы в окне Выбор: «Пользователь» или «Группа». Глава 6. Основы администрирования AI) 3. Если эта учетная запись будет использоваться со старыми операцион­ ными системами, отметьте флажок Назначить учетной записи статус пред-Windows 2000 компьютера. 4. Если службы развертывания Windows не установлены, нажмите кнопку ОК, чтобы создать учетную запись компьютера. В противном случае нажмите кнопку Далее дважды, а затем — кнопку Готово. После создания учетной записи в оснастке Active Directory - пользователи и компьютеры нужно пометить учетную запись как защищенную. Защи­ щенные учетные записи не могут быть удалены до тех пор, пока предвари­ тельно не будет сброшен флаг защиты. Для защиты учетной записи компьютера выполните следующие действия: 1. Убедитесь, что в меню Вид оснастки включен режим Дополнительные компоненты. 2. Дважды щелкните на учетной записи компьютера, чтобы открыть окно Свойства. 3. На вкладке Объект установите флажок Защитить объект от случайного удаления, а затем нажмите кнопку ОК. Свойства: admin ? X Входящие звонки Редактор атрибутов Восстановление BitLocker Общие Операционная система Член групп Делегирование Репликация паролей Размещение Управляется Объект Безопасность Каноническое имя объекта: :example com/Computersfadmin Кдасс объекта: Компьютер Создан: 08.04.202016:19:50 Изменен. 06.04.202016:19:51 Номера последовательных обновлений (USN): Текущий: 41058 Исходный: 41054 [Защитить объект от случайного удаления! i OK s Отмена Применить Справка Рис. 6.6. Защита от случайного удаления 225 и Bwdowsj 6.2.2. Удаление учетной записи компьютера Если учетная запись компьютера больше не нужна, ее можно удалить из Active Directory. Вместо удаления можно временно отключить учетную за­ пись и включить ее позже, когда она снова понадобится. Чтобы удалить, отключить или снова включить учетную запись компьютера, выполните следующие действия: 1. Запустите оснастку Active Directory - пользователи и компьютеры или Центр администрирования Active Directory. В дереве консоли выбери­ те контейнер, в котором размещена учетная запись компьютера. 2. Щелкните правой кнопкой мыши по учетной записи компьютера и затем выберите одну из следующих команд: » Удалить — удаление учетной записи. Нажмите кнопку Да для под­ тверждения удаления; » Отключить — временное отключение учетной записи. Затем нажми­ те кнопку Да для подтверждения действия. Красный кружочек с кре­ стиком внутри свидетельствует о том, что учетная запись отключена; » Включить — включает учетную запись, после чего ее можно снова использовать. Если учетная запись защищена, нужно сбросить флаг защиты перед ее уда­ лением. Дважды щелкните на учетной записи компьютера для отображения окна Свойства, затем выключите параметр Защитить объект от случай­ ного удаления и нажмите кнопку ОК. При использовании оснастки Active Directory - пользователи и компьютеры этот параметр находится на вкладке Объект окна Свойства. При использовании Центра администриро­ вания Active Directory этот параметр находится на панели Компьютер. 6.2.3. Сброс заблокированных учетных записей Учетные записей компьютера имеют пароли, точно так же как и учетные записи пользователей. В отличие от учетных записей пользователей, пароли 9^ । лава 6- Основы администрирования Al) учетных записей компьютера управляются и обслуживаются автоматически. Для автоматического управления в домене хранится пароль учетной записи компьютера, который меняется каждые 30 дней (по умолчанию), а также па­ роль безопасного канала для установки безопасной связи с контроллерами домена. Пароль безопасного канала также обновляется каждые 30 дней. Оба пароля должны синхронизироваться. Если эти пароли не будут синхронизи­ рованы, то компьютер не сможет войти в домен, а для службы Netlogon будет зарегистрировано сообщение об ошибке аутентификации с идентификато­ ром 3210 или 5722. Если это произошло, необходимо сбросить пароль учетной записи компью­ тера. Один из способов сделать это — щелкнуть правой кнопкой мыши на учетной записи компьютера в окне Active Directory - пользователи и компьютеры и выбрать команду Переустановить учетную запись. После этого нужно удалить компьютер из домена (сделав его членом рабочей груп­ пы или другого домена), а затем снова подключить компьютер к домену. 6.2.4. Перемещение учетных записей компьютера Как правило, учетные записи компьютера помещаются в контейнеры Computers или Domain Controllers или же в контейнеры пользовательских организационных подразделений. Переместить учетную запись в другой компьютер можно так: выберите компьютер в оснастке Active Directory пользователи и компьютеры, а затем переместите его в другое место. В Центре администрирования Active Directory переместить пользователей нельзя. Можно также использовать следующий метод для перемещения учетной за­ писи компьютера при любом активном инструменте: 1. В дереве консоли выберите контейнер, в котором расположена учетная запись компьютера. 2. Щелкните правой кнопкой мыши и выберите команду Переместить. Бу­ дет отображено одноименное окно (рис. 6.7). 3. Выберите контейнер, в который нужно переместить компьютер. Пере­ йдите в подконтейнер или дочернее организационное подразделение. Нажмите кнопку ОК. Е Сервер на W indows и Linux X Переместить Переместить объект в контейнер: '' 1 г~...... ••••.••••■•••••••••••••• Отмена Рис. 6.7. Окно перемещения учетной записи компьютера 6.2.5. Присоединение компьютера к домену Компьютер, присоединенный к домену или рабочей группе, может войти и получить доступ к сети. Для начала убедитесь, что сетевые компоненты над­ лежащим образом установлены на вашем компьютере. Они должны быть установлены во время инсталляции операционной системы. Перед подклю­ чением компьютера к домену убедитесь, что протокол TCP/IP, а также пара­ метры DNS и DHCP настроены надлежащим образом. Операционная система Windows Server автоматически предоставляет право Добавление рабочих станций к домену неявной группе Прошедшие про­ верку. Это означает, что любой пользователь, который регистрируется в до­ мене и проходит аутентификацию, может добавить рабочие станции в до­ мен без необходимых полномочий администратора. Однако из соображений безопасности количество рабочих станций, которые аутентифицированный пользователь может добавить в домен, ограничено десятью. Если пользова­ тель превысит этот предел, он получит сообщение об ошибке. Во время установки операционной системы, вероятнее всего, уже было на­ строено сетевое соединение или же ранее компьютер был соединен с до­ меном или рабочей группой. Если это так, можно соединить компьютер с новым доменом или рабочей группой. Для этого вызовите окно Система, напротив имени компьютера нажмите Изменить параметры. В появившем- Глава 6. Основы администрирования AD ся окне вы можете нажать кнопку Изменить для присоединения к другому домену (рис. 6.8, 6.9). |“ ;3 > Панель управления > Система и безопасность ; Система анельуправления • о вашем компьютере ..n^rtcw^mxv/Mn^jj^ | Локальный cef Свойства системы ^ Все серверы ; Имя компьютере Оборудование Пополнительно Удаленный доступ ® ADDS Указанные ниже сведения используются для идентификации компьютера в сети. & DNS Я Windows Server 2019 (Microsoft Списание й ns Полное имя: Например "IlS-cepsep производственного отдела” или“Сервер бухгалтерии" WiN-LGOGBECFFJS.exampie.сет Домен. exampie com ^ Файловые слуз Чтобы переименовать компьютер или присоединить его к домену или рабочей группе, нажмите кнопку''Изменить" Изменить... !ei(R) CoreuMi i5-7200U CPU ® 2.50GHz 2.71 GHz l-раэрядная операционная система, процессе» хб4 еро и сенсорный ввод недоступны । параметры рабочей труппы W-LGOGgECFDS f!N-LGOG8ECFHSe>amoie.corri Kampie.com Отмена J OK ''AioneaunsW^ Рис. 6.8. Свойства системы X Изменение имени компьютера или домена Вы можете изменить имя и принадлежность этого компьютера. Изменения могут повлиять на доступ к сетевым ресурсам. Имя компьютера: |dESKTOP-IU66CN2 Полное имя компьютера: DESKTOP-IU66CN2 Дополнительно Является членом (•(домена. jexample.com О рабочей группы: WORKGROUP Рис. 6.9. Изменение имени компьютера или домена Отмена illllll t I II II I I I III I II I I I II I I I I II II I I II II I I III llllllllllliu Примечание. Контроллер домена нельзя присоединить к другому домену. Его нужно сначала понизить до уровня обычного сервера и только потом присоединять к другому домену. Далее будет показано, как это сделать. Allllll IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII llllllllllliu Illilllllllllllllllllliu IIIllllllllllllllllllllllllIIIlllllIIIIII III Illilllllll II llllllllllliu Illi Illi III ПИ I... I UI I Illi III llllllllllliu.... lUlUUIIIIIUIIIIUIIIIII........IIIIIIIIIIUIUU..... Hill.... I.... IIIIUIIUIIIII.... .. Сервер на Windows и Linux Если имя не удалось изменить, будет отображено соответствующее сообще­ ние, информирующее об этом, или сообщение о том, что учетная запись уже существует. Данная проблема может возникнуть при попытке изменить имя компьютера, который уже подключен к домену, либо если этот компьютер имеет активную сессию в этом домене. Можно закрыть приложение, под­ ключенное к домену, например Проводник, получающий доступ к общей папке в сети. После этого можно повторить процесс изменения имени компьютера. Если есть другие проблемы при соединении с доменом, убедитесь, что у настраиваемого компьютера правильная конфигурация сети. На компьютере должны быть установлены сетевые службы и в свойствах TCP/IP должен быть указан правильный DNS-сервер. У всех аутентифицированных пользователей есть полномочия Добавление рабочих станций к домену, и по умолчанию пользователи могут создавать до 10 учетных записей компьютера при присоединении компьютера к доме­ ну. Пользователи, у которых есть полномочия Создание объектов: account, для контейнера Computers могут создать неограниченное количество учет­ ных записей компьютера в домене. Однако у учетных записей компьютера, созданных аутентифицированными пользователями, владельцем является член группы Администраторы домена, а у учетных записей, созданных пользователями с правами Создание объектов: account, в качестве вла­ дельца устанавливается пользователь, создавший эту учетную запись. Если предоставить полномочие Создание объектов: account, можно также пре­ доставить полномочие Удаление объектов: account, чтобы пользователи могли удалить учетные записи компьютера из домена. Предоставить привилегии Создание объектов: account, Удаление объек­ тов: account (или обе эти привилегии) для контейнера Computers можно с помощью следующих действий: 1. Откройте оснастку Active Directory - пользователи и компьютеры или Центр администрирования Active Directory. В оснастке Active Directory - пользователи и компьютеры убедитесь, что в меню Вид активирована команда Дополнительные параметры. 2. Щелкните правой кнопкой мыши по контейнеру Computers и выберите команду Свойства. 3. На вкладке Безопасность нажмите кнопку Дополнительно. В диалого­ вом окне Дополнительные параметры безопасности для «Computers» "130 ] Глава 6. Основы администрирования Л1) нажмите кнопку Добавить, чтобы открыть окно Элемент разрешения для «Computers». 4. Щелкните по ссылке Выберите субъект. В окне Выбор: «Пользова­ тель», «Компьютер», «Учетная запись служба» или «Группа» выбе­ рите пользователя или группу, которым нужно предоставить полномочия, и нажмите кнопку ОК. Задайте привилегии и снова нажмите кнопку ОК. Рис. 6.10. Предоставление полномочий 6.3. Управление контроллерами домена 6.3.1. Понижение роли контроллера домена Ранее был подробно рассмотрен процесс установки контроллера домена (развертывания AD DS), сейчас же мы рассмотрим, как понизить роль кон­ троллера домена до уровня обычного сервера, что позволит переместить этот сервер в другой домен. Для понижения роли контроллера домена выполните следующие действия: 231 1. В консоли Диспетчер серверов в меню Управление выберите команду Удалить роли и компоненты, в результате будет запущен мастер удале­ ния ролей и компонентов. Если мастер отобразит страницу Перед нача­ лом работы, прочитайте приветствие и нажмите кнопку Далее. 2. На странице Выбор целевого сервера показан пул серверов, добавлен­ ных для управления. Выберите сервер, который нужно настроить, и нажмите кнопку Далее. 3. На странице Выбор ролей сервера сбросьте флажок Доменные службы Active Directory, указав тем самым, что нужно удалить эту роль. 4. Появится новое окно. В нем установите флажок Удалить средства управления; чтобы средства управления AD DS были удалены, нажми­ те кнопку Удалить компоненты. После этого нажмите кнопку Продол­ жить. Затем нажмите кнопку Далее дважды. 5. На странице Учетные данные обратите внимание на вашу текущую учетную запись. Если нужно, предоставьте другие учетные данные с пра­ вами, необходимыми для удаления контроллера домена. Нажмите кнопку Далее. 6. Если будет отображена страница Предупреждения, отметьте флажок Продолжить удаление, а затем нажмите кнопку Далее. 7. Введите новый пароль и его подтверждение для вашей локальной учет­ ной записи Администратор. Пароли должны совпадать. Нажмите кнопку Далее. 8. На странице Подтверждение удаления компонентов есть возможность установить флажок Автоматический перезапуск конечного сервера, если требуется. Поскольку для полного удаления необходим запуск сер­ вера, можно выбрать эту опцию, а затем подтвердить ее, нажав кнопку Да. Когда будете готовы продолжить, нажмите Удалить. 6.3.2. Просмотр и передача ролей домена Оснастку Active Directory пользователи и компьютеры могут также использовать для просмотра или изменения FSMO-ролей. На уровне домена можно работать с ролями для владельцев относительных ID, владельцев эмулятора первичного контроллера домена и владельцев инфраструктуры. Глава 6. Основы администрирования AD Чтобы просмотреть текущие FSMO-роли, выполните следующие действия: • В оснастке Active Directory - пользователи и компьютеры щелкните правой кнопкой мыши по элементу Пользователи и компьютеры Active Directory в дереве консоли. Из контекстного меню выберите команду Все задачи | Хозяева операций. Будет открыто окно Хозяева операций, изо­ браженное на рис. 6.11. • В окне Хозяева операций есть три вкладки. Вкладка RID показывает те­ кущее положение владельца относительных идентификаторов, на вкладке PDC отображено местоположение текущего владельца эмулятора PDC, а вкладка Инфраструктура демонстрирует положение текущего мастера инфраструктуры. Рис. 6.11. Хозяева операций Передать текущие операции другим серверам можно так: 1. В дереве консоли щелкните правой кнопкой мыши на узле Пользовате­ ли и компьютеры Active Directory, а затем выберите команду Сменить контроллер домена. 2. В окне Смена сервера каталогов выберите опцию Этот контроллер до­ мена или экземпляр AD LDS, затем выберите контроллер домена, на который нужно перенести FSMO-роли, и нажмите кнопку ОК. Сервер на Windows и Linux JJ Windows 3. В дереве консоли щелкните правой кнопкой мыши на узле Пользователи и компьютеры Active Directory. В контекстном меню выберите команду Все задачи | Хозяева операций. 4. В окне Хозяева операций перейдите на вкладку RID, PDC или Инфра­ структура (в зависимости от типа роли, которую нужно перенести). 5. Нажмите кнопку Изменить для передачи роли ранее выбранному контроллеру домена. Нажмите кнопку ОК. 6.4. Управление организационными единицами Организационные единицы помогают организовать объекты, применить групповую политику к ограниченному числу объектов и т. д. Далее будет показано, как создавать и управлять организационными подразделениями. 6.4.1. Создание организационных подразделений Обычно организационные подразделения создаются для отображения дело­ вой или функциональной структуры организации. Также можно создавать подразделения из административных соображений, например, если нужно предоставить права делегирования пользователям или администраторам. Можно создать организационные подразделения как подгруппы домена или как дочерние подразделения в пределах существующего организационного подразделения. Для создания организационного подразделения выполните следующие действия: • В оснастке Active Directory - пользователи и компьютеры или Центре администрирования Active Directory щелкните правой кнопкой мыши на узле домена или существующего организационного подразделения, в зависимости от того, куда нужно добавить новое организационное под­ разделение. Из контекстного меню Выберите команду Создать | Подраз­ деление. 234 Глава 6. Основы администрировании Л1) • Введите имя организационного подразделения и нажмите кнопку ОК. • Теперь можно переместить учетные записи и общие ресурсы в организа­ ционное подразделение. 6.4.2. Просмотр и редактирование свойств организационных подразделений Для просмотра и редактирования свойства организационного подразделения выполните действия: 1. Откройте оснастку Active Directory - пользователи и компьютеры или Центр администрирования Active Directory. 2. Щелкните правой кнопкой мыши на организационном подразделении, с которым нужно работать, а затем выберите команду Свойства. Это отобразит окно Свойства, позволяющее просмотреть и отредактировать свойства. 6.4.3. Переименование и удаление организационных подразделений Переименовать или удалить организационное подразделение в оснастке Active Directory - пользователи и компьютеры можно так: 1. Щелкните правой кнопкой мыши на организационном подразделении, которое нужно переименовать или удалить. 2. Для удаления подразделения выберите команду Удалить, затем подтвер­ дите удаление, нажав кнопку Да. 3. Для переименования подразделения выберите команду Переименовать, затем введите новое название подразделения и нажмите клавишу <Enter>. В Центре администрирования Active Directory аналогичным образом можно удалить подразделение, но для переименования нужно открыть его окно Свойства, ввести новое имя и нажать кнопку ОК. [2Л5 Сервер на Windows и Linux 6.4.4. Перемещение организационных подразделений Любое организационное подразделение можно переместить в любое место в пределах домена. В оснастке Active Directory - пользователи и компью­ теры просто выберите подразделение и переместите его в нужное место. В оснастке Active Directory - пользователи и компьютеры и в Центре ад­ министрирования Active Directory организационное подразделение можно переместить также с помощью команды Переместить: 1. Щелкните правой кнопкой мыши на папке подразделения, которое нужно переместить, и выберите команду Переместить. 2. В окне Переместить разверните домен и затем выберите контейнер, в который нужно переместить организационное подразделение. Нажмите кнопку ОК. Мы только что рассмотрели управление компьютерами, контроллерами до­ менов и организационными подразделениями. 236 Глава 7. Управление учетными записями пользователя и группы Сервер на Windows и Linux jj^ndow Управление учетными записями пользователей - одна из самых важных за­ дач администратора Windows Server. Вам не просто придется создавать и удалять учетные записи, иногда сбра­ сывая их пароль, вам нужно будет балансировать между потребностями пользователей по мере выполнения их служебных обязанностей и потреб­ ностями организации по защите важной или даже секретной информации. В небольшой организации можно с легкостью предоставить доступ «всем ко всему», но в таких организациях, как правило, и нет потребности в Active Directory и Windows Server вообще — все можно решить с помощью рабо­ чих групп. На таких предприятиях, где число компьютеров не превышает 15-20 штук, можно обойтись вообще без Windows Server, а использовать только клиентские версии Windows, объединенные в одну рабочую группу — вполне нормальная практика из соображений экономии. Не нужно ни по­ купать сам Windows Server, ни выделять отдельный компьютер под него. С ростом числа пользователей администрирование такой сети становится все менее и менее удобным. |||1шн11П1Ш111Ш11111Н111П1111111111111111111111111111111111111111111111111111111111111111111111111111П11111111111111111111Ш1Ш11111111111111Н1111111111111И11111111111111111111111111111Ш111111111111111111111т^^ При работе с Windows вы должны понимать, что существуют учетные записи трех типов - локальные, учетные записи домена и учет­ ные записи Microsoft. тли Глава 7. Управление учетными записями пользователя и группы В этой главе уделяется внимание доменным учетным записям и отчасти бу­ дут затронуты локальные. Операционная система Windows Server предоставляет учетные записи поль­ зователя и группы (членом которых являются пользователи). Учетные за­ писи пользователя предназначены для отдельных пользователей. Учетные записи групп разработаны для упрощения администрирования множества пользователей. В отличие от учетной записи пользователя, учетная запись группы не может использоваться для входа в систему. Учетные записи груп­ пы часто называют просто группами. 7.1. Типы учетных записей пользователей Как уже отмечалось во введении в эту главу, существует три типа учетных записей: • Учетные записи пользователей, определенные в Active Directory, на­ зываются учетными записями пользователей домена. Посредством единого входа в систему учетные записи пользователей домена могут получить доступ ко всем ресурсам домена. Учетные записи пользовате­ лей домена создаются в оснастке Active Directory - пользователи и компьютеры. • Учетные записи пользователей, определенные на локальном компью­ тере, называются локальными учетными записями пользователей. Локальные учетные записи пользователей имеют доступ только к локаль­ ному компьютеру и должны пройти аутентификацию перед обращением к сетевым ресурсам. Создать локальные учетные записи может с помо­ щью утилиты Локальные пользователи и группы. • Учетные записи Microsoft. Используются для доступа к многочислен­ ным устройствам и службам Майкрософт: для входа в Skype, Outlook, com, OneDrive, Windows Phone и Xbox LIVE, для получения доступа к своим файлам, фотографиям, контактам и настройкам с любого устрой­ ства. Такие учетные записи более характерны для домашних и личных компьютеров, нежели для корпоративной сети. Г 239 1 7.2. Имя входа и идентификаторы безопасности Все учетные записи пользователей идентифицируются с помощью имени входа. В Windows Server имя входа состоит из двух частей: 1. Имя пользователя — текстовая метка учетной записи; 2. Домен пользователя или рабочая группа — рабочая группа или домен, где существует учетная запись пользователя. Для пользователя mark, чья учетная запись создана в домене example.com, полное имя входа будет [email protected] . Имя входа в старом формате (в ОС, предшествовавших Windows 2000) — EXAMPLE\mark. При работе с Active Directory также нужно указать полное имя пользователя (fully qualified domain name, FQDN). FQDN-имя пользователя — это комбинация доменного имени пользователя DNS (Domain Name System), контейнера или организаци-1 онного подразделения, где находится учетная запись пользователя, I и имени пользователя. Для пользователя example.com\users\mark example.com — это доменное имя DNS, users — контейнер или органи-1 зационное подразделение, a mark — имя пользователя. Учетные записи пользователей также имеют пароли и публичные серти­ фикаты, связанные с ними. Пароли — это аутентификационные строки для учетной записи. Публичные сертификаты состоят из публичного и частно­ го ключей для идентификации пользователей. Можно войти интерактивно, используя пароль. Также можно войти, предоставив сертификат на смарткарте. Хотя Windows Server отображает имя пользователя для описания его при­ вилегий и разрешений, ключевыми идентификаторами для учетных записей являются идентификаторы безопасности (Security Identifiers, SID). SID — это уникальные идентификаторы, которые генерируются при созда­ нии учетных записей. Каждый SID учетной записи состоит из ID безопас- Глава 7. Управление учетными записями пользователя и группы ности домена и уникального относительного ID (relative ID, RID), который выделен хозяином относительных идентификаторов. Операционная система Windows Server использует эти идентификаторы для отслеживания учетных записей отдельно от имен пользователей. SID приме­ няется для разных целей. Две самые важные цели: простое изменение имен и безопасное удаление учетных записей (не нужно волноваться, что кто-то получит доступ к ресурсам, воссоздав учетную запись с таким же именем). При изменении имени пользователя Windows Server связывает определен­ ный SID с новым именем. При удалении учетной записи SID, связанный с ней, больше не является действительным. Позже, даже если кто-то создаст учетную запись с тем же именем пользователя, у новой учетной записи не будет тех же полномочий и разрешений, как у предыдущей. Потому что у новой учетной записи будет новый SID. 7.3. Учетные записи групп В дополнение к учетным записям пользователей Windows Server предостав­ ляет группы. I Вообще говоря, группы используются для предоставления полномо- | чий пользователям, выполняющим похожие действия, и упрощения | администрирования учетных записей. Я111111111 I и ill и и и I । । I и и i i i i i i i и и и ill i ill и inn и I I i и Innin IJIIIIIIIII II I II I I II II I II II III I I I II II II1II II II II II I иг Если пользователь — участник группы, которая может получить доступ к ресурсу, то и этот определенный пользователь тоже может получить доступ к этому ресурсу. Таким образом, можно предоставить доступ пользователю к различным необходимым ему для выполнения своих обязанностей ресур­ сам, сделав его членом определенной группы. Обратите внимание, несмотря на то, что можно войти в систему, используя учетную запись пользователя, нельзя войти в систему с помощью учетной записи группы. Например, у нас есть отдел продаж, сотрудники которого нуждаются в до­ ступе ко всем ресурсам, относящимся к маркетингу. Вместо предоставления необходимого доступа к этим ресурсам каждому отдельному сотруднику, Сервер на Windows и Linux можно сделать пользователей членами группы маркетинга. В этом случае будут автоматически получены привилегии группы. Поскольку разные домены Active Directory могут иметь группы с одина­ ковым названием, группы часто указываются в виде домен\группа, напри­ мер example\sales для группы sales в домене example. При работе с Active Directory также нужно указать FQDN для группы. FQDN для группы — это конкатенация DNS-имени, контейнера или организационного подразделе­ ния и имени группы. Для группы example.com\users\sales: example.com — DNS-имя домена, users — название контейнера или организационного под­ разделения и sales — имя группы. 7.3.1. Типы групп ОС Windows Server поддерживает группы трех типов: 1. Локальные группы — группы, определенные на локальном компьюте­ ре. Они используются только на локальном компьютере и создаются с помощью утилиты Локальные пользователи и группы. 2. Группы безопасности — группы, которые имеют связанные с ними де­ скрипторы безопасности. Группы безопасности в доменах создаются с помощью оснастки Active Directory - пользователи и компьютеры. 3. Группы рассылки — группы, которые используются в списках рассыл­ ки электронной почты. Они не имеют дескрипторов безопасности, свя­ занных с ними. Создаются оснасткой Active Directory - пользователи и компьютеры. 7.3.2. Область действия группы В Active Directory есть несколько областей (диапазонов) групп — локаль­ ный домен, встроенный локальный, глобальный и универсальный. Область группы определяет, что можно сделать, а что — нет. То есть группы можно создавать и использовать в разных областях. • Локальные группы домена — группы в основном используются для назначения разрешений доступа к ресурсам в пределах одного домена. l 242 Глава 7. Управление учетными записями пользователя и группы Локальные группы домена могут включать членов из любого домена в лесу и из доверяемых доменов в других лесах. Обычно глобальные и уни­ версальные группы являются членами локальных групп домена. Лучше всего такие группы использовать для управления доступом к ресурсам, таким как принтеры и совместно используемые папки. • Встроенные локальные группы — группы со специальной областью группы, имеют разрешения локального домена и часто, для простоты, от­ носятся к локальным группам домена. Разница между локальными встро­ енными группами и другими группами в том, что нельзя создавать или удалять встроенные локальные группы. Можно только модифицировать встроенные локальные группы. Упоминание локальных групп домена от­ носится и к встроенным локальным группам, если явно не указано иное. • Глобальные группы — группы, которые используются преимуществен­ но для определения прав пользователей и компьютеров в одном и том же домене, разделяющих подобную роль, функцию или работу. Члены глобальных групп — только учетные записи и группы из домена, где они были определены. • Универсальные группы — группы, используемые преимуществен­ но для определения наборов пользователей или компьютеров, которые должны иметь широкие разрешения по всему домену или лесу. Членами универсальных групп могут быть учетные записи пользователей, гло­ бальные группы и другие универсальные группы из любого домена в де­ реве доменов или лесу. 7.3.3. Идентификаторы безопасности и учетные записи групп Как и с учетными записями пользователей, ОС Windows Server отслеживает учетные записи группы с помощью уникальных SID. Это означает, что не­ возможно удалить учетную запись группы, воссоздать ее снова и затем ожи­ дать, что все полномочия останутся теми же. У новой группы будет новый SID, и все полномочия старой группы будут потеряны. ОС Windows Server создает маркеры безопасности для каждого входа поль­ зователя. Маркеры безопасности определяют ID учетной записи и SID всех групп безопасности, к которым принадлежит пользователь. Размер маркера увеличивается по мере добавления пользователя в дополнительные группы безопасности, и у этого есть последствия: [243] Сервер на Windows и Linux • 2| Wine Маркер безопасности должен быть передан процессу входа пользователя перед завершением входа. Когда число групп безопасности высокое, про­ цесс входа занимает больше времени; • Чтобы определить права доступа, маркер безопасности отправляется на каждый компьютер, к которому пользователь хочет получить доступ. Поэтому у размера маркера безопасности есть прямое влияние на загруз­ ку сети. 7.4. Учетные записи пользователей и групп по умолчанию При установке Windows Server 2019 операционная система устанавливает учетные записи групп и пользователей по умолчанию. Эти учетные записи разработаны для обеспечения базовой установки, необходимой для построе­ ния сети. По умолчанию доступны учетные записи трех типов: 7. Встроенные (Built-in) — учетные записи пользователя и группы, устанав­ ливаемые с операционной системой, приложениями и службами. 2. Предопределенные (Predefined) — учетные записи пользователя и груп­ пы, установленные с операционной системой. 3. Неявные (Implicit) — специальные группы, также известные как специ­ альные идентификаторы, создаваемые неявно, когда происходит доступ к сетевым ресурсам. 7.4.1. Встроенные учетные записи пользователей Встроенные учетные записи пользователей имеют специальное назначение в Windows Server. Все системы Windows Server имеют несколько встроен­ ных учетных записей пользователей: • LocalSystem — псевдоучетная запись для запуска системных процес­ сов и управления задачами уровня системы. Эта учетная запись — часть группы Администраторы на сервере и имеет все права пользователя на 244 1 Глава 7. Управление учетными записями пользователя и группы сервере. Если настраиваете приложения или службы на использование этой учетной записи, все связанные процессы получат полный доступ к системе сервера. Много служб запускается с помощью учетной записи LocalSystem. В некоторых случаях эти службы имеют привилегии взаи­ модействовать с рабочим столом. Службы, которым нужны альтернатив­ ные привилегии или права входа, запускаются под учетными записями LocalService или NetworkService. • LocalService — псевдоучетная запись с ограниченными привилегиями, которая предоставляет доступ только к локальной системе, является частью группы Пользователи на сервере и имеет те же права, что и учет­ ная запись NetworkService, за исключением, что она ограничена только локальным компьютером. Настройте приложения и службы на использо­ вание этой учетной записи, когда соответствующим процессам не нужно получать доступ к другим серверам. • NetworkService — псевдоучетная запись для запуска служб с необхо­ димыми дополнительными привилегиями и правами входа в локальную систему и сеть. Эта учетная запись — часть группы Пользователи на сер­ вере и предоставляет меньше разрешений и привилегий по сравнению с учетной записью LocalSystem (но больше, чем LocalService). В частности, процесс, запущенный с этой учетной записью, может взаимодействовать всюду по сети, используя учетные данные учетной записи компьютера. • При установке дополнений или приложений на сервер могут быть уста­ новлены другие учетные записи по умолчанию. 7.4.2. Учетная запись ” Администратор” IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII II III II И И III II II I II II I I II I II II I I I I I II II I II II I I HI I I I I I I I III lllllllll III1III 11 II I I I II I I I I II lllllll ИНН I I II II II I II I III II I II II I I II I I II I llllllllllllllllllltllll Администратор — предопределенная учетная запись, обеспечиваю-1 щая полный доступ к файлам, каталогам, службам и другим объектам. | В Active Directory у учетной записи Администратор есть полный доступ и полные полномочия, распространяющиеся на весь домен. В противном случае у учетной записи Администратор есть доступ только к локальной системе. Несмотря на то, что некоторые файлы и каталоги мо­ гут быть временно защищены от учетной записи Администратор, она может взять под свой контроль эти ресурсы в любое время, изменив права доступа. 245 Сервер на Windows и Linux По умолчанию учетная запись Администратор включена, но можно отклю­ чить или переименовать ее, чтобы улучшить безопасность. Для переимено­ вания учетной записи используется политика безопасности Учетные запи­ си: переименование учетной записи администратора. По умолчанию учетная запись Администратор для домена — член групп Администраторы, Администраторы домена, Пользователи домены, Админи­ страторы предприятий, Владельцы-создатели групповой политики и Адми­ нистраторы схемы. Информацию об этих группах можно найти в следую­ щем разделе. 7.4.3. Учетная запись "Гость" llll!ll1lllllllinill1lllllllll1IIIIIIHII<IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIMIIIII1lllllllllllltlllllllllllllllllllllllll1llllll1llllllllllllltllllllllllllllllllllllllllllllillllllllflin^ Учетная запись Гость предназначена для пользователей, которым не-1 обходим одноразовый или случайный доступ. Хотя гости получают ограниченный доступ к системе, нужно быть очень осторожными при использовании этой учетной записи. При каждом исполь­ зовании этой учетной записи гарантированы потенциальные проблемы без­ опасности. Риск настолько большой, что по умолчанию в Windows Server эта учетная запись отключена. Учетная запись Гость по умолчанию является членом групп Гости домена и Гости. Обратите внимание, что учетная запись Гость, как и другие имено­ ванные учетные записи, также является членом неявной группы Все. Группа Все обычно имеет доступ к файлам и папкам. Также у этой группы есть на­ бор прав пользователя по умолчанию. 7.4.4. Неявные группы и специальные идентификаторы В Windows Server неявные группы назначаются неявно во время входа и основаны на том, как пользователь получает доступ к сетевому ресурсу. Например, если пользователь получает доступ к ресурсу с помощью инте­ рактивного входа, пользователь автоматически становится членом неявной группы Интерактивные. Несмотря на то, что все еще нельзя просмотреть членство специальных идентификаторов, можно предоставить членство в неявных группах пользователям, группам и компьютерам. 246 [Mdows^^^H I kibu 7 Управ иппе viei пыми описями но.н.юв;нc.ni и i руины Чтобы отразить измененную роль, неявные группы также называют специ­ альными идентификаторами. Специальный идентификатор — это группа, членство в которой устанавливается неявно, например во время входа в систему, или явно через специальные разрешения доступа. Как и в случае с другими группами по умолчанию, доступность определенной неявной груп­ пы зависит от текущей конфигурации. Список специальных идентификаторов приведен далее. • Анонимный вход — в эту группу зачисляется любой пользователь, по­ лучивший доступ к системе посредством анонимного входа. Эта груп­ па разрешает анонимный доступ к ресурсам, например к веб-странице, опубликованной на корпоративном сервере. • Прошедшие проверку — в эту группу попадает пользователь, прошед­ ший проверку подлинности. Идентификатор разрешает доступ к общим ресурсам в пределах домена, например к файлам в общей папке, которые должны быть доступны всем сотрудникам организации. • Пакетные файлы — к этой группе относится любой пользователь, по­ лучивший доступ к системе в качестве пакетного задания. Позволяет за­ пускать запланированные задачи, например, ночное удаление временных файлов. • Группа-создатель — Windows Server использует эту специальную груп­ пу для автоматического предоставления доступа пользователям, являю­ щимся членами той же группы, что и создатель файла или каталога. • Создатель-владелец — лицо, создавшее файл или каталог, становится членом этой специальной группы. Windows Server использует эту группу для автоматического предоставления разрешений создателю файла или каталога. • Удаленный доступ — любой пользователь, получивший доступ в систему с помощью коммутируемого соединения, попадает в группу Уда­ ленный доступ. Эта группа позволяет отделить пользователей dial-up от других типов аутентифицированных пользователей. • Контроллеры домена предприятия — контроллеры домена, выполняю­ щие роли уровня предприятия. Эта группа позволяет выполнять опреде­ ленные задачи с помощью транзитивного доверия. • Все — все интерактивные, сетевые, dial-up и аутентифицированные поль­ зователи являются членами данной группы. Это специальная группа преь доставляет широкий доступ к ресурсам системы. Нм? • Интерактивные — любой пользователь, выполнивший локальный вход в систему. Данная группа позволяет предоставить доступ к ресурсу толь­ ко локальным пользователям. • Сеть — членом этой группы является любой пользователь, вошедший в систему по сети. Данная группа позволяет предоставить доступ к ресурсу только удаленным пользователям. • Proxy — пользователи и компьютеры, получающие доступ к ресурсам через прокси, попадают в эту группу. Группа используется, когда в сети реализованы прокси-серверы. • Пользователи удаленного рабочего стола — любой пользователь, полу­ чивший доступ к системе с помощью служб удаленного рабочего стола. Позволяет пользователям удаленного рабочего стола получать доступ к приложениям служб удаленного рабочего, стола и осуществлять другие необходимые задачи с этими службами. • Ограниченные — пользователи и компьютеры с ограниченными воз­ можностями. • Self — указывает на сам объект и позволяет объекту изменять самого себя. • Служба — любая служба, получающая доступ к системе. Данная груп­ па предоставляет доступ к процессам, запущенным службами Windows Server. • Система — сама операционная система Windows Server. Группа исполь­ зуется, когда операционной системе нужно выполнить действия на уров­ не системы. 7.4.5. Группы, используемые администраторами I Администратор — тот, у кого есть широкий доступ к сетевым ресурI сам. Администраторы могут создавать учетные записи, изменять права пользова­ телей, устанавливать принтеры, управлять общими ресурсами и т.д. Основ­ ные группы администратора — Администраторы, Администраторы домена и Администраторы предприятия. В табл. 7.1 сравниваются группы админи­ стратора. Глава 7. Управление учетными записями пользователя и группы Таблица 7.1. Обзор групп администратора Тип группы ад­ министратора Сетевая среда Действие группы Членство Администраторы Домены Active Directory Локальный домен Администратор, Ад­ министраторы доме­ на, Администраторы предприятия Администраторы Рабочие группы, компьютеры, не входящие в домен Локальное Администратор Администраторы домена Домены Active Directory Глобальное Администратор Администраторы предприятия Домены Active Directory Глобальное или универ­ сальное Администратор Администраторы схемы Домены Active Directory Универсаль­ ное Администратор • Администраторы — это локальная группа, предоставляющая полный административный доступ к отдельным компьютерам или к единственно­ му домену, в зависимости от его расположения. Поскольку у этой учетной записи есть полный доступ, нужно быть очень осторожными при добав­ лении пользователей в эту группу. Чтобы назначить кого-то администра­ тором локального компьютера или домена, все, что нужно сделать, — это добавить человека в эту группу. Только члены группы Администраторы могут изменить эту учетную запись. • Администраторы домена — глобальная группа, разработанная, чтобы помочь управлять ресурсами в домене. Члены этой группы имеют пол­ ный контроль над доменом. Эта группа обладает административным кон­ тролем над всеми компьютерами в домене, потому что она — член груп­ пы Администраторы по умолчанию на всех контроллерах домена, всех рабочих станциях и всех рядовых серверах домена, как только они присо­ единяются к домену. Чтобы назначить кого-то администратором домена, сделайте этого человека членом данной группы. Сервер на Windows и Linux JJ Windows • Администраторы предприятия — глобальная группа, призванная по­ мочь управлять ресурсами леса. Члены этой группы имеют полный кон­ троль над всеми доменами в лесу. Эта группа обладает полным админи­ стративным контролем над контроллерами домена в предприятии, потому что эта группа является членом группы Администраторы по умолчанию на всех контроллерах домена в лесу. Чтобы сделать кого-то администра­ тором предприятия, просто добавьте его в эту группу. • Администраторы схемы — универсальная группа, разработанная для управления схемой в Active Directory. Члены этой группы могут работать со схемой и изменять схему Active Directory. Перед тем, как кто-либо смо­ жет редактировать схему, нужно сделать его членом этой группы. 7.5. Возможности учетной записи В Windows Server можно назначить следующие типы возможностей учетной записи. • Привилегия — тип права пользователя, предоставляющий разрешения на выполнение определенных административных задач. Можно назна­ чить привилегии учетным записям пользователя и группы. Примером привилегии является возможность завершать работу системы. • Права входа — тип права пользователя, предоставляющий разрешения входа в систему. Можно назначить право входа как учетной записи поль­ зователя, так и группы. Примером права входа является право входа ло­ кально. • Встроенные возможности — тип права пользователя, который назнача­ ется группам и включает автоматические возможности группы. Встро­ енные возможности предопределены и неизменны, но они могут быть делегированы пользователям с разрешением управлять объектами, ор­ ганизационными подразделениями и другими контейнерами. Пример встроенной возможности — возможность создавать, удалять учетные за­ писи пользователей и управлять ими. Эта возможность присвоена опе­ раторам учетной записи и администраторам. Таким образом, если поль­ зователь — участник группы Администраторы, то он может создавать, удалять учетные записи пользователей и управлять ими. Глава 7. Управление учетными записями пользователя и группы • Разрешения доступа — тип права пользователя, определяющий опера­ ции, которые могут быть выполнены на сетевых ресурсах. Можно назна­ чить разрешения доступа пользователям, компьютерам и группам. При­ мер разрешения доступа — возможность создавать файл в каталоге. 7.5.1. Привилегии Привилегии — это назначение права пользователя, предоставляю­ щее разрешение на выполнение определенных административных задач. Можно назначить привилегии с помощью групповых политик, которые могут быть применены к отдельным компьютерам, организа­ ционным подразделениям и доменам. । и Innin । । и и нпп । in и ш и нм и I iiiiiiiiiini и пи ши IIIHII1III п in । и и nitF IIIIIHIIIIIIIIIII и Хотя можно назначить привилегии как пользователям, так и группам, обыч­ но нужно назначать привилегии группам. В этом случае пользователи авто­ матически получат соответствующие права, как только они станут членами группы. Назначение привилегий группам также упрощает управление учет­ ными записями. В табл. 7.2 приведено краткое описание каждой привилегии, которую можно назначить пользователям и группам. Таблица 7.2. Привилегии пользователей и групп Привилегия Описание Работа в режиме операцион­ ной системы Позволяет процессу допускать любого пользо­ вателя к работе в системе без проверки подлин­ ности Добавление рабочих станций к домену Разрешает пользователям добавлять компьюте­ ры в домен Настройка квот памяти для процесса Разрешает пользователям изменять максималь­ ный объем памяти, используемый процессом Сервер на Windows и Linux Архивация папок и каталогов Обход перекрестной проверки Изменение системного вре­ мени Изменение часового пояса Создание файла подкачки Создание маркерного объекта Создание глобальных объ­ ектов Создание постоянных общих объектов Позволяет пользователям архивировать систе­ му, независимо от разрешений, установленных для файлов и каталогов Позволяет пользователям производить обзор деревьев каталога, даже если у этих пользо­ вателей отсутствуют разрешения на каталог. Привилегия не позволяет пользователям про­ сматривать содержимое каталога, а только про­ изводить его обзор Разрешает пользователям устанавливать время системных часов Разрешает пользователям устанавливать часо­ вой пояс системных часов. По умолчанию эта привилегия есть у всех пользователей Позволяет пользователям создавать и изменять размер файла подкачки для виртуальной памя­ ти Позволяет процессам создавать маркерные объ­ екты, которые могут использоваться для предо­ ставления доступа к локальным ресурсам. Про­ цессы, которым нужна эта привилегия, должны использовать учетную запись LocalSystem Позволяет процессам создавать глобальные объекты. Эта привилегия по умолчанию есть у учетных записей LocalService и NetworkService Позволяет процессам создавать объекты ка­ талога в диспетчере объектов. У большинства компонентов уже есть эта привилегия, и не нужно назначать ее специально И Wind Глзвз 7. Управление учстными записями пользователя и группы Создание символических ссылок Определяет для пользователя возможность создавать символические ссылки. Символьные ссылки позволяют файлу или папке появиться в определенном расположении, когда на самом деле этот файл или папка находится в другом расположении. Использование символических ссылок по умолчанию ограничено из соображе­ ний безопасности Отладка программ Разрешает пользователям осуществить отладку программ Разрешение доверия к учет­ ным записям компьютеров и пользователей при делегиро­ вании Определяет, какие пользователи могут устанав­ ливать параметр Делегирование разрешено для пользователя или объекта-компьютера Принудительное удаленное завершение работы Позволяет пользователям завершать работу компьютера с удаленной системы Создание аудитов безопас­ ности Разрешает процессам создавать записи журна­ ла для аудита доступа к объектам Имитация клиента после про­ верки подлинности Позволяет веб-приложениям действовать как клиентам во время обработки запросов. Служ­ бы и пользователи также могут работать как клиенты Увеличение рабочего набора процесса Разрешает пользователю увеличить размер рабочего набора процесса. Рабочий набор про­ цесса — это набор страниц памяти, видимых в данный момент процессу в физической памяти. При увеличении рабочего набора снижается количество ошибок страниц и повышается про­ изводительность Увеличение приоритета вы­ полнения Позволяет процессам повышать приоритет вы­ полнения другого процесса, при условии что у них есть доступ для записи к процессу Загрузка и выгрузка драйве­ ров устройства Позволяет пользователям устанавливать и деинсталлировать драйверы РпР-устройств. Это не влияет на драйверы не-РпР-устройств, которые могут устанавливать только админи­ страторы Сервер на Windows и Linux Блокировка страниц в памяти Управление аудитом и журна­ лом безопасности Изменение метки объекта nndows Позволяет процессам хранить данные в физи­ ческой памяти, запрещая системе выгружать данные в виртуальную память на диск Позволяет пользователям указывать опции аудита и получать доступ к журналу безопасно­ сти. Сначала нужно включить аудит в политике группы Позволяет пользовательскому процессу из­ менять метки целостности объектов, таких как файлы, разделы реестра или процессы, вла­ дельцами которых являются другие пользовате­ ли. Эти привилегии могут быть использованы для понижения приоритета других процессов. Процессы, запущенные под учетной записью пользователя, могут модифицировать любой объект, который принадлежит пользователю, без запроса этой привилегии Изменение параметров среды изготовителя Разрешает пользователям и процессам изме­ нять системные переменные среды Выполнение задач по обслу­ живанию томов Разрешает администрирование сменных но­ сителей, дефрагментацию диска и управление диском Профилирование одного про­ цесса Разрешает пользователям контролировать про­ изводительность несистемных процессов Профилирование производи­ тельности системы Позволяет пользователям следить за произво­ дительностью системных процессов Отключение компьютера от стыковочного узла Разрешает отключение лэптопа от стыковочно­ го узла и его удаление из сети Замена маркера уровня про­ цесса Позволяет процессам заменять маркер по умол­ чанию для подпроцессов Глава 7. Управление учениями записями пользователя и i руины Восстановление файлов и ка­ талогов Завершение работы системы Разрешает пользователям восстанавливать за­ архивированные файлы и каталоги, независимо от разрешений, установленных для файлов и каталогов Разрешает пользователям выключать локаль­ ный компьютер Синхронизация данных служ­ бы каталога Позволяет пользователям синхронизировать данные службы каталога на контроллерах до­ мена Смена владельцев файлов и других объектов Разрешает пользователям сменять владель­ цев файлов и любых других объектов Active Directory 7.5.2. Право входа I Право входа — право пользователя, предоставляющее полномочия | входа в систему. Можно назначить право входа как учетной записи пользователя, так и учетной записи группы. Как и в случае с привилегиями, права входа назначаются через групповые политики, кроме того, права входа проще назначать сразу группам, нежели отдельным пользователям. В табл. 7.3 приведено краткое описание каждого права входа, которое можно назначить пользователям и группам. Таблица 7,3. Права входа для пользователей и групп * Право входа Описание Доступ к диспетчеру учет­ ных данных от имени дове­ ренного вызывающего Предоставляет разрешение устанавливать до­ веренное соединение с диспетчером учетных данных (Credential Manager). Учетные данные (имя пользователя и пароль или смарт-карта) обе­ спечивают идентификацию Г 255 Сервер на Windows и Linux Доступ к компьютеру из сети Предоставляет удаленный доступ к компьютеру Локальный вход в систему Предоставляет разрешение войти в систему с клавиатуры компьютера. На контроллерах домена это право по умолчанию ограничено и доступно только следующим группам: Администраторы, Операторы учета, Операторы архива, Операторы печати и Операторы сервера Разрешить вход в систему через службу удаленных рабочих столов Предоставляет доступ с помощью службы уда­ ленных рабочих столов. Это право необходимо для удаленной помощи и удаленного использова­ ния рабочего стола Отказать в доступе к этому компьютеру из сети Запрещает удаленный доступ к этому компьютеру по сети Отказать во входе в каче­ стве пакетного задания Запретить право входа в качестве пакетного зада­ ния или сценария Отказать во входе в каче­ стве службы Запрещает вход в качестве службы Запретить локальный вход Запрещает локальный вход в систему с использо­ ванием клавиатуры компьютера Запретить вход в систему через службу удаленных рабочих столов Запрещает вход в систему с использованием уда­ ленных рабочих столов Вход в качестве пакетного задания Предоставляет разрешение войти в систему в ка­ честве пакетного задания Вход в качестве службы Предоставляет разрешение войти в систему в качестве службы. Это право есть у учетной за­ писи LocalSystem. Данное право нужно назначить учетной записи службы Глава 7. Управление учетными записями пользователя и группы 7.5.3. Встроенные возможности для групп в Active Directory Встроенные возможности, назначаемые группам в Active Directory, зависят от конфигурации компьютера. С помощью Редактора локальной группо­ вой политики (рис. 7.1) можно просмотреть возможности, которые назна­ чаются каждой группе, раскрыв узел Конфигурация компьютера \ Конфи­ гурация Windows \ Параметры безопасности\ Локальные политики и выбрав узел Назначение прав пользователя. Рис. 7.1. Назначение прав пользователя ...... I I I I II И I II I I II I II I III II I I IIIIIIIIIIIIIIIIIIIIIIII1IIIIIIIIIIIIIIIIIIIU. Описание той или иной политики можно узнать на вкладке Объяс­ нение. Как правило, назначение политики понятно по ее названию, а колонка Параметр безопасности содержит список групп, которым назначено то или иное право. Aliiililiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiliiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiii..... nil iiiiiiiiiiiiiiiii nil nil iiiiiiii in in iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiin iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiliiilliiiiiilillilllllillilliiillliillir Сервер на Windows и Linux Свойства: Архивация файлов и каталогов Параметр локальной безопасности Объяснение Архивация файлов и каталогов Это право пользователя определяет, какие пользователи могут игнорировать разрешения для файлов, каталогов, реестра и других постоянных объектов с целью архивации системы. В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе: Обзор папок/Выполнение файлов Содержимое панки/Чтение данных Чтение атрибутов Чтение расширенных атрибутов Чтение разрешений Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Поскольку невозможно точно знать, что именно пользователь делает с данными - создает архив, крадет или копирует с целью распространения - назначайте это право только доверенным пользователям. Подробности о политике ббзопасности и свя^ с ней компонентах Windows см. fe веб-сайте Майкрософт! ] Отмена :;'-'.Ч?.-'^ — Рис. 7.2. Вкладка «Объяснение» 7.6. Требования к именам пользователей и паролям 7.6.1. Требования к имени учетных записей У учетных записей есть отображаемые имена и имена входа. Отображаемое имя (или полное имя) — имя, отображаемое пользовате­ лям, и имя, показываемое в сеансах пользователя. Имя входа — это имя, используемое для входа в домен. Для учетных записей домена отображаемое имя обычно состоит из фами­ лии, имени и отчества, но можно указать любую строку. Отображаемое имя должно соответствовать следующим правилам: • Локальные отображаемые имена должны быть уникальными на отдель­ ном компьютере; Г 258 1 Глава 7. Управление учетными записями пользователя и группы • Отображаемые имена должны быть уникальными в пределах домена; • Максимальная длина отображаемого имени — 64 символа; • Отображаемые имена могут содержать алфавитно-цифровые и специаль­ ные символы. Имена входа должны следовать этим правилам: • Локальные имена входа должны быть уникальными в пределах отдель­ ного компьютера, глобальные имена входа должны быть уникальными в пределах домена; • Имена входа могут состоять из 256 символов. Однако очень непрактично использовать имена входа длиной более 64 символов; • Старые имена входа (в формате для ОС, предшествовавших Windows 2000) назначаются всем учетным записям. По умолчанию в качестве это­ го имени входа используются первые 20 символов обычного имени входа. Имена входа в старом формате тоже должны быть уникальными в преде­ лах домена; • Пользователи, входящие в домен с компьютера, могут использовать свои стандартные имена входа или свои имена в старом формате (для ОС, пред­ шествовавших Windows 2000) независимо от режима работы домена; • Имена входа не могут содержать определенные символы. Следующие символы недопустимы: «/\[];| = ,+ *?<>; • Имена входа могут содержать все остальные специальные символы, в том числе пробелы, двоеточия, тире и символы подчеркивания. Однако использовать данные символы в именах учетных записей — не очень хо­ рошая идея. 7.6.2. Использование безопасных паролей Пароль — это чувствительная к регистру строка, которая может содержать 127 символов и более при использовании Active Directory и до 14 символов при использовании Windows NT Security Manager. Допустимые символы для паролей — буквы, цифры и другие символы. При установке пароля для учет­ ной записи Windows Server сохраняет пароль в зашифрованном виде в базе данных учетных записей. 259 Сервер на Windows и Linux Но простого наличия пароля недостаточно. Ключ к предотвращению несанк­ ционированного доступа к сетевым ресурсам — использование безопасных паролей. Разница между среднестатистическим и безопасным паролем — безопасные пароли трудно подобрать и взломать. Сделать пароль сложным для подбора и взлома можно, используя комбинацию всех доступных типов символов, в том числе символов разного регистра, цифр и прочих символов. Например, вместо topsecret в качестве пароля лучше выбрать tOPsECret& или TO12pSeCre7*. Также можно использовать парольные фразы. В этом случае пароль содер­ жит несколько слов и знаки пунктуации, как в предложении. Например, «Му very secret passwOrd!». Эта фраза содержит знаки пункту­ ации, цифры и удовлетворяет всем требованиям сложности и невероятно трудна для взлома. К сожалению, нет никакой разницы, насколько безопасным будет началь­ ный пароль, пользователь со временем может установить собственный па­ роль. Поэтому необходимо установить политики учетных записей, опреде­ ляющие, каким будет безопасный пароль для имеющихся систем. Политики учетных записей — это подмножество политик, настраиваемых в групповой политике. 7.7. Политики учетной записи 7.7.1. Установка политик учетных записей Политики учетной записи должны быть сконфигурированы в GPO с наивысшим приоритетом, связанным с доменом. По умолчанию GPO с наивысшим приоритетом называется Default Domain Policy GPO. Как только будет получен доступ к Default Domain Policy GPO или другому надлежащему GPO, можно установить политики учетных записей с помо­ щью этих действий: мН Глава 7. Управление учетными записями пользователя и группы • В утилите Редактор управления групповыми политиками (рис. 7.3) разверните узел Политики учетных записей, находящийся в узле Кон­ фигурация компьютера \ Конфигурация Windows \ Параметры без­ опасности. Дерево консоли покажет имя настраиваемого компьютера или домена. Убедитесь, что выполняется настройка нужного сетевого ресурса. Рис, 7.3, Редактор управления групповыми политиками • Теперь можно управлять политиками учетных записей с помощью уз­ лов Политика паролей, Политика блокировки учетной записи и По­ литика Kerberos. Чтобы настроить политику, дважды щелкните по ней или щелкните правой кнопкой мыши и выберите команду Свойства. Откроется одноименное окно (рис. 7.4). Все политики могут быть или определены, или не определены. Это означает, что они могут быть либо настроены, либо не настроены для использования. Политика, не опреде­ ленная в текущем контейнере, может быть наследована из следующего контейнера. • Установите или сбросьте флажок Определить следующий параметр политики, чтобы указать, определена ли политика. Сервер на Windows и Linux Рис. 7.4. Свойства групповой политики Далее будут рассмотрены некоторые политики и рекомендуемые параметры для них. 7.7.2. Настройка политики паролей Политики паролей, приведенные здесь, контролируют безопасность паро­ лей: 1. Вести журнал паролей. 2. Максимальный срок действия пароля. 3. Минимальная длина пароля. 4. Минимальный срок действия пароля. 5. Пароль должен отвечать требованиям сложности. 6. Хранить пароли, используя обратимое шифрование. Использование этих политик обсуждается в следующих разделах. ' 262 ] Глава 7. Управление учетными записями пользователя и группы Вести журнал паролей Политика Вести журнал паролей устанавливает, как часто старые пароли могут использоваться повторно. С помощью этой политики можно отучить пользователей использовать несколько общих паро­ лей. В журнале паролей Windows Server может хранить до 24 паролей для каж­ дого пользователя. Чтобы отключить эту опцию, установите число паролей равное 0. Чтобы ак­ тивировать ее, установите значение истории паролей, используя поле Вести журнал для. После этого Windows Server будет отслеживать старые пароли на основе истории паролей, уникальной для каждого пользователя. Пользо­ вателям не разрешается устанавливать ранее использованные пароли. Максимальный срок действия пароля Политика Максимальный срок действия пароля определяет, сколько дней пользователи могут хранить пароль перед его обязательным изменением. Цель этой политики — заставить пользователей! периодически менять свои пароли. Установите значение, имеющее смысл в конкретной сети. В целом, нужно использовать более короткий период, когда безопасность очень важна, и бо­ лее длительный период, когда безопасность менее важна. Можно установить максимальный срок действия пароля от 0 до 999 дней. Величина 0 означает, что пароли не истекают. Несмотря на желание не уста­ навливать дату истечения пароля, пользователи должны менять пароль ре­ гулярно, чтобы обеспечить безопасность сети. Там, где важна безопасность, используйте значение 30, 60 или 90 дней. Где безопасность менее важна, хорошие значения равны 120, 150 или 180 дней. 263 Сервер на Windows и Linux Минимальный срок действия пароля Политика Минимальный срок действия пароля определяет, сколько дней должно пройти перед тем, как пользователь сможет из­ менить его. Можно использовать эту политику, чтобы помешать поль­ зователям несколько раз подряд менять пароль, чтобы установить старый пароль. Если минимальный срок действия пароля установлен в значение 0, пользо­ ватели сразу могут изменить свои пароли. Чтобы предотвратить это, уста­ новите определенный минимальный срок. Имеет смысл использовать зна­ чения от 3 до 7 дней. Таким образом, пользователи не смогут сразу перейти на старый пароль, но при необходимости смогут изменить пароль, не до­ жидаясь максимального срока действия. Имейте в виду, что минимальный срок действия пароля может препятствовать смене скомпрометированного пароля. Если пользователь не может изменить пароль, это должен сделать администратор. Минимальная длина пароля Политика Минимальная длина паролей устанавливает минималь- | ное число символов пароля. Если значение по умолчанию не было изменено, сделайте это немедленно. Значение по умолчанию в некоторых случаях позволяет устанавливать пу­ стые пароли (пароли с 0 символов), что определенно не очень хорошая идея. Из соображений безопасности нужно использовать пароли длиной минимум 8 символов. Если необходима еще большая безопасность, установите мини­ мальную длину пароля, равную 14 символов. Пароль должен отвечать требованиям сложности ОС Windows Server содержит средства для дополнительного управления па­ ролем. Эти средства заставляют использовать безопасные пароли, которые устанавливаются в соответствии со следующими требованиями: Глава 7. Управление учетными записями пользователя и группы • Минимальная длина паролей — 6 символов; • Пароли не могут содержать имя пользователя, например mark/, или часть полного имени, например mark; • Пароли должны содержать как минимум три из четырех типов символов: буквы в нижнем регистре, буквы в верхнем регистре, цифры и неалфа­ витные символы. Для применения этих правил включите политику Пароль должен отвечать требованиям сложности. Хранить пароли, используя обратимое шифрование Пароли в базе данных хранятся в зашифрованном виде. Обычно это шифро­ вание не может быть обращено. Единственный случай, когда нужно изме­ нить это поведение, — ситуация, когда организация использует приложения, которым нужно считать пароль. Если это так, включите политику Хранить пароли, используя обратимое шифрование для всех пользователей. При включении этой политики пароли также могут быть сохранены как обычный текст. Это тоже представляет угрозу безопасности. Помните это. Намного лучше включить эту опцию для конкретных пользователей, как только она будет действительно необходима им. 7.7.3. Политики блокировки учетной записи JI II I I 1 I I I III I II III I I II I II II IIIII II I II lllllll II I III I I 11 I II I ill IIIIIHIII III Hill Illillllllll III1III1IIIIII1IIIIIHIIIIIIII III IIIIIIIILL Политики блокировки учетной записи, приведенные здесь, контролируют, как и когда учетные записи будут заблокированы до­ меном или локальной системой: IIIIIIIIIIIIIIIIIIIII И II I I III I I III III I I I II I I I I I I I I I II I I II I III I I II If II I II II I I II I I I II II Illi II II II I I II II I I Пороговое значение блокировки; Продолжительность блокировки учетной записи; Время до сброса счетчика блокировки. II I II Illi 1 I I I I I I II I II I I I II II II I II II I I lllllllllllll Сервер на Windows и Linux V Редактор управления групповыми политиками файл Действие Дид Справка X ^ я! ;1S? Ц я . ............... „„....V......... ..... „............ ...... Л_ JT Политика Default Domain Policy [W * Политика Параметр политики v й Конфигурация компьютера ^ Время до сброса счетчика блокировки Не определено U Пороговое значение блокировки 0 ошибок входа в систе... Ш Продолжительность блокировки учетной за... Не определено V i^ Политики > £2 Конфигурация программ v г J Конфигурация Windows > 3 Политика разрешения ^ Сценарии (запуск/заве| > aw Развернутые принтеры * i Параметры безопасней v Л Политики учетных за > Л Политика паролей : Э Политика блокирс ■ Л Политика Kerbero: > Л Локальные политика > Л Журнал событий ? L# Группы с ограничен) ’ . $ Системные службы > Ц Реестр > ^ Файловая система > ^ Политики ПрОВОДНО) ' : кЛоммтлп Кирам ямам* V Рис. 7.5. Политики блокировки учетной записи Пороговое значение блокировки Политика Пороговое значение блокировки определяет число по- | пыток входа в систему, которые может сделать пользователь, прежде | чем учетная запись будет заблокирована. Если решите использовать управление блокировкой, вам придется балан­ сировать между предотвращением взлома учетной записи и потребностями пользователей, которые испытывают затруднения при получении доступа к своим учетным записям. Очень часто пользователи забывают свои пароли. Если это так, им понадо­ бится несколько попыток входа в систему. У пользователей рабочей группы также могут быть проблемы при доступе к удаленной системе, если их теку­ щие пароли не совпадают с паролями, которые ожидает удаленная система. Например, удаленная система могла записать несколько неудачных попы­ ток входа в систему, прежде чем пользователь получил приглашение ввести правильный пароль, потому что Windows Server попытался автоматически I.ива 7. Управляше yiei пымп записями но. и» юван< in и i руины войти в удаленную систему. В доменной среде это обычно не происходит благодаря функции единого входа в систему. Можно установить значение порога блокировки от 0 до 99. Значение 0 уста­ новлено по умолчанию — учетные записи не будут заблокированы из-за неуспешных попыток входа. Любое другое значение указывает порог бло­ кировки. Помните, что высокое значение повышает риск взлома системы хакером. Рекомендуемый диапазон для этого порога — от 7 до 15 попыток. Этого достаточно, чтобы пользователь ввел правильный пароль, и снижает вероятность взлома хакером. Продолжительность блокировки учетной записи Если чья-то учетная запись будет заблокирована, политика Про­ должительность блокировки учетной записи установит время блокировки. Можно установить продолжительность блокировки от 1 до 99 999 минут или же задать неограниченное время блокировки, установив значение 0. Лучшая рекомендация — блокировать учетную запись навсегда. Тогда толь­ ко администратор сможет ее разблокировать. Это предотвращает повторные попытки взлома хакерами и заставляет пользователей, чья учетная запись заблокирована, обратиться за помощью к администратору, что обычно хоро­ шая идея. Поговорив с пользователем, можно определить, что пользователь делает неправильно, а затем помочь ему избежать проблем в будущем. Время до сброса счетчика блокировки ОС Windows Server отслеживает каждую неудачную попытку входа и увели­ чивает число неудачных попыток входа. Чтобы поддерживать баланс между потенциальными блокировками от допустимых проблем безопасности и блокировками, которые могут произойти от простой человеческой ошибки, другая политика определяет, сколько времени поддерживать информацию о неудачных попытках входа в систему. ф 267 Эта политика называется Время до сброса счетчика блокировки. Исполь­ зуйте ее, чтобы сбросить счетчик неудачных попыток входа в 0 после опре­ деленного периода ожидания. Способ работы политики прост: если период ожидания истек с момента последней неудачной попытки входа, счетчик плохих попыток сбрасывается в 0. Счетчик плохих попыток входа также сбрасывается, когда пользователь успешно входит в систему. Если политика Время до сброса счетчика блокировки включена, можно установить любое значение — от 1 до 99 999 минут. Как и с пороговым значением блокировки, необходимо выбрать оптимальное значение между нуждами безопасности и потребностями пользователя. Хорошее значение — от одного до двух часов. Такой период ожидания должен быть достаточно продолжительным, чтобы заставить хакеров ждать дольше, чем они хотят, перед повторной попыткой получить доступ к учетной записи. Если политика Время до сброса счетчика блокировки не установлена или отключена, счетчик плохих попыток сбрасывается только при успешном входе пользователя в систему. 7.7.4. Политики Kerberos IIIIIIIIIIIIIIIIIIIIIIII.............................................................. IIIIIIIIII....... lllllll.... ............................................... . Kerberos — основной механизм аутентификации, используемый в домене Active Directory. Протокол Kerberos применяет билеты для проверки идентификации пользователей и сетевых служб. Билеты содержат зашифрованные данные, которые подтверждают идентифи­ кационные данные в целях аутентификации и авторизации. Можно контролировать продолжительность билета, его обновление и при­ нудительное ограничение с помощью следующих политик: • Принудительное ограничение входа пользователей; • Максимальный срок жйзни билета службы; • Максимальный срок жизни билета пользователя; • Максимальный срок жизни для возобновления билета пользователя; • Максимальная погрешность синхронизации часов компьютера. Глава 7. Управление учетными записями пользователя и ( руины Редактор управления груг Файл Действие Дид ^правка :w п Пол. Максима пъна! Конфигурация программ Конфигурация Windows Политика разрешения Сценарии {запуск/заве: 5 мин. билета служба: для возобновив. входа 600 Включен Параме' >ы безопасное Поли- Политика Kerbero: Журнал собь! ■х Реестр Рис. 7.6. Политики Kerberos Максимальная погрешность синхронизации часов компьютера Это одна из политик Kerberos, которую, возможно, следует изменить. По умолчанию все компьютеры в домене должны синхронизироваться с разни­ цей в 5 минут. Если это не так, будет сбой аутентификации. Если есть удаленные пользователи, входящие в домен без синхронизации своих часов с сервером времени сети, возможно, нужно скорректировать это значение. Можно установить любое значение от 0 до 99 999. Значение 0 не устанавливает погрешность, т. е. удаленные системы должны точно синхро­ низировать время, иначе произойдет сбой аутентификации. Принудительное ограничение входа пользователей IIIIIIIIIIIIIIIIIIIIIIIIII II II I I II I II I I II fl II I IIIIIIIIIIIIIIIIIIIIIII II ill II I II I I II I I I I I I II Hill Hill I II IIIIIIIIIIIIIU. Политика Принудительное ограничение входа пользователей позволяет убедиться, что применены все ограничения, установлен­ ные для учетной записи пользователя. iiiiiiiliiiiiiiiiiiiiiiiiiiiiiiiiiiiliiililiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiF ( ервср на Windows и I in и \ Например, если лимитированы часы регистрации пользователя, эта поли­ тика осуществляет ограничение. По умолчанию политика включена, а ее отключение требуется лишь в очень редких случаях. Политики задания максимального срока жизни Политики Максимальный срок жизни билета службы и Мак­ симальный срок жизни билета пользователя устанавливают максимальную продолжительность действия билета службы или пользователя. По умолчанию у билетов службы максимальная про­ должительность жизни — 600 минут, у билетов пользователя —10 часов. Можно изменить срок жизни билетов. Для билетов службы допустимый ди­ апазон — от 0 до 99 999 минут, для билетов пользователя — от 0 до 99 999 часов. Значение 0 отключает отслеживание срока жизни. Любое другое зна­ чение устанавливает определенное время жизни.Истекающий билет пользо­ вателя может быть возобновлен при условии, что возобновление допустимо настройками политики Максимальный срок жизни для возобновления билета пользователя. По умолчанию максимальный период возобновления составляет 7 дней. Можно изменить период возобновления на любое значе­ ние от 0 до 99 999 дней. Значение 0 выключает максимальный период воз­ обновления, а любые другие значения устанавливают определенный период возобновления. 7.8. Настройка глобальных прав пользователя При работе в Active Directory для администрирования политик прав пользо­ вателя воспользуйтесь следующими инструкциями: 1. Откройте GPO, с которым нужно работать, а затем разверните узел Ло­ кальные политики, раскрыв дерево консоли. Этот узел находится в узле Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности. 3 Глава 7. Управление учетными записями пользователя и группы 2. Выберите политику Назначение прав пользователя для управления правами пользователя. Для настройки назначения прав пользователя дважды щелкните на праве пользователя или щелкните правой кнопкой мыши и выберите команду Свойства. 3. Включите параметр Определить следующие параметры политики. После этого нажмите кнопку Добавить пользователя или группу, что­ бы добавить в список учетную запись пользователя/группы. 4. Нажмите кнопку ОК для закрытия окна Свойства. Файл Действие вид Справка .<' Политика Defauit Domain Роксу (WIN-lGOGBECFf * “ & Конфигурация компьютера v й Политики ' й Конфигурация программ * й Конфигурация Window > й Политика разрешения имен & Сценарии {запус^зввершвние; > ф Развернутые примеры * Ш Параметры безопасности Политика Параметр полигики х Архивация файлов и каталогов Не & Блокировка орании в памяти Не L восстановление файлов и каталогов Не & вход в качестве пакетного задания Не & Вход а качестве службы Не ^ Выполнение задач по обстукиванию томов Не ... Добавление рабочих станций к домену Не i & Доступ к диспетчеру учетных данных от име... * Л Политики учетных записей Л Политика паролей ^ Доступ к компьютеру из сети > ^ Политика блокировки учетной з Ш Завершение работы системы > Л Политика Kerseros & Загрузка и выгрузка драйверов устройств * J Локальные политики & Замена маркера уровня процесса Политика аудита & Запретить вход в систему через службу удал... ■ J Назначение прав пользователя & Запретить локальней вход ; 4 Параметры безопасности & Изменение метки объекта J Журнал событий у. Изменение параметров среды изготовителя * Группы с ограниченным доступом " i & Изменение системного времени > i& Системные службы $ Изменение часового пояса - а Реестр i* Имитация клиента после проверки подлини... ■■ /« Файловая система :■ & Политики проводной сети (IEEE 80. > Й Монитор брандмауера Защитника й Политики диспетчера списка сетей й Политики беспроводной сети {IEEE > ^ Политики открытого ключа ? 3 Политики ограниченного ислольз< & Локальный вход в систему Hei Свойства: Завершение работы системы Параметр политики безопасности Объяснение Завершение работы системы ^Определить следующие параметры политики Hei Не ■ Не: не i Не Не Не Не не Не ^’й4” £jjo«aii^niwj^^ Не Не Ш Настройка квот памяти для процесса Не & Обход перекрестной проверки Не & Отказать в доступе к этому компьютеру из се... Не & Отказать во входе е качестве пакетного зада.. Не & Отказать во входе в качестве службы Не :. Отключение компьютера от стыковочного уз... Не ОК Отмана Приманить Рис. 7.7. Настройка глобальных прав пользователя 7.9. Создание учетной записи пользователя Учетные записи пользователя и группы позволяют Windows Server отслеживать и управлять информацией о пользователях, в том числе разрешениями и привилегиями. Для создания учетной записи пользователя обычно применяются две следу­ ющие административных утилиты: • Active Directory - пользователи и компьютеры — используется для администрирования учетных записей через домен Active Directory; । ГЫ? Сервер на Windows и Linux • Центр администрирования Active Directory — с его помощью также можно управлять учетными записями Active Directory; • Локальные пользователи и группы — используется для администри­ рования учетных записей на локальном компьютере. Для каждого пользователя, которому необходим доступ к сетевым ресурсам, необходимо создать учетную запись пользователя. Для создания учетных записей пользователей домена применяется Центр администрирования Active Directory или оснастка Active Directory - пользователи и компью­ теры. Локальные учетные записи пользователей можно создать с помощью утилиты Локальные пользователи и группы. Создание пользователя в Центре администрирования Active Directory и оснастке Active Directory - пользователи и компьютеры равносильно. В результате использования этих оснасток будет создан объект пользователя. Вы можете использовать то средство, которое вам больше нравится. Далее будет рассмотрен процесс создания паролей в Центре администрирования Active Directory. 1. В дереве консоли Центра администрирования Active Directory пере­ йдите в контейнер, в который нужно поместить учетную запись пользо­ вателя (обычно это контейнер Users), а затем выберите команду Создать, Пользователь (рис. 7.8). Откроется окно Создать Пользователь, изображенное на рис. 7.9. Рис. 7.8. Центр администрирования Active Directory. Пользователи 272 Глава 7. Управление учетными записями пользователя и группы □ ЗАДАЧИ # Учетная запись Учетная запись Организация ф Никогда О Конец Членство Фамилия: Параметру паролей Полнее имя: Профиль Зход пользователя (. Политика араметры пароля: ^ sk Требовать смены пароля при следующем входе в си.,. О Другие параметры пароля Вход пользователя;...: example Приемник команд Пароль: ираыетры шифрования: Другие параметры: Защита от случайного удаления Oprai должность: Комната: Отдел: Эл. почта Организация |) Дополнительные сведения Рис, 7,9, Окно создания пользователя 2. Введите имя, отчество и фамилию в предоставленные текстовые поля. Эти текстовые поля используются для создания полного имени, которое также является отображаемым именем. 3. При необходимости внесите изменения в поле Полное имя. Полное имя должно быть уникальным в пределах домена, максимальная длина — 64 символа. 4. В поле Вход пользователя (UPN) введите имя входа пользователя. Из раскрывающегося списка выберите домен, с которым нужно связать учет­ ную запись. Это действие установит полное имя входа. 5. Первые 20 символов имени входа используются для заполнения поля Вход пользователя (SAMAccountName). Это имя пользователя в старом формате (для ОС, предшествовавших Windows 2000), оно должно быть уникальным в пределах домена. 6. Все другие текстовые поля в окне являются необязательными. Устано­ вите и подтвердите пароль пользователя (при желании). Дополнительно установите флажок Защита от случайного удаления, чтобы отметить учетную запись как защищенную в Active Directory. Защищенные учет­ ные записи могут быть удалены, только если флаг защиты будет удален перед попыткой удаления учетной записи. Сервер на Windows и Linux 7. Если нужно, установите параметры пароля: » Требовать смены пароля при следующем входе в систему — если флажок установлен, пользователь должен изменить пароль сразу после входа в систему; » Запретить смену пароля пользователем — если флажок установлен, пользователь не сможет изменить пароль; » Срок действия пароля не ограничен — если флажок установлен, время действия пароля для этой учетной записи никогда не истекает. Эта установка переопределяет политику учетной записи домена. Не­ ограниченный срок действия пароля — плохая идея, поскольку она не мотивирует пользователя изменять свой пароль. 8. Нажмите кнопку ОК для создания учетной записи пользователя. Для создания локальной учетной записи пользователя можно использовать утилиту Локальные пользователи и группы: 1. В диспетчере серверов выберите команду Средства, а затем Управление компьютером. Либо можно нажать комбинацию клавиш <Windows>+<X> и выбрать из появившегося меню команду Управление компьютером. 2. Щелкните правой кнопкой мыши на записи Управление компьютером в дереве консоли и выберите команду Подключиться к другому компьютеру. Теперь можно выбрать систему, локальными записями ко­ торой нужно управлять. У контроллеров домена нет локальных поль­ зователей и групп. 3. В узле Служебные программы выберите узел Локальные пользовате­ ли и группы. 4. Щелкните правой кнопкой мыши на узле Пользователи, а затем выбе­ рите команду Новый пользователь. Откроется одноименное диалоговое окно (рис. 7.10). Заполните поля. 5. Нажмите кнопку Создать. 22 Window s Глава 7. Управление учетными записями пользователя и группы Рис, 7.10. Создание локального пользователя 7.10. Создание учетной записи группы Учетные записи групп применяются для управления привилегиями сразу для многих пользователей. Создать глобальные учетные записи групп мож­ но в Центре администрирования Active Directory или оснастке Active Directory - пользователи и компьютеры. Локальные учетные записи групп создаются в утилите Локальные пользователи и группы. Если вы собираетесь создавать учетные записи группы, помните, что учет­ ные записи групп обычно создаются для подобных типов пользователей. Следующие типы групп, возможно, придется создать: • Группы для подразделений в пределах организации — в большинстве случаев пользователи, которые работают в одном отделе (подразделении), нуждаются в доступе к одним и тем же ресурсам. Часто нужно создавать группы, организованные по подразделению, например Руководство, Про­ дажи, IT и т. д. • Группы для определенных приложений — пользователи часто нужда­ ются в доступе к приложению и ресурсам, относящимся к приложению. Если создать группу для приложения, можно быть уверены в том, что у пользователей есть соответствующий доступ к необходимым ресурсам и файлам приложения. 275 Сервер на Windows и Linux • Группы для ролей в пределах организации — также можно организо­ вать группы по ролям пользователей в пределах организации. Например, руководители нуждаются в доступе к одним ресурсам, а супервизоры и обычные пользователи — к другим. Создавая группы на основе ролей в организации, можно убедиться, что вы предоставляете пользователям доступ, в котором они нуждаются. Для создания глобальной группы нужно выполнить действия: 1. В Active Directory - пользователи и компьютеры: щелкните правой кнопкой мыши по контейнеру, в который нужно поместить группу, затем выберите команду Создать, Группа. Откроется окно Новый объект Группа (рис. 7.11). 2. В консоли Центра администрирования Active Directory: щелкните пра­ вой кнопкой мыши по контейнеру, в который нужно поместить группу. Выберите команду Создать на панели контейнера, а затем команду Груп­ па. Откроется окно Создать Группа. Новый объект - Группа ' J Создать в: X example.com/Users Имя группы: Имя группы (пред-Windows 2000): Область действия группы Тип группы О Локальная в домене (^ Группа безопасности ® Глобальная О Группа распространения 0 Универсальная ОК [ Отмена 1 I------------------------I Рис. 7.11. Создание глобальной группы В большинстве случаев нужно только ввести название группы и нажать кнопку ОК. 276 Глава 7. Управление учетными записями пользователя н группы 7.1L Управление членством в группе Несколько замечаний относительно членства в группе: • Все новые пользователи домена являются членами группы Пользовате­ ли домена, их основная группа указывается как Пользователи домена; • Все новые рабочие станции домена и рядовые серверы являются членами группы Компьютеры домена, их основная группа — Компьютеры домена; • Все новые контроллеры домена становятся членами группы Контролле­ ры домена, их основная группа — Контроллеры домена. Управлять членством в группе можно несколькими способами: • Включать в группу одну учетную запись; • Включать в группу сразу несколько учетных записей; • Установить основную группу для отдельных пользователей и компьюте­ ров. Добавить или удалить учетную запись любого типа можно так: 1. Дважды щелкните на пользователе, компьютере или группе в оснастке Active Directory - пользователи и компьютеры или в Центре адми­ нистрирования Active Directory. Откроется окно Свойства учетной за­ писи. 2. На вкладке или панели Член групп выбраны группы, членом которых является выбранная учетная запись. Нажмите кнопку Добавить, что­ бы сделать учетную запись членом дополнительной группы. Откроется окно Выбор: «Группа». Теперь можно выбрать группы, членом которых должна стать учетная запись. 3. Для удаления учетной записи из группы выберите группу и затем нажми­ те кнопку Удалить. 4. Нажмите кнопку ОК. Г 277 ] Сервер на Windows и Linux Свойства: test Входящие звонки Объект Сеансы Безопасность Адрес Среда Удаленное управление Профиль служб удаленных рабочих столов Общие X ? Учетная запись Опубликованные сертификаты СОМ* Профиль Член групп Редактор атрибутов Телефоны Организация Репликация паролей Улен групп: Добавить,. Основная группа Удадить Пользователи домена ... W^У Нет необходимости изменять основную группу, если только не используются клиенты Macintosh или POSIX-совместимые приложения. OK I Отмена Применить ^<*жх5 Рис. 7.12. Изменение группы пользователя На рис. 7.12 пользователь test помещен в две группы - Пользователи доме­ на и Пользователи удаленного рабочего стола. Членство в первой группе дает возможность пользователю входить в домен и пользоваться всеми пре­ доставляемыми ресурсами домена. Членство во второй группе позволяет ис­ пользовать удаленный рабочий стол (RDP) для удаленного входа на сервер. В этой главе мы рассмотрели основные аспекты управления учетными за­ писями пользователя и группы. 278 ф Глава 8. Управление сетью TCP/IP Сервер па Windows и Linux Данная глава посвящена настройке сети и некоторых сетевых служб. Начнем с настройки обычной ТСР/1Р-сети. 8.1. Включение сетевого обнаружения В Windows Server 2019 имеется расширенный набор сетевых утилит: • Обозреватель сети — предоставляет собой основное средство просмо­ тра компьютеров и устройств сети; • Центр управления сетями и общим доступом — основная консоль для просмотра и управления конфигурацией сети и общего доступа; • Диагностика сети — предоставляет средство автоматической диагно­ стики для обнаружения и решения сетевых проблем. Данные утилиты основаны на следующих компонентах: • Сетевое обнаружение — компонент, управляющий способностью ви­ деть другие компьютеры и устройства; • Служба сетевого расположения — компонент, уведомляющий об изме­ нениях в подключениях узлов и конфигурации сети. Глава 8. Управление сетью TCP/IP Параметры сетевого обнаружения используемого компьютера определяют, какие компьютеры и устройства будут доступны в сетевых инструментах Windows Server. Параметры обнаружения работают в сочетании с брандмауэром Windows и способны блокировать или разрешать следующие действия: • Обнаружение сетевых компьютеров и устройств; • Обнаружение компьютера другими системами. Параметры сетевого обнаружения должны обеспечить надлежащий уровень безопасности для каждой из категорий сетей, к которым подключен компью­ тер. Существует три категории сетей: 1. Доменная сеть — сеть, в которой компьютеры подключены к домену предприятия. 2. Частная сеть — сеть, компьютеры которой являются членами рабочей группы и лишены прямого выхода в Интернет. 3. Публичная сеть — сеть в общественном месте, например в кафе или аэропорту. Поскольку компьютер хранит настройки отдельно для каждой категории сети, различные настройки блокирования и разрешения могут использо­ ваться для каждой категории. При первом подключении сетевого адаптера компьютера к сети Windows устанавливает категорию сети на основании конфигурации компьютера. Основываясь на категории сети, ОС Windows Server автоматически настраивает параметры, которые могут включать или выключать обнаружение. Если режим обнаружения включен, то: • Компьютер может обнаруживать другие компьютеры и устройства в сети; • Другие компьютеры и устройства в сети могут обнаруживать этот компьютер. Сервер на Windows и Linux ndows Когда обнаружение выключено, то: • Компьютер не способен обнаруживать другие компьютеры и устройства в сети; • Другие компьютеры и устройства в сети не могут обнаруживать этот компьютер. Обычно сетевой адаптер устанавливается как публичный, прежде чем компьютер будет подключен к домену. Обозреватель сети отображает спи­ сок обнаруженных компьютеров и устройств в сети. Для доступа к обозре­ вателю сети запустите Проводник. В окне Проводника выберите Сеть на панели слева. Однако далеко не всегда в обозревателе вы увидите список компьютеров. В Windows Server 2016/2019 еще нужно постараться, чтобы на сервере увидеть содержимое сети. Первым делом нужно убедиться, что сетевое обнаружение включено в Центре управления сетями и общим доступом для доменной сети (рис. 8.1). □ •4 Дополнительные параметры общего доступа ф *4 « Центр упра... > Дополнительные параметры общего доступа v О Войск е панели управления Изменение параметров общего доступа для различных сетевых профилей Windows создает отдельный сетевой профиль для каждой используемой сети. Для каждого профиля вы можете выбрать особые параметры. Частная Гостевая или общедоступная Доменный (текущий профиль) Сетевое обнаружение Если включено сетевое обнаружение, этот компьютер может видеть другие компьютеры и устройства в сети и виден другим компьютерам. ф Включить сетевое обнаружение О Отключить сетевое обнаружение Общий доступ к файлам и принтерам Если общий доступ к файлам и принтерам включен, то файлы и принтеры, к которым разрешен общий доступ на этом компьютере, будут доступны другим пользователям в сети. $ включить общий доступ к файлам и принтерам О Отключить общий доступ к файлам и принтерам Рис. 8.1. Включение сетевого обнаружения После включения сетевого обнаружения еще раз просмотрите Дополни­ тельные параметры общего доступа и убедитесь, что параметр включен. i 282 j Глава 8. Управление сетью TCP/IP Дело в том, что если отключены некоторые службы, необходимые для сете­ вого обнаружения, этот параметр окажется выключенным даже после вклю­ чения. Если у вас так и оказалось, убедитесь, что запущены следующие службы (тип запуска для этих служб нужно установить - Автоматически): • Function Discovery Provider Host — fdPHost (Хост поставщика функции обнаружения) - отвечает за обнаружение в сети других компьютеров; • Function Discovery Resource Publication — FDResPub (Публикация ресур­ сов обнаружения функции) - отвечает за то, чтобы другие компьютеры могли обнаружить в сети ваш компьютер; • DNS Client — dnscache (DNS-клиент); • SSDP Discovery — SSDPSrv (Обнаружение SSDP); ♦ UPnP Device Host — upnphost (Узел универсальных PNP-устройств). Далее убедитесь, что вы подключены именно к доменной сети. Если вы из­ менили параметры общего доступа для доменной сети, а сами подключены, например, к частной сети, у вас ничего не выйдет. Тип сети выводится в об­ ласти Просмотр активных сетей. На рис. 8.2 показано, что вы подключены к доменной сети. Ц» Центр управлений сетями и общим доступом ~> * ф ^ « СетьиИнт™ > Центр управления сетями и общим доступом — vO Панель управления — Просмотр основных сведений о сети и настройка подключений домашняя страница _ _ Просмотр активных сетей Изменение параметров адаптера □ : Помех»ллнели управления exatnple.com Тип доступа: Доменная сеть Подключения: X /* Интернет № Ethernet) Изменить дополнительные параметры общего доступа Изменение сетевых параметров Создание и настройка нового подключения или сети Настройка широкополосного, коммутируемого или VPN-подключения либо настройка маршрутизатора или точки доступа. ЯВ Устранение неполадок Диагностика и исправление проблем с сетью или получение сведений об устранении неполадок См также Брандмауэр Защитника WitTdows Свойства браузера Рис. 8.2. Просмотр активного сетевого профиля Сервер на Windows и Linux После включения упомянутых служб вы сможете включить параметр Вклю­ чить сетевое обнаружение - он больше не будет сбрасываться. Чтобы все заработало как следует, перезагрузите компьютер. Чтобы включить сетевое обнаружение с помощью групповой политики, вы­ полните следующие действия: 1. Запустите оснастку Управление групповой политикой (gpmc.msc). 2. Щелкните правой кнопкой мыши на GPO для контроллеров домена или даже для всех компьютеров домена, выберите команду Изменить. 3. Перейдите в Конфигурация компьютера, Политики, Административ­ ные шаблоны, Сеть, Обнаружение топологии связи (Link-Layer) и включите обе политики, как показано на рис. 8.3. Рис. 8.3. Редактирование групповой политики 4. Закройте редактор групповой политики, откройте консоль и введите ко­ манду gpupdate /force (рис. 8.4). 284 Глава 8. Управление сетью TCP/IP Рис. 8.4. Применение групповой политики Подключение по локальной сети создается автоматически, если в компью­ тере есть сетевой адаптер и он подключен к сети. Если на компьютере уста­ новлено несколько сетевых адаптеров, у каждого из них будет собственное подключение к локальной сети. Если доступных сетевых подключений не существует, следует подключить компьютер к сети или создать подключение другого типа. Для работы по протоколу TCP/IP компьютеру необходим 1Р-адрес. В Windows Server существует несколько способов настройки IP-адреса: • Вручную. IP-адреса, назначаемые вручную, называются статическими IP-адресами. Такие фиксированные адреса не изменяются, пока админи­ стратор не изменит их. Как правило, статические IP-адреса назначаются серверам Windows. При этом следует настроить также ряд дополнитель­ ных параметров, чтобы помочь серверу «освоиться» в сети. • Динамически. Динамические IP-адреса назначаются во время запуска компьютера DHCP-сервером (если он установлен в сети). Время от вре­ мени такие адреса могут изменяться. По умолчанию все IP-адреса компьютера считаются динамическими. на Windows и МНИНИННИЦ fc^ndows • Альтернативный адрес (только для IPv4). Когда компьютер настроен на использование DHCPv4, но в сети нет доступного DHCPv4-cepeepa, ОС Windows Server автоматически назначает компьютеру частный альтерна­ тивный IP-адрес. По умолчанию альтернативный адрес IPv4 назначается из диапазона 169.254.0.1—169.254.255.254 с маской подсети 255.255.0.0. Также можно назначить пользовательский альтернативный 1Ру4-адрес, что особенно полезно на ноутбуке. При назначении статического IP-адреса кроме самого IP-адреса нужно указать маску подсети, а также, при необходимости, шлюз по умолчанию для межсетевого взаимодействия. IP-адрес — это числовой идентификатор компьютера. Схемы IP-адресации различаются в зависимости от настройки сети, но в большинстве случаев они назначаются на основе конкретных се­ тевых сегментов. Адреса IPv6 сильно отличаются от адресов IPv4. В 1Ру6-адресах первые 64 бита представляют идентификатор сети, а остав­ шиеся 64 бита — сетевой интерфейс. В IPv4-адресах переменное число пер­ вых битов обозначает идентификатор сети, а остальные биты — идентифи­ катор хоста. Допустим, используется протокол IPv4 и компьютер в сегменте сети 10.0.10.0 с маской подсети 255.255.255.0. Первые три группы битов обозначают сетевой идентификатор, а доступные для хостов адреса находят­ ся в диапазоне от 10.0.10.1 до 10.0.10.254. Адрес 10.0.10.255 зарезервирован для широковещательной передачи. Если компьютер находится в частной сети, не имеющей прямого выхода в Интернет, следует использовать частные 1Ру4-адреса, приведенные в табл. 8.1. Таблица 8.1. Частные адреса IPv4 Идентификатор частной сети Маска сети Диапазон сетевых адресов 10.0.0.0 255.0.0.0 10.0.0.0-10.255.255.255 172.16.0.0 255.240.0.0 172.16.0.0-172.31.255.255 192.168.0.0 255.255.0.0 192.168.0.0-192.168.255.255 Каждый установленный сетевой адаптер может быть подключен к одной ло­ кальной сети. Подключения создаются автоматически. Глава 8. Управление сетью TCP/IP Для настройки IP-адреса конкретного подключения выполните следующие действия: 1. В Центре управления сетями и общим доступом щелкните по ссылке Изменение параметров адаптера. На странице Сетевые подключения щелкните правой кнопкой мыши по соединению, с которым необходимо работать, выберите команду Свойства. 2. Дважды щелкните на протоколе TCP/IPv6 или TCP/IPv4 в зависимости от того, какой тип IP-адреса нужно настроить. 3. Выберите переключатель Использовать следующий IP-адрес и запол­ ните, соответственно, IP-адрес, маску подсети. Если компьютеру необхо­ дим выход в другие TCP/IP-сети, в Интернет или другие подсети, укажи­ те IP-адрес шлюза по умолчанию в поле Основной шлюз. 4. Доменная система имен (DNS) необходима для разрешения доменных имен. Введите адреса предпочитаемого и альтернативного DNS-серверов в предоставленные поля. Обычно на контроллере домена развернут соб­ ственный DNS-сервер, поэтому его адрес будет 127.0.0.1. 5. Когда закончите, нажмите кнопку ОК дважды. Повторите этот процесс для других сетевых адаптеров и IP-протоколов, которые необходимо настроить. Параметры Сеть и Интернет * Сетевые подключения «>>•«<•*•<»«»*»» повкмочения | Найти параметр Свойства: !Р версии 4 >ТС?/1М: Сеть и Интернет подключение через Общие S&5 IntelfR > 825741 Gigabit Network Connection Параметры if можно назначать автоматически, если сеть поддерживает эту возможность, а противном случае узнайте параметры IF у сетевого администратора. Состояние Настроить. Отмеченные компоненты используются этин подключением Отмучить IP-адрес автоматически ай *з» Клиент для сетей Microsoft Набор номера VPN Прокси-сервер ф Использовать следующий IF- адрес: S* ^S Планировщик пакетов QoS IP Версии 4 < TCP,'IPv4) Протокол мультиплексоре сетевого адаптера (Мойер Драйвер протокола ПОР (Майкрософт1. IP версии 6: TCP,'IPv6j Установить Свойстве □писание Протокол TCP/IP Стандартный протокол глобальных сетей обеспечивающий связь между различными взаимодействующими сетями. ; 255 . 255 . 255 Основной шлюз: 192 168 ф Использовать следующие адреса ONS-cepaepoe Предпочитаемый ONS-cepeep: Альтернативный ONS-cepeep: Q] Подтвердить параметры при выходе Рис. 8.5. Настройка сети Дополнительно... Сервер на Windows и Linux В окне свойств протокола IP можно также установить и альтернативный IPадрес — на вкладке Альтернативная конфигурация (рис. 8.6). Свойства: IP версии 4 (TCP/IPv4) Общие X Альтернативная конфигурация Если этот компьютер используется в нескольких сетях, введите параметры альтернативной конфигурации протокола IP Q Автоматический частный IP-адрес 0 Выполнить проверку* правильности параметров при выхс OK I Отмена Рис. 8.6. Альтернативная конфигурация 8.3. Настройка нескольких шлюзов Для обеспечения отказоустойчивости в случае отказа маршрутизатора мож­ но настроить компьютеры на базе Windows Server так, что они будут исполь­ зовать несколько основных шлюзов. При назначении нескольких шлюзов Windows Server использует метрику шлюза для определения, какой шлюз задействовать и в какое время. Метрика шлюза характеризует затраты на маршрутизацию для данного шлюза. Первым используется шлюз с наимень­ шей метрикой. Если компьютер не может установить связь с этим шлюзом, Windows Server пытается использовать шлюз, следующий по возрастанию метрики. Выбор лучшего способа настройки нескольких шлюзов зависит от конфи­ гурации сети. Если компьютеры в вашей организации настраиваются при помощи DHCP, вероятно, лучше задавать дополнительные шлюзы через па­ раметры на DHCP-сервере. Если же компьютеры используют статические IP-адреса или нужно задавать IP-адреса шлюзов самостоятельно, выполните следующие действия: J88J Глава 8. Управление сетью TCP/IP 1. В Центре управления сетями и общим доступом щелкните по ссылке Из­ менение параметров адаптера. На странице Сетевые подключения щелкните правой кнопкой мыши по необходимому соединению, выбери­ те команду Свойства. 2. Дважды щелкните на TCP/IPv6 или TCP/IPv4 в зависимости от типа настраиваемого IP-адреса. 3. Нажмите кнопку Дополнительно, чтобы открыть окно Дополнитель­ ные параметры TCP/IP, показанное на рис. 8.7. 4. Панель Основные шлюзы показывает шлюзы, которые были настроены вручную (если таковые имеются). При необходимости введите адреса до­ полнительных шлюзов. 5. Когда будете готовы, нажмите кнопку ОК. Дополнительные параметры TCP/IP Параметры IF dns X WINS [3 Автоматическое назначение метрики ОК Отмена Рис. 8.7. Настройка нескольких шлюзов 8.4. Сброс сети Если что-то пошло не так и после внесения определенных изменений сеть не работает, попробуйте выполнить сброс сети. Для этого откройте окно Па­ раметры, перейдите в раздел Сеть и Интернет (рис. 8.8) и выберите коман­ ду Сброс сети. Сервер на Windows и Linux Параметры & - О X СОСТОЯНИв Равная изменить свойства нодкжт*“ни» I Найти параметр Р| Показать доступные сети Сеть и Интернет Изменение сетевых параметров & Состояние ZEh Настройка параметров адаптера Просмотр сетевых .мыят^хт и изменение параметров подключения. Ethernet ** Набор номера яг» VPN @ Прокси-сервер S> Параметры общего доступа Определите, к каким данным вы хотите предоставить доступ для сетей, с которыми к тенамене» соединение. А Средство устранения сетевых неполадок Диагностика и устранение проблем с сетью Просмотр свойств если ' Брандмауэр Windows Центр управления сетями и общим доступом Сброс с еги Рис. 8.8. Сброс сети Сброс сети нужно выполнять только в самом крайнем случае, когда вы не понимаете, почему сеть не работает. Попытайтесь разобраться и понять, что пошло не так — иначе вы потеряете все сделанные ранее настройки. 8.5. Отключение брандмауэра Часто бывает, что тот или иной компонент работает неправильно из-за настроек брандмауэра. Проверить, так ли это, достаточно просто. В окне Сеть и Интернет выберите команду Брандмауэр Windows (рис. 8.9). ............................................................................................................. IIIIIIIIIIIIIIIII....... lllllllllltlllllllllllllllllllillllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIir Далее выберите доменный профиль и отключите брандмауэр, как показа­ но на рис. 8.10. Если ваш сетевой компонент заработал, значит, проблема в брандмауэре и нужно выполнить его настройку. Если же нет, значит, причи­ на в чем-то еще - не забудьте включить брандмауэр, поскольку без него ваше устройство является уязвимым. 290 Глава 8. Управление сетью TCP/IP безопасность Windows (<{>) in) Кабинет О Защита от вирусов и угроз М Брандмауэр и безопасность сети В Управление приложениями/браузером Q Безопасность устройства Брандмауэр и безопасность сети Кто и что может получить доступ к вашим сетям. Видео сообщества Windows Узнать больше о брандмауэр и сетевой защите ^ Сеть домена (активный) Брандмауэр включен. Кто защищает меня? Управление поставщиками 2$ Частная сеть Брандмауэр включен. св Общедоступная сеть. Брандмауэр включен. Изменение свои параметры конфиденциальности Просмотрите и измените параметры конфиденциальности устройства под управлением Windows 10. Параметры конфиденциальности © Параметры Разрешить работу с приложением через брандмауэр Панель мониторинга конфиденциальности Средство устранения неполадок подключения к сеги и Интернету Заявление с конфиденциальной Рис. 8.9. Управление брандмауэром безопасность Windows Рабочие сети, которые присоединены к домену. Активные доменные сети 1л) Кабинет О Защита от вирусов и угроз ^ Брандмауэр и безопасность сети В Управление приложениями/браузером 3 Безопасность устройства И? example.com Брандмауэр Защитника Windows Помогает защитить устройство при подключении к доменной сети. Изменение свои параметры конфиденциальности Просмотрите и измените параметры конфиденциальности устройства под управлением Windows 10. Параметры конфиденци'н1ъности Панель мониторинга конфиденциальности Заявление о конфиденциальности Межсетевой экран домена выключен. Ваше устройство может оказаться чувствительным. $ZD О™Входящие подключения Запрещает входящие подключения при работе в доменной сети. П Блокирует все входящие подключения, в том числе © Параметры для приложений, указанных в списке разрешенных программ. Рис. 8.10. Брандмауэр отключен Обратите внимание на рис. 8.10. Внизу страницы есть параметр, позволяю­ щий блокировать все входящие подключения. Он полезен, если на сервер ве­ дется атака и вам нужно временно блокировать все входящие подключения. 291 Сервер на Windows и Linux Для настройки брандмауэра выберите команду Дополнительные настрой­ ки (она находится внизу страницы, поэтому не видна на рис. 8.9). После это­ го вы увидите привычное и знакомое окно настройки брандмауэра. Впервые оно появилось в Windows 7, и за эти годы не то что администраторы, но и обычные пользователи успели с ним познакомиться. □ ^ Монитор брандмауэра Защитника Widows в режиме повышенной безопасности Файл ^ * Действие Дид С' В I X Справка if Монитор брандмауэра; Miwktop Winders в режиме повышенной беголасн... Ш Правила для входящ; Брандмауэр Защитника Windows в режиме повышенной безопасности обесг компьютеров, работающих под управлением ОС Windows. ^ Правила для исходя^ Sf Правила безопасной W Наблюдение Действия Монитор брандмауэра Защ... ^ Импортировать полит*... ^ Экспорт политики... * Обзор Восстановить политику... Профиль домена активен # Диагностика / восстано... Брандмауэр Защитника Windows включен Су Входящие подключения, не соответствующие ни одному правилу, запрещены Вид Ш Исходящие подключения, не соответствующие ни одному правилу, разрешена Обновить Свойства Частный профиль W Брандмауэр Защитника Wincows включен О Входящие подключения, не соответствующие ни одному правилу, запрещены О Справка Исходящие подключения, не соответствующие ни одному правилу, разрешена Общий профиль # О Брандмауэр Защитника Windows включен. Входящие подключения, не соответствующие ни одному правилу, запрещены Исходящие подключения, не соответствующие ни одному правилу, разрешена Приступая к работе Проверка подлинности при передаче данных между комп Создайте правила безопасности подключения, чтобы указать, как и когда выполн v Рис, 8,11, Окно настройки брандмауэра Вкратце настройка брандмауэра осуществляется так: • На панели слева есть возможность выбора правил для входящих и исхо­ дящих соединений. Выберите один из типов правил (рис. 8.12). Вы уви­ дите список правил. Включенные (активные) правила помечены зеленой галкой слева от названия правила. • Правило можно включить и выключить. Это очень удобно: вы можете от­ ключить правило, если оно вам временно не нужно, а не удалять его. Для включения/выключения правила дважды щелкните на нем. Откроется окно параметров правила (рис. 8.13). В нем вы увидите флажок Включе­ но - выключите его, если правило необходимо отключить. W2J Глава 8. Управление сетью TCP/IP # Монитор брандмауэра Защитника Windows а режиме повышенной безопасности файл Действие £ид * Ф - В “Т "" Справка # Монитор брандмауэра Правила для «ходящих подключу* w S3 Правим для входящ Имя Ж Правим дм исхода Обнаружение кэширующих уз... $Ь Правила безопасное Получение содержимого Bran... > Ш Наблюдение Сервер размещенного кэша Вт... Действия Группа Профиль Включе; * BranchCache - обнар... Все Нет BranchCache - получе... Все Нет Нет BranchCache ■ сервер... Все # FTP-сервер (входящий график... FTP-сервер Нее Фильтровать по состояли ► Фильтровать по группе ► Вид ► Да Все Да ^mDNS (UDP-H mDNS Частный &mDNS(UDF4n) mDNS Домен Да Да #mDNS (UDJMn) mDNS Общий Hee h # Архивация данных Windows (L Архивация Windows Bee Да is Si Архивация данных Windows {(L Архивация Windows Bee Да ii # Беспроводной дисплей (входя... Беспроводной диспя». Все Да Ц Si Обратный канал инфраструктур Беспроводной диспл. . Все Да 4 ^ Обновить Да ^ Экспортировать список». Нет О Справка i| # Ваша учетная запись Ваша учетная запись Домен. Ч.» Да ii Si Ваша учетная запись Ваша учетная запись Домен, Ч... Да Все Нет (Т... Веб-доступ к удален... Все Нет is # Веб-службы Active Directory (Т._ Веб-службы Active Di... Все Да ii Si Веб-средство просмотра класс... Веб-средство проем... Все Да И # Веб-средство просмотра класс... Веб-средство проем... Удаленный рабочий стол — Фильтровать по профил... ► V Все FTP-сервер — (Т... Веб-доступ к уда лен.. V V # Безопасный FTP-сервер (входя», ПР-сервер Удаленный рабочий стол *■ Создать правило... Да # Пассивный FTP-сервер (Пасси». Secure Socket Tunneling Protoco... Secure Socket ТчппеГ... Правила для ВХОДЯЩИХ иодк. «2 Все Да Удаленный рабочий стол — о... Дистанционное упра... Все Нет Удаленный рабочий стол — л... Дистанционное упра... Все Нет Рис. 8.12. Правила для входящих подключений Свойства: mDNS (UDP-in) Область Общие m X Дополнительно Программы и службы Удаленные пользователи Протоколы и порты Локальные субъекты Удаленные компьютеры Это предопределенное правило, и некоторые его свойства нельзя изменить Общие .,, •* ................ ................... ...... Списания: Правило входящих подключений для трафика mDNS [UDP] /0 Действие ф Евзрешить подключение О Разрешить только безопасное подключение О Блокировать подключение [ OK j Отмена Прэдннит^ Рис. 8.13. Свойства правила Для создания правила используется кнопка Создать правило. Она на­ ходится на панели справа в списке правил. При создании правила нуж­ но выбрать его тип - для программы (ограничение работы определенной программы), для порта (ограничение использования определенного пор- 39 Windows Сервер на Windows и Linux та) и некоторые другие. Первые два типа правил (рис. 8.14) используются чаще всего. Первый позволяет блокировать/разблокировать программу по ее названию. Для этого не нужно знать, какие сетевые порты исполь­ зует программа, и удобно, если программа может использовать несколько сетевых портов. Второй тип правила подойдет, если в списке программ нет нужной вам программы. Вам нужно знать, какие порты использует программа. Далее вы указываете эти порты при создании правила Для порта (рис. 8.15). Вы можете перечислить порты через запятую или ука­ зать диапазон портов, например 1010-1020. После этого нужно выбрать, что сделать: разрешить сетевую активность или запретить (рис. 8.16). Рис. 8.14. Создание правила Рис. 8.15. Указываем порты [ 294 Рис. 8.16. Действие правила В настройках правил брандмауэра нет ничего сложного. Если что-то пойдет не так, всегда можно отключить правило или даже весь брандмауэр. Осто­ рожность нужно соблюдать только при удаленной настройке правил бранд­ мауэра (например, по протоколу RDP) - чтобы не закрыть доступ самому себе, иначе вам придется получать физический доступ к серверу для его настройки, а это не всегда удобно. Глава 9. Сервисы DNS и DHCP Сервер на Windows и Linux Щ Windows Сервисы DNS и DHCP являются ключевыми для любой сети на базе Active Directory. Без сервиса DNS невозможна работа Active Directory, а сервис DHCP отвечает на назначение динамических IP-адресов узлам сети. В прин­ ципе, без DHCP на сервере можно обойтись - использовать встроенный DHCP-сервер роутера, но такую блажь могут себе позволить лишь неболь­ шие организации. В крупных организациях, как правило, разворачивают несколько DHCP-серверов для балансировки нагрузки, а встроенные аппа­ ратные серверы - отключают. В результате можно не только балансировать нагрузку, но и централизованно управлять DHCP, что невозможно при ис­ пользовании DHCP на роутере. 9.1. Сервис DNS 9.1.1. Интеграция с Active Directory | Домены Active Directory используют DNS для реализации своей струк­ туры имен и иерархии. Служба каталогов Active Directory и DNS настолько тесно взаимосвязаны, что перед установкой доменных служб Active Directory (AD DS) необходимо установить DNS в сети. 298 i^ndOWS Глава 9. Сервисы DNS и DHCP При установке первого контроллера домена в сети есть возможность автома­ тически установить DNS, если DNS-сервер не найден. Также можно указать, должны ли DNS и Active Directory полностью интегрироваться. В большин­ стве случаев на оба вопроса следует дать утвердительный ответ. При полной интеграции информация DNS хранится в Active Directory, что позволяет вос­ пользоваться всеми преимуществами Active Directory. Важно понимать различия между частичной и полной интеграцией. • Частичная интеграция. При частичной интеграции для хранения ин­ формации DNS используется стандартное хранилище. Информация DNS хранится в текстовых файлах с расширением dns в заданной по умолча­ нию папке %SystemRoot%\System32\Dns. Обновления DNS проводятся через единственный полномочный DNS-сервер. Этот сервер задан как основной DNS-сервер конкретного домена или области внутри домена, которая называется зоной (zone). Клиенты, использующие динамическое обновление DNS через DHCP, должны быть настроены на работу с ос­ новным DNS-сервером зоны. В противном случае DNS-информация на них обновляться не будет. Если в сети отсутствует основной DNS-сервер, проводить динамические обновления через DHCP нельзя. • Полная интеграция. При полной интеграции информация DNS хранит­ ся в Active Directory, в контейнере dnsZone. Поскольку DNS-информация — это часть Active Directory, любой контроллер домена может получить доступ к данным, и динамические обновления через DHCP можно прово­ дить по модели с несколькими хозяевами. А это позволяет любому кон­ троллеру домена, на котором запущена служба DNS-сервер, обрабаты­ вать динамические обновления. Клиенты, использующие динамические обновления DNS через DHCP, могут работать с любым DNS-сервером внутри зоны. Еще одно преимущество интеграции с каталогом заключа­ ется в возможности управлять доступом к DNS-информации при помощи системы безопасности каталога. В предыдущих версиях DNS-сервера для Windows Server перезапуск DNSсервера в больших организациях с большим числом зон, интегрированных в AD DS, мог длиться часами. Это происходило потому, что данные зон загружались не в фоновом режиме одновременно с запуском службы DNS. В целях повышения эффективности DNS-серверов в Windows Server 2012 и более поздних версиях они существенно доработаны. Теперь перезагрузки Г 299 Сервер на Windows и Linux данных зон из AD DS осуществляются в фоновом режиме. Это гарантирует способность DNS-сервера отвечать на запросы, в том числе и из других зон. 9.1.2. Настройка разрешения имен на DNS-клиентах Лучший способ настроить разрешение имен на DNS-клиентах зависит от конфигурации сети. Если компьютеры используют DHCP, возможно, лучше настроить DNS через параметры на DHCP-сервере. Если компьютеры ис­ пользуют статические IP-адреса или необходимо указать отдельные параме­ тры DNS на отдельных системах, нужно настроить DNS вручную. Настроить параметры DNS можно на вкладке DNS окна Дополнительные параметры TCP/IP. Чтобы открыть это окно, выполните следующие действия: 1. В Центре управления сетями и общим доступом щелкните по ссылке Изменение параметров адаптера. В окне Сетевые подключения щел­ кните правой кнопкой мыши по нужному подключению и выберите ко­ манду Свойства. 2. Дважды щелкните по протоколу, который хотите настроить — TCP/IPv6 или TCP/IPv4. — ----------------------------------------------х Свойства; IP версии 4 (TC₽/IPv4) Общие Альтернативная конфигурация Параметры IP можно назначать автоматически, если сеть поддерживает эту возможность, В противном случае узнайте параметры IP у сетевого администратора. (Ц) Получить IP-адрес автоматически 0 Использовать следующий 1Р-адрес: 0 Палучить адрес DNS-сервера автоматически ^ Использовать следующие адреса DNS-серверов: Предпочитаемый DNS-сервер: Н . Альтернативный DNS-сервер: | | Подтвердить параметры при выходе Дополнительно... Рис. 9.1. Свойства TCP/IPv4 3. Если используете DHCP и нужно, чтобы адрес DNS-сервера был задан по DHCP (рис. 9.1), установите переключатель Получить адрес DNS- Г Ж) 1 Глава 9. Сервисы DNS и DI К Т сервера автоматически. В противном случае установите переключатель Использовать следующие адреса DNS-серверов, а затем введите адреса основного и дополнительного DNS-серверов в соответствующих полях. 4. Нажмите кнопку Дополнительно, чтобы открыть диалоговое окно До­ полнительные параметры TCP/IP. Перейдите на вкладку DNS и настройте необходимые параметры: » Адреса DNS-серверов, в порядке использования — укажите IPадрес каждого DNS-сервера, который используется для разрешения доменных имен. Чтобы добавить IP-адрес сервера в список, нажми­ те кнопку Добавить. Нажмите кнопку Удалить, чтобы удалить адрес выделенного сервера из списка. Чтобы изменить выделенную запись, нажмите кнопку Изменить. Если указано несколько серверов DNS, их приоритет определяется очередностью в списке. Если первый сервер не может ответить на запрос о разрешении имени хоста, запрос по­ сылается на следующий DNS-сервер и т. д. Чтобы изменить позицию сервера в списке, выделите его и воспользуйтесь кнопками со стрел­ ками вверх и вниз. » Дописывать основной DNS-суффикс и суффикс подключения — обычно по умолчанию этот переключатель установлен. Включите этот параметр для разрешения неполных имен компьютеров в основном домене. Допустим, происходит обращение к компьютеру server в ро­ дительском домене example.com. Для разрешения имя компьютера бу­ дет автоматически дополнено суффиксом DNS — server.microsoft.com. Если в основном домене компьютера с таким именем нет, запрос не выполняется. Основной домен задается на вкладке Имя компьютера диалогового окна Свойства системы. » Добавлять родительские суффиксы основного DNS-суффикса — по умолчанию этот переключатель установлен. Включите его для разрешения неполных имен компьютеров в иерархии родительских/ дочерних доменов. В случае неудачного запроса в ближайшем роди­ тельском домене, для попытки разрешения запроса используется суф­ фикс родительского домена более высокого уровня. Этот процесс про­ должается, пока не будет достигнута вершина иерархии доменов DNS. Допустим, в запросе указано имя компьютера server в родительском домене dev.example.com. Сначала DNS пытается разрешить имя компьютера server.dev.example.com, а потом, в случае неудачи, пыта­ ется разрешить имя server.example.com. Сервер на Windows и Linux » Дописывать следующие DNS-суффиксы (по порядку) — устано­ вите этот переключатель, чтобы задать использование особых DNSсуффиксов вместо имени родительского домена. Нажмите кнопку До­ бавить, чтобы добавить суффикс домена в список. Нажмите кнопку Удалить, чтобы удалить выделенный суффикс домена из списка. Для редактирования выделенной записи нажмите кнопку Изменить. Раз­ решается указать несколько суффиксов домена. Если первый суффикс не позволяет разрешить имя, DNS применяет следующий суффикс из списка. Если первый суффикс не был разрешен, берется следующий суффикс и т. д. Чтобы изменить очередность суффиксов домена, выбе­ рите нужный суффикс и измените его положение кнопками со стрел­ ками вверх и вниз. » DNS-суффикс подключения — в этом поле задастся DNS-суффикс подключения, переопределяющий DNS-имена, уже настроенные на использование с данным подключением. Обычно имя домена DNS указывается на вкладке Имя компьютера диалогового окна Свой­ ства системы. » Зарегистрировать адреса этого подключения в DNS — включите этот параметр, если нужно зарегистрировать все IP-адреса для этого соединения в DNS с FQDN-именами компьютеров. Этот параметр включен по умолчанию. » Использовать DNS-суффикс подключения при регистрации в DNS — установите этот флажок, Дополнительные параметры TCP/IP если нужно, чтобы все IP-адреса для данного подключения реги­ стрировались в DNS родительско­ го домена. Параметры IP DNS WINS Адреса DNS-серверов, в порядке использования: Следующие три параметра применяются для всех подключений, использующих TCP/IP. Для разрешения неизвестных имен: ф) Дописывать основной DNS-суффикс и суффикс подключения (2 Добавлять родительские суффиксы основного DNS-суффикса О Дописывать следующие DNS-суффиксы (по порядку): (^Зарегистрировать адреса этого подключения в DNS П Использовать ONS-суффикс подключения при регистрации в DNS Рис. 9.2. Дополнительные параметры ТСРДР 302 Глава 9. Сервисы DINS и DHCP 9.1.3. Типы серверов Любую систему Windows Server 2019 можно настроить как DNS-сервер. Доступны четыре типа DNS-серверов: 1. Основной сервер, интегрированный с Active Directory — DNS-сервер полностью интегрированный с Active Directory. Все данные DNS хранят­ ся непосредственно в Active Directory. 2. Основной сервер — основной DNS-сервер домена с частичной инте­ грацией с Active Directory. В этом случае основная копия DNS-записей и конфигурация домена хранятся в текстовых файлах с расширением dns. 3. Вторичный (дополнительный) сервер — резервный DNS-сервер. Хра­ нит копию DNS-записей, полученную с основного сервера и передачи зон для обновлений. Вторичный сервер при запуске получает всю необходи­ мую информацию с DNS-сервера. 4. Сервер пересылки (forward-сервер) — сервер, кэширующий DNSинформацию после lookup-запросов и всегда передающий запросы на другие серверы. Сервер пересылки хранит DNS-информацию до обнов­ ления, до истечения срока действия или до перезапуска сервера. В отли­ чие от вторичных серверов forward-сервер не запрашивает полную копию файлов базы данных зоны. Это означает, что при запуске сервера пере­ сылки его база данных пуста. 9.1.4. Установка и базовая настройка DNS-сервера Для установки DNS-сервера необходимо с помощью мастера добавления ролей и компонентов добавить роль DNS-сервер. Если вы уже устанавли­ вали Active Directory, то данная роль должна быть установлена автомати­ чески. После установки DNS-сервера можно использовать консоль Диспетчер DNS для настройки и управления DNS-сервером. Для вызова консоли Диспетчер DNS (рис. 9.3) выберите команду DNS из меню Средства в дис­ петчере серверов. Сервер на Windows и Linux Рис. 9.3. Диспетчер DNS Если настраиваемый сервер не отображается в представлении дерева, нуж­ но подключиться к нему. Щелкните правой кнопкой мыши по узлу DNS в представлении дерева и выберите команду Подключение к DNS-серверу. Запись для DNS-сервера должна появиться в представлении дерева консоли Диспетчер DNS. Щелкните правой кнопкой мыши на записи сервера и вы­ берите команду Настроить DNS-сервер. Будет запущен мастер настройки DNS-сервера. Нажмите кнопку Далее. На странице Выбор действия по настройке установите переключатель Настроить только корневые ссылки, чтобы указать, что в этот раз вы хо­ тите создать только базовые структуры. Мастер настройки DNS-сервера Выбор действия по настройке Вы можете выбрать типы зон просмотра, подходящие для размеров сети. Опытные администраторы могут настроить корневые ссылки. Выберите действие, которое необходимо выполнить: 0 Создать зону прямого просмотра (рекомендуется для небольших сетей) Этот сервер является полномочным для DNS-имен локальных ресурсов, но пересылает все остальные запросы поставщику услуг Интернета или другим DNS-серверам, Мастер настроит корневые ссылки, но не создаст зону обратного просмотра, 0 Создать зоны пряного и обратного просмотра (рекомендуется для больших сетей) Этот сервер может быть полномочным для зон прямого и обратного просмотра. Он может быть настроен на рекурсивное разрешение имен, пересылку запросов другим DNS-серверам или на обе функции. Мастер настроит корневые ссылки. ($^строить только корневые ссылки (рекомендуется для опытных пользователей^ Мастер настроит только корневые ссылки. Серверы пересылки, а также зоны прямого и обратного просмотра вы можете настроить позже. < Назад I Далее > Рис. 9.4. Мастер настройки DNS Глава 9. Сервисы DNS и DHCP Нажмите кнопку Далее, а затем - кнопку Готово. На этом базовая настройка DNS-сервера завершена. 9.1.5. Создание основной зоны После установки службы DNS-сервер на сервер можно сконфигурировать основной сервер с помощью следующих действий: 1. Запустите консоль Диспетчер DNS. Если необходимый сервер не отобра­ жается, подключитесь к нему, как было описано ранее. 2. Запись DNS-сервера должна быть выведена в дереве консоли Диспетчер DNS. Щелкните правой кнопкой мыши на записи сервера и выберите ко­ манду Создать новую зону. Будет запущен мастер создания новой зоны. Нажмите кнопку Далее. 3. Можно выбрать тип зоны. Если основной сервер настраивается с инте­ грацией в Active Directory (на контроллере домена), выберите переключа­ тель Основная зона и убедитесь, что отмечен флажок Сохранять зону в Active Directory (см. рис. 9.5). Если интеграция DNS с Active Directory не нужна, выберите переключатель Основная зона и сбросьте флажок Сохранять зону в Active Directory. Нажмите кнопку Далее. Мастер создания новой зоны Тип зоны DNS-сервер поддерживает различные типы зон и хранения информации. Выберите тип зоны, которую вы хотите создать: (•Основная зона Создание копии зоны, непосредственно обновляемой на данном сервере, (2) Дополнительная зона Создание копии зоны, расположенной на другом сервере. Это позволяет распределять нагрузку основных серверов и обеспечивает отказоустойчивость. Q Зона-заглушка Создание копии зоны, содержащей только записи сервера имен (NS), начальные записи зоны (SOA) и, возможно, связанные записи узлов (тип А). Сервер, содержащий зону-заглушку, не является полномочным для этой зоны. ^Сохранять зону в Active Directory (доступнотолько для DNS-сервера, являющегося доступным для записи контроллером домена) < Назад ) Далее > Рис. 9.5. Создание новой зоны I Отмена Сервер на Windows и Linux 4. Если зона интегрируется с Active Directory, выберите одну из стратегий репликации (в противном случае пропустите этот шаг): » Для всех DNS-серверов, работающих на контроллерах домена в этом лесу — выберите эту стратегию для самой обширной реплика­ ции. Помните, что лес Active Directory содержит также все деревья доменов, использующие данные каталога совместно с текущим доме­ ном. » Для всех DNS-серверов, работающих на контроллерах домена в этом домене — выберите эту стратегию, если нужно реплицировать DNS-информацию в пределах текущего домена. » Для всех контроллеров домена в этом домене (для совместимости с Windows 2000) — выберите эту стратегию, если нужно реплициро­ вать DNS-информацию всем контроллерам домена в текущем домене, что необходимо для совместимости с Windows 2000. Хотя эта страте­ гия обеспечивает более широкую репликацию DNS-информации вну­ три домена и обеспечивает совместимость с Windows 2000, не каждый контролер домена является DNS-сервером (и не нужно настраивать каждый контроллер домена как DNS-сервер). Мастер создания новой зоны Область репликации зоны, интегрированной в Active Directory Вы можете указать, каким образом следует реплицировать данные DNS в вашей сети. Укажите, каким образом вы хотите реплицировать информацию зоны: О Для gcex DNS-серверов, работающих на контроллерах домена в этом лесу: example.com ($)|Для всех DNS-gepBepoe, работающих на контроллерах домена в этом домене: (example.com___ _______ __ __________ __ ___________ О Для всех контроллеров домена в этом домене (для совместимости с Windows 2000): example.com На все контроллеры домена, указанные в области данного раздела каталога: < Назад | Далее > | Отмена Рис. 9.6. Область репликации зоны 5. Нажмите кнопку Далее. Выберите переключатель Зона прямого про­ смотра, а затем нажмите кнопку Далее (рис. 9.7). Г 306 Глава 9. Сервисы DNS и DHCP dows Мастер создания новой зоны Зона прямого ням обратного просмотра Вы можете использовать зону для прямого или обратного просмотра. Выберите тип зоны просмотра, которую вы хотите создать: (^[Зона прямого просмотра; Зона прямого просмотра преобразовывает DNS-имена в IP-адреса и предоставляет информацию о доступных сетевых службах. О Зона обратного просмотра Зона обратного просмотра преобразует IP-адреса в DNS-имена. Назад = Далее > j Отмена Рис. 9.7. Выбор типа зоны 6. Введите полное DNS-имя зоны. Имя зоны определяет, как сервер или зона вписываются в доменную иерархию DNS. Например, если создает­ ся основной сервер для домена example.com (рис. 9.8), в качестве имени зоны следует ввести example.com. Нажмите кнопку Далее. Мастер создания новой зоны Имя зоны Каково имя новой зоны? Имя зоны указывает часть пространства имен DNS, для которой сервер является полномочным. Оно должно представлять доменное имя вашей организации (например, microsoft.com) или часть доменного имени (например, newzone.mlcrosoft.com ). Имя зоны не является именем DNS-сервера. Имя эоны: example.com < Назад Далее >Д Отмена Рис. 9.8. Имя зоны [ 307 ' Сервер на Windows и Linux 7. Если настраивается основная зона, которая не интегрируется с Active Directory, нужно указать имя файла зоны. Имя файла базы данных зоны DNS по умолчанию должно быть уже введено. Оставьте это имя без из­ менений или введите новое. Нажмите кнопку Далее. 8. Укажите, будут ли разрешены динамические обновления. » Разрешить только безопасные динамические обновления — когда зона интегрирована с Active Directory, можно использовать спи­ ски управления доступом для ограничения круга клиентов, которые могут осуществлять динамические обновления. Когда включена эта опция, только клиенты с авторизированными учетными записями компьютера и одобренными списками управления доступом могут ди­ намически обновлять свои записи ресурсов в DNS. » Разрешить любые динамические обновления — выберите эту опцию, чтобы разрешить любому клиенту обновлять свои записи ре­ сурсов в DNS. Клиенты могут быть безопасными и небезопасными. » Запретить динамические обновления — отключает динамические обновления DNS. Нужно выбрать эту опцию, только если зона не ин­ тегрирована с Active Directory. 9. Нажмите кнопку Далее. А затем нажмите кнопку Готово для заверше­ ния этого процесса. Новая зона будет добавлена на сервер, базовые DNSзаписи будут созданы автоматически. Мастер создания новой зоны Завершение мастера создания новой зоны Работа мастера создания новой зоны успешно завершена. Были заданы следующие параметры: Имя: example.com а. Тип: Интегрированная в Active Directory основная Тип просмотра: Переслать Примечание. Вам следует добавить записи в зону или ' убедиться, что записи обновлены динамически. Затем вы можете проверить разрешение имен при помощи программы NSLOOKUP. Для закрытия мастера и создания новой зоны нажмите кнопку "Готово”. То^^ Рис. 9.9. Зона создана Отмена Глава 9. Сервисы DNS и DHCP 10.Один DNS-сервер может предоставлять сервис для нескольких доменов. Если у вас есть несколько родительских доменов, например example.com и firma.com, нужно повторить этот процесс для настройки остальных зон просмотра. Также надо настроить зоны обратного просмотра. 11. Нужно добавить записи компьютеров, далее будет показано, как это сде­ лать. 9.1.6. Создание дополнительного сервера DNS Дополнительные серверы обеспечивают отказоустойчивость DNSI службы сети. Если используется полная интеграция с Active Directory, I настраивать дополнительные серверы не нужно. Достаточно запустить службу DNS на нескольких контроллерах домена, и Active Directory будет реплицировать информацию DNS на все контроллеры. При использовании частичной интеграции следует настроить дополнитель­ ные серверы, чтобы уменьшить нагрузку на основной сервер. В небольшой или средней сети можно использовать в качестве дополнительных серверов DNS-серверы интернет-провайдера. Для установки дополнительных серверов с целью повышения отказоустой­ чивости и балансировки нагрузки выполните следующие действия: 1. Запустите консоль Диспетчер DNS. Если нужного сервера нет в списке, подключитесь к нему, как было описано ранее. 2. Щелкните правой кнопкой мыши на записи сервера, а затем выберите ко­ манду Создать новую зону. Будет запущен мастер создания новой зоны. Нажмите кнопку Далее. 3. На странице Тип зоны выберите переключатель Дополнительная зона. Нажмите кнопку Далее. 4. Дополнительные серверы могут использовать как зоны прямого просмо­ тра, так и зоны обратного просмотра. Сначала нужно создать зону прямо­ го просмотра, поэтому выберите переключатель Зона прямого просмо­ тра и нажмите кнопку Далее. 5. Введите DNS-имя зоны и нажмите кнопку Далее. Сервер на Windows и Linux Endows! 6. В списке Основные серверы введите IP-адрес основного сервера зоны и нажмите клавишу <Enter>. Мастер попытается проверить сервер. Если произошла ошибка, убедитесь, что сервер подключен к сети и введен пра­ вильный IP-адрес. Если нужно скопировать данные зоны с других серве­ ров на случай недоступности первого сервера, повторите этот шаг. 7. Нажмите кнопку Далее, а затем кнопку Готово. В большой сети, возмож­ но, придется настроить зоны обратного просмотра на дополнительных серверах. 9.1.7. Обратная зона Прямые просмотры используются для разрешения доменных имен в IPадреса. Обратные просмотры служат для разрешения IP-адресов в доменные имена. Каждый сегмент сети должен иметь зону обратного просмотра. Зона обратного просмотра создается аналогично зоне прямого просмотра, только на странице выбора типа зоны (рис. 9.7) нужно выбрать Зона обрат­ ного просмотра, а вместо имени домена нужно указать 1.168.192.in-addr. агра, если адрес сети у вас 192.168.1.0. Если есть несколько подсетей в одной сети, например 192.168.10 и 192.168.11, можно ввести только часть сети в качестве имени зоны. Например, в этом случае нужно использовать имя 168.192.in-addr.arpa и разрешить консоли Диспетчер DNS создать необходимые зоны подсетей, когда они понадобят­ ся. 9.1.8. Управление записями DNS После создания необходимых файлов зоны можно добавить в них записи. |||11|||1|1||11Ш1111111111111111111111111111111111111111111111111111М11|1Н111П111111111!1|1111111П111Ш11111Ш11111111ШШ111111111Ш1111тН11Ш1111111Ш1111111111111111|11111111||111|11111111111Н111111111111111П111Н11Ш^ Для компьютеров, к которым необходим доступ из Active Directory и доменов DNS, нужно создать записи DNS. Хотя существует много типов записей DNS, большинство из них не исполь­ зуется часто. Давайте сконцентрируем внимание на тех записях, которые чаще всего востребованы. 310 Jf Windows1 кпщ (). Сервисы DNS и DHCP 1. A (1Ру4-адрес) — используется для преобразования имени узла в IPv4адрес. Когда у компьютера есть несколько сетевых карт, 1Ру4-адресов (или несколько и сетевых карт, и адресов), для компьютера должно быть создано несколько записей адреса. 2. АААА (1Ру6-адрес) — используется для преобразования имени узла в 1Руб-адрес. Когда у компьютера несколько сетевых карт, 1Ру6-адресов (или несколько и сетевых карт, и адресов), для компьютера должно быть создано несколько записей адреса. 3. CNAME (canonical name, каноническое имя) — устанавливает псевдо­ ним для имени узла. Например, можно с помощью этой записи устано­ вить псевдоним www.example.com для узла server.example.com. 4. MX (mail exchanger) — указывает сервер обмена почты для домена, позволяющий отправлять сообщения электронной почты корректным почтовым серверам в домене. 5. NS (name server) — определяет сервер имен для домена. У каждого ос­ новного и дополнительного сервера должна быть эта запись. 6. PTR (указатель) — создает указатель, преобразующий IP-адрес в имя узла (обратный запрос). 7. SOA (start of authority, начало полномочий) — объявляет хост, облада­ ющий наибольшими полномочиями в зоне и потому являющийся наилуч­ шим источником DNS-информации в зоне. Начальная запись зоны (SOA) должна быть в каждом файле зоны (который создается автоматически при добавлении зоны). Также она объявляет другую информацию о зоне, например ответственное лицо, интервал обновления, интервал повтора и т. д. Чтобы создать новый элемент узла при помощи записей адреса и указателя, выполните следующие действия: 1. В консоли Диспетчер DNS раскройте папку Зоны прямого просмотра нужного сервера. 2. Щелкните правой кнопкой мыши на домене, который нужно обновить, и выберите команду Создать узел (А или АААА). Откроется окно, по­ казанное на рис. 9.10. 3. Введите имя компьютера, например web-server, и IP-адрес, например 192.168.1.21. ГЕЕ 4. Установите флажок Создать соответствующую PTR-запись. 5. Нажмите кнопку Добавить узел, а затем кнопку ОК. Повторите этот про­ цесс для добавления других узлов. 6. Нажмите кнопку Готово, когда закончите. Новый узел X Имя (если не указано, используется родительский домен): [I Полное доменное имя (FQDN): 1 example.com. IP-адрес: [2] Создать соответствующую PTR-запись | [ Разрешать любому прошедшему проверку пользователю обновлять DNS-записи с таким же именем владельца Добыть Отмена Рис, 9.10. Создание А-записи Для создания записи CNAME выполните следующие действия: • В консоли Диспетчер DNS разверните папку Зоны прямого просмотра нужного сервера. • Щелкните правой кнопкой мыши на домене, который нужно обновить, и выберите команду Создать псевдоним (CNAME). • В поле Псевдоним введите псевдоним. Псевдоним — это однокомпо­ нентное имя, например www или ftp. • В поле Полное доменное имя (FQDN) конечного узла введите полное имя компьютера, для которого создается псевдоним. • Нажмите кнопку ОК. Остальные DNS-записи создаются аналогично — путем выбора соответ­ ствующей команды из контекстного меню. Исключение составляет запись SOA. Для ее изменения щелкните правой кнопкой мыши на зоне, которую Глава 9. Сервисы DNS и DHCP нужно обновить, и выберите команду Свойства. Перейдите на вкладку Начальная запись зоны (SOA) и обновите текстовые поля, показанные на рис. 9.11. example.com - свойства Передачи зон Безопасность Начальная запись зоны (SOA) WINS Серверы имен Общие Серийный номер: Увеличить Основнойсервер: win-lgogbecfljs.example.com О£зор... Ответственное дицо (RP • Responsible Person) postmaster example com £)бзор. Интервал обновления Интервал повтора. Срок истекает после: Мин. срок жизни TTL (по умолчанию). Срок жизни (TTL) записи: OK .1 g j О :0 Отмена (ДШШЯЧММ.СС) Справка Рис. 9.11. Редактирование SOA-записи На вкладке Начальная запись зоны (SOA) доступны следующие пара­ метры: • Серийный номер — отражает версию файлов базы данных DNS. Номер обновляется автоматически при внесении изменений в файлы зоны, но можно обновить его и вручную. По этому номеру дополнительные сер­ веры определяют, изменилась ли зона. Если серийный номер основного сервера превышает серийный номер дополнительного сервера, записи из­ менились, и дополнительный сервер может запросить DNS-записи зоны. Кроме того, можно настроить DNS на уведомление дополнительных сер­ веров об изменениях (что ускоряет процесс обновления). • Основной сервер — полное доменное имя сервера, в конце которого сто­ ит точка. Она обозначает конец имени и гарантирует, что к записи не бу­ дет добавлена информация о домене. • Ответственное лицо — адрес электронной почты лица, ответственного за домен. По умолчанию здесь стоит имя hostmaster, за которым следует точка. Это обозначает адрес hostmaster@дoмeн.com. При вводе здесь дру- Сервер на Windows и Linux l^ndows того адреса замените точкой символ @ в адресе электронной почты и в конце адреса также поставьте точку. • Интервал обновления — интервал, через который дополнительный сер­ вер проводит проверку обновлений зоны. Если интервал установлен в 60 минут, изменения на дополнительном сервере отобразятся через час. Можно уменьшить сетевой трафик, увеличивая это значение. • Интервал повтора — время после сбоя, в течение которого дополни­ тельный сервер не загружает базы данных зоны. Если задан интервал 10 минут, после сбоя передачи базы данных зоны дополнительный сервер ждет 10 минут, прежде чем отправить новый запрос. • Срок жизни истекает после — период времени, в течение которого ин­ формация зоны на дополнительном сервере считается достоверной. Если дополнительный сервер в течение этого времени не может загрузить дан­ ные с основного сервера, данные в кэше дополнительного сервера уста­ ревают, и дополнительный сервер перестает отвечать на DNS-запросы. Установка этого параметра в 7 дней позволяет данным на дополнитель­ ном сервере быть достоверными неделю. • Мин. срок жизни TTL (по умолчанию) — минимальное время жизни записей на дополнительном сервере. Данное значение можно установить в днях, часах, минутах или секундах. Когда это время заканчивается, до­ полнительный сервер считает срок действия соответствующей записи ис­ текшим и сбрасывает ее. После этого необходимо отправлять очередной запрос на основной сервер. Делайте минимальный срок жизни относи­ тельно большим, например 24 часа. Это сократит сетевой трафик и повы­ сит производительность. С другой стороны, нужно помнить, что высокое значение замедляет распространение обновлений через Интернет. • Срок жизни (TTL) записи — время жизни конкретной SOA-записи в формате ДД:ЧЧ:ММ:СС. Как правило, оно должно совпадать с мини­ мальным временем жизни всех записей. 9.2. Настройка DHCP 9.2.1. Введение в DHCP Протокол динамической конфигурации узла (Dynamic Host Configuration Protocol, DHCP) используется для упрощения администрирования доменов Active Directory, и далее в этой главе будет рассказано, как это сделать. 3 Глава 9. Сервисы DNS и DHCP Протокол DHCP служит для динамического назначения конфигураци­ онной информации TCP/IP-клиентам сети. Протокол не только экономит время, необходимое на настройку клиентов сети, но и предоставляет централизованный механизм для обновления кон­ фигурации. Для включения DHCP в сети нужно установить и настроить DHCP-сервер. Этот сервер отвечает за назначение необходимой сетевой ин­ формации. Работает DHCP так: 1. Клиентский компьютер выбирает IP-адрес из подсети класса В 169.254.0.0 с маской подсети 255.255.0.0, зарезервированной Microsoft. Перед ис­ пользованием 1Ру4-адреса клиент при помощи протокола ARP проверяет, не занят ли данный 1Ру4-адрес другим клиентом. 2. Если адрес занят, клиент повторяет шаг 1. После десяти неудачных попы­ ток произойдет ошибка. Если клиент отключен от сети, результат ARPтестирования всегда будет успешным, поэтому клиент получит первый попавшийся 1Ру4-адрес. 3. Если выбранный 1Ру4-адрес доступен, клиент соответствующим образом настраивает сетевой адаптер. Далее клиент пытается связаться с DHCPсервером, каждые 5 минут посылая в сеть запрос. После успешной уста­ новки связи клиента с сервером клиент получает аренду и заново настра­ ивает сетевой интерфейс. IIIIIIIIIIIIIIII1IIII 'I Примечание. В случае с IPv6 процедура сложнее, но в общих чертах | похожа. I .............................................................................................................................................................. ..... ........................................................ и.......... ................................ iitiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiF DHCP-сервер в Windows Server может работать в одном из двух режимов: 1. Режим балансировки нагрузки. В этом режиме администратор указы­ вает процентное соотношение загрузки каждого сервера. Обычно исполь­ зуется соотношение 50/50, чтобы нагрузка на каждый сервер была оди­ наковой. Но можно использовать другие соотношения, например 60/40, при этом один сервер будет обрабатывать 60% запросов, другой — 40%. Сервер на Windows п Linux I....................г^л 2. Режим горячего резервирования. В этом режиме один из серверов дей­ ствует как основной сервер и обрабатывает DHCP-запросы. Другой сер­ вер является резервным и используется, когда произошел сбой основно­ го сервера или на основном сервере закончились IP-адреса для аренды. Обычно для резервного сервера резервируется 5% IP-адресов. Настройка отказоустойчивости DHCP предельно проста и не требует класте­ ризации или какой-либо другой расширенной настройки. Для настройки отказоустойчивости DHCP нужно выполнить следующие действия: 1. Установите и настройте два DHCP-сервера. Серверы должны находиться в одной и той же физической сети. 2. Создайте область DHCPv4 на одном из серверов. Область — это пул IPv4или 1Ру6-адресов, которые можно назначить клиентам с помощью арен­ ды. 3. Как только укажете, что другой сервер является партнером отказоустой­ чивости для области DHCPv4, область будет реплицирована партнеру. 9.2.2. Области адресов l!IIIIIUIIIIIIIIIIIIIIIIIIIIII|IIIIIIHIIIlltlinillllllllllllllllllllllllllllllll1llllllllllllllllllllllllllllllll1lllllllllllllllllllll1llllll1l<llllllllllllllllllllllll1lllllllllllllllliinillllllllllilLL Области адресов — это пулы IPv4- и IPve-адресов, которые могут арендовать клиенты. Протокол DHCP также позволяет предоставлять адреса в бессрочную аренду. Чтобы зарезервировать конкретный 1Ру4-адрес, свяжите его с МАС-адресом компьютера, которому должен назначаться этот IPv4-адрес. IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII'IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIH В результате клиентский компьютер с указанным МАС-адресом будет всегда получать заданный 1Ру4-адрес. В протоколе IPv6 резервирование осущест­ вляется посредством указания бессрочной аренды. Администратором создаются области для определения диапазонов IPадресов, доступных DHCP-клиентам. Например, можно назначить диапазон IP-адресов от 192.168.12.2 до 192.168.12.250 для области Предприятие. Глава 9. Сервисы DNS и DHCP В областях допускается использование открытых или частных 1Ру4-адресов в следующих сетях: •Сети класса А— IP-адреса в диапазоне от 1.0.0.0 до 126.255.255.255; • Сети класса В — IP-адресав диапазоне от 128.0.0.0 до 191.255.255.255; • Сети класса С — IP-адресав диапазоне от 192.0.0.0 до 223.255.255.255; • Сети класса D — IP-адресав диапазоне от224.0.0.0 до 239.255.255.255. Один DHCP-сервер может управлять несколькими областями. Для 1Ру4-адресов доступны четыре типа областей: 1. Обычные области — используются для назначения адресов в сетях классов А, В и С. 2. Многоадресные области — используются для назначения IP-адресов в сетях IPv4 класса D. Многоадресные IP-адреса применяются в качестве второстепенных, в дополнение к стандартным IP-адресам. 3. Суперобласти — это контейнеры для других областей, которые упроща­ ют управление несколькими областями. 4. Области отказоустойчивости — области между двумя DHCP-серверами для повышения отказоустойчивости, предоставления избыточности и включения балансировки нагрузки. В IPv6 доступны только обычные области. Хотя можно создавать области, охватывающие несколько сегментов сети, обычно эти сегменты принадле­ жат к одному классу сети, например к классу С. 9.2.3. Установка DHCP-сервера Используя мастер добавления ролей и компонентов, администратор может установить DHCP-сервер в качестве службы роли, задать ее начальные настройки и авторизовать сервер в Active Directory. Предоставлять клиентам динамические IP-адреса могут только авторизованные DHCP-серверы. Сервер на Windows и Linux Процесс установки выглядит так: 1. Используя Мастер добавления ролей и компонентов, выберите сервер, на который вы хотите установить DHCP, и выберите роль DHCP-сервер. 2. Когда мастер закончит установку выбранных ролей и компонентов, стра­ ница Ход установки сообщит об этом. Просмотрите подробности уста­ новки и убедитесь, что все фазы инсталляции завершены успешно. 3. Для завершения установки DHCP-сервера нужна дополнительная конфи­ гурация. Щелкните по ссылке Завершение настройки DHCP (рис. 9.12). Будет запущен мастер настройки DHCP после установки. Is Мастер добавления ролей и компонентов КОНЕЧНЫЙ СЕРВЕР WiN-LGC€EECFWS.eH«nptexom Ход установки Просмотр хода установки 0 Установка компонента Требуется настройка. Установка выполнена на WfN -LK^GBECWS.^ DHCP-сервер Запуск мастера действий после установки DHCP Завершение настройки ОНСР Средства удаленного администрирования сервера Средства администрирования ролей Средства DHCP-сервера щ Этот мастер можно закрыть, не прерывая выполняющиеся задачи. Наблюдайте за ходом выполнения задачи или откройте эту страницу снова, выбрав на панели команд пункт "Уведомления”, г затем "Сведения о задаче". Экспорт параметров конфигурации Рис. 9.12. Завершение настройки DHCP 4. Панель Описание говорит о том, что для делегирования DHCP-сервера будут созданы группы Администратор DHCP и Пользователи DHCP. Дополнительно, если DHCP-сервер присоединен к домену, его нужно ав­ торизовать в Active Directory. Нажмите кнопку Далее. 5. На странице Авторизация укажите учетные данные, которые будут ис­ пользоваться для авторизации этого DHCP-сервера доменными служба­ ми Active Directory. » Текущее имя пользователя отображено в поле Имя пользователя. Если у вас имеются привилегии администратора в домене, к которому присоединен DHCP-сервер, и нужно использовать текущие учетные L 318 J Глава 9. Сервисы DNS и DHCP данные, нажмите кнопку Фиксировать для авторизации сервера с ис­ пользованием этих учетных данных. » Если нужно использовать альтернативные учетные данные или нель­ зя авторизовать сервер с использованием текущих учетных данных, установите флажок Использовать другие учетные данные, а затем нажмите кнопку Указать. В окне Безопасность Windows введите имя пользователя и пароль для авторизированной учетной записи и нажмите кнопку ОК. Нажмите кнопку Фиксировать для попытки, ав­ торизации сервера с использованием этих учетных данных. » Если нужно авторизовать DHCP-сервер позже, установите флажок Пропустить авторизацию AD и нажмите кнопку Фиксировать. Помните, что в домене только авторизованные DHCP-серверы могут предоставлять клиентам динамические IP-адреса. 6. Когда мастер закончит постинсталляционную настройку, просмотрите сводку, убедитесь, что все задачи были выполнены успешно, и нажмите кнопку Закрыть. 7. Далее нужно перезагрузить службу DHCP-сервер на сервере, чтобы груп­ пы Администраторы DHCP и Пользователи DHCP могли использо­ ваться. Для этого на левой панели консоли Диспетчер серверов выбери- Сервер на Windows и Linux те узел DHCP. Далее на главной панели, на панели СЕРВЕРЫ, выберите DHCP-сервер. На панели СЛУЖБЫ щелкните правой кнопкой мыши на службе DHCP-сервер и выберите команду Перезапустить службы. ^ Мастер настройки DHCP после установки Сводка Состояние этапов настройки после установки указано ниже: Создание групп безопасности __________'........... Готово Чтобы изменения, касающиеся групп безопасности, вступили б силу., необходимо перезапустить службу DHCP-сервера на конечном компьютере. Авторизация DHCP-сервера ------------------------------- -- Найд Готово Д • -ее ' | Закрыть ] Омена Рис. 9.14. Настройка завершена 9.2.4. Консоль DHCP После установки DHCP-сервера нужно использовать консоль DHCP для настройки и управления динамической IP-адресацией. В диспетчере сер­ веров в меню Средства выберите команду DHCP. Основное окно консоли DHCP показано на рис. 9.14. Главное окно разделено на три панели. Левая панель содержит список DHCP-серверов в домене (выводятся полные до­ менные имена серверов). Можно развернуть сервер, чтобы увидеть подузлы IPv4 и IPv6. Если развернуть IP-узлы, будут видны области и параметры, определенные для соответствующей версии IP. Центральная панель показы­ вает расширенное представление выбранного элемента. Правая панель — панель действий, на ней вы найдете действия, которые можно выполнить над выделенными объектами. Глава 9. Сервисы DNS и DHCP файл Действие Дид «'^ : Ь1 Л? ф ф- Справка II 'i DHCP ' Q 5 Имя : I Действия V 5 wm4gogbecffjs.exampsH ^Pv4 v Ь IPv4 I ■ i win-sgogbecffjs.exampie.com ж Дополнительные действ... ► 3 Параметры ceps?: ^ Политики ? Ж Фильтры Ж IPv6 Рис. 9.15. Консоль DHCP Управление DHCP-серверами осуществляется при помощи службы DHCP-сервер (DHCP Server). Как и любую другую службу, ее можно запустить, остановить, приостано­ вить и перезапустить в узле Службы оснастки Управление компьютером или из командной строки. Кроме того, службой DHCP-сервер можно управ­ лять в консоли DHCP. Щелкните правой кнопкой мыши на сервере, которым хотите управлять, разверните подменю Все задачи и выберите нужную ко­ манду: Запустить, Остановить, Приостановить, Продолжить или Пере­ запустить. 9.2.5. Интеграция DHCP с DNS Служба DNS используется для разрешения имен компьютеров в доменах Active Directory и Интернете. Благодаря протоколу динами­ ческого обновления DNS, администратор избавлен от необходимости регистрировать DHCP-клиентов в DNS вручную. Протокол позволяет клиенту или DHCP-серверу при необходимости регистрировать в DNS записи прямого и обратного просмотра. Сервер на Windows и Linux При работе DHCP по умолчанию DHCP-клиенты Windows Server 2019 ав­ томатически обновляют соответствующие DNS-записи после получения IP-адреса в аренду. Записи клиентов, работающих в предыдущих верси­ ях Windows, после предоставления аренды обновляются DHCP-сервером. Можно изменить этот порядок для DHCP-сервера в целом или для конкрет­ ной области. Защита имен — дополнительная функция в Windows Server. Благо­ даря защите имен DHCP-сервер регистрирует записи от имени клиен­ та, только если никакой другой клиент с этой DNS-информацией не зарегистрирован. Можно настроить защиту имени для IPv4 и IPv6 на уровне сетевого адаптера или на уровне области. Параметры защиты имен, настроенные на уровне об­ ласти, имеют приоритет над параметрами на уровне IPv4 или IPv6. Защита имени предназначена для предотвращения занятия имен. Занятие имен происходит, когда компьютер с ОС, отличной от Windows, регистри­ рует в DNS имя, которое уже используется на компьютере под управлением Windows. Включив защиту имен, можно предотвратить занятие имени неWindows-компьютерами. Хотя занятие имени не представляет собой про­ блему при использовании Active Directory, лучше все-таки включить защиту имен во всех Windows-сетях. Защита имени основана на идентификаторе конфигурации динамического узла (Dynamic Host Configuration Identifier, DHCID) и поддержке записи ре­ сурса DHCID (DHCID RR) в DNS. Запись DHCID RR — это запись ресурса, хранимая в DNS и сопоставляющая имена для предотвращения дублирован­ ной регистрации. Запись ресурса используется службой DHCP для хранения идентификатора компьютера и других сведений об имени, например записи А/АААА компьютера. Сервер DHCP может запросить сравнение и откло­ нить регистрацию компьютера с другим адресом, пытающегося зарегистри­ ровать имя с существующей записью DHCID. Можно просмотреть и изменить параметры глобальной DNS-интеграции так: • В консоли DHCP разверните узел сервера, с которым нужно работать, щелкните правой кнопкой мыши на узле IPv4 или IPv6 и выберите ко­ манду Свойства. 322 1 {Windov.J Глава 9. Сервисы DNS и DHCP • Перейдите на вкладку Служба DNS. На рис. 9.16 показаны значения DNS-интеграции по умолчанию для IPv4 и IPv6. Поскольку параметры настроены по умолчанию, обычно их не нужно модифицировать. • При желании можно включить или выключить функцию защиты имен. При включенной защите имен DHCP-сервер регистрирует записи о кли­ енте, если никакой другой клиент с этой DNS-информацией не зареги­ стрирован. Для включения или отключения защиты имен нажмите кноп­ ку Настроить. В окне Защита имен установите или сбросьте флажок Включить защиту имен и нажмите кнопку ОК. Свойства: IPv4 ? X Общие Служба DNS Фильтры Отработка отказа Дополнительно Вы можете настроить DHCP-сервер для автоматического обновления A-записей (узлов) и PTR-записей (указателей) DHCP-клиентов для полномочных DNS-серверов. р включить динамическое обновление DNS в соответствии с; шетйойкйй:___________________ ____________________ J С £ Динамически обновлять DNS-записи только по запросу DHCP-клиента Всегда динамически обновлять DNS-записи р" Удалять А- и PTR-записи при удалении аренды Г Динамически обновлять DNS-записи для DHCP-клиентов, не требующих обновления (например, клиентов с Windows NT 4.0) Р Отключить динамические обновления для PTR-записей DNS Защита имени Защита имени DHCP отключена на уровне сервера. Настроить OK I : Отмена Прнм^/гь Рис. 9.16. Параметры DNS-интеграции для IPv4 и IPv6 9.2.6. Создание суперобластей Суперобласть является контейнером для областей IPv4 так же, как и организационное подразделение — контейнером для объектов Active Directory. Суперобласти помогают управлять имеющимися в сети об­ ластями и также обеспечивают поддержку DHCP-клиентов в одной фи­ зической сети, где используются множественные логические IP-сети или же когда вы создаете суперобласти для объединения IP-адресов из разных логических сетей в один сегмент физической сети. 323 Сервер на Windows и Linux С помощью суперобласти можно активировать или деактивировать сразу несколько областей. Также в суперобласти можно просматривать статистику для всех областей сразу, вместо того чтобы проверять ее для каждой области отдельно. Для создания суперобласти нужно выполнить следующие действия: 1. В консоли DHCP разверните узел сервера, с которым нужно работать, а затем щелкните правой кнопкой мыши по узлу IPv4, выберите команду Создать суперобласть (эта команда появится, если есть хотя бы одна обычная или многоадресная область). Будет запущен мастер создания су­ перобласти. Нажмите кнопку Далее. 2. Выберите имя суперобласти и нажмите кнопку Далее. 3. Выберите области, которые нужно добавить в суперобласть. Для выбора области просто щелкните на ней в списке Доступные области. 4. Нажмите кнопку Далее, а затем кнопку Готово. После того как суперобласть создана, в нее можно добавить обычные обла­ сти. Для этого выполните следующие действия: 1. Правой кнопкой мыши щелкните на области, которую хотите добавить в существующую суперобласть, и выберите команду Добавить в суперобласть. 2. В диалоговом окне Добавление области к суперобласти выберите супе­ робласть. 3. Нажмите кнопку ОК. 9.2.7. Создание обычных областей IIIIIIIIIIIIIIIIIIIIIII1IIIIIIIIIIII I III I ШИП 1 I Illi I Illi I I I II II I II II II I II llllll Illi II I I I I Illi II I I II HUI II III Hill I I II I II I II I II II И I I IHIIHIIIIIIH HH1IHIHIIIHHIIIHIIIIIIIIHIIIIIIIIIIHII1IIIHHIIIIIIIHIIIIHIIIIIIIIIIIIIIIHHHIIIIIHIIIIIIIIIIIIHIIIIIIIIHIIIHIIIHIIIHII1IIIIIIIILL Область предоставляет пул адресов для DHCP-клиентов. Обычная | область — это область с адресами сетей классов А, В или С. Много- | адресная область — это область с адресами сетей класса D. Хотя обычные и многоадресные области создаются по-разному, в управле­ нии они мало чем отличаются друг от друга. Основное отличие состоит в .324 J Глава 9. Сервисы DINS п DHCP том, что многоадресные области не позволяют резервировать адреса, а так­ же задавать дополнительные параметры WINS, DNS, маршрутизации и т. д. Создать обычную область для 1Ру4-адресов можно с помощью следующих действий: 1. В консоли DHCP разверните узел сервера, с которым нужно работать, да­ лее щелкните правой кнопкой мыши на узле IPv4. Если необходимо авто­ матически добавить новую область в суперобласть, выделите ее, а затем щелкните правой кнопкой мыши на нужной суперобласти. 2. В контекстном меню выберите команду Создать область. Будет запущен мастер создания области. Нажмите кнопку Далее. 3. Введите имя и описание области, а затем нажмите кнопку Далее. 4. Введите начальный и конечный адреса области в поля Начальный IPадрес и Конечный IP-адрес на странице Диапазон адресов (рис. 9.17). Мастер создания области Диапазон адресов Определить диапазон адресов области можно задавая, диапазон последовательных IP-адресов. Настройки конфигурации для DHCP-сервере Введите диапазон адресов, который описывает область Начальный IP-адрес. J 192 168 11 конечный IP-адрес: р192 168 1 . 254| Настройки конфигурации, распространяемые DHCP-клиенту Ддина Г 24™-j Маска подсети: | 255 255 . 255 О <Назад [ Далее> 1 Отмена Рис. 9.17. Создание области. Диапазон адресов 5. Нажмите кнопку Далее. Если введенный диапазон IP-адресов охватывает разные сети, будет предоставлена возможность создать суперобласть, со­ держащую различные области для каждой сети. Нажмите кнопку Да, что­ бы принять это предложение, и перейдите к шагу 8. Если была допущена ошибка, нажмите кнопку Назад, чтобы исправить введенный диапазон IP-адресов. 325 ; Сервер на W indows и Linux |$ Windows 6. Используйте поля Начальный IP-адрес и Конечный IP-адрес на стра­ нице Добавление исключений и задержка, чтобы определить диапазо­ ны IP-адресов, которые будут исключены из области (рис. 9.18). Можно исключить диапазоны адресов так: » Для определения диапазона введите начальный и конечный адреса в поля Начальный IP-адрес и Конечный IP-адрес и нажмите кнопку Добавить. Чтобы исключить один IP-адрес, введите его и как началь­ ный, и как конечный IP-адрес. » Исключенные диапазоны адресов отображаются в списке Исключае­ мый диапазон адресов. » Для удаления диапазона исключения выберите его в списке Исключа­ емый диапазон адресов и затем нажмите кнопку Удалить. Мастер создания области Добавление исключений и задержка Исключения являются адресами или диапазонами адресов, которые исключаются из распределения DHCP-сервером. Задержка определяет время, на которое будет задержана передача сообщения DHCPOFFER с сервера И Введите диапазон IP-адресов, который необходимо исключить. Если вы хотите исключить один адрес, введите его только в поле "Начальный IP-адрес". Начальный IP-адрес Конечный 1Р-адрес: Исключаемый диапазон адресов. 0®^® удалить | Задержка подсети в миллисекундах: <Назад Далее» Отмена Рис. 9.18. Создание области. Исключения 7. Нажмите кнопку Далее. Укажите продолжительность аренды для диапа­ зона адресов, используя поля Дней, часов, минут. Продолжительность аренды по умолчанию составляет 8 дней. Нажмите кнопку Далее. 8. У администратора есть возможность настроить общие параметры DHCP для DNS, WINS, шлюзов и т. д. Если нужно настроить эти параметры сейчас, выберите переключатель Да, настроить эти параметры сейчас. В противном случае выберите Нет, настроить эти параметры позже и 9. ( ервисы DVS и 1)1 К T пропустите шаги 10-15. Но лучше все-таки настроить их сейчас, чтобы больше не возвращаться к этому вопросу (рис. 9.19). 9. Нажмите кнопку Далее. Первым делом необходимо указать основной шлюз. В поле IP-адрес введите IP-адрес основного шлюза и нажмите кнопку Добавить. Повторите этот процесс для других шлюзов по умол­ чанию. 10. Сначала клиенты будут использовать первый шлюз в списке. Если он не­ доступен, клиенты попытаются получить доступ к следующему шлюзу и т. д. С помощью кнопок Вверх и Вниз можно изменять порядок шлюзов. 11. Нажмите кнопку Далее. Настройте параметры DNS для DHCP-клиентов, как показано на рис. 9.17. Введите имя родительского домена, который следует использовать для разрешения не полностью определенных имен компьютеров. 12. В поле IP-адрес введите IP-адрес основного DNS-сервера, а затем нажмите кнопку Добавить. Повторите этот процесс, чтобы указать дополнитель­ ные серверы. Здесь опять же порядок записей определяет, какой из IPадресов будет использован в первую очередь. При необходимости изме­ ните порядок с помощью кнопок Вверх и Вниз. Нажмите кнопку Далее. 13. Параметры WINS задаются аналогично. Нажмите кнопку Далее. Сервер на Windows и Linux 14. Если нужно активировать область, установите переключатель Да, я хочу активировать эту область сейчас. В противном случае установите пе­ реключатель Нет, я активирую эту область позже (рис. 9.20). В консоли DHCP неактивная область помечается белым кружком с красной стрелкой вниз. У активной области значок как у обычной папки. Чтобы активировать неактивную область, щелкните по ней правой кнопкой мыши в консоли DHCP и выберите команду Активировать. Чтобы деакти­ вировать активную область, щелкните ее правой кнопкой мыши в консоли DHCP и выберите команду Деактивировать. В этой главе были рассмотрены основы администрирования важных сете­ вых сервисов DNS и DHCP. В этой части книги были рассмотрены основные моменты работы с серве­ ром в Windows. Теперь пришла пора рассмотреть работу с сервером в Linux. Глава 10. Управление загрузкой Linux Сервер на Windows и Linux (^Inux Начать часть книги, посвященной взаимодействиям с сервером в Linux, хотелось бы с такого важного момента как загрузка системы, ведь от того, какая версия и модификация системы будут вами использоваться, будут за­ висеть многие параметры вашего сервера. ЮЛ . Загрузчики Linux Существует несколько загрузчиков Linux. На сегодняшний день основным загрузчиком является GRUB2, который устанавливается по умолчанию во всех современных дистрибутивах Linux. Одним из самых "древних" загрузчиков является LILO (Linux LOader). Этот загрузчик давно уже не используется, и ему на смену пришел загрузчик GRUB (GRand Unified Bootloader). GRUB является более гибким загрузчи­ ком и "понимает" много разных файловых систем, в том числе FAT/FAT32, ext2, ext3, ReiserFS, XFS, BSDFS. На смену GRUB пришел загрузчик GRUB2. Отличие GRUB — очень запутанный и неудобный файл конфигурации, но время не стоит на месте, и этот загрузчик уже не используется ни в одном современном дистрибутиве - только GRUB2. К преимуществам GRUB2 можно отнести — поддержку ext4 (а эта файловая система сейчас стандарт де-факто), загрузку с LVM, поддержку UEFI. Всех этих вещей в GRUB нет, поэтому его использование сегодня невозможно. Лип их Глава К). Управление загрузкой Linux Собственно, GRUB2 сейчас устанавливается во всех современных дистрибу­ тивах, и нет смысла возвращаться на GRUB. Если возникнет необходимость, вы можете вернуться на обычный GRUB, установив пакет grub-legacy, но такая возможность есть только для платформы х86. 10.2. Загрузчик GRUB2 10.2.1. Конфигурационные файлы В каталоге /etc/grub.d хранятся шаблоны, определяющие настройки GRUB2. Также некоторые его параметры хранятся в файле /etc/default/ grub. По шаблонам из /etc/grub.d и файлу /etc/default/grub программой /usr/sbin/grub-mkconfig создается рабочий конфигурационный файл /boot/grub/grub.cfg, который по задумке разработчиков GRUB2 вы не должны редактировать вручную. Поэтому есть две стратегии настройки GRUB2. Первая заключается в непосредственном редактировании файла /boot/grub/ grub.cfg. Загрузчику GRUB2 все равно, кто или что отредактирует этот файл — вы или программа grub-mkconflg. Вторая заключается в редактировании файлов из каталога /etc/grub.d и файла /etc/default/grub. После чего вы будете должны ввести команду grub-mkconfig для создания файла /boot/grub/grub.cfg по заданным вами настройкам. Чтобы решить, какая из стратегий для вас лучше, нужно знать формат и со­ держимое всех этих файлов. Начнем с основного файла конфигурации, который сложнее и длиннее фай­ ла конфигурации обычного GRUB (см. лист. 10.1). 331 Сервер на Windows и Linux Листинг 10.1. Файл конфигурации Zboot/grub/grub.cfg # Не редактируйте этот файл вручную! # # Он автоматически генерируется программой grub-mkconfig по шаблонам # из /etc/grub.d и настройкам из /etc/default/grub # ### НАЧАЛО файла /etc/grub.d/00_header ### if [ -s $prefix/grubenv ] ; then load_env fi # Загрузочная метка по умолчанию set default=”0” if [ "${prev_saved_entry}” ]; then set saved_entry=”${prev_saved_entry}” save_env saved_entry set prev_saved_entry= save_env prev_saved_entry set boot once=true function savedefault { if [ -z ”${boot_once}" ]; then saved_entry="${chosen}” save_env saved_entry fi } function insmod insmod insmod insmod load_video { vbe vga video_bochs video_cirrus } insmod part_msdos insmod ext2 # Корневое устройство set root='(hd0,msdosl)’ search --no-floppy --fs-uuid --set=root b7 300e54-fff 5-4 f31-8002bea43c64f344 if loadfont /usr/share/grub/unicode.pf2 ; then set gfxmode=640x480 load_video insmod gfxterm insmod part_msdos insmod ext2 set root='(hd0,msdosl)' Л-inux Глава 10. Управление загрузкой Linux search --no-floppy --fs-uuid --set=root b7300e54 —fff5 — 4f31-8002bea43c64f344 set locale_dir=($root)/boot/grub/locale set lang=ru_RU insmod gettext fi terminal_output gfxterm set timeout=5 ### КОНЕЦ файла /etc/grub.d/00_header ### ### НАЧАЛО файла /etc/grub.d/05_debian_theme ### insmod part_msdos insmod ext2 # Корневое устройство set root=’(hd0,msdosl)’ search —no-floppy —fs-uuid —set=root b7300e54-fff5-4f31-8002-bea43c64f 344 insmod png if background_image /usr/share/images/desktop-base/joy-grub.png; then set color_normal=white/black set color_highlight=black/white else set menu_color_normal=cyan/blue set menu_color_highlight=white/blue fi ### КОНЕЦ файла /etc/grub.d/05_debian_theme ### ### НАЧАЛО файла /etc/grub.d/10_linux ### # Содержит главную загрузочную метку. Далее мы ее рассмотрим подробнее menuentry ’AstraLinuxCE GNU/Linux with Linux 5.10.0-1038.40-generic' —class debian --class gnu-linux --class gnu --class os { load_video insmod gzio insmod part_msdos insmod ext2 set root=’ (hd0,msdosl) ’ search --no-floppy --fs-uuid --set=root b7300e54-fff 5-4 f31-8002bea43c64f344 echo ’Loading Linux 5.10.0-1038.40-generic’ linux /boot/vmlinuz-5.10.0-1038.40-generic root=UUID=b7 30 0e54-fff 54f31-8002-bea43c64f344 ro initrd=/instal1/gtk/initrd.gz quiet echo ’Loading ramdisk . . . ' initrd /boot/initrd.img-5.10.0-1038.40-generic } menuentry ’AstraLinuxCE GNU/Linux with Linux 5.10.0-1038.40-generic (recovery mode)’ —class debian --class gnu-linux —class gnu —class os { load_video insmod gzio insmod part_msdos insmod ext2 set root=’ (hd0,msdosl) ' ( срвср на Windows и I inu\ Alnux search --no-floppy --fs-uuid --set=root b7300e54-fff5-4f 31-8002bea43c64 f344 echo ’Loading Linux 5.10.0-1038.40-generic...’ linux /boot/vmlinuz-5.10.0-1038.40-generic root=UUID=b7300e54-fff 54f31—8002—bea43c64f344 ro single initrd=/install/gtk/initrd.gz echo ’Loading ramdisk ...’ initrd /boot/initrd.img-5.10.0-1038.40-generic } #H КОНЕЦ /etc/grub.d/10_linux ### ### НАЧАЛО /etc/grub.d/20_linux_xen ### ### КОНЕЦ /etc/grub.d/20_linux_xen ### ### НАЧАЛО /etc/grub.d/20_memtest86+ ### # Метка для memtest86 - программы для проверки памяти menuentry ’’Memory test (memtest86-ь) ” { insmod part_msdos insmod ext2 set root=’(hd0,msdosl)’ search --no-floppy --fs-uuid --set=root b7300e54-fff5-4f 31-8002bea 4 3 c 6 4 f 3 4 4 linuxl6 /boot/memtest86+.bin } menuentry ’’Memory test (memtest86+, serial console 115200)” { insmod part_msdos insmod ext2 set root=’(hd0,msdosl)' search --no-floppy --fs-uuid — — set=root b7300e54-fff5-4f 31-8002bea43c64f344 linuxl6 /boot/memtest86+.bin console=ttyS0,115200n8 } menuentry "Memory test (memtest86+, experimental multiboot) ’’ { insmod part_msdos insmod ext2 set root=’(hd0,msdosl)’ search --no-floppy --fs-uuid --set=root b7300e54-fff5-4f 31-8002bea43c64f344 multiboot /boot/memtest8 6-b_multiboot. bin menuentry "Memory test (memtest86+, serial console 115200, experimental multiboot)" { insmod part_msdos insmod ext2 set root=’(hdO,msdosl)’ search --no-floppy —fs-uuid —set=root b7300e54-fff5-4f 31-8002bea43c64f344 multiboot /boot/memtest86-b_multiboot.bin console=ttyS0,115200n8 } ### КОНЕЦ /etc/grub.d/20_memtest86+ #H # Далее этот файл я немного сократил, поскольку дальше в нем нет ничего интересного 2 334 J Л-lnux Глава 10. Управление загрузкой Linux Файл огромный, и его синтаксис напоминает синтаксис bash-сценариев. Если вы просмотрели этот конфигурационный файл, то вы уже догадались, что делает программа grub-mkconfig: она собирает воедино все файлы из каталога /etc/grub.d (кстати, в листинге 10.1 перечислена большая часть из этих файлов) и вносит в общий конфигурационный файл из /etc/default/grub. Основная запись из всего листинга 10.1 — это запись menuentry. Именно в таких записях описываются элементы меню загрузчика GRUB. menuentry 'AstraLinuxCE GNU/Linux with Linux 5.10.0-1038.40-generic' --class debian --class gnu-linux —class gnu --class os { load_video insmod gzio insmod part_msdos insmod ext2 set root=’(hd0,msdosl)' search --no-floppy --fs-uuid --set=root b7300e54-fff5-4f 31-8002bea43c64f344 echo 'Loading Linux 5.10.0-1038.40-generic' Linux/boot/vmlinuz-5.10.0-1038.40-generic root=UUID=b7300e54fff5-4f31-8002-bea43c64f344 ro initrd=/install/gtk/initrd.gz quiet echo 'Loading ramdisk ...' initrd /boot/initrd.img-5.10.0-1038.40-generic В одинарных кавычках после menuentry указывается название загрузочной метки. Далее идут параметры, которые вообще можно не указывать, и от этого Debian загружаться не перестанет. В фигурных скобках — основная конфигурация. Директива load_vldeo — это не что иное, как вызов функции load_ video, которая также описана в этом файле конфигурации. Функция вставляет некоторые модули (команда insmod), необходимые для ра­ боты графического режима. Обратите внимание, что команды insmod загружают не модули ядра Linux, а модули GRUB2, которые находятся в каталоге /boot/grub. Внутри {} можно использовать команду echo для обозначения различных этапов загрузки, что и сделано в нашем примере. Можете отказаться от echo, на загрузку это никак не повлияет. Сервер па Windows и Linux Основные команды — это Ипих и initrd. Первая указывает путь к ядру Linux и задает параметры ядра. В нашем случае параметр ядра root указывает устройство, на котором находится корневая файловая система. Устройство указано в виде UUID. UUID-имена очень удобны. Представим, что у вас есть один жесткий диск SATA и два контроллера. Если вы подключите его ко вто­ рому контроллеру, обычное имя изменится (например, было /dev/sda, а стало /dev/sdb), а UUID-имя — нет. При желании вы можете указать имя в старом формате, например, root=/dev/sdal. Параметр ядра го задает монтирование корневой файловой системы в режиме ’’только чтение” (это нормально, поз­ же она будет перемонтирована), initrd — задает файл RamDisk, а последний параметр ядра quiet задает ’’тихую” загрузку ядра, при которой будут выво­ диться только самые важные сообщения. Команда initrd задает путь к файлу initrd. Теперь рассмотрим файл /etc/default/grub (листинг 10.2). Листинг 10.2. Файл /etc/default/grub # После редактирования этого файла запустите команду 'update-grub’ для # обновления файла /boot/grub/grub.cfg. # Для получения полной информации об этом файле введите команду # info -f grub -n 'Simple configuration' # Загрузочный элемент (menuentry по умолчанию) GRUB_DEFAULT=0 # Таймаут GRUB_TIMEOUT=5 # Задает название дистрибутива, не изменяйте эту строку GRUB_DISTRIBUTOR='lsb_release -i -s 2> /dev/null || echo Debian' # Параметры ядра Linux по умолчанию GRUB_CMDLINE_LINUX_DEFAULT="quiet" # Еще одна строка для задания параметров ядра GRUB_CMDLINE_LINUX="initrd=/install/gtk/initrd.gz" # Раскомментируйте эту строку, режим #GRUB_TERMINAL=console # # # # если вы хотите отключить графический Разрешение в графическом режиме Вы можете использовать только те режимы, которые ваша видеокарта поддерживает через VBE. Просмотреть список таких режимов можно с помощью команды 'vbeinfo' Jnux Глава 10. Управление загрузкой Linux #GRUB_GFXMODE=640x480 # Раскомментируйте эту строку, если вы не хотите # использовать UUID-имена устройств #GRUB_DISABLE_LINUX_UUID=true # Раскомментируйте, если хотите запретить генерирование меток восстановления #GRUB_DISABLE_RECOVERY=”true” # Раскомментируйте, если хотите получить гудок при загрузке GRUB #GRUB INIT TUNE=”480 440 1” Как видите, параметры из файла /etc/default/grub понятны и не нуждаются в особых комментариях. Но в нем мы узнали о еще одной команде — update­ grub. Так какую из них использовать — update-grub или grub-mkconfigl На самом деле это почти одна и та же команда. Дело в том, что команда grubmkconfig по умолчанию выводит конфигурацию GRUB2 на экран, поэтому, чтобы она записалась в файл /boot/grub/grub.cfg, запускать ее нужно так:^ sudo grub-mkconfig > /boot/grub/grub.cfg Или же вы можете ввести команду update-grub, которая сделает то же самое. Другими словами, команда update-grub — это сценарий, который вызыва­ ет только что приведенную команду. Как по мне, то использовать команду update-grub удобнее. Так какую стратегию GRUB2 использовать? Редактировать шаблоны и пара­ метры или сразу конфигурационный файл? Если вы работаете за компьюте­ ром в гордом одиночестве и нет и не предвидится других администраторов, тогда можете выбрать ту стратегию, которая вам больше нравится. Если же есть или планируются другие администраторы, то нужно редакти­ ровать шаблоны и параметры вместо редактирования конфигурационного файла вручную. Дело в том, что если вы внесете изменения непосредствен­ но в конфигурационный файл, а потом другой администратор захочет из­ менить какой-то незначительный параметр, например, добавить гудок при загрузке GRUB2, то команда update-grub перезапишет все сделанные вами изменения. Сервер на Windows и Linux Л-lnux 10.2.2. Выбор метки по умолчанию Как правило, даже если у вас установлена одна только Linux, у вас будет несколько загрузочных меток (несколько записей menuentry). Выбрать метку по умолчанию можно с помощью параметра GRUB DEFAULT. Нумерация меток начинается с 0, то есть первой метке соответствует значение 0. После того, как вы установите другой номер метки по умолчанию, нужно ввести команду update-grub и перезагрузить систему. Другими словами, последовательность такая: редактируем файл /etc/default/ grub, изменяем значение параметра GRUB DEFAULT и вводим команду update-grub. 10.2.3. Загрузка Windows Упор в этой книге делается на применение Linux в работе с сервером, при­ чем в разных сферах жизнедеятельности, однако вдруг вы захотите устано­ вить Linux на домашний компьютер, скорее всего, ей придется "сожитель­ ствовать" с Windows. Чтобы добавить возможность загрузки Windows из GRUB2, нужно отредак­ тировать файл /etc/grub.d/40_custom и добавить в него следующие строки: menuentry "Windows (on /dev/sdal)" { insmod part_msdos insmod ntfs set root=’(hdO,msdosl)’ search --no-floppy --fs-uuid --set UUID drivemap -s (hdO) ${root} chainloader +1 } Здесь Windows находится на /dev/sdal, и адрес этого раздела указывается в set root. Значение UUID нужно заменить на UUID вашего Windows-раздела. О том, как "вычислить" UUID раздела мы уже поговорили, надеюсь, с этим не возникнет трудностей. Остальные параметры можете оставить без изме­ нения (еще не забудьте исправить hdO в drivemap, если Windows установлена не на первом жестком диске). 338 Глава 10. Управление загрузкой Linux 10.2.4. Пароль загрузчика GRUB2 Загрузчик GRUB позволял только установить пароль — или общий, или на загрузку определенной метки. Загрузчик GRUB2 более гибкий в этом плане, поскольку вы можете настроить не только пароли, но и логины. Также есть минимальная система разграничения прав доступа. Итак, в GRUB2 есть суперпользователь, который может редактировать загрузочные метки. Существует возможность восстановить пароль root путем передачи | ядру параметра init. Но для этого нужно отредактировать конфигура- | цию GRUB2. Если вы установите пароль суперпользователя, то изменить конфигурацию загрузчика вы сможете только после ввода этого пароля. Также в GRUB2 есть обычные пользователи, которые имеют право только выбирать загрузочную метку. Они не имеют права редактировать конфигу­ рацию загрузчика. В принципе, можно обойтись одним паролем суперполь­ зователя, но при желании GRUB2 может довольно гибко разграничить права пользователей. Давайте сначала добавим пароль суперпользователя. Для этого в файл /etc/ grub.d/OO_header добавьте строки:^ set superusers=”main_admin’' password main_admin 123456789 Первая команда задает суперпользователя main_admin, а вторая — задает для него пароль. Старайтесь избегать общепринятых имен вроде admin, root и т.д. Так у злоумышленника, который хочет изменить конфигурацию GRUB2, будет две неизвестных. Пароль пока в незашифрованном виде, и это не очень хорошо. Поскольку если загрузиться с LiveCD или LiveUSB, то его можно будет увидеть. Позже я покажу, как зашифровать пароль. 339 Сервер на Windows и Linux O.inux Обычные пользователи задаются инструкцией password, например: password me 12345 По сути main_admin тоже был бы обычным пользователем, если бы не инструкция set superusers, которая делает его суперпользователем. Представим, что у нас есть следующие строки: set superusers="main_admin” password main_admin 123456789 password me 12345 Пользователь main_admin может загружать операционные системы и редактировать конфигурацию GRUB2. Пользователь те может только загружать операционные системы. Если вы хотите, чтобы определенные метки могли загружать только опреде­ ленные пользователи, добавьте к menuentry параметр —users: menuentry "Windows” --users me { insmod part_msdos insmod ntfs set root=’(hdO,msdosl)’ search --no-floppy --fs-uuid --set UUID drivemap -s (hdO) ${root} chainloader +1 } Теперь зашифруем пароль. Введите команду: grub-mkpasswd-pbkdf2 Программа запросит пароль, зашифрует его и выведет на экран его кэш. Вы увидите что-то подобное: Глава 10. Управление загрузкой Linux ( Linux grub.pbkdf2.sha512.10000.9290F727ED06C38BA4549EF7DE25CF5642659211B7FC076F2D2708 0136.887CFF169EA83D5235D8004742AA7D6187A41E3187DF0CE14E256D85ED97A979080136.887CFF169EA8335235D8004242AA7D6187A41E3187DF0CE14E256D85ED97A97357AAA8FF0A3871A- B9EEFF458392F462F495487387F685B7472FC6C29E293F0A0 Данный хеш нужно указать вместо пароля пользователя. Однако вместо инструкции passed нужно использовать password_pbkdf2. Например: password_pbkdf2 me grub.pbkdf2.sha512.10000.9290F727ED06C38BA4549EF7DE25CF5642659211B7FC076F2D2708 0136.887CFF169EA83D5235D8004742AA7D6187A41E3187DF0CE14E256D85ED97A979080136.887CFF169EA8335235D8004242AA7D6187A41E3187DF0CE14E256D85ED97A97357AAA8FF0A3871AB9EEFF458392F462F495487387F685B7472FC6C29E293F0A0 После изменения файлов из каталога /etc/grub.d не забудьте ввести команду upgrade-grub для обновления основного файла конфигурации. 10.2.5. Установка загрузчика Команда установки загрузчика такая же, как и в случае с GRUB: # /sbin/grub-install <устройство> Например: # /sbin/grub-install /dev/sda Поскольку GRUB2 у вас уже установлен, вряд ли вам придется вводить эту команду. Исключение может составить разве что переустановка Windows, которая перезапишет загрузочный сектор своим загрузчиком. Поэтому вам придется загрузиться с LiveCD, выполнить chroot для вашей старой корне­ вой системы и ввести команду grub-install для установки загрузчика GRUB2. Г 341 " Сервер па Windows и Linux Л-lnux 10.3. Система инициализации После своей загрузки ядро передает управление системе инициализации. Цель этой системы — выполнить дальнейшую инициализацию системы. Самая главная задача системы инициализации — запуск и управление системными службами. Служба (сервис, демон) — специальная программа, выполняющаяся в фоновом режиме и предоставляющая определенные услуги (или, как говорят, сервис — отсюда и второе название). Что превращает обычный компьютер, скажем, в FTP-сервер? Правиль­ но, запущенная служба FTP — тот же ProFTPD или подобная. Вы можете установить программу ProFTPD и настроить ее на автоматический запуск системой инициализации. Тогда при каждой загрузке наш компьютер будет превращаться в FTP-сервер. Аналогично и с другими сервисами — доста­ точно установить определенную программу, чтобы превратить компьютер в веб-сервер или почтовый сервер. Но стоит вам отключить ее, и компьютер уже прекращает предоставлять обеспечиваемые программой услуги, следо­ вательно, превращается в самый обычный компьютер. В мире Linux существовало очень много разных систем инициализации — init, upstart, init-ng. Все их рассматривать уже нет смысла, поскольку в совре­ менных дистрибутивах используется современная система инициализации systemd. systemd — подсистема инициализации и управления службами в Linux, фактически вытеснившая в 2010-е годы традиционную подсистему init. Основная особенность — интенсивное распараллеливание запуска служб в процессе загрузки системы, что позволяет существенно ускорить запуск операционной системы. Основная единица управления — модуль, одним из типов модулей являются "службы" — аналог демонов — наборы процессов, запускаемые и управляемые средствами подсистемы и изолируемые контрольными группами. ftlnux Глава К). Управление загрузкой Linux 10.3.1. Принцип работы Система инициализации systemd используется во многих современных дис­ трибутивах, в частности в Fedora, Ubuntu, CentOS и openSUSE. На данный момент это самая быстрая система инициализации. В Astra Linux использу­ ется немного модифицированный ее вариант — systemdgenie. Давайте подумаем, как можно ускорить запуск Linux? Можно пойти по пути upstart — параллельно запускать службы. Но параллельный запуск — не всегда хорошо. Нужно учитывать зависимости служб. Например, сервис d-bus нужен многим другим сервисам. Пока сервис d-bus не будет запущен, нельзя запускать сервисы, которые от него зависят. Если сначала запускать основные сервисы и ждать, пока они будут запуще­ ны, а потом уже запускать службы, которые от них зависимы, особого вы­ игрыша в производительности по сравнению с init вы не увидите. Но если сервис d-bus (или любой другой, от которого зависят какие-то другие серви­ сы) запускается долго, то все остальные службы будут ждать его. Как обойти это ограничение? При своем запуске службы проверяют, запущена ли необходимая им служба, по наличию файла сокета. Например, в случае с d-bus — это файл /var/run/dbus/system_bus_socket. Если мы создадим сокеты для всех служб, то мы можем запускать их парал­ лельно, особо не беспокоясь, что произойдет сбой какой-то службы при за­ пуске из-за отсутствия службы, от которой они зависят. Даже если несколь­ ко служб, которым нужен сервис d-bus, запустятся раньше, чем сам сервис d-bus, — ничего страшного. Каждая из этих служб отправит в сокет (главное, что он уже открыт!) сообщение, которое обработает сервис d-bus после того, как он запустится. Вот и все. Но это не единственное "ухищрение", посредством которого осуществля­ ется ускорение запуска компьютера, инициализацию которого производит systemd. Эта система инициализации запускает только необходимые серви­ сы. Остальные же будут запущены по мере необходимости. Концепция отложенного запуска используется и в других операционных системах — например, в MacOS X (там система инициализации называется Сервер на Windows и Linux launchd) и в Windows (концепция отложенного запуска служб). Так что ре­ шение не очень новое, но зато проверенное. Основными функциями systemd являются: • Активация на основании сокетов — система инициализации systemd прослушивает сокеты всех системных служб. Сокеты передаются системным службам сразу после запуска сервисов. Благодаря этому осу­ ществляется параллельный запуск сервисов. Также это позволяет переза­ пускать сервисы без потери любых отправленных им сообщений, то есть пока сервис перезапускается, отправленные ему сообщения накаплива­ ются, и он сможет их обработать после того, как будет запущен. • Активация на основании устройств — systemd может запустить опре­ деленные службы, когда станет доступным определенный тип оборудова­ ния. Например, вы подключили Bluetooth-адаптер, может быть запущен сервис bluetooth. • Активация на основании d-bus — служба инициализации может запу­ стить сервисы, которые используют d-bus для межпроцессного взаимо­ действия, например, когда клиентское приложение попытается связаться с системной службой. • Активация на основании путей — systemd может запустить службу, если изменится содержание каталога. • Управление точками монтирования и автоматическим монтирова­ нием — система инициализации отслеживает и управляет точками мон­ тирования и автоматического монтирования. • Снимки системных состояний — благодаря этой возможности systemd может сохранить состояние всех модулей и восстановить предыдущее состояние системы. • Параллелизация — systemd запускает системные службы параллельно благодаря активации на основании сокетов. Параллельная активация су­ щественно сокращает время загрузки системы. • Обратная совместимость с SysV — поддерживаются сценарии инициа­ лизации SysV, что упрощает переход на systemd. Однако все устанавли­ ваемые в современных дистрибутивах пакеты служб уже адаптированы под systemd, поэтому не нужно надеяться, что во время установки пакета какого-то сервиса будут установлены SysV-сценарии. Будут созданы фай­ лы, необходимые для запуска сервиса посредством systemd. 344 Odnux Глава 10. Управление загрузкой Linux 10.3.2. Конфигурационные файлы systemd Обилие различных конфигурационных файлов systemd может ввести в сту­ пор даже бывалого линуксоида, не говоря уже о пользователе, который впер­ вые видит systemd. Когда я впервые познакомился с systemd, у меня было только одно желание — снести ее и установить вместо нее init. Но мы это не будем делать. Чтобы разобраться со всеми файлами, нужно понимать, как работает эта система. В systemd используется концепция модулей (юнитов). Существующие типы модулей описаны в таблице 10.1. Таблица 10.1. Типы модулей системы инициализации systemd Тип Описание service Служба (сервис, демон), которую нужно запустить. Пример име­ ни модуля: network.service. Изначально systemd поддерживала сценарии SysV (чтобы управлять сервисами можно было, как при использовании init), но в последнее время в каталоге /etc/ init.d систем, которые используют systemd, практически нет (или вообще нет), а управление сервисами осуществляется только по­ средством systemd Цель. Используется для группировки модулей других типов. В target systemd нет уровней запуска, вместо них используются цели. На­ пример, цель multi-user.target описывает, какие модули должны быть запущены в многопользовательском режиме snapshot Снимок. Используется для сохранения состояния systemd. Сним­ ки могут использоваться для перевода системы из одного состоя­ ния в другое, например, в состояние сна и пробуждение mount Точка монтирования. Представляет точку монтирования. Система инициализации systemd контролирует все точки монтирования. При использовании systemd файл /etc/fstab уже не главный, хотя все еще может использоваться для определения точек монтирова­ ния ( срвср на Х\ indows и I Jiiu\ automount Автоматическая точка монтирования. Используется для монтиро­ вания сменных носителей — флешек, внешних жестких дисков, оптических дисков и т.д. socket Сокет. Представляет сокет, находящийся в файловой системе или в Интернете. Поддерживаются сокеты AFINET, AFINET6, AF_ UNIX. Реализация довольно интересная. Например, если сервису service 1.service соответствует сокет service 1.socket, то при попыт­ ке установки соединения с service 1.socket будет запущен servicel. service device Устройство. Представляет устройство в дереве устройств. Работа­ ет вместе с udev: если устройство описано в виде правила udev, то его можно представить в systemd в виде модуля device path Файл или каталог, созданный где-то в файловой системе scope Процесс, который создан извне slice Управляет системными процессами. Представляет собой группу иерархически организованных модулей swap Представляет область подкачки (раздел подкачки) или файл под­ качки (свопа) timer Представляет собой таймер системы инициализации systemd Модули хранятся в следующих каталогах: • /etc/systemd/system/ — обладает самым высоким приоритетом. Здесь со­ держатся модули, которые созданы и управляются системным админи­ стратором. • /run/systemd/system/ — модули, созданные во время выполнения. Приоритет этого каталога ниже, чем каталога /etc/systemd/system/, но выше, чем у /usr/lib/systemd/system. • /usr/lib/systemd/system/ — модули, которые установлены из пакетов. Типичный файл модуля типа service приведен в листинге 10.2. Глава 10. Управление загрузкой Linux Листинг 10.2. Типичный файл модуля типа service [Unit] Description=Daemon to detect crashing apps After=syslog.target [Service] ExecStart=/usr/sbin/abrtd Type=forking [Install] WantedBy=multi-user.target В секции Unit содержится общая информация о сервисе. Эта секция есть и в других модулях, а не только в сервисах. Секция Service содержит информацию о сервисе. Параметр ExecStart опи­ сывает команду, которую нужно запустить. Параметр Туре указывает, как сервис будет уведомлять systemd об окончании запуска. Секция Install содержит информацию о цели, в которой должен запускаться сервис. В нашем видно, что сервис будет запущен при активации цели multi- user. target. Вы можете использовать эту "болванку" для написания собственного серви­ са, который потом нужно поместить в файл /etc/systemd/system/HMa_cepBHca. service. После этого нужно перезапустить саму systemd, чтобы она узнала о новом сервисе: # systemctl daemon-reload 10.3.3. Цели Теперь поговорим о целях. Файлы целей *.target предназначены для группировки вместе дру­ гих юнитов systemd через цепочку зависимостей. Так, модуль цели graphical.target, который используется для запуска графического сеан­ са, запускает системные службы GDM (файл gdm.service) и Accounts Service (accounts-daemon.service), а также активирует цель multi-user, target. 347] Сервер на W indows н Linux В свою очередь, цель multi-user, target запускает другие системные службы, например, D-Bus (dbus.service) и активирует другие цели вроде basic, target. В systemd имеются предопределенные цели, которые напоминают стандарт­ ный набор уровней запуска. Некоторые цели называются runlevelN.target, чтобы упростить переход I бывших пользователей init на systemd, а именно: • poweroff. target (runlevelO.target) — завершение работы и отключение системы; • rescue, target (runlevel 1 .target) — однопользовательский режим, среда вос­ становления; • multi-user.target (runlevel2.target, runlevel3. target, runlevel4.target) — многопользовательский режим, без графического интерфейса; • graphical.target (runlevel5.target) — многопользовательский режим с гра­ фическим интерфейсом; • reboot.target (runlevel6.target) — завершение работы и перезагрузка системы. Управление службами осуществляется с помощью программы systemctl. Подробнее о службах мы поговорим чуть позже, а пока разберемся, как ис­ пользовать systemctl для завершения работы системы: • systemctl halt — останавливает систему; • systemctl poweroff — выключает систему; • systemctl reboot — перезагружает систему. Многим пользователям будет удобнее использовать старые команды halt, poweroff и reboot. Но все же теперь вы знаете, что есть альтернативные спо­ собы завершения работы. Ф Глава 10. Управление загрузкой Linux 10.4. Управление сервисами при использовании systemd При использовании системы инициализации systemd управление службами осуществляется посредством программы systemctl. Команда systemctl ис­ пользуется для разных целей, поэтому в таблице 10.2 представлены не все ее параметры, а только те, которые имеют отношение к сервисам. Таблица 10.2. Параметры программы systemctl Параметр Описание start <UMH.service> Запускает сервис stop <UMH.service> Останавливает сервис restart <uMH.service> Перезапускает сервис try-restart <UMH.service> Перезапуск сервиса только, если он запущен reload <UMH.service> Перезагружает конфигурацию сервиса status <ujwrservice> Отображает подробное состояние сервиса is-active <UMH.service> Отображает только строку active (сервис запу­ щен) или inactive (остановлен) list-units —type service —all Выводит состояние всех сервисов enable <UMH.service> Включает сервис (обеспечивает его автоматиче­ ский запуск) disable <uMH.service> Отключает сервис (сервис не будет автоматиче­ ски запускаться при запуске системы) Г 349 fllnux Сервер на Windows и Linux reenable <UMH.service> Деактивирует сервис и сразу его использует list-unit-files —type service Выводит список всех сервисов и сообщает, какие из них активированы, а какие — нет Примеры: # systemctl start httpd.service # systemctl stop httpd Первая команда запускает сервис httpd (веб-сервер), вторая — останавлива­ ет. Обратите внимание, что ’’.service” можно не указывать. Бывалые пользователи Linux сразу заметят удобства. Ранее, чтобы отклю­ чить службу на определенном уровне запуска, нужно было удалить ее сим­ волическую ссылку из определенного каталога. Аналогично, чтобы служба запускалась на определенном уровне запуска (например, в графическом ре­ жиме), нужно было создать символическую ссылку. Сейчас всего этого нет, а есть только команды enable и disable, что гораздо удобнее. Глава 11. Управление процессами Linux Сервер на Windows и Linux inux Пришло время поговорить об управлении процессами Linux. ILL Команды ps^ nice и kill 11.1.1. Получение информации о процессе Современные операционные системы устроены так, что каждому процессу присваивается уникальный номер — PID (Process ID, ИД процесса), исполь­ зуя который можно управлять процессом, например, можно завершить про­ цесс или изменить его приоритет. Узнать PID можно с помощью команды ps. Команда ps, введенная без параметров, просто показывает список процессов, запущенных на текущем терминале. ................. hi..... ниш............. ши.... ............................................ ни................ ши............11111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111F Видно, что сейчас запущен bash и сама команда ps (правда, на момент за­ вершения вывода процесс с ID 3535 уже не будет существовать, но на мо­ мент самого вывода такой процесс существовал), см. рис. 11.1. Глава 11. Управление процессами Linux inux Рис. 11.1. Команда ps lllltlllllllllllllllllllllllll lllllllllllllll II I Illi lllllllllllllllllllll Параметр -a позволяет вывести список всех процессов пользователя. I III 11III III III III1IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII III 1111III III IIII III I III 1111 III I Hl IIIIllllll ГII HIIIIII Посмотрите на рис. 11.2 — на консоли tty3 запущена программа nano, на консоли 11у 1 — программа ps. [root©localhost "1# ps -a FIDTTY TIME CMD 1035 tty3 00:00:00 nano 1041 ttyl 00:00:00 ps I roo W1oca 1host ~I# Puc. 11.2. Команда ps -a ^llllllll I | к I Illi III II lllllllllllll III Kill II II II III 111 II II I 11 I II II II I 111 II I II II lllllllll II III II I || 11 1 I II I 11 II II I I II I Illi IIIIIIIIIIIIIIIIIIIIU. Если нужно вывести процессы какого-то определенного пользовате- | ля, тогда используйте параметр -и\ . ............................................................................................................................................................................................................и । m 11 п । и i in 1111 и i ui 11 in i in in in $ ps -u root 353 ■ Л-inux Сервер на Windows и Linux ilin in ini inn i huh и i inn iniiiiihiill и ill и и ill и и и и i и nun i ill и ii i и i и ii i ini in i пни i( iii .1 iiiiiiiiiiiiiiiiiiiiiiiiiiiiiHniiiiiiiiiniiiiiiiHiiiiiiiitiiiiiiiiiHiiiiiiiiiiiiHiHiHiiiiiiiiiiiiHHiiiiHiiiiiHiiiitiiiiiHHiiiiiiiiiiiiniiiiiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiHiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiL Вывести абсолютно все процессы можно с помощью опции -А llllllllllllllllllllllllllllllllllllllllllll IIIIIIILIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIllllllllllHlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllirillllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllltllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllF Обратите внимание на регистр опции! Поскольку в системе процессов будет очень много, лучше перенаправить вывод программы на команду less для более удобного просмотра (рис. 11 $ ps -А | less _ ______ — " Рис. 11.3а. Команда ps -А | Рис. 11.36. Команда ps -А | less (начало вывода) less (завершение вывода) Глава 1 Г Управление процессами Linux лпих IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII1IIIIIIIIIIIIIIII IIIIIIIIIII III ПНИ I II II I HI I Н II II II I 11 I II I I III I llllllll II II I II I I I I I I II II II 1 I I I II I II II I I Примечание. Для выхода из программы less нажмите q на клавиа­ туре. Листать вывод можно стрелками вверх и вниз. IIIIIIIHIIIII 1111 I II III II III lllll I II Illi Hill II I I I I I II II I I I IIIIIIIIIII I NII III III II1III II II IIIIIIIHHII I II Illi II II II I I I II I H II lllll II I 111 I III llllllllllllllllllllll llllll II I II II IIHIHII I II III Illi I I I II II I II I I u. Команда ps сортирует процессы no pid. Колонка tty — это терминал к которому привязан процесс. llllllll III IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII IIIIIIIIIIIIIIIII III III IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIII ИНГ Если в этой колонке вы видите знак ?, значит, процесс не привязан ни к одному из терминалов. Как правило, это системные процессы-службы. Они запускаются без привязки к терминалу. Чтобы отобразить только процессы без привязки к терминалу, используется опция -г (рис. 11.4). Рис. 11.4. Команда ps -х | less Колонка STAT — это состояние, в котором находится процесс. Возможные значения для этой колонки приведены в таблице 11.1. Обратите внимание: колонка STAT есть только тогда, когда программа запущена с параметром -х. Если программа запущена с другими параметрами, например -А, вместо нее будет колонка time, которая сообщает занимаемое процессом процессорное время. Сервер на Windows и Linux Таблица 11.1. Возможные состояния процесса Состояние Описание D Процесс в непрерывном сне (как правило, ожидает вво­ да/вывода) R Выполняется в данный момент S Ожидание (то есть процесс "спит" менее 20 секунд, после чего он переходит или в состояние R или в состоя­ ние D) т Процесс остановлен t То же, что и Т, но причина остановки — останов отлад­ чиком W Процесс в свопинге (подкачке) X Процесс мертв, вы его никогда не увидите Z Процесс-зомби — он уже завершен, но не ’’похоронен” его родителем, то есть процесс-родитель еще не считал код завершения У команды ps есть несколько синтаксисов установки параметров. Мы ис­ пользовали BSD-синтаксис. Например, для вывода всех процессов в стан­ дартном синтаксисе используется команда -е, а в нашем случае----- А. Вы вольны использовать любой синтаксис, но в случае с BSD-синтаксисом программа ps выводит дополнительное состояние процесса (работает по­ добно программе ps в системе BSD). Дополнительное состояние процесса описано в таблице 11.2. ф 356 Л-inux Глава 1 Г Управление процессами Linux Таблица 11.2. Дополнительное состояние процесса (BSD-синтаксис) Состояние Описание < Высокий приоритет N Низкий приоритет L У процесса есть страницы, заблокированные в памяти S Это лидер сессии 1 Процесс является многопотоковым + Находится на первом плане в группе процессов Последняя колонка вывода ps — это CMD. Она содержит команду, которой был запущен процесс. Не просто название исполнимого файла, но путь (если он был указан в команде) и переданные программе параметры. Если программа была запущена без указания полного пути к исполнимому файлу и вы хотите знать, где он находится, введите команду which, напри­ мер: $ which nano /bin/nano Если вам нужно узнать PID определенного процесса, но вам не хочется про­ сматривать длинный список системных процессов, используйте команду grep как фильтр. Например, следующая команда позволит нам узнать PID процесса sshd (это SSH-сервер): # ps -А | grep sshd Если такой процесс не запущен, вывод будет пуст. Или же вы получите вы­ вод вроде этого: Сервер на Windows и Linux Л-lnux 929 700:00:00 sshd 11.1.2. Изменение приоритета процесса Когда мы знаем PID процесса, мы можем изменить его приоритет. В неко­ торых случаях полезно изменить приоритет процесса. Например, можно по­ высить приоритет процесса, выполняющего резервное копирование, чтобы программа успела за ночь создать все необходимые резервные копии и что­ бы этот процесс утром не мешал нормальной работе сервера. Запустить программу с определенным приоритетом можно командой nice: # nice -п <приоритет> команда аргументы Здесь приоритет задается от -20 (максимальный приоритет) до 19 (мини­ мальный). Если процесс уже был запущен и вы не можете его прерывать, но повысить приоритет нужно, используйте команду renice: # renice -п <приоритет> -р PID 11.1.3. Аварийное завершение процесса Если процесс завис и его нельзя завершить, как обычно, тогда для его ава­ рийного завершения используется команда kill. Формат вызова этой ко­ манды следующий: $ kill [опции] PID Конечно, перед этим нужно узнать PID процесса. На рис. 11.5 изображена команда kill в действии: сначала я вывел список процессов, чтобы узнать PID процесса nano (1035), затем я ввел команду kill 1035, чтобы ’’убить” этот процесс. Наконец, я вывел список процессов еще раз, чтобы убедиться, что процесс nano завершен. O«lnux Глава 11. Управление процессами Linux (roots Ioca 1host "1# ps a PID TTY TIME CMD 1035 tty3 00:00:00 nano 1125 ttyl 00:00:00 ps I roo t91 oca 1 hos t ~ J# kill 103! I root S1 oca I hos t '“ I il Puc. 11.5. Использование команды kill Используя параметры программы, можно по-разному завершить процесс. Самый эффективный сигнал 9 (KILL) — означает аварийное завершение процесса. Программа не может игнорировать или как-либо обработать этот процесс. IIIIIIIIIIIIIIIIIIIIII I III nil III lllllllllllllllll I I II II It I I I I II II I III I lllllllllililllllllllllllll Если нужно попытаться корректно завершить работу программы, ей отправляют сигнал 15 (TERM), означающий, что программа должна освободить все занятые ресурсы, сохранить все данные. IlllllllllllllllllllllllllllllllillllllllllllllllllllllllllllllllllllllllllllllililllllllllllllllIIIIIIIIIIIIIIIIII llllllllllllllllllllllllllllllllllllllllllllllllllilllllllllllllllllllillllllllltlllllllll Вот только если программа зависла и не отвечает на запросы пользователя, этот сигнал мало чем поможет, но попытаться стоит. Сигнал 19 (STOP) позволяет временно приостановить работу про­ граммы, а сигнал 18 (CONT) — возобновить приостановленный ранее процесс. Для сетевых служб полезен сигнал 1 (HUP), означающий, что процесс дол­ жен перезапуститься и перечитать файл конфигурации. Полезно, когда вы изменили файл конфигурации и хотите, чтобы демон был перезапущен (хотя ф Сервер на Windows и Linux для этого правильнее использовать команду service). Обычная программа при получении сигнала 7 завершает работу. Пример отправки сигнала: $ kill -9 1035 Если вам лень получать PID процесса, можно завершить его и по имени, ис­ пользуя команду killall, например: $ killall nano Вот только если в вашей системе есть два процесса с именем папо, напри­ мер, один на консоли tty2, а другой — на tty4, то будут завершены оба процесса. Если это то, что вам нужно, используйте killall, в противном случае лучше использовать команду kill для завершения именно того про­ цесса, который можно завершить. Еще есть команда xkill, позволяющая "убить" программу, имеющую графический интерфейс. IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIN Такие программы можно завершить и командой kill, но программа xkill предоставляет графический метод завершения. После ввода этой команды указатель мыши примет вид черепа. Для завершения программы нужно щел­ кнуть по ее окну. 11.2. Команда top Как было отмечено ранее, программа ps по умолчанию сортирует процессы по колонке PID, а не по колонке time. Конечно, можно использовать раз­ личные параметры программы, чтобы добиться нужного нам вывода, но все равно программа не будет показывать ситуацию в реальном времени. Если же вам нужно знать, что происходит с вашими процессами в реальном вре­ мени, вам нужно использовать программу top (рис. 11.6). Л-in их Глава 11. Управление процессами Linux Рис, 11.6. Команда top Назначение колонок программы описано в таблице 11.3. Таблица 11.3. Колонки программы top Колонка Описание PID PID процесса USER Владелец процесса (пользователь, запустивший про­ грамму) PR Приоритет процесса NI Значение nice (см. ранее) VIRT Виртуальная память, которая используется процессом RES Размер процесса, который не перемещается в область подкачки Сервер на Windows и Linux SHR Разделяемая память, используемая процессом S Состояние процесса (см. табл. 11.1) %CPU Процессорное время, занимаемое процессом в данный момент %МЕМ Память, используемая процессом TIME+ Процессорное время, которое было потрачено с момента запуска процесса COMMAND Команда запуска процесса При просмотре списка программы top вы можете управлять сортировкой процессов с помощью нажатия клавиши F, которая изменяет колонку, по ко­ торой сортируется список процессов (рис. 11.7). По умолчанию сортировка выполняется по колонке %СРи. Рис. 11.7. Выбор колонки, по которой осуществляется сортировка Нажатие клавиши <U> показывает только процессы определенного пользо­ вателя. После нажатия <U> нужно будет ввести имя пользователя, процессы 362 inux Глава 11. Управление процессами Linux которого вы хотите просмотреть, или нажать Enter, чтобы просмотреть про­ цессы всех пользователей. 11.3. Информация об использовании памяти и дискового пространства Хотя управление памятью и дисковым пространством не совсем относит­ ся к управлению процессами, но эти самые процессы активно ’’поедают” как память, так и дисковое пространство, поэтому иногда полезно знать, как просмотреть информацию об использовании памяти (команда free) и дис­ кового пространства (команда df), см. рис. 11.8. Рис. 11.8. Команды free и df -Н Программа free выводит информацию об использовании памяти (Мет) и подкачки (Swap). Колонка total — это общее количество памя­ ти в килобайтах, used — использованное количество памяти (тоже в килобайтах), free — свободно памяти, shared — разделяемая память, buff/cache — размер кэша, available — общий объем доступной памяти. Параметр -Н команды df означает вывод информации об объеме в удобных для восприятия человеком единицах, то есть в мегабайтах и гигабайтах. Сервер на Windows и Linux Odnux Обратите внимание на значение buff/cache в выводе команды free. Оно показывает, сколько памяти задействовано под буфер ввода/вывода и кэш. В нашем случае (рис. 11.8) — примерно 323 Мб. На реальном сервере это значение будет гораздо выше. Немного освободить память можно, очистив кэш. Для этого введите команду: sync; echo 3 > /proc/sys/vm/drop_caches Сначала мы командой sync сбрасываем содержимое буферов на диск, а за­ тем уничтожаем кэш. Если просмотреть затем информацию об использова­ нии памяти, то вы увидите, что размер кэша был уменьшен почти в три раза (рис. 11.9). Однако помните, что эта команда может негативно отразиться на стабильности системы и на скорости ее работы. Не всегда очистка кэша таким вот варварским образом — это хорошо. Рис. 11,9, До и после ввода команды sync; echo 3 > /ргос/sys/vm/ drop_caches 11.4. Команда/дае/ Команда fuser позволяет узнать, какой процесс открыл тот или иной ресурс, например, файл или сетевой порт. Л-inux Глава 11. Управление процессами Linux Примеры использования программы: fuser -va 23/tcp fuser -va /chroot/etc/resolv.conf В первом случае мы получим идентификатор процесса, открывшего ТСРпорт 23, во втором — идентификатор процесса, открывшего файл /chroot/etc/ resolv.conf. Что делать далее — решать вам, например, можно ’’убить” этот процесс командой kill. 11.5. Планировщики заданий 11.5.1. Планировщик cron Планировщик заданий нужен для периодического выполнения каких-либо заданий. Задания могут быть самыми разнообразными — очистка временного ката­ лога для экономии места, очистка кэша, обновление баз антивируса, запу­ щенного на почтовом сервере и т.д. Никаких ограничений нет — вы можете написать на bash небольшой сценарий с необходимыми вам действиями, а затем настроить планировщик для его периодического выполнения. Самый древний планировщик заданий — cron. Он появился еще во времена первых версий UNIX. Но примечательно то, что в современных дистрибу­ тивах используется его модифицированная версия, которая настраивается практически так же. Так, в современных версиях дистрибутивов openSUSE и Fedora используется демон cronie, который является потомком того самого демона cron. Не будем вникать в тонкости новой версии, а просто разберемся, как ее настроить. Как и в том самом cron, в cronie есть файл /etc/crontab — это таблица расписания планировщика задач. Формат записей в этом файле следующий: ф 365 ; Ллпих Сервер на Windows и Linux минуты (0-59) часы (0-23) день (1-31) месяц (1-12) день_недели (0-6, 0 — Вс) команда В листинге 11.1 приведен пример этого файла по умолчанию. Листинг 11.1. Пример файла /etc/crontab SHELL=/bin/bash PATH=/usr/bin:/usr/sbin:/sbin:/bin:/usr/lib/news/bin MAILTOroot -*.15 * * * * root test -x /usr/lib/cron/run-crons && /usr/lib/ cron/run-crons >/dev/null 2>&1 Примечание. Просмотреть (даже просмотреть, не говоря уже о моди­ фикации!) файл /etc/crontab может только пользователь root. Поэтому сначала нужно получить права root, а затем уже что-либо делать с файлом /etc/crontab. IIIIIIIIIIII II I I I II I I I II I I ИНН I II I I I I II I II I II II II Illi I Illi I Illi Illi II II I III Illi I II I I II III I Illi II I I III II I Hill I ИНН Illi I II I II Illi I НН I II II II III III! Ill I II HIIIIHIIHII HIIHHIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIII Переменная SHELL задает путь к оболочке, PATH — путь поиска программ, a MAILTO определяет имя пользователя, которому будет отправлен отчет о выполнении расписания. В таблице расписания всего одна запись — она проверяет наличие сценариев в каталогах cron.hourly, cron.daily, cron.weekly и cron.monthly и их выполнение. Об этом мы поговорим чуть позже. Представим, что вам нужно выполнять какой-то сценарий каждый день в 8:30. Для этого в /etc/crontab нужно добавить строку: 30 8 /usr/bin/script arguments Однако планировщик предлагает более удобный способ изменения таблицы расписания. Представим, что у вас есть команда, которую нужно выполнять периодически. Создайте файл myscript со следующим содержимым: inux Глава 11. Управление процессами Linux #/bin/bash /путь/ myscript аргументы Сохраните файл и установите право выполнения для этого файла: chmod +х myscript Только что вы создали простейший сценарий, который просто выполняет вашу команду с заданными аргументами. При желании, необходимости и знании bash (информацию по этой оболочке вы без особых проблем найдете в Интернете) вы можете усовершенствовать этот сценарий. После того, как сценарий создан, его нужно поместить в один из каталогов: • /etc/cron.hourly — содержит сценарии, которые будут выполняться каж­ дый час; • /etc/cron.daily — содержит сценарии, который будут выполняться еже­ дневно; • /etc/cron.weekly — сюда нужно поместить сценарии, которые будут вы­ полняться еженедельно; • /etc/cron.monthly — содержит сценарии, которые будут выполнены раз в месяц. Просто поместите сценарий в один из этих каталогов и положитесь на cron — далее вашего вмешательства не требуется. IllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllIlliIII IIIllllllIIIllllhllIlli IIIIIIIIIIIIIIIIII III III Illi IIIlinillllllllHl IIIllilllilllIII Illiilllllllinilllllllillllini Также существует возможность создать отдельное расписание для каждого пользователя. Для этого используется команда crontab. iiiiiiiiitiiiiiiiiiiiiiiiiiiiiiliiiiiiliiiiiiiiiiiiiiiiiiiiiliiiiiiliiiiiiiiiiiiiiiiiiiiiliiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiHiiiiiiiuiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiihi hiiiiiiiiiiiiiiiiiii пн in ин и ini ini и iiiiiiii и iniiiuniiiitiiiiiiiHiiiii ин ininuni и шин lllllllllilillllllllllllllli Однако такая возможность на современных серверах (когда пользователи не работают с терминалом сервера непосредственно) используется доволь­ но редко. При этом в файл /etc/cron.deny заносятся пользователи, которым запрещено использовать планировщик cron. Если вам нужно отредактиро­ вать таблицу расписания для каждого пользователя, используйте команду crontab. Л-inux Сервер на Windows и Linux В большинстве случаев команда будет такой: crontab -е -и <имя пользователя> После этого откроется текстовый редактор (определенный в переменной окружения EDITOR) для редактирования таблицы расписания указанного пользователя. Синтаксис такой же, как для общесистемной таблицы распи­ сания. 11.5.2. Планировщик апасгоп Планировщик апасгоп — еще один форк старого доброго планировщика cron. Ситуация с апасгоп такая: когда стало понятно, что cron устарел, на­ чали появляться альтернативные планировщики, подобные ему. У каждого из них были свои преимущества и недостатки, но некоторые разработчики дистрибутивов остановили свой выбор на планировщике апасгоп. Однако прошло время, и сейчас этот планировщик практически не используется. В основном используется планировщик cronie, который настраивается прак­ тически так же, как и cron, что и было показано ранее. Конечно, вам могут встретиться дистрибутивы, в которых по каким-то при­ чинам используется апасгоп. Как правило, это устаревшие версии дистрибу­ тивов. Если же вы обнаружили апасгоп в современной версии дистрибути­ ва, то, скорее всего, это личное предпочтение разработчиков дистрибутивов. |111|1111||1111|11111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111Н1111111111111111111111111111111111111111111111111111||||||||||||||||||(11111111111111111111111|1111111|11111111111111111111111111111111111111111111111111111111111111111111111111111Ш Основное "визуальное" отличие этого планировщика — наличие фай­ ла /etc/anacrontab вместо просто /etc/crontab. IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIINIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIlllllllllllllllimilllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllinilllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllH Формат записей также другой: Период Задержка ID Команда Пример таблицы расписания anacrontab: 1 5 7 10 30 75 cron.daily cron.weekly cron.monthly run-parts /etc/cron.daily run-parts /etc/cron.weekly run-parts /etc/cron.monthly ------------------------------------------------- ZZZT Глава 11. Управление процессами Linux Принцип прост: как и в предыдущем случае, вам нужно поместить ваш сценарий в один из каталогов /etc/cron.daily, /etc/cron.weekly или /etc/cron. monthly (каталога cron.hourly для этого планировщика не было предусмо­ трено). По сути, как только вы увидели каталоги cron.daily, cron.weekly или cron, monthly, можете сразу помещать в них свои сценарии, особо не разбираясь, какой планировщик установлен. Самое главное, чтобы служба cron была включена. 369 Глава 12. Пользователи и группы Сервер на Windows и Linux Ainux 12Х Введение в учетные записи Linux Операционная система Linux поддерживает регистрацию и одновременную работу множества пользователей. Обратите внимание: именно одновремен­ ную работу. Раньше, еще во времена UNIX, были компьютеры, к которым подключалось несколько мониторов и клавиатур. Каждый комплект монитор+клавиатура назывался терминалом и пред­ ставлял собой отдельное рабочее место пользователя. Пользователь входил в систему, а его рабочее место в системе отображалось как ttyN, где N — номер рабочего места. Сегодня такие компьютеры уже более не востребованы, их вытеснили персо­ нальные компьютеры, которые и стали называться персональными, посколь­ ку предполагают подключение только одного рабочего места. Мониторов можно подключить несколько, а устройство ввода — клавиатура — будет одна. Но даже на таких компьютерах возможна одновременная работа нескольких пользователей. Например, вы можете войти в систему как обыч­ но — посредством графического интерфейса. Другие пользователи смогут войти через ssh или FTP. И все вы будете работать с системой одновременно. SSH-пользователи смогут выполнять команды и получать результат их вы­ полнения, FTP-пользователи — обмениваться с вашим компьютером файла­ ми. 372] Глава 12. Пользователи и группы Все учетные записи можно разделить на три вида: 7. Учетные записи обычных пользователей; 2. Учетные записи системных служб; 3. Учетная запись root. С учетными записями обычных пользователей все ясно — они имеют право входить в систему разными способами (если тот или иной способ не запре­ щен настройками системы), для них определен домашний каталог (обычно /Ьоте/<имя_пользователя>), пароль и командная оболочка (как правило, в последнее время используется /bin/bash). Права обычных учетных записей: • Право на вход в систему — по умолчанию обычный пользователь мо­ жет войти в систему самыми разными способами, если это не ограничено настройками системы (например, модулями РАМ). Пользователь может войти локально — через консоль или в графическом режиме через дисплей-менеджер вроде gdm. Также никто не запрещает (опять-таки по умолчанию) удаленный вход, например, по SSH или FTP, если на компьютере, в который осуществляется вход, установлены соответству­ ющие службы. • Право на запуск программ, не требующих для своего выполнения прав root — как правило, такие программы находятся в каталогах /bin и /usr/bin. А вот из каталога /sbin запустить программу может только су­ перпользователь. Программы, действие которых распространяется на всю систему, например, программы изменения сетевых интерфейсов, программы разметки диска, находятся в каталоге /sbin (super-bin). Что­ бы запустить эти программы, пользователю нужно получить полномочия root. О том, как это сделать, будет сказано в следующем разделе. • Обычный пользователь может создавать, удалять, читать, изменять, запускать, устанавливать права и выполнять другие операции над фай­ лами, которые находятся в его домашнем каталоге. Как правило, это ка­ талог /Ьоте/<имя_пользователя>. Хотя администратор может назначить пользователю любой другой каталог, хоть /users/bagira, как правило, этого никто не делает. Каталог /home может находиться физически на одном разделе, что и корневая файловая система, а может находиться на другом Сервер на Windows н Linux разделе и даже на другом диске. На крупных серверах, как правило, под /home отводят целый диск или даже создают RAID-массивы дисков. • Право на чтение файлов — обычный пользователь может читать боль­ шую часть файлов за пределами домашнего каталога. Исключения раз­ ве что составляют домашние каталоги других пользователей (если эти другие пользователи явно не разрешили этому пользователю читать их файлы) и некоторые файлы/каталоги в /etc. Например, файл /etc/passwd могут читать все пользователи, а вот файл /etc/shadow — только root. • Пользователь не имеет право вносить изменения в конфигурацию всей системы, то есть устанавливать программы, изменять глобальные настройки устройств, параметры ядра, параметры загрузчика и т.д. • Пользователь имеет право изменить свои пользовательские параме­ тры, например, обои рабочего стола, некоторые переменные окружения, которые будут влиять только на его работу и т.д. • Право на изменение своего пароля, но обычный пользователь не имеет право изменять пароли других пользователей. Учетные записи системных служб не имеют право входить в систему. Для них не задан ни пароль, ни домашний каталог, а в качестве оболочки исполь­ зуется /bin/true или /bin/false — чтобы пользователь, используя учетную за­ пись службы, не мог войти в систему через консоль. От имени таких учетных записей выполняются различные службы, например, от имени пользователя www-data выполняется веб-сервер, gdm — учетная запись для GNOME Display Manager и т.д. Пользователь root — пользователь с максимальными правами, он может де­ лать все: • Право на изменение любого файла — root может читать, записывать, удалять любые файлы, в том числе и файлы в домашних каталогах других пользователей. • Право на изменение конфигурации системы — пользователь root мо­ жет изменять конфигурацию систему посредством редактирования фай­ лов в каталоге /etc, /ргос, запуска конфигураторов системы. • Право на запуск любых программ — root может запустить любую программу, в каком бы каталоге она ни находилась. Г 374 1 0Jnux Глава 12. Пользователи и группы • Право на создание, удаление, изменение (в том числе изменение паро­ ля) других учетных записей. • Право на установку и удаление программ. Власть пользователя root неограниченна. Так было до определенного мо­ мента, пока не появились системы принудительного контроля доступа вроде SELinux, LIDS, Tomoyo, которые могут ограничить даже самого root. Вот только беда подобных систем в том, что по умолчанию они неактивны или даже не установлены, поэтому пока их не активировать, пользователь root будет все равно самым главным. Примечание. Напомним, что когда у вас привилегии пользователя root, приглашение командной строки заканчивается символом #, а ког­ да вы работаете как обычный пользователь — $. 12.2. Получение полномочий root Самый простой способ получить права root — это войти как root. То есть при входе в систему вы указываете имя пользователя root и пароль, указан­ ный при установке. Проблема в том, что не во всех дистрибутивах этот трюк сработает. Illlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllin Учитывая всю опасность, которую несет использование учетной за­ писи root, во многих дистрибутивах учетная запись root отключена, а вход как root ограничен самыми разными способами. Например, в том же дистрибутиве Ubuntu учетная запись root попросту отключена. Включать учетную запись root не рекомендуется — ведь злоу­ мышленник знает, что учетка root есть везде и ему не придется угадывать имя пользователя, останется только подобрать пароль root. А так вы исклю­ чаете даже саму возможность входа как root. Тем более права root можно по­ лучить другим образом, о котором мы поговорим далее. А пока рассмотрим способы блокировки входа (кроме отключения учетной записи) root. ПтГ Сервер на Windows и Linux inux Часто вход как root ограничен на уровне менеджера дисплея. В дистрибути­ вах, где используется графическая среда KDE и менеджер экрана KDM (К Display Manager), нужно отредактировать файл /etc/alternatives/kdm4-config. В нем нужно найти директиву AllowRootLogin и присвоить ей значение true, чем вы разрешите вход как root в графическом режиме. При использовании GDM (Gnome Display Manager) вход как root ограничен не столько конфигурацией самого GDM, сколько РАМ-модулями. Нужно открыть /etc/pam.d/gdm-password и найти строку, отвечающую за запрет вхо­ да как root (рис. 12.1). Она может выглядеть, например, так: auth required pam_succeed_if.so user != root quiet Puc. 12.1. Фай.1 /etc/pam.d/gdm-password Некоторые дистрибутивы разрешают заходить как root даже в графическом режиме. Просто они отображают предупреждение о том, что работать как root небезопасно. Пример такого дистрибутива — CentOS. Настоятельно рекомендуется работать в системе как обычный пользователь, а максимальные права получать только тогда, когда они вам действительно нужны. Например, когда понадобится запустить какую-то программу, требу­ ющую права root. При этом вам особо ничего не придется делать, кроме как ввести пароль. Odnux Глава 12. Пользователи и i руины Рассмотрим пример. Вы установили Ubuntu, при установке создали учетную запись ubuntu и задали пароль. По умолчанию инсталлятор создает первую учетную запись так, что она вносится в файл sudoers. В этом файле указы­ ваются все учетные записи, имеющие право выполнять административные задачи. Когда вы попытаетесь выполнить одну из таких задач, например, до­ бавить нового пользователя, графический интерфейс автоматически запро­ сит у вас ваш пароль. Это будет не пароль root, а ваш пароль, то есть пароль пользователя ubuntu (рис. 12.2). Ему разрешено выполнять административ­ ные задачи, просто система пытается убедиться, что вы - это вы, а не некто, кто оказался за вашим компьютером во время вашего отсутствия. Рис. 12.2. Ввод пользователя Когда же вам нужна командная строка с правами root, не обязательно даже переключаться в консоль. Достаточно открыть терминал и ввести команду su. Она попросит вас ввести пароль root. После ввода пароля вы получаете терминал с правами root. Это означает, что все команды, которые вы будете вводить после ввода команды su и успешной аутентификации, будут выпол­ няться с правами root. Примечание. Если учетная запись root отключена, то вы не сможете использовать команду sudo, так как она предполагает ввод пароля root, а вы его не знаете. Сервер па Windows п Linux Л-1пих Когда вы единственный администратор, команда su — идеальный вариант. Но когда администраторов несколько, команда su — не выход, поскольку пароль root нужно будет сообщить всем остальным администраторам. Если потом возникнет нестандартная ситуация, выяснить, кто виноват, будет сложнее. На этот случай у пользователя root могут быть доверенные лица. Это может быть помощник администратора, его заместитель — называйте, как хотите. Есть лица, которым разрешено получать права root. Такие лица вносятся в файл /etc/sudoers. Редактировать файл /etc/sudoers можно только через команду visudo (рис. 12.3):^ export EDITOR=nano sudo visudo Рис. 12.3. Редактирование файла /etc/sudoers Первая команда устанавливает переменную окружения EDITOR, задающую удобный текстовый редактор, который будет использован для /etc/sudoers. Вторая команда вызывает утилиту для редактирования файла /etc/sudoers. Представим, что у нас есть пользователь bagira. которому нужно разрешить делать все, что можно пользователю root. Глава 12. Пользователи и группы inux Для этого нужно добавить в /etc/sudoers запись вида: bagira ALL=(ALL:ALL) ALL Можно также добавить запись: %sudoALL=(ALL:ALL) ALL Она означает, что членам группы sudo можно делать все, что можно делать пользователю root. Тогда всех администраторов-помощников нужно доба­ вить в группу sudo (далее будет показано, как это сделать). Сохраните файл и выйдите из редактора. Войдите как пользователь, кото­ рому вы предоставили право sudo. В нашем случае это пользователь bagira. Далее введите команду, которая требует прав root, через команду sudo: sudo <команда> Например: sudo aptitude Обратите внимание: система запрашивает пароль пользователя, а не пароль root. Пользователь указывает свой пароль, а система знает, что ему разрешено получать права root. В итоге наши помощники не знают пароль root и смогут выполнять определенные действия с пра­ вами root под своим именем. Посмотрите на рис. 12.4. Хотя пользователь внесен в sudoers, ему отказано в доступе при попытке запуска программы, требующей максимальные права. Системе нужно указать, что вы явно хотите запустить такую программу и предоставить максимальные права. Для этого нужно использовать команду sudo, а в качестве аргумента - передать ей команду, которую вы хотите за­ пустить с максимальными правами: sudo visudo Сервер на Windows и Linux Odnux Рис. 12.4. Нюанс запуска программы с максимальными правами Контролировать получение прав sudo можно командой1: # tail /var/log/auth.log | grep sudo Посмотрите на рис. 12.5. Например, 4 июля 2020 года в 8:56 пользователь ubuntu пытался выполнить команду sudo для выполнения команды tail /var/ log/secure. То есть в журнале отображаются не только попытки использова­ ния sudo, но и журналируются даже вводимые пользователями команды. Если вам нужно получить некоторый аналог команды su, чтобы вы могли вводить сразу неограниченное количество команд с максимальными права­ ми без приставки sudo, используйте следующий трюк — запустите с макси­ мальными правами оболочку bash. Все команды, вводимые в этой оболочке, будут выполнены с максимальными правами:^ sudo bash Закрыть такой сеанс можно командой exit. 1 В некоторых дистрибутивах журнал аутентификации называется secure, а не auth.log ф Л-inux Глава 12. Пользователи и группы Рис. 12.5. Журнал аутентификации secure Прежде, чем перейти к следующему разделу, разберемся, как включить учет­ ную запись root в Ubuntu. Для этого нужно просто задать пароль: sudo passwd root Сначала нужно ввести ваш пароль, затем новый пароль для root, после этого — подтвердить пароль. После этого вы сможете войти в систему как root в консоли. Для входа в графическом режиме нужно редактировать файл, отно­ сящийся к РАМ, как было сказано ранее. Отметим, что активация пользова­ теля root — занятие небезопасное, гораздо правильнее использовать коман­ ду sudo. На личном компьютере еще такое мероприятие допускается, но на сервере — такое делать воспрещено. 12.3. Управление учетными записями пользователей 12.3.1. Создание учетной записи пользователя Создать новую учетную запись пользователя можно командой adduser или useradd. Чаще всего используется именно первая команда, вторая использу­ ется гораздо реже. Я Сервер на Windows и Linux Л-inux В большинстве случаев adduser просто добавляет в файл /etc/passwd учет­ ную запись пользователя. В дистрибутивах Debian и Ubuntu команда adduser запрашивает контактную информацию (полное имя пользователя, номера телефонов и т.д.), а также сразу устанавливает пароль пользователя (рис. 12.6). Рис. 12.6. Создание нового пользователя в Ubuntu 20.04 Если в вашем дистрибутиве команда adduser не запросила пароль пользо­ вателя, а просто добавила его учетную запись, тогда вам нужно еще ввести команду passed <имя пользователе для установки его пароля, иначе поль­ зователь не сможет войти в систему. Итак, в одних дистрибутивах достаточно команды: # adduser <имя> В других же нужно ввести две команды: # adduser <имя> # passwd <пароль> Глава 12. Пользователи и i руппы inux Напомню, что для добавления учетной записи пользователя нужны права root, которые пользователь может получить через su или sudo, если он внесен в /etc/sudoers и ему разрешена операция добавления пользователя. 12.3.2. Файлы /etc/passwd и /etc/shadow При добавлении учетной записи происходят следующие действия (вкратце): • Добавляется запись в файл /etc/passwd — это небольшая база данных о пользователях в текстовом формате. Этот файл могут просмотреть все пользователи. • Если при создании учетной записи утилита запрашивает пароль, то он будет внесен в файл /etc/shadow. Пароли в этом файле хранятся в зашиф­ рованном виде, а доступ имеет только root. Команда passwd <имя>, из­ меняющая пароль пользователя, вносит изменения как раз в этот файл. • Создается домашний каталог /Ьоте/<имя>, и в него копируется содержи­ мое каталога /etc/skel. • Создается почтовый ящик пользователя в каталоге /var/spool/mail. • Владельцем каталога /Ьоше/<имя> и всех файлов и каталогов в нем назначается создаваемый пользователь. Рассмотрим формат файла /etc/passwd: имя_пользователя:пароль:UID:GID:полное_имя:домашний_каталог:оболочка Вот фрагмент этого файла: ubuntu:х:1000:1000:ubuntu:/home/ubuntu:/bin/bash bagira:x:1001:1001::/home/bagira:/bin/bash Сервер на Windows и Linux inux 12proxy:x:13:13:proxy:/bln:/usr/sbtn/nologin 13 www-d3te:x:33:33:www-data:/v*r/www:/usr/sbin/nologtn 14 backup: x: 34:34: backup: / ver/backups: /usr /sbtn/nologin 15 ltst:x:38:38:Mailing List Manager:/v«r/ltdt:/usr/sbin/nologtn Й8 lrc:x:39:39:trcd:/var/run/trcd:/usr/sbin/nologtn 17 gnats:x:41:41:6nsts Bug-Reporting System (adHin):/var/itb/gnats:/usr/sbin/nologtn 318 nobody:x:65534:65534:nobody:/nonexistent:/usr/sbtn/nologin 19 systend-networkrx:188:182:systemd Network Management,,,:/run/systemd:/usr/sbtn/nologtn >20 systend-resolve:x:181:183:systend Resolver,,,:/run/systemd:/usr/sbin/nologtn /21 systemd-ttriesyncix:1S2:104:systemd Tine Synchronization,,,:/run/systemd:/usr/sbin/nologtn $22 messagebus:x:183:186::/nonexistent:/usr/sbin/nologtn j23 syslog:x:184:110::/home/syslog:/usr/sbtn/nologin 24 _apt:x:185:65534::/nonexistent:/usr/sbin/nologln 25 tss:x:186:lll:TPM software stack,,,:/var/llb/tpm:/btn/false 28 uuidd:x:187:114::/run/uuidd:/usr/sbin/nologtn 27 tcpdunp:x:108:115::/nonexistent:/usr/sbin/nologtn 28 avehiautotpd:x:ie9:il6:Avaht autotp daemon.,,:/var/lib/avahi-autotpd:/usr/sbtn/nologtn ^ 29 usbmux:x: 1 is:46:usbmux daemon,,,: /var/llb/usbmux: /usr/ sbin/nologin 30 rtktt:x:ill:ll7:RealttneKtt, ,,:/proc:/usr/sbin/nologtn J 31 dnsnasq:x:112:6S534:dnsmasq, ,,:/var/lib/ntsc:/usr/sbtn/nologin ;32 cups-pk-helper:x:113:128:user for cups-pk-helper service,,,:/hone/cups-pk-helper:/usr/sbin/J nologtn ■■■■■Meech -dispatcher :x: 114:29:Speech Dispatcher,,,:/run/speech-dispatcher :/bin/false ■B|H0ahi:x:li5:i21;Avahl mDNS daemon,,,:/var/run/avahi-daemon:/usr/sbin/nologtn ;3S kernoops:x:116:6S534:Kernel Oops Tracking Daemon,,,:/:/usr/sbin/nologtn ^36 saned:x:117:123::/var/lib/saned:/usr/sbtn/nologtn : 37 nm-openvpn:x:118:124:NetworkHanager OpenVPN,,,:/var/lib/openvpn/chroot :/usr/sbtn/nologin 38 hplip:x:119:7:HPLIP system user,,,:/run/hpltp:/btn/false : 39 whoopste:x:128:125::/nonexistent:/btn/false 48 colord:x:121:126:colord colour management daemon,,,:/var/ltb/colord:/usr/sbin/nologtn 41 geoclue:x:122:127::/var/lib/geoclue:/usr/sbin/nologtn 42 pulse:x:123:128:PulseAudto daemon,,,:/vsr/run/pulse:/usr/sbin/nologtn 43 gnome initial-setup:x:124:65534::/run/gnome-tntttal-setup/ :/btn/false 46 systemd-coredunp:x:999: 999:systemd Core Dumper:/:/u$r/sbtn/nologtn 47 b3gtr3:x:ie81:10ei:e8gtra,,,:/home/baglra;/btn/bash Техет » Ширни» табуляции: 8 update notifies gshsdw kerftelW, CT₽45(W1 Ф e ^Jqu^ Puc. 12,7, Файл /etc/passwd Формат файла /etc/passwd приведен в таблице 12.1. Таблица 12.1. Формат файла /etc/passwd Номер поля Название Описание 1 Имя пользователя Имя, использующееся при входе в систе­ му 2 Пароль Поскольку пароль пользователя хранит­ ся в файле /etc/shadow, то в файле /etc/ passwd вместо пароля просто указывает­ ся символ ’х’ 3 UID Идентификатор пользователя 4 GID Идентификатор группы пользователя зш Глава 12. Пользователи и группы 5 Полное имя поль­ зователя Устанавливается администратором и ни на что не влияет. В крупных организа­ циях имя пользователя помогает устано­ вить контакт с пользователем. Это поле может также содержать номер телефона, номер комнаты и прочую информацию, которую запрашивает adduser при созда­ нии учетной записи пользователя 6 Домашний каталог пользователя Обычно это /Ьоте/<имя_пользователя> Оболочка Программа, которая будет запущена при входе пользователя в систему из консоли (для графического режима это поле не имеет значения). Список доступных обо­ лочек хранится в файле /etc/shells 7 В файле /etc/shadow полей больше, чем в /etc/passwd. Как и в случае с /etc/passwd, поля разделяются двоеточиями: 1. Имя пользователя. Совпадает с именем пользователя в файле /etc/passwd. 2. Зашифрованный пароль. Позже мы поговорим о том, как распознать алго­ ритм шифрования, которым был зашифрован пароль. 3. Количество дней (с 1 января 1970 года), когда пароль был сменен в по­ следний раз. 4. Число дней до смены пароля. Если в этом поле 0, то пароль может быть сменен в любой момент. 5. Количество дней, после которых пароль должен быть сменен. Обычно здесь значение 999999, которое показывает, что пользователь может ни­ когда не менять свой пароль. 6. Число дней, в течение которых пользователь получает предупреждение о необходимости изменить пароль. Обычно такие предупреждения пользо­ ватель получает за неделю (7 дней) до часа "X”. Сервер на Windows и Linux 7. Число дней после окончания действия пароля, когда пользователь еще может работать со старым паролем. Если после этого срока пользователь не сменит пароль, учетная запись будет заблокирована. 8. Число дней, начиная с 1 января 1970, после которых пароль будет забло­ кирован. 9. Не используется. Обычно последние три поля не используются. По зашифрованному паролю можно понять, какой алгоритм шифрования использует система. Посмотри­ те на начало зашифрованного пароля: • $ 1 $ — MD5. Ранее часто использовался, сейчас чаще используется SHA512, поскольку в MD5 обнаружились математические уязвимости; • $2$, $2а$ — Blowfish. Чаще используется в FreeBSD/OpenBSD, чем в Linux; • $5$ -SHA-256; • $6$ — SHA-512. Используется в современных дистрибутивах. Форматы файлов /etc/passwd и /etc/shadow были приведены "для общего раз­ вития", чтобы вы понимали, что происходит. Модифицировать учетную запись пользователя правильнее с помо- | щью команды usermod, а не с помощью редактирования файла /etc/passwd. Конечно, можно внести небольшие изменения, например, изменить полное имя пользователя. А вот для изменения остальных параметров, например, домашнего каталога, правильнее использовать usermod, чтобы потом не де­ лать много ручной работы. 12.3.3. Изменение и удаление учетных записей Как было отмечено ранее, для модификации учетной записи пользователя нужно использовать команду usermod, но прежде поговорим об изменении Глава 12. Пользователи и группы jnux пароля, так как изменение пароля — это тоже, по сути, изменение учетной записи. Для установки и изменения пароля пользователя используется команда passwd:^ # passwd <имя> Если пользователь хочет изменить собственный пароль, то указывать имя не нужно: $ passwd А вот теперь можно приступить к рассмотрению команды usermod. Формат вызова этой команды следующий: # usermod [параметры] учетная_запись Параметры команды usermod описаны в таблице 12.2. Таблица 12.2. Параметры команды usermod Параметр Описание -a, -append Добавляет пользователя в дополнительную груп­ пу. Используется только с параметром -G -с, —comment комментарий Добавляет комментарий для учетной записи пользователя -d, —home каталог Задает новый домашний каталог пользователя. Если указать параметр -т, то текущий домашний каталог пользователя будет перенесен в новый домашний каталог, который будет создан, если не существует . 387 . Сервер на Windows и Linux -е, —expiredate дата Указывает дату устаревания учетной записи пользователя. По достижении этой даты учетная запись пользователя будет заблокирована. Дата указывается в формате ГГГГ-ММ-ДД. Если дату не указывать, то устаревание учетной записи бу­ дет отключено -f, —inactive дни После указанного числа дней, которые пройдут после устаревания пароля, учетная запись будет заблокирована. Значение -7 означает, что эта воз­ можность не используется, а 0 — запись будет за­ блокирована сразу же после устаревания пароля ~g> "gid группа Указывает имя или GID первичной группы поль­ зователя. Группа с таким именем/GID должна существовать. Все файлы в домашнем каталоге пользователя, которые принадлежали бывшей первичной группе, теперь будут принадлежать новой группе -G, —groups груп­ па Ц, группа2,..., spynnaN] Список дополнительных групп, в которых на­ ходится пользователь. Перечисление групп осу­ ществляется через запятую без дополнительных пробелов. Например, -G groupl,group2 -I, —login новое_имя Изменяет имя пользователя на новое имя -L, —lock Блокирует учетную запись пользователя. Нельзя использовать этот параметр с -р или -I -m, -move-home Перемещает домашний каталог. Используется вместе с параметром -d -o, -non-unique При использовании с -и позволяет указать не уникальный UID (идентификатор пользователя) 388 Odnux Глава 12. Пользователи и группы -р, --password пароль Шифрованное значение пароля, которое возвра­ щает функция crypt. Использовать этот параметр не рекомендуется, поскольку другие пользова­ тели увидят незашифрованный пароль в списке процессов -R, -root chroot Выполняет изменения в каталоге chroot и ис­ пользует файлы конфигурации из этого каталога -s, —shell оболочка Задает оболочку для пользователя. Если оболочка не указана, то будет использована оболочка по умолчанию -uf —uid UID Задает новый UID пользователя, который должен быть уникальным -U, —unlock Разблокирует учетную запись пользователя -Z, -selinux-user SEUSER Новый пользователь SELinux для пользователь­ ского входа Рассмотрим несколько примеров: # usermod -d /home/new_home -m ubuntu # usermod -L bagira # usermod -G admins,sudo mark Первая команда задает новый каталог для пользователя ubuntu. Теперь он бу­ дет называться /home/newhome. Старые файлы (из каталога /home/ubuntu) будут перемещены в новый домашний каталог. Вторая команда блокирует учетную запись пользователя bagira. Третья ко­ манда вносит пользователя mark в группы admins и sudo. Теперь рассмотрим команду userdel (см. табл. 12.3): # userdel [параметры] пользователь O-inux Сервер на Windows и Linux Таблица 12.3. Параметры команды userdel Параметр Описание -f -force Удаляет учетную запись, даже если пользователь работает в системе. Также будет удален домашний каталог и почтовый ящик, даже если другой пользо­ ватель использует тот же домашний каталог. Если в файле /etc/login.defs параметр USERGROUPS_ENAB равен yes, то будет удалена и первичная группа поль­ зователя, даже если она является первичной и для другого пользователя. Довольно опасный параметр, который может привести систему в нерабочее со­ стояние -г, —remove Удаляет домашний каталог пользователя и почто­ вый ящик. Файлы этого пользователя, созданные на других файловых системах, нужно искать и удалять вручную -R, —root chroot Выполняет изменения в каталоге chroot и использу­ ет файлы конфигурации из этого каталога -Z, -selinux-user Удаляет все пользовательские сопоставления SELinux для учетной записи пользователя Пример удаления учетной записи ubuntu, домашний каталог и почтовый ящик также будут удалены: # userdel -г ubuntu 12.3.4. Группы пользователей Для более простого управления пользователями их можно объединять в группы. Например, можно задать ограничения ресурсов для группы пользо­ вателей. Тогда они будут распространяться на всех пользователей, входящих в группу, и вам не придется их устанавливать для каждого пользователя от­ дельно. Г 390 Ллпих Глава 12. Пользователи и группы Но прежде чем устанавливать права для группы, нужно эту группу создать. Добавить группу можно командой groupadd, однако ничего плохого не случится, если вы просто отредактируете файл /etc/group (не groups, а именно group!) и добавите группу вручную. При добавлении группы следите, чтобы ID группы был уникальным. Если же вы не хотите ни за чем следить, тогда просто введите команду groupadd'. # groupadd [параметры] имя_группы С параметрами команды groupadd можно ознакомиться в справочной систе­ ме — man groupadd. 12.4. Графические конфигураторы Управлять учетными записями пользователя можно и с помощью графических конфигураторов, что будет привычнее для бывших Windows-пользователей. В Ubuntu для управления учетными записями пользователей нужно перейти в окно Настройки, далее - в раздел Пользователи (рис. 12.8). & йхьблохнрохать для ихылнаннн настроек О Bluetooth ■ <1 Внешний *ид Q Уведомления пярлмятры учетных млисеи Общий ДОС гул © $21 Электролит**** Аутеитифимци* и «ход W1 комбинации клавиш Деятельность учетной млиси Специальный возможности * По* ломания по умолчанию Рис. 12.8. Графический конфигуратор в Ubuntu Сервер на Windows и Linux Л-inux Для управления другими учетными записями нажмите кнопку Разблокиро­ вать, введите свой пароль, после чего вы сможете управлять другими учет­ ными записями — изменять их пароли, создавать и удалять учетные записи и т.д. Рис. 12.9. Управление пользователями в Astra Linux Для сранения, в Astra Linux нужно открыть панель управления, а далее перейти в раздел Безопасность, выбрать Политика безопасности и в открывшемся окне перейти в раздел Пользователи (рис. 12.9). Немного за­ путано, но как есть. 12.5. Модули РАМ IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIWIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIN Подключаемые модули аутентификации РАМ (Pluggable Authentication Modules) предоставляют администраторам дополнительные методы подтверждения подлинности пользователя. Модули РАМ — это не новинка в мире Linux. Они были разработаны очень давно, но до сих пор есть даже в самых современных дистрибутивах Linux, поскольку заменить их, по сути, нечем. 392 inux Глава 12. Пользователи и группы Модули РАМ позволяют использовать несколько схем аутентификации. Большинство приложений, которые нуждаются в проверке подлинности пользователя, используют РАМ. Модули РАМ позволяют реализовать аль­ тернативную аутентификацию, например, по отпечаткам пальцев или по сет­ чатке глаз, но для этого необходимо дополнительное оборудование, напри­ мер, сканер отпечатков. В этой книге мы рассмотрим традиционный вариант использования РАМ — когда аутентификация происходит посредством вво­ да пароля с клавиатуры. Основной файл конфигурации называется /etc/pam.conf. В каталоге /etc/ pam.d/ находится конфигурация для разных сервисов, которые поддержива­ ют РАМ, например, в /etc/pam.d/sshd находится конфигурация РАМ-модулей для SSH, в /etc/pam.d/gdm-passwd — конфигурация пароля для менеджера дисплея GDM и т.д. В каталоге /etc/security также есть файлы конфигурации, относящиеся к РАМ, например, файл access.conf управляет доступом в систему. Безопасность вашей системы зависит от используемых вами модулей. Модули хранятся в каталоге /lib/security или /Iib64/security (для 64-бит-1 ных систем), однако некоторые дистрибутивы не следуют этому стандарту. К примеру, в некоторых системах модули можно найти в каталоге /usr/lib/security. Рис. 12.10. Содержимое каталога/etc/security УК Сервер на Windows и Linux При желании можно написать и собственные модули, но для начала следует разобраться с уже имеющимися. Ниже приведен список наиболее часто используемых модулей. Больше ин­ формации по каждому из них можно получить, набрав man модуль, к при­ меру, man pam_pwcheck. Обратите внимание, что нет "стандартного списка" модулей. Их состав варьируется от дистрибутива к дистрибутиву. • pam access — разрешает или запрещает доступ, в зависимости от IPадреса, имени пользователя, имени хоста или доменного имени и т.п. По умолчанию, правила доступа определены в файле /etc/security/access. conf. Когда пользователь входит, проверяются правила доступа до перво­ го совпадения, и принимается решение, разрешить или запретить доступ. Также смотрите модуль pam time — там другие ограничения. • pam_cracklib и pam_pwcheck — предоставляют функции проверки прочности пароля (проверки на легкость угадывания или повторяемость). У пользователя спрашивают пароль, и если тот проходит предустанов­ ленные правила и считается прочным, тогда нужно ввести его еще раз для проверки правильности ввода. • pam_deny — безусловно запрещает доступ. Этот модуль можно исполь­ зовать для блокирования пользователей, как политику по умолчанию. См. также pam_permit. • pam_echo — выводит предустановленное текстовое сообщение. См. так­ же pammotd. • pam_env — позволяет присвоение значений переменным окружения. Правила по умолчанию берутся из файла /etc/security/pam_env.conf. • pam_exec — вызывает внешнюю программу. • pamlastlog — выводит дату и время последнего входа в систему. • pam limits — устанавливает ограничения на системные ресурсы, ис­ пользуемые пользователем. Ограничения по умолчанию берутся из фай­ ла /etc/security/limits.conf. • pamlistfile — разрешает или запрещает сервис в зависимости от значе­ ний в файле. К примеру, если вы хотите открыть FTP-доступ лишь для не- Л-in их Глава 12. Пользователи и i руины которых пользователей, перечень которых указан в файле /etc/ftpusers ok, нужно добавить строку: auth required. pam__listfile. so ftpusers_ok onerr=fail item=user sense=allow file=/etc/ в файл /etc/pam.d/ftpd. См. также модуль pam_nologin. • pam mail — сообщает пользователю о наличии свежей электронной почты. • pammkhomedir — создает домашний каталог пользователя, если он не существует на локальной машине. Таким образом, можно использовать централизованную авторизацию (к примеру, в NIS или LDAP) и создавать домашние каталоги лишь при необходимости. • pam_motd — выводит ’’сообщение дня”. См. также модуль pam echo. • pam nologin — запрещает доступ, когда существует файл /etc/nologin. • pam_permit — безусловно разрешает доступ — очень небезопасно! См. также модуль pam_deny. • pam_rootok — разрешает доступ для пользователя root без дополнитель­ ных проверок. Обычно этот модуль используется в /etc/pam.d/su, чтобы пользователь root мог войти под любым другим пользователем даже без ввода пароля. Файл должен содержать следующие строки (обратите внимание на вторую строку, см. модуль pam_wheel): auth sufficient pam_rootok.so auth required pam_wheel.so auth required pam_unix.so • pam_succeed_if — проверяет некоторые характеристики учетной записи, к примеру, принадлежность к определенной группе, значение UID и т.п. • pam_time — запрещает доступ к службе в зависимости от дня недели и времени дня. По умолчанию правила берутся из файла /etc/security/time. conf. Однако запрет накладывается лишь на момент входа в систему. Спо­ соба принудительно заставить пользователя выйти из системы нет. • pamumask — устанавливает маску создания файлов. Сервер на Windows и Linux • pam_unix или pam^unixl — классическая аутентификация в UNIXстиле, основана на файлах /etc/passwd и /etc/shadow. См. также модуль pamuserdb. • pam__userdb — аутентифицирует пользователя с помощью базы данных. См. также модуль pamunix. • pam_warn — заносит название службы, номер терминала, пользователя и другие данные в системный журнал. Модуль можно использовать везде, он не влияет на процесс аутентификации. • pamwheel — позволяет root-доступ лишь для членов группы wheel. Часто этот модуль используется для su, чтобы лишь избранные пользова­ тели могли пользоваться этой программой. Пример использования можно найти в описании модуля pamrootok. Так как книга не посвящена отдельно РАМ, лучше всего рассматривать РАМ на отдельных примерах. 12.5.1. Ограничиваем доступ к системе по IP-адресу Файл /etc/security/access.conf используется модулем pam_access.so, чтобы определить, каким пользователям позволено входить в систе­ му и с каких IP-адресов. Если открыть файл access.conf, то в нем будет достаточно много различных примеров, которые хорошо прокомментированы. Если вы знаете английский язык, то не составит особого труда во всем разобраться самостоятельно. Формат этого файла следующий:^ разрешения : пользователи : источники Разрешение может начинаться с символа ”+" (доступ разрешен) или ”-” (доступ запрещен). Если нужно указать несколько пользователей, то их име­ на разделяют пробелом. Если нужно сделать исключение для некоторых пользователей, то перед их именами указывают служебное слово EXCEPT. 396 flinux Глава 12. Пользователи и группы Третье поле может содержать список из одного или более имен консолей (tty) — для несетевого доступа к системе, имен узлов (для сетевого досту­ па), доменных имен (начинаются с ”.”), IP-адресов узлов, IP-адресов сетей (заканчиваются ”.”). Также можно указать все источники (ALL), ни один из источников (NONE) или только локальные источники (LOCAL). Теперь несколько примеров: -:ALL EXCEPT root:ttyl Первая консоль — это только консоль root. Другим пользователям запреще­ но ее занимать. Мы запрещаем доступ (-) всем пользователям (ALL) кроме (EXCEPT) пользователя root на консоли tty 1. Следующий пример — разрешение регистрации как root с определенных IPадресов: + ;: root : 192.168.1.1 192.168.1.4 192.168.1.9 + :: root :: 127.0.0.1 Если нужно разрешить регистрацию root со всей подсети 192.168.1.0, тогда укажите адрес этой подсети, указав точку вместо 0: + : root : 192.168.1. Самый жесткий пример — запрещаем root вообще входить в систему: - : root : ALL Примечание. Обратите внимание, что комментарии в этом файле на-1 чинаются с #, если вы хотите использовать один из примеров, приве- | денных в файле, убедитесь, что вы раскомментировали нужную вам | строку. Сервер на Windows и Linux Чуть выше мы разрешили вход пользователя root с определенных IP-адресов. К сожалению, одного только редактирования access.conf будет недостаточ­ но. Нужно еще отредактировать соответствующие файлы в /etc/pam.d. Нас интересует регистрация по SSH (telnet уже не используется, поэтому вы бу­ дете регистрироваться по SSH) и обычная регистрация в системе. Поэтому нам нужно отредактировать файлы /etc/pam.d/sshd и /etc/pam.d/system-auth. В этих файлах вам нужно добавить строчку: account required /lib64/security/pam_access.so Если у вас 32-разрядная система, тогда нужно добавить немного другую строку: account required /lib/security/pam_access.so 12.5.2. Ограничиваем время входа в систему Безопасностью системы лучше управлять, когда вы бодрствуете. Поэтому имеет смысл разрешить регистрацию только в это время, например, с 8:00 до 19:00 (вдруг кто-то немного задержится на работе). Откройте файл /etc/security/time.conf и добавьте в него строку: login;tty* & !ttyp*; !root & admin & ; 1A10800—1900 Здесь мы разрешаем пользователям регистрироваться только с 8:00 по 19:00. На пользователей root и admin это правило не распространяется. Также в файле time.conf вы найдете еще несколько примеров. Как и в случае с предыдущим файлом, вам нужно изменить файлы /etc/pam.d/sshd и /etc/pam.d/system-auth, в которые нужно добавить строку: account required /1ib64/securitу/pam_time.sо или строку (для 32-разрядной системы): account required /lib/security/pam_time .so Глава 12. Пользователи и группы inux 12.5.3. Ограничение системных ресурсов с помощью РАМ С помощью РАМ-модулей можно ограничить системные ресурсы, что по­ лезно для защиты системы от DoS-атаки. Принцип DoS-атаки заключается в том, что злоумышленник узурпирует все ресурсы системы, в результате обычным пользователям ничего не остается. Ограничив системные ресурсы, вы можете смягчить последствия DoS-атаки на ваш сервер. Конечно, полной защиты этот способ не даст, но все равно ваш сервер будет продолжать рабо­ тать, хоть и медленно. Все же это лучше, чем ничего. Ограничить системные ресурсы можно с помощью /etc/security/limits.conf. Формат записей в этом файле такой: домен тип ресурс значение В качестве домена указывается или имя пользователя, или имя группы пользователей (@имя). Также можно указать звездочку (*), если ограниче­ ние должно распространяться на всех пользователей. Ограничения бывают мягкими (soft) и жесткими (hard). Мягкое ограниче­ ние можно незначительно превысить, жесткое превысить нельзя. Возможные значения третьего поля задают тип ограничиваемого ресурса и представлены в таблице 12.4. Таблица 12.4. Ресурсы, которые можно ограничить с помощью limits.conf Элемент Описание core Позволяет ограничить размер файла ядра (в килобайтах) сри Задает максимальное процессорное время (в минутах) data Определяет максимальный размер сегмента данных (в ки­ лобайтах) [ 399 ^ Л-inux Сервер на Windows п Linux fsize Позволяет указать максимальный размер файла (в килобай­ тах) maxlogins Определяет максимальное количество параллельных реги­ страций пользователя. По умолчанию пользователю раз­ решается войти неограниченное количество раз разными способами — по SSH, FTP, с разных консолей и т.д. nofile Задает максимальное число одновременно открытых фай­ лов nproc Определяет число процессов, которые может запустить пользователь priority Задает приоритет, с которым будут выполняться процессы пользователя или группы stack Максимальный размер стека (в килобайтах) Последнее поле определяет значение лимита. Теперь несколько примеров: * @ssh_users @ssh users hard maxlogins hard nproc hard fsize 3 5 24576 В первом случае мы ограничиваем число одновременных регистраций поль­ зователей до 3 (консоль, XII, если есть, и SSH — этого более чем доста­ точно). Во втором случае пользователям из группы ssh users мы разрешаем запускать не более 5 процессов одновременно. Также SSH-пользователям не разрешается создавать файлы размером более 24 Мб. Обратите внимание: здесь мы просто задаем лимит на максимальный раз­ мер файла. В принципе, 24 Мб вполне достаточно даже для хранения фото­ графий с зеркальной камеры и больших документов Word, содержащих изо­ бражения и другие объемные объекты. А видео и файлы большего размера пусть пользователи хранят или на своих компьютерах, или входят иным спо­ собом, например, по FTP, где можно более качественно ограничить опера­ ции с файлами. ' 400 ] inux Глава 12. Пользователи и группы После редактирования /etc/security/limits.conf никакие другие файлы редак­ тировать не нужно. Но описанные вами изменения будут действовать для новых сеансов пользователей, поэтому желательно перезагрузить систему, чтобы изменения действовали сразу для всех пользователей. Если вам нужна дополнительная информация о РАМ, предлагаем ознако­ миться с официальной документацией, доступной по адресу: https://mirrors, edge, kernel, org/pub/linux/libs/рат/ Глава 13. Маршрутизация и настройка брандмауэра Сервер на Windows и Linux Л-inux В этой части книги поговорим чуть подробнее про Linux-сервер для локаль­ ной сети. 13Л, Просмотр таблицы маршрутизации Отправляемые данные, как вы знаете, не отправляются целиком - они разбиваются на меньшие части - пакеты. 411111111111111111111111!11Н1111111111111111111111111111111111111111Ш111111111111111111111111П111111111111111111111Н1111111111111111111111111111111111111111111111111|11111111111111Ш1111111111111111111111Н11111П111Ш^ Маршрутизация - это процесс перенаправления пакета по различ ным сетям вплоть до места назначения. В сетях TCP/IP информация маршрутизации хранится в виде таблицы марш­ рутизации. Таблица маршрутизации содержит ряд простых правил. Напри­ мер, если пакет отправляется в сеть 1, он должен быть отправлен на марш­ рутизатор Ml, если пакет отправляется в сеть 2, то его нужно отправить на маршрутизатор М2. Пакет, отправляемый на любую другую сеть (не 1 и не 2), нужно отправить на маршрутизатор М (шлюз по умолчанию). Получив пакеты, маршрутизаторы Ml, Ml и М сами знают, что с ними делать. Воз­ можно, передать дальше другому маршрутизатору, а может, отправить узлуполучателя пакета. Все зависит от такой же таблицы маршрутизации, но уже на тех маршрутизаторах. Что будут делать маршрутизаторы с полученными пакетами - это их дело, наше дело - доставить пакеты до этих маршрутиза­ торов. Л-inux Глава 13. Маршрутизация и настройка брандмауэра Таблица маршрутизации ядра Linux хранит данные о маршрутизации. Каж­ дая строка в этой таблице содержит несколько параметров - адрес сети назначения, маску сети, флаги, интерфейс и т.д. Ядро при отправке пакета исследует таблицу маршрутизации: оно опреде­ ляет, в какую сеть направляется пакет - если она есть в таблице маршру­ тизации, то пакет отправляется через заданный в таблице интерфейс. Если нужной сети в таблице нет, пакет отправляется или на шлюз по умолчанию, или же (если он не задан) отправителю пакета передается ICMP-сообщение "Network Unreachable" (сеть недоступна). Просмотреть таблицу маршрутизации ядра можно или командой netstat -rn, или командой route: # netstat -rn # route Вывод команд немного отличается, как видно из рис. 13.1. Здесь видно, что шлюз по умолчанию - 192.168.52.2. По сути, это самая простая таблица маршрутизации, какая только может быть. Рис. 13.1. Команды netstat -rn и route Разберемся, что содержится в столбцах таблицы маршрутизации: • Столбец Destination хранит адрес сети назначения; • Gateway - шлюз (маршрутизатор), которому нужно отправить пакеты, чтобы они достигли сети из колонки Destination; Сервер на Windows и Linux • Столбец Genmask содержит маску сети; • Flags - флаги маршрута. Флаги могут быть следующими: • U — маршрут активен; • Н — маршрут для хоста (Н - host), а не для сети; • G — флаг шлюза (G - gateway); • D — динамический маршрут, который был установлен демоном маршру­ тизации; • М — маршрут, который был модифицирован демоном маршрутизации; • С — запись кэширована; • ! — запрещенный маршрут. Рассмотрим некоторые параметры подробнее: • Колонка MSS (Maximum Segment Size) содержит значение MSS - макси­ мальный размер сегмента для TCP-соединений по этому маршруту. • Столбец Window показывает размер окна по умолчанию для ТСРсоединений по этому маршруту. • Столбец irtt — это начальное время RTT. В большинстве сетей время RTT не нужно изменять, но в некоторых медленных сетях время RTT можно увеличить, чтобы избежать лишних повторений пакетов. Система отправляет пакет и ждет некоторое время (RTT) от получателя подтверж­ дения получения. Если подтверждения получения не было, тогда система отправляет пакет еще раз. В медленных сетях подтверждение получения может не успеть дойти до отправителя пакета, поэтому RTT увеличивают (это можно сделать с помощью команды route). • Столбец Iface задает интерфейс, используемый для отправки пакета. • В выводе команды route вместо столбцов MSS и Windows есть колонки Metric и Ref. Первая содержит метрику, то есть расстояние до маршрути­ затора в хопах (переходах): один хоп - это один маршрутизатор. • Столбец Ref содержит количество ссылок на маршрут. Ядром Linux этот параметр не учитывается. И Лйпих Глава 13. Маршрутизация и настройка брандмауэра 13.2. Изменение и сохранение таблицы маршрутизаци и Для редактирования таблицы маршрутизации используется команда route. Записи в таблице маршрутизации бывают статическими (до­ бавляются командой route) или динамическими (добавляются по мере работы системы демоном маршрутизации). Вот как можно добавить маршрут по умолчанию командой route'. # route add default gw 192.168.1.1 ethO Думаю, эта команда понятна: 192.168.1.1 - это новый шлюз по умолчанию, а пакеты к нему будут отправляться через интерфейс ethO. При перезагрузке таблица маршрутизации очищается, поэтому она форми­ руется вручную, то есть командами route, а не каким-либо демоном марш­ рутизации. Эти команды нужно добавить в конфигурационные файлы сети или сценарии инициализации системы, чтобы внесенные вами изменения не были потеряны. Шлюз по умолчанию можно сохранить в файле /etc/sysconfig/networkingscripts/ifcfg-имя_интepфeйca. В листинге 13.1 приводится пример этого файла. Листинг 13.1. Файл /etc/sysconfig/networking-scripts/ifcfg-имя интерфейса DEVICE=ethO HWADDR=00:ОС:2 9:Е8:F0:С4 TYPE=Ethernet ONBOOT=yes NETMASK=255.255.255.0 IPADDR=192.168.1.101 GATEWAY=192.168.1.1 NETWORK=192.168.1.0 BROADCAST=192.168.1.255 BOOTPROTO=none NM CONTROLLED=no Сервер на Windows и Linux inux Параметр GATEWAY позволяет указать IP-адрес шлюза. Но обычно вам не придется редактировать файлы настройки сетевых интерфейсов обычных компьютеров, поскольку такая общая информация, как IP-адрес шлюза, за­ дается DHCP-сервером примерно так: subnet 192.168.1.0 netmask 255.255.255. 0 { # Список маршрутизаторов (через пробел) option routers 192.168.1.1; Теперь рассмотрим общий формат вызова команды route: # route [операция] [тип] адресат gw шлюз [метрика] [dev интерфейс] • Параметр операция может принимать значения add и del. Первый добав­ ляет маршрут, а второй - удаляет. • Второй параметр (тип) необязательный - он позволяет задать тип марш­ рута: default (маршрут по умолчанию), -net (маршрут к сети), -host (марш­ рут к узлу). • Третий параметр, адресат, содержит адрес сети, если вы задаете марш­ рут к сети, или адрес узла, если добавляется маршрут к узлу. Если вы задаете маршрут по умолчанию, то этот параметр вообще не нужно ука­ зывать. • Параметр шлюз задает IP-адрес шлюза. Можно также указать и доменное имя, но обычно указывается 1Р-адрес. • Параметр метрика задает число переходов (маршрутизаторов) на пути к адресату. • Параметр dev нужно указывать, если в системе установлено несколько сетевых интерфейсов и требуется уточнить, через какой именно сетевой интерфейс следует отправить пакеты. Оба последних параметра не явля­ ются обязательными. Рассмотрим несколько примеров использования команды route: Л-inux # # # # Глава 13. Маршрутизация и настройка брандмауэра route add -net 192.168.16.0 netmask 255.255 .255.0 dev ens33 route add -net 192.168.16.0 netmask 255.255. 255.0 gw 192.168.16.1 route add -net 10.100.0.0 netmask 255.0.0.0 reject route del 10.100.0.0 Первая команда добавляет маршрут к сети 192.168.16.0 через устройство ens33. Как видите, мы не указываем IP-адрес шлюза, а просто указываем имя интерфейса - все пакеты, адресованные сети 192.168.16.0, будут отправлены через интерфейс ens33. Вторая команда добавляет маршрут к сети 192.168.16.0 через шлюз 192.168.16.1. Все пакеты, адресованные этой сети, будут отправлены марш­ рутизатору с IP-адресом 192.168.16.1. В этом случае сетевой интерфейс ука­ зывать не обязательно. Третья команда задает запрещающий маршрут. Отправка пакетов в сеть 10.100.0.0 запрещена (параметр reject). Последняя команда удаляет ранее заданный запрещающий маршрут. Удаление маршрутов в Linux заслуживает отдельного разговора. Команда удаления маршрута выглядит так:^д # route del IP-адрес В Linux нет параметра -/(как в FreeBSD), который позволяет удалить сразу все маршруты (то есть очистить таблицу маршрутизации), поэтому вам при­ дется ввести ряд команд route. Как уже было отмечено, таблица маршрутизации очищается при пере­ загрузке. Чтобы этого не произошло, маршруты нужно определить в файлах конфигурации сети. В Debian / Astra Linux / старых версиях Ubuntu настройка статических марш­ рутов производится в файле /etc/network/interfaces. Просто добавьте в сек­ цию настройки интерфейса команду up и укажите команду route, которую нужно выполнить. Сервер на Windows и Linux Л-inux Допустим, для настройки маршрутов вы ввели три команды: route add -net 192.168.1.0 netmask :255.255.255.0 gw 192.168.17.254 ethO route add -net 192.168.14.0 netmask 255.255.255.0 gw 192.168.17.254 ethO route add -net 192.168.22.0 netmask 255.255.255.0 gw 192.168.17.254 ethO Тогда в файл /etc/network/interfaces нужно добавить следующие строки: up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.17.254 ethO up route add -net 192.168.12.0 netmask 255.255.255.0 gw 192.168.17.254 ethO up route add -net 192.168.21.0 netmask 255.255.255.0 gw 192.168.17.254 ethO В этом примере пакеты ко всем трем сетям направляются на шлюз 192.168.17.254, а он уже сам решает, что с ними делать. Прежде чем мы рас­ смотрим настройку брандмауэра, нужно отметить, как превратить компью­ тер в шлюз. Для этого нужно разрешить пересылку пакетов протокола IPv4 (IPv4 forwarding). Для этого добавьте значение 1 в файл /proc/sys/net/ipv4/ ipforward: # echo 1 > /ргос/.sуs/net/ipv4 /ip_forward. Конечно, после перезапуска это значение будет потеряно. Чтобы его сохра­ нить, добавьте в файл /etc/sysctl.conf следующую строку' net.ipv4.ip_forward=0 Итак, ваш компьютер теперь превращен в шлюз. Но сам по себе перенаправ­ лять пакеты он не будет. Нужно задать ряд правил перенаправления пакетов. Для этого мы будем использовать брандмауэр iptables, который имеется во всех современных дистрибутивах. Именно о нем и пойдет речь в следующем разделе. Забегая наперед, скажу, что iptables можно использовать не только для настройки шлюза, но и просто для защиты сервера или рабочей станции от нежелательных подключений. В новых версиях иЬипЩ (начиная с версии 18.04) настройка маршрутов осу­ ществляется через файл /etc/netplan/01-netcfg.yaml. Ш01................. -.. .................................... - Л-inux Глава 13. Маршрутизация и настройка брандмауэра Откройте этот файл: sudo nano /etc/netplan/01-netcfg.yaml В нем вы найдете конфигурацию по умолчанию, которая может быть при­ мерно такой: # This file describes the network interfaces available on your system. # For more information, see netplan(5). network: version: 2 renderer: networkd ethernets enol : dhcp4 : yes Добавьте следующие строки: routes: - to: 192.168.44.0/24 via: 192.168.0.1 Данная конфигурация означает, что маршрут к сети 192.168.44.0/24 (маска 255.255.255.0) будет проходить через маршрутизатор 192.168.0.1. Полная конфигурация будет выглядеть так: # This file describes the network interfaces available on your system. # For more information, see netplan ( 5) . network: version: 2 renderer: networkd ethernets: enol: dhcp4: true routes: - to: 192.168.44. 0/24 via: 192.168.0. 1 Сервер на Windows и Linux inux Обратите внимание, что YAML-файл очень требователен к отступам и раз­ метке. Убедитесь, что оператор ’’routes” находится на расстоянии двух про­ белов от имени интерфейса (в нашем случае enol), к которому вы применя­ ете маршрут. Сохраните изменения в файле и примените их посредством команды: sudo netplan apply Проверим, все ли хорошо: ip route show Убедитесь, что вы видите эту строку в выводе предыдущей команды: 192.168.44.0/24 via 192.168.0.1 dev enol proto static Если вы не видите данный статический маршрут в выводе, значит, что-то не так с вашей конфигурацией. Вернитесь к YAML-файлу и проверьте разметку/отступы. Вы также можете проверить конфигурацию командой: sudo netplan try 13.3. Настройка брандмауэра iptahies Брандмауэр iptables на данный момент считается устаревшим, но до сих пор используется даже в самых новых версиях дистрибутивов. От него пытают­ ся отказаться уже больше 5 лет, но до сих пор этого не произошло и, на наш взгляд, в ближайшие лет 5 он будет все еще актуален. Далее мы рассмотрим современный брандмауэр ifw, который, судя по всему, вытеснит iptables в будущем, хотя на данный момент он даже не устанавли­ вается по умолчанию. Л-inux Глава 13. Маршрутизация и нас тройка брандмауэра 13.3.1. Преобразование сетевого адреса Что такое брандмауэр, я надеюсь, объяснять не нужно. А вот о преобразовании сетевого адреса (NAT, Network Address Transla­ tion) поговорить стоит, чтобы не было лишних вопросов. Пространство IPадресов не безразмерное. Рано или поздно lPv4-aдpeca закончатся. Именно поэтому и был разработан протокол IPv6. Учитывая тенденции роста Ин­ тернета, думаю, что переход на IPv6 состоится в ближайшие годы, но пока будем говорить исключительно о IPv4, поскольку новый протокол IPv6 пока используется не в таком большом количестве. Если бы реальные IP-адреса раздавались всем желающим, они бы уже давно закончились. Поэтому обычно при подключении к Интернету клиенту вы­ дается всего один IP-адрес, даже если у вас целая организация. Этот один реальный IP-адрес, как правило, используется на шлюзе. А во внутренней сети используются локальные IP-адреса: 10.*.*.* (сеть класса А), 172.16.*.*172.31.*.* (класс В) и 192.168.*.* (сеть класса С). Эти IP-адреса не могут пройти через маршрутизатор Интернета - как только маршрутизатор увидит локальный IP-адрес, пакет сразу же будет отброшен. Но зато такие IP-адреса вполне подойдут для использования в локальных сетях. Данные IP-адреса уникальны только в пределах вашей организации. В соседней организации могут использоваться такие же IP-адреса, как и у вас, но поскольку между компьютерами организаций нет взаимодействия, в этом нет ничего страш­ ного. Когда компьютер с локальным IP-адресом 192.168.1.102 отправляет пакет компьютеру, обладающему реальным IP-адресом, например веб-серверу www.example.com, наш шлюз должен выполнить NAT. То есть он должен перезаписать локальный IP-адрес так, чтобы он выглядел как реальный. Поскольку в нашем распоряжении только один реальный IP-адрес (IPадрес шлюза), то веб-сервер www.example.com будет ’’думать”, что запрос пришел от нашего шлюза, и он ничего не будет подозревать о компьюте­ рах, которые находятся за шлюзом. Веб-сервер обработает запрос и отпра­ вит пакет. Наш шлюз получит этот пакет (с ответом) и отправит его компьютеру 192.168.1.102, перезаписав поле отправителя так, что компью­ тер 192.168.1.102 будет ’’думать”, что ответ пришел непосредственно от www.example.com. Сервер на Windows и Linux 13.3.2. Цепочки и правила При настройке брандмауэра iptables очень важно разобраться с цепочками и правилами. Ш1111111111111111(1111111111111111111111111111111Н111111111111111111111111111111111111111111111111111111111111111111111Н1111111111111111111Ш11111(111111111111111111111111111111111111111111111111111111111111Ш Ведь основная задача брандмауэра - это фильтрация пакетов, проходящих через сетевой интерфейс. Когда брандмауэр получает пакет, он анализирует его и затем принимает решение - принять его или уничтожить. Illllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllltllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllll Брандмауэр может выполнять и более сложные действия, но обычно доста­ точно этих двух. Обработка пакета заключается в его прохождении по цепочке правил. Каж­ дое правило состоит из условия и действия. Если пакет соответствует усло­ вию, то выполняется указанное действие. Действие также называется целью. Если пакет не соответствует условию правила, то он передается следующе­ му правилу. Если же пакет не соответствует ни одному из правил цепочки, выполняется действие по умолчанию. Цепочки правил существует не сами по себе, а собираются в таблицы. • Таблица filter является основной таблицей, отвечает за фильтрацию паке­ тов, в ней содержатся правила фильтрации пакетов. • Таблица nat используется при преобразовании сетевого адреса. • Есть еще одна таблица - mangle, которая используется, если нужно про­ извести специальные действия над пакетом, отличные от фильтрации и NAT. В состав каждой таблицы входят три цепочки: INPUT, OUTPUT и FORWARD. Первая используется для входящих пакетов, вторая - для исходящих, а третья для пересылаемых пакетов. При желании вы можете создать собственную таблицу, но в ней все равно будут цепочки INPUT, OUTPUT и FORWARD. Теперь поговорим о действиях над пакетом. Действие ACCEPT принима­ ет пакет, DROP - уничтожает пакет. Действие MASQUERADE позволяет _ ф 414J Л-inux Глава 13. Маршрутизация и настройка брандмауэра скрыть IP-адрес пакета. Если же в качестве действия указано имя цепочки, то пакет будет отправлен для обработки в указанную цепочку. Рассмотрим процесс обработки входящего пакета. Сначала пакет поступает в цепочку PREROUTING таблицы mangle. После чего, если он не был унич­ тожен правилами таблицы mangle, он попадает в цепочку PREROUTING таблицы nat. Здесь правила проверяют, нужно ли модифицировать назначение пакета или нет. После этого пакет направляется или в цепочку FORWARD (если его нужно передать дальше - другому компьютеру), или в цепочку INPUT (если пакет адресован этому компьютеру). Если пакет был адресован этому компьютеру, то он передается правилам цепочки INPUT таблицы mangle и filter. Если эти правила не уничтожили пакет, то он отправляется приложению, например веб-серверу. Приложение получает данные, обрабатывает их и отправляет ответ. Ответ приложения преобразуется в пакет, который сначала обрабатывается цепочкой OUTPUT таблиц mangle, nat и filter, а затем отправляется в цепочку POSTROUTING и обрабатывается правилами таблиц mangle и nat. Если после всего этого пакет еще жив, он становится исходящим пакетом и отправляется в сеть. 13.3.3. Команда iptables Для управления правилами брандмауэра используется команда iptables. У этой команды очень и очень много различных параметров. В этой кни­ ге не будет полного руководства по iptables, потому что есть документация (man iptables), доступная каждому пользователю. Вместо переписывания ру­ ководства другими словами мы остановимся на практическом применении iptables. Сначала рассмотрим часто используемые параметры (чтобы вы по­ нимали, что происходит), а затем настроим шлюз для небольшой организа­ ции. Сервер на Windows и Linux По умолчанию правило будет добавлено в таблицу filter. Если нужно указать другую таблицу, для этого используется параметр -t: # iptables -t <таблица> -А <цепочка> <правило> Параметр -Р позволяет задать действие по умолчанию: ......................... hi.......... hi............................. # iptables -Р INPUT DROP # iptables -Р FORWARD ACCEPT # iptables -Р OUTPUT DROP В таблице 13.1 указываются возможные действия, которые вы можете про­ извести с iptables. Таблица 13.1. Возможные действия над пакетами Действие Описание ACCEPT Принимает пакет и передает его дальше - в следую­ щую цепочку DROP Уничтожает пакет, как будто бы его никогда не было Уничтожает пакет, а отправителю пакета сообща­ ется об этом с помощью ICMP-сообщения. Пара­ метр —reject-with позволяет уточнить тип ICMPсообщения: REJECT icmp-host-unreachable — узел недоступен; icmp—net—unreachable — сеть недоступна; icmp~port—unreachable — порт недоступен; icmp—proto—unreachable — протокол недоступен LOG Протоколирует информацию о пакете в протокол. Полезно из соображений отладки, когда вы настра­ иваете шлюз Глава 13. Маршрутизация и настройка брандмауэра jnux RETURN Возвращает пакет в цепочку, откуда он прибыл. Использовать не рекомендуется, поскольку воз­ можны зацикливания - вы можете легко попасть в бесконечный цикл, если будете использовать это действие SNAT Выполняет подмену IP-адреса источника (Source NAT, SNAT). Данное действие используется в це­ почках POSTROUTING и OUTPUT таблицы nat DNAT Выполняет подмену IP-адреса получателя (Destina­ tion NAT, DNAT). Поддерживается только в цепочке POSTROUTING таблицы nat MASQUERADE Используется в таблице POSTROUTING табли­ цы nat. Чем-то похоже на SNAT, но используется при работе с динамическими IP-адресами, когда возможна ’’потеря” интерфейса при изменении IPадреса Прежде чем мы начнем создавать наш собственный шлюз, нужно рассмо­ треть параметры, касающиеся фильтрации пакетов (табл. 13.2). Таблица 13.2. Параметры, касающиеся фильтрации пакетов Параметр Описание —source Указывает источник пакета. Вы можете указывать как доменное имя, так и IP-адрес или даже целую подсеть, например 192.168.5.0/255.255.255.0 —destination Указывает получателя пакета. Аналогично, можно ука­ зывать как доменное имя, так и IP-адрес —protocol (-р) Позволяет указать протокол. Вы можете использовать идентификаторы, определенные в файле /etc/protocols -source-port (—sport) Указывает порт отправителя. Опцию можно использо­ вать вместе с параметром -р Adnux Сервер на Windows и Linux —destination­ port Указывает порт получателя. Можно использовать вме­ сте с параметром -р (—dport) —state Позволяет указать состояние пакета. Фильтр по состо­ янию возможен только при загрузке модуля state (-m state). Возможны следующие состояния пакета: NEW (новое соединение), ESTABLISHED (установленное соединение), RELATED (связанные с соединением па­ кеты), INVALID (неопознанные пакеты) -in-interface (-i) Указывает входящий интерфейс. -out-interface (-O) Указывает исходящий интерфейс В таблице 13.2 указаны далеко не все параметры, но для организации соб­ ственного шлюза представленных параметров будет более чем достаточно. 13.3.4. Практический пример Сейчас рассмотрим практический пример - настройку шлюза небольшой сети с нуля на базе дистрибутива Debian. У нас есть следующие вводные данные: • Внешняя сеть — интерфейс ethO, реальный IP-адрес 88.99.88.99 (IPадрес приведен для примера). • Внутренняя сеть — интерфейс ethl, IP-адрес сети 192.168.1.0/24 (у вас, скорее всего, будет другой адрес). Простым "перебросом” пакетов мы не ограничимся, а постараемся решить попутные задачи, а именно: • Запретить сотрудникам доступ к некоторым сайтам. Администрации доступ к этим сайтам будет разрешен. Л-inux • Глава 13. Маршрутизация и нас тройка брандмауэра Запретить ICQ для сотрудников, но не для администрации. • Запретить некоторые нежелательные приложения. • Открыть доступ к порту 80 извне для доступа к будущему веб-сайту. Все, что вам останется сделать, - это установить nginx (или Apache), и ваш сайт будет виден из Интернета. • Открыть доступ к шлюзу извне для его администрирования по SSH. • Открыть порты 25 и 110, необходимые для работы будущего почтового сервера. • Администратору (его IP-адрес 192.168.1.10) открываем все, что ему будет нужно. Создайте каталог /etc/firewall, в котором мы будем хранить все необходимое для организации нашего шлюза. Сейчас создайте в ней два файла - admins, txt и black.txt. В первый нужно внести IP-адреса администрации (по одному IP-адресу в одной строке) - им будут доступны все сайты. Это могут быть сотрудники IT-отдела, директор, его зам и т.д. - в общем, все вышестоящее начальство. В файл black.txt нужно внести сайты, доступ к которым нужно ограничить (тоже по одному сайту в одной строке). # mkdir /etc/firewall # touch /etc/firewall/admins . txt # touch /etc/firewall/black. txt После этого можно приступить, собственно, к настройке шлюза. Первым де­ лом нам нужно отключить Network Manager и настроить наши интерфейсы статически. На сервере (шлюзе) Network Manager не нужен, а сетевые интер­ фейсы можно легко настроить с помощью /etc/network/interfaces. Сначала введите команду: # runlevel Вы узнаете текущий уровень запуска: # runlevel N 2 Сервер на Windows и Linux Л-in их Далее переходим в каталог /etc/rcX.d, где X- это уровень запуска, и удаляем ссылку на network-manager. Можно также использовать команду:^ # update-rc.d -f network-manager remove Далее остановите Network Manager: # /etc/init.d/network-manager stop После этого отредактируйте файл /etc/network/interfaces и сконфигурируйте сетевые интерфейсы (лист. 13.2). Листинг 13.2. Файл /etc/network/interfaces # Локальный интерфейс 1о auto 1о iface lo inet loopback # Внешняя сеть auto ethO iface ethO inet static address 88.99.88.99 netmask 255.255.255.0 network 88.99.88.99 dns-nameservers 8.8. 8.8 # Внутренняя сеть auto ethl iface ethl inet static address 192.168.1.1 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 Перезапустим сеть: # service networking restart 420 Глава 13. Маршрутизация и настройка брандмауэра Теперь создайте каталог /etc/firewall и поместите туда файл firewall.sh, кото­ рый будет содержать команды, превращающие наш обычный компьютер в шлюз:п # touch /etc/firewall/firewall. sh # chmod +x /etc/firewall/firewall . sh # nano /etc/firewall/firewall. sh Код файла firewall.sh приведен в листинге 13.3. Листинг 13.3. Файл firewall.sh #!/bin/bash # Определяем некоторые переменные, чтобы облегчить редактирование # конфигурации в будущем: # внешний IP-адрес и внешний интерфейс WAN_IP1=88.99.88.99 WAN_IFACEl=ethO # Внутренний адрес сервера и внутренний интерфейс LAN_IP=192.168.1.1 LAN_IFACE=ethl # Внутренняя сеть LOCAL_NET=192.168.1.0/24 # loopback LO_IFACE=lo LO_IP=127.0.0.1 # Путь к iptables ip=/sbin/iptables # Черный список blacklist=( $ (cat "/etc/firewal 1/black . txt" ) admins=( $ (cat "/etc/firewall/admins . txt") ) ) # Очищаем все таблицы iptables $ip -F -t filter $ip -F -t nat $ip -F -t mangle $ip -F # Правила по умолчанию: запрещаем все, что явно не разрешено $ip -Р INPUT DROP $ip -Р OUTPUT DROP $ip -P FORWARD DROP «I Сервер i la Windows и Linux # Превращаем компьютер в шлюз, на всякий случай, если мы забыли сделать # это раньше echo 1 > /ргос/sуs/net/ipv4/ip_fоrward # Включаем NAT, чтобы локальные узлы могли получать доступ к Интернету $ip -t nat -A POSTROUTING -о $WAN_IFACE1 -s $LOCAL_NET ! -d $LOCAL_NET -j SNAT --to-source $WAN_IP1 # Отбрасываем INVALID-пакеты $ip -A INPUT -m state --state INVALID -j DROP $ip -A FORWARD -m state --state INVALID -j DROP # Разрешаем трафик через loopback $ip -A INPUT -p all -i $LO_IFACE -j ACCEPT Sip -A OUTPUT -p all -o $LO_IFACE -j ACCEPT # Разрешаем трафик через внутренний адаптер # Между сервером (шлюзом) и локальной сетью разрешаем все $ip -A INPUT -р all -i $LAN_IFACE -s $LOCAL_NET --match state —state NEW,ESTABLISHED -j ACCEPT # Разрешаем исходящие новые и уже установленные соединения # во внутреннюю сеть с адаптера локальной сети $ip -A OUTPUT -р all -о $LAN_IFACE -d $LOCAL_NET --match state --state NEW,ESTABLISHED -j ACCEPT # Разрешаем новые и уже установленные соединения извне # к портам 80 (веб-сервер) и 22 (ssh): (с внешней сети) $ip -A INPUT -р top -i $WAN_IFACE1 -m multiport --dports 80,22,25,110 --match state --state NEW,ESTABLISHED -j ACCEPT Sip -A OUTPUT -p tcp -o $WAN_IFACE1 -m multiport --sports 80,22,25,110 --match state --state ESTABLISHED,RELATED -j ACCEPT # Разрешаем выход с сервера во внешнюю сеть, но только на определенные порты # Разрешаем порты 80 (HTTP), 443 (SSL) и 53 (DNS) Sip -A INPUT -i $WAN_IFACE1 -p tcp -m multiport - -sports 80,53,443 -j ACCEPT $ip -A OUTPUT -o $WAN_IFACE1 -p tcp -m multiport —dports 80,53,443 -j ACCEPT Sip -A INPUT -i $WAN_IFACE1 -p udp -m multiport - -sports 53 -j ACCEPT Sip -A OUTPUT -o $WAN_IFACE1 -p udp -m multiport —dports 53 -j ACCEPT # Открываем админу (192.168.1.10) доступ ко всему, что будет нужно # Просмотрите список портов и откройте то, что вам будет нужно # tcp Sip -A FORWARD -р tcp -s 192.168.1.10 ! -d $LOCAL_NET -m multiport --dports 80,53,443,22,25,110,5190 -j ACCEPT $ip -A FORWARD -p tcp -d 192.168.1.10 ! -s $LOCAL_NET -m multiport --sports 80,53,443,22,25,110,5190 -j ACCEPT # udp Sip -A FORWARD -p udp -s 192.168.1.10 ! -d $LOCAL_NET -m multiport --dports 53 -j ACCEPT inux Глава 13. Маршрутизация и настройка брандмауэра $ip -A FORWARD -р udp -d 192.168.1.10 --sports 53 -j ACCEPT ! -s $LOCAL_NET -m multiport # Разрешаем ICQ только администраторам i=0 for i in "${admins[@]}" do $ip -A FORWARD -p top -d $i --sport 5190 -j ACCEPT $ip -A FORWARD -p top -s $i --dport 5190 -j ACCEPT done # Разрешаем избранным (список admins) доступ к сайтам из черного списка >0 for j in ”${blacklist[@]}" do i=0 for i in "${admins[@]}" do $ip -A FORWARD -d $i -s $j -j ACCEPT done done # Всем остальным запрещаем доступ к сайтам из списка blacklist i=0 for i in "${blacklist[@]}" do $ip -A FORWARD -s $i -j DROP done # Разрешаем транзит некоторых пакетов $ip -A FORWARD -р top -s $LOCAL_NET ! 80,53,443 -j ACCEPT $ip -A FORWARD -p tcp -d $LOCAL_NET ! 80,53,443 -j ACCEPT $ip -A FORWARD -p udp -s $LOCAL_NET ! 53 -j ACCEPT $ip -A FORWARD -p udp -d $LOCAL_NET ! 53 -j ACCEPT (80 , 443 и 53) -d $LOCAL_NET -m multiport — — dpo r t s -s $LOCAL_NET -m multiport --sports -d $LOCAL_NET -m multiport ——dpo rt s -s $LOCAL_NET -m multiport --sports После этого нужно обеспечить автоматический запуск нашего сценария /etc/ firewall/firewall.sh. 13.4. Настройка брандмауэра ufw Традиционно в качестве брандмауэра (фильтра пакетов) в Ubuntu исполь­ зуется iptables, но поскольку Ubuntu позиционируется как простой дистри­ бутив, то и оболочка для iptables была разработана соответствующая - UTF (Uncomplicated Firewall) - несложный файрвол. Сервер на Windows и Linux Л-inux 13.4.1. Проверяем состояние брандмауэра Первым делом нужно убедиться, что пакет ufw вообще установлен, или установить его, если это не так: sudo apt install ufw Как показано на следующей иллюстрации, уже установлена последняя вер­ сия пакета ufw. Рис. 13.2. Установлена самая новая версия ufw Теперь посмотрим состояние брандмауэра: # ufw status verbose По умолчанию фильтр пакетов выключен, поэтому вы получите сообщение: Состояние: неактивен Глава 13. Маршрутизация и настройка брандмауэра inux Не нужно спешить включать файрвол: сначала его нужно настроить. Ведь если порт 22 окажется по умолчанию недоступен, то вы потеряете доступ к своему серверу, если администрируете его удаленно. Об этом нужно пом­ нить! 13.4.2. Базовая настройка 4IIIIIIIIIIIIIIIIIIHIIIIII Illi llllllllllllll llllllllllll I II II Illi II II I I I Illi I II II I II I I I I I II I I I II I I I II I Illi III llllll II I I I lllllllllllllllll и II I I I и I II I llllllllllllllllllllllllllllllllllllllllllllllllllllllllllllll I По умолчанию брандмауэр запрещает все входящие соединения и раз решает все исходящие. IIIIIIIIIIIII II I I II I I 11 I I) I Illi II I I Hill III I IIIII1II Hill lllllllllll llllir Такая политика идеальная с точки зрения безопасности (дальше вы поймете почему) - ведь если кто-то (и вы в том числе) захочет к нему подключиться, то у него это не получится. В то же время приложения на сервере смогут создавать исходящие соединения. Рассмотрим две команды: ufw default deny incoming ufw default allow outgoing Данные два правила как раз и задают политику по умолчанию - запрещают­ ся все входящие соединения и разрешаются все исходящие. Итак, все входящие соединения запрещены. Чтобы к серверу можно было ’’достучаться” по определенному порту, его нужно сначала открыть. UFW хорош тем, что вам даже не нужно помнить номер порта - нужно знать толь­ ко название сервиса. Например, вот как можно разрешить подключение по SSH: ufw allow ssh При этом UFW сам создаст правило для порта 22 - именно этот порт исполь­ зуется для SSH. Брандмауэр знает порты и имена всех распространенных служб (http, ssh, ftp, sftp и т.д.). Однако если вы перенастроили ssh на нестандартный порт из соображений той же безопасности, нужно явно указать номер порта: ufw allow 3333 Сервер на Windows и Linux O-inux После разрешения ssh (это главное, чтобы сейчас файрвол нам не разорвал соединение) можно включить ufw командой: ufw enable Вы увидите сообщение о том, что межсетевой экран включен и будет запу­ скаться при загрузке системы. Посмотрите на следующий скриншот (рис. 13.3). Рис. 13.3. Процесс настройки ufw Посмотрим, что произошло. Сначала мы разрешили ssh, на что получили ответ, что правила обновлены: Правила обновлены Правила обновлены (v6) Затем мы включаем файрвол и получаем сообщение, что он активен и будет запускаться при загрузке системы. На этом базовая настройка выполнена - ssh успешно работает, и мы можем приступить к дальнейшей настройке фильтра пакетов. 426] Л-inux Глава 13. Маршрутизация и настройка брандмауэра 13.4.3. Создаем правила для других приложений Теперь нужно разрешить работу других приложений. Как правило, нужно разрешить службу http (веб-сервер), ftp и постараться не забыть о https (что очень важно в последнее время): ufw allow http ufw allow https ufw allow ftp Сделать то же самое можно было бы и по номерам портов: ufw allow 80 ufw allow 443 ufw allow 21 При желании можно разрешить целый диапазон портов, указав при этом транспортный протокол (UDP или TCP): sudo ufw allow 2000:2200/tcp sudo ufw allow 4000:44 00/udp 13.4.4. Разрешаем IP-адреса Ufw позволяет разрешить определенному IP-адресу доступ ко всем портам сервера, например: ufw allow from 46.229.220.16 Если нужно разрешить доступ конкретному IP-адресу только к определенно­ му порту, то делается это так: ufw allow from 46.229.220.16 to any port 22 427 Сервер на Windows и Linux Здесь мы разрешаем не все подключения к ssh, а только подключения с IPадреса 46.229.220.16. Разрешить доступ целого диапазона IP-адресов (например, когда у админи­ стратора динамический IP), можно так: ufw allow from 123.45.67.89/24 to any port 22 13.4.5. Запрещаем IP-адреса и службы Запретить доступ с определенного IP-адреса можно аналогично: ufw deny from 123.45.67.89 При желании можно запретить все подключения к определенной службе: ufw deny ftp 13.4.6. Удаление/сброс правил Сбросить все правила можно командой: ufw reset Но убедитесь, что на момент ввода этой команды вы отключили файрвол, иначе вы потеряете доступ по ssh. Удалить конкретное правило можно по номеру. Сначала введите следующую команду, чтобы узнать номер правила: ufw status numbered 428 Глава 13. Маршрутизация и настройка брандмауэра inux Рис. 13.4. Список правил 13.4.7. Отключение файрвола Отключить ufw можно командой ufw disable. Отключение может пона­ добиться, если какие-то из правил работают неправильно и нужно временно отключить файрвол, чтобы разрешить работу тех или иных сервисов. IIIIIIIIIIIIIIIIIIIIIIIIIII II I II II I I I II I I I I II I II I Illi I I II I I I II I I I II I IIIIIIIIIIIIIIIIIII1IIIIII Если вы ранее использовали iptables, то наверняка заметили, что синтак­ сис ufw гораздо проще. Если же до этого вам не приходилось настраивать брандмауэр, то ufw - оптимальное решение, с которым не составит труда разобраться даже начинающему администратору. Глава 14. Удаленный вход в систему по SSH Сервер на Windows и Linux Ojnux 14.L Протокол SSH Особенностью SSH-соединения является шифрование всех передаваемых по нему данных. Если злоумышленник перехватит SSH-трафик, он не узнает ни логин, ни пароль, ни команды, которые вы передавали на сервер. В Linux используется свободная реализация протокола SSH OpenSSH. Данная реализация была определена рабочей группой IETF. Не беспокой­ тесь: OpenSSH так же безопасен, как и SSH. Далее мы будем говорить SSH, а подразумевать именно OpenSSH. Для шифрования передаваемых данных SSH-соединение может использо­ вать различные алгоритмы, например BlowFish, 3DES (Data Encryption Standard), IDEA (International Data Encryption Algorithm) и RSA (RivestShamir-Adelman algorithm). Алгоритм определяется настройками SSHсервера. Чтобы удаленные пользователи могли подключиться к вашему серверу, на нем нужно установить демон sshd. Как правило, этот демон содержится в пакете openssh-server. Клиент SSH, то есть программа, с помощью которой удаленные пользователи будут подключаться к вашему SSH-серверу, содер- Глава 14. Удаленный вход в систему но SSH inux жится в пакете openssh-client. Итак, на компьютеры, с которых вы планируе­ те подключаться к серверу, нужно установить пакеты openssh-client. Что делать, если у вас не Linux, а подключаться к SSH-серверу все равно нужно? Не беспокойтесь! SSH-клиенты созданы для самых разных опера­ ционных систем. Один из самых хороших клиентов для Windows — Bitvise SSH Client. Он бесплатный, поддерживает создание и загрузку профилей со­ единений, что позволяет удаленно администрировать несколько серверов, поддерживает не только передачу команд, но и файлов (по протоколу sFTP). Для iOS можно использовать приложение WebSSH, а для Android — SSH Client. Все эти приложения бесплатны. ^ Bitvise SSH Ghent 8.42 Profile: Login options Terminal RDF SFTP Settees Server Load profile C2S S2C SSH Notes .About* Authentication Host N6.229.220.153 Pfirt 22 D Enable obfuscation Username root Initial method password 0 Store encrypted password in profile Save profile Password ; •••••••• Kerberos 0 Enable password over kbdi fallback Save profile as SPN I........................................ Q GSS/Kerberos key exchange Г$ I Elevation Default . Request delegation uon New profile J 09:15:43.965 Sitvise SSH Client 8.42, a fully featured SSH client for Windows. Copyright (C) 2000-2020 by Sitvise Limited. : 09:15:43.965 Visit www.bitvise.com for latest information about our SSH software. I 09:15:43.965 Run ‘SvSsh -help' to learn about supported command-line parameters. ? 09:15:43.965 Cryptographic provider: Windows CHG (x86) with additions : 09:15:44.467 Version status: Improvements available SFTP GUI auto-complete can deadlock. Other minor issues. There is a compatible update with fixes, improvements. I 09:15:44.467 Optional update available. i 09:15:44.547 Loading last used profile I 09:15:44.555 Last used profile loaded successfully. : 09:15:51.290 Creating new profile aborted, I 09:15:58.541 Loading profile aborted. г 09:16:10.631 Loading profile s 09:16:10.635 Profile loaded successfully. | Log in I Puc. 14.1. Приложение Bitvise SSH Client E^it Л-lnux Сервер на Windows и Linux 14.2. SSH-клиент 4lllllllilllllHIIII|HI|||ll||lllll||||l|||IIIUIH||||ll|||ll|||||||l||l|||||l||nnillllllllllllllllllllllllllllllllllllllllllllllll|lllll|l|lll||lllllllllllllllllllllllllllllllinMllllllllllill|llllllllllllllllllllllllilH^ Программа ssh является SSH-клиентом и содержится в пакете openssh-client. Как правило, этот пакет установлен по умолчанию и вам не нужно его устанавливать вручную. Формат вызова программы ssh следующий: ssh [параметры] <адрес_удаленного_компьютера> Параметры можно не указывать, но раз они есть, знать о них вы обязаны (табл. 14.1). Хочу предупредить сразу: опций у программы много и в таблице 14.1 будут представлены только самые полезные или, наоборот, бесполезные (чтобы привлечь к ним ваше внимание) опции. Таблица 14.1. Некоторые параметры программы ssh Параметр Описание -7 Заставляет клиент использовать первую версию протоко­ ла SSH. Можно использовать только при подключении к очень старым серверам -2 Клиент будет использовать только вторую версию про­ токола SSH. Это означает, что если вы с этим параметром попытаетесь подключиться к старому серверу, у вас ниче­ го не выйдет. Как правило, ssh автоматически определяет версию протокола и в параметрах -1 и -2 нет смысла -4 Клиент будет использовать только 1Ру4-адреса -6 Клиент будет использовать только 1Ру6-адреса Глава 14. Удаленный вход в систему но SSH -А Включает перенаправление соединения агента аутентифи­ кации. Данный параметр можно включить отдельно для каждого узла в конфигурационном файле. Используйте перенаправление агента с осторожностью. Данная возмож­ ность является потенциально уязвимой -а Отключает перенаправление соединения агента аутенти­ фикации -Ь адрес Использует адрес на локальной машине как адрес источ­ ника соединения. Полезная опция, если у вас установлено несколько IP-адресов -с Запрашивает сжатие всех данных (в том числе stdin, stdout, stderr и данные XI1). Уровень сжатия устанавливается опцией CompressionLevel для протокола версии 1. Сжатие данных полезно на модемных линиях и других медленных соединениях, но в быстрых сетях оно только вызовет лиш­ ние задержки -с Задает список алгоритмов шифрования, разделенных за­ пятыми в порядке предпочтения. Вы можете указать алго­ ритмы blowfish, des или 3des. Данная опция используется только для второй версии протокола SSH. Для первой вер­ сии протокола можно указать лишь один предпочитаемый протокол -f Переводит ssh в фоновый режим. Полезно, когда вы запу­ скаете XII-программу (графическую программу) по SSH -1 имя Позволяет указать имя пользователя, под которым вы буде­ те регистрироваться на SSH-сервере. Указывать не обяза­ тельно, поскольку сервер и так попросит вас ввести логин -р порт Указывает порт SSH-сервера, отличный от используемого по умолчанию (22) Г 435 Л-inux Сервер на Windows и Linux -Q ’’Тихий” режим. В нем отображаются только фатальные ошибки. Все, что не важно, выводиться не будет -X Включает перенаправление XII. Полезный параметр при запуске графических программ -X Отключает перенаправление XII -V Подробный режим - антипод для -q -г Выводит номер версии Использовать ssh очень просто. В следующем примере я подключаюсь как root к узлу server: $ ssh -1 root server 14.3. Настройка SSH-сервера Теперь приступим к настройке SSH-сервера. Для его установки нужно уста­ новить пакет openssh-server. После этого нужно запустить сервер командой: # service ssh start Иногда сервис называется sshd, тогда команда будет иной: # service sshd start . 436 J Л-inux Глава 14. Удаленный вход в систему по SSH Сервер сразу же готов к работе, и его вполне безопасно можно использовать с параметрами по умолчанию. Конфигурационный файл SSH-сервера называется /etc/ssh/sshd_config. Пример файла конфигурации sshd config приведен в листинге 14.1 (с ком­ ментариями на русском языке). Листинг 14.1. Пример файла конфигурации sshd_config # Какой порт будет использоваться для SSH-сервера. Порт по умолчанию - 22 # Теоретически, номер порта можно изменить, но на практике в этом нет # необходимости. Защита с помощью изменения номера порта - дело # неблагодарное, поскольку есть сканеры портов, которые могут легко вычислить # номер порта Port 22 # Какие адреса мы будем слушать. Чтобы sshd работал на всех интерфейсах, # закомментируйте директиву ListenAddress #ListenAddress :: #ListenAddrеss 0.0.0.0 # Номер версии протокола Protocol 2 # Ключи для протокола версии 2 HostKey /etc/ssh/ssh_host_rsa_key НоstКеу /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_ecdsa_key # Для улучшения безопасности включаем разделение привилегий UsePrivilegeSeparation yes # Время жизни (в секундах) и размер ключа сервера версии 1 KeyRegenerationlnterval 3600 ServerKeyBits 768 # Журналирование SyslogFacility AUTH LogLevel INFO # Аутентификация: LoginGraceTime 120 # Если нужно запретить вход как root по ssh (это не запрещает команду # su), выключите этот параметр (установите значение по). PermitRootLogin yes StrictModes yes # Максимальное количество попыток аутентификации #MaxAuthTries 3 Сервер на W indows и Linux # Использование RSA (yes) RSAAuthentication yes # Аутентификация с открытым ключом PubkeyAuthentication yes #AuthorizedKeysFile %h/ . ssh/authorized_keys # Отключаем устаревшую .rhosts-аутентификацию # Файлы ~/.rhosts and -/.shosts читаться не будут: IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no # Запрещаем (значение no) PermitEmptyPasswords no пустые пароли # He используем аутентификацию вызов-ответ Cha11engeResponseAuthentication no # Параметры Kerberos #KerberosAuthentication no #KerbeгоsGetAFSToken no #KerbeгоsOrLoca1Passwd yes # Ke rbe г о s Tvi c ke t С1 e anup yes # Параметры GSSAPI #GSSAPIAuthentication no #GSSAPICleanupCredentials yes # X11—форвардинг XIIForwarding yes XllDisplayOffset 10 # Выводить сообщение дня (можете отключить) PrintMotd yes # Выводить время последнего входа PrintLastLog yes # Использовать постоянные ТСР-соединения TCPKeepAlive yes #UseLogin no #MaxStartups 10:30:60 # Баннер #Banner /etc/issue.net # Разрешать клиенту передавать локальные переменные окружения AcceptEnv LANG LC_* # Параметры подсистемы sftp Subsystem sftp /usr/lib/openssh/sftp-server # Использовать ли модули РАМ? UsePAM yes Глава 14. Удаленный вход в систему но SSH Конфигурация по умолчанию вполне пригодна для использования. Я выде­ лил несколько опций, которые вам, возможно, захочется изменить. Осталь­ ные параметры вряд ли вы будете изменять. 14.4. Защищенное копирование файлов Иногда возникает необходимость скопировать важные файлы по защищен­ ному каналу. Заморачиваться с отправкой их почтой с использованием асин­ хронного шифрования как-то не хочется, да и почтой можно передать только файлы небольших размеров. г................................................. ....................................................... .................. ""г.................. । Для защищенного копирования файлов используется утилита scp. | Рассмотрим несколько примеров использования этой команды: $ scp user@example . com: file . txt /home/ubuntu Данная команда копирует файл file.txt с удаленного SSH-сервера example, com в каталог /home/ubuntu. Вход на сервер будет выполнен от имени поль­ зователя user. Пароль будет запрошен при запуске программы. Файл file.txt должен находиться в домашнем каталоге пользователя user. Аналогично, можно скопировать некоторый локальный файл в некоторый удаленный каталог на SSH-сервере: $ scp file.txt [email protected]:/some/remote/directory Теперь усложним задачу. Пусть нам нужно скопировать локальный каталог dirl и все его содержимое (опция -г) в каталог /home/ubuntu/dir2 удаленного сервера example.com. Команда будет такой: $ scp -г dirl [email protected]:/home/ubuntu/dir2 439 Сервер на Windows и Linux A.inux А вот совсем сложный пример. Мы копируем файл /dir/file.txt, находящийся на сервере hostl, в каталог /some/directory сервера host2. На обоих компью­ терах должен быть запущен SSH-сервер. Команда выглядит так:/у $ sop user@host1:/dir/file.txt user@host2:/some/directory/ 14.5. Оптимизация SSH SSH-сервер работает довольно быстро, но иногда администраторам прихо­ дится столкнуться с торможением, особенно при входе пользователя. Ускорить вход пользователя поможет отключение использования DNS. Добавьте в файл конфигурации sshd_conf директиву: UseDNS по В этом случае IP-адреса не будут разрешаться в доменные имена, что су­ щественно повысит производительность, поскольку не будет необходимости обращаться к DNS-серверу и ждать от него ответа. Также нужно использовать постоянные ТСР-соединения: TCPKeepAlive yes Еще можно отказаться от вывода сообщения дня, но на вход пользователя это особо не повлияет: PrintMotd по Серьезное ’’торможение” (порой на несколько секунд) могут добавить РАМмодули. Но отключать РАМ-модули полностью не нужно! Глава 14. Удаленный вход в систему по SSH Достаточно из файлов /etc/pam.d/login и /etc/pam.d/sshd удалить строки: session session optional optional pam_motd.so pam_motd.so motd=/run/motd.dynamic noupdate После этого регистрация на вашем SSH-сервере будет происходить мгновенно. Глава 15. Вопросы администрирования веб-сервера Сервер на Windows и Linux inux Прежде чем приступить к разработке, например, своего интернет-магази­ на, нужно проделать много подготовительной работы - выбрать сервер, до­ менное имя, SSL-сертификат, настроить программное обеспечение сервера и установить саму CMS (Content Management System, систему управления контентом). Только после этого можно начать продавать что-либо, то есть занять сервер полезной работой. 15.1. Выбор доменного имени Как яхту назовешь, так она и поплывет. Конечно, все зависит от личных предпочтений руководства магазина, уже существующего названия торго­ вой марки и других факторов. Как технический специалист, могу пореко­ мендовать выбирать доменное имя второго уровня и желательно в домене .сот (<название>.сот), поскольку вы создаете именно интернет-магазин, а не сайт общественной или правительственной организации. С точки зрения SEO доменное имя второго уровня лучше, чем третьего, например sales.example.org. А домен верхнего уровня (TLD) .сот идеально подходит для коммерческих ресурсов. Купить доменное имя можно на сервисе регистрации доменных имен, например на reg.ru, nic.ru и т.д. Если у вас сервер будет не физический, а виртуальный, совсем не обязательно покупать доменное имя у облачного провайдера. Хотя, если вам удобнее, вы можете купить и сервер, и домен у одной организации. flinux Глава 15. Вопросы администрирования веб-сервера 15.2. Выбор типа сервера Для вашего интернет-магазина нужен собственный сервер, просто хостинг не подойдет по причинам низкой производительности и невозможности гиб­ кого управления программным обеспечением. Хотя некоторые провайдеры предоставляют уже готовый хостинг с ПО для организации магазина, но как будет работать такой магазин - никому не понятно. Я же рекомендую не тратить свое время на подобные продукты (исключение SaaS-услуга с ин­ тернет-магазином, например Shopify, но это уже совсем другой уровень и если вы выбрали такую, то можете дальше эту книгу не читать, а купить книгу по Shopify). Итак, нужен собственный сервер. Возможны три варианта: 1. Физический сервер. 2. Виртуальный сервер (VDS/VPS). 3. Выделенный (dedicated) сервер. От первого варианта прошу вас отказаться. Во-первых, хороший сервер стоит несколько тысяч евро. Это капитальные затраты, которые можно за­ менить операционными посредством использования виртуального сервера. Физический сервер можно использовать, если он уже был куплен до вас. Во-вторых, физические серверы требуют существенных затрат на их обслу­ живание: • Нужно производить ремонт, модернизацию, чистку. В случае с виртуаль­ ным сервером все это ложится на плечи провайдера. Вам не нужно ниче­ го делать и ни на что тратиться. • Нужно обеспечить резервное питание. Это не всегда возможно, посколь­ ку часто альтернативным источником выступает дизель-генератор, а его можно установить не везде (правила пожарной безопасности и уровень шума мешают установить его в обычном офисном здании). • Необходимы вторая интернет-линия и роутер (маршрутизатор) с возмож­ ностью переключения между каналами. Роутер стоит недорого, а вот за Сервер на Windows и Linux второй интернет-канал вам придется платить каждый месяц, даже если вы его не используете. Хотя этот пункт менее проблематичен, чем второй. • Необходимо обеспечить систему кондиционирования летом во избежа­ ние перегрева сервера. imiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiMiiniiiiiiiiiiiiiiiiiiiiiiimiiiiiiiiiiiiiiiiiiiiiiiitiiiiiiiiiiiiiiimiiiiiiiiiiiiiiw Виртуальный сервер ничем по управлению не отличается от физи­ ческого - вы можете установить любое программное обеспечение и настроить сервер так, как вам нужно. iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiinimiimiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiNiiiiiiiiiiiiiiiim Зато у виртуального есть масса преимуществ: • Перед установкой какого-то расширения или внесением существенных изменений в работу CMS или самого сервера вы можете сделать сни­ мок (снапшот). В случае если что-то пойдет не так, восстановить все, как было, можно за считанные секунды. Это основное преимущество использования виртуализации. На продакшн-серверах данная функцио­ нальность ’’must have” - пользователи вашего магазина не должны ждать, пока администратор сделает откат при неудачной настройке. • Модернизация сервера занимает считанные минуты. Например, вы мо­ жете докупить дополнительные ядра процессора и дополнительные ги­ габайты оперативной памяти за считанные минуты. Более того, когда до­ полнительные ресурсы вам будут не нужны, вы можете вернуть их в пул и платить меньше. Например, на время сезонных распродаж (Новый год, Рождество) вы можете добавить дополнительные ресурсы, а после празд­ ников - вернуть их в пул. Выделенный (dedicated) сервер - это то же самое, что и физический | сервер, но установленный в дата-центр облачного провайдера. Вы покупаете сервер и помещаете его на хранение в дата-центр. Провай­ дер обеспечивает резервирование интернет-соединения, питание и охрану сервера. Остальные операции, например модернизация сервера, его ремонт, осуществляются за дополнительную плату. При этом вы не можете сделать снимок сервера или доустановить, а потом вернуть ресурсы сервера. Следующая таблица позволяет сравнить эти три вида серверов. Л-inux Глава 15. Вопросы администрирования веб-сервера Таблица 15.1. Сравнительная таблица типов серверов Тип сервера Преимущества Недостатки Значительно дороже при покупке и содержании Физический Настоящий компьютер из плат и проводов Всю сумму платим сразу Сразу доступны все ресурсы сервера Требуется администратор именно сервера Более высокая производитель­ ность Необходимо платить за colocation или обеспечивать самому надлежащие усло­ вия для работы сервера Сложность модернизации Гораздо дешевле физического сервера Простота обслуживания, не ну­ жен отдельный администратор в штате Обеспечение работоспособно­ сти - не ваша проблема Быстрое клонирование сервера Виртуальный Быстрое создание ’’снимка" сервера, что позволяет вос­ становить сервер за считанные секунды Простая модернизация сервера Оплата только за используемые ресурсы, возможность быстро изменить конфигурацию сер­ вера В стоимость уже входит IPадрес и интернет-канал Производительность не­ много ниже, чем у физиче­ ского сервера Нельзя увидеть/пощупать физически Сервер на Windows и Linux Выделенный Все преимущества физического сервера Дороже виртуального сер­ вера Услуги colocation уже входят в тариф Невозможно создать снап­ шот, как в случае с вирту­ альным сервером, нужно использовать традицион­ ные решения резервного копирования Не нужно беспокоиться о том, что сервер может сломаться Физический сервер, который вы получаете сразу, а оплачива­ ете - по мере использования Арендовать виртуальный сервер в большинстве случаев выгоднее, проще и удобнее, чем связываться с физическим сервером. Сегодня, по сути, физи­ ческое оборудование имеет смысл приобретать, если вы сами планируете предоставлять виртуальные серверы в аренду. Во всех остальных случаях можно обойтись виртуальным сервером. 15.3. Выбор облачного провайдера Очень важно не допустить ошибку при выборе облачного провайдера. Такие ошибки могут очень дорого обойтись - вы потеряете деньги, время, репутацию. Поэтому мы подготовили список, который необходимо уточнить у облачного провайдера перед тем, как воспользоваться его услугами: • Уровень сертификации по Tier — узнайте, присвоен ли центру обмена данных уровень по UTI. С Tier I и Tier II нечего связываться. Tier I - все равно что разместить серверы у себя в офисе, поскольку данный уровень не предполагает резервирования электропитания. Уровень доступности 99.671%, то есть 28.8 часов простоя в год. Самый надежный и доступный по деньгам - Tier III. Резервируются все инженерные системы, обеспечи­ ваются возможности ремонта и модернизации без остановки сервисов. Tier III (99.98% доступности, или 1.6 часа простоя) предполагает построй­ ку второго ЦОД внутри того же здания - ведь все нужно дублировать, в том числе СКС, электричество, систему охлаждения, у всего серверного Л-inux Глава 15. Вопросы администрирования веб-сервера оборудования должны быть независимые подключения к нескольким ис­ точникам питания и т.д. В то же время стоимость будет гораздо ниже, чем у Tier IV (99.99% доступности). • Наличие необходимых лицензий ФСТЭК — помните, что вы будете хранить на данном сервере персональные данные своих клиентов, поэто­ му наличие лицензий ФСТЭК - необходимое условие. • Физическое размещение серверов — ФЗ-152 требует, чтобы персональ­ ные данных граждан РФ хранились только в пределах РФ, поэтому фи­ зическое местоположение играет роль. Как бы вам ни хотелось купить сервер в США, ничего не выйдет. • Были ли раньше аварии на площадке — были ли на площадке выбран­ ного вами провайдера аварии, и если были, то каковы их причины и какие меры были приняты. Нужные сведения можно легко найти в Интернете, равно как и отзывы довольных и не очень клиентов. • Наличие тестового режима — самый хороший способ протестировать, подходит ли вам данная площадка или нет. Узнайте у провайдера, есть ли тестовый режим и как им можно воспользоваться. • Чем является виртуальное ядро — облачные провайдеры измеряют процессорную мощность своих серверов в виртуальных ядрах (vCPU). Один vCPU может равняться одному физическому ядру процессора, а мо­ жет и четверти (1/4) ядра. Этот вопрос нужно уточнить заранее. Покупая виртуальную машину с процессором на 4 ядра, получите ли вы 4 ядра или всего одно ядро (если IvCPU = 0.25 одного ядра)? • Базовая скорость интернет-канала — трафик, как правило, безлимит­ ный, а вот скорость доступа к Интернету может быть разная. Некоторые провайдеры предоставляют серверы с низкоскоростным интернет-соединением 10 Мбит/с, а за более скоростной доступ нужно доплачивать. Не­ которые сразу предоставляют полноценный канал 100 Мбит/с без какихлибо доплат. Протестировать интернет-канал можно командой: wget -О - https://raw.github.com/sivel/speedtest-cli/ master/speedtest.ру | python Вы увидите скорость upload и download. В идеале она должна быть примерно одинаковой и при соединении 100 Мбит/с у вас должен быть результат не ниже 76 Мбит/с при прохождении теста. 449 Сервер на Windows и Linux • Скорость работы дисковой подсистемы — многие провайдеры предо­ ставляют серверы с SSD-дисками. Получите тестовый доступ и подклю­ читесь к серверу по ssh. Введите команду: dd if=/dev/zero of=temp bs = lM count=2048 Вы увидите реальную скорость обмена данными с диском. Если провайдер заявляет, что у вас SSD, а скорость обмена данными меньше 200 Мбайт/с, ищите другого провайдера. • Периодичность и стоимость резервного копирования — уточните, есть ли сервис резервного копирования или резервирование данных при­ дется осуществлять своими силами, то есть покупать еще один виртуаль­ ный накопитель, устанавливать и настраивать программное обеспечение для бэкапа и т.д. Если сервис есть, то нужно уточнить, сколько он сто­ ит, чтобы вы могли планировать свои месячные затраты на содержание виртуальной инфраструктуры. Автор этой книги, работая с cloudways, com, был удивлен, узнав, что поддержка снапшотов есть не для всех ти­ пов серверов. Для серверов DigitOcean возможности создания снапшотов нет. Лучше узнать это до того момента, как вам понадобится возможность создания снапшота. • Тарификация — первым делом нужно уточнить единицу тарификации: минута, час, день и т.д. Что произойдет, если вы выключите сервер на некоторое время? Будет ли такой простой бесплатным или будет тарифи­ цироваться только хранение информации? Что будет, если вы измените конфигурацию сервера в меньшую сторону? Как и когда это отразится на стоимости сервера? Допустим, вы заказали сервер с 16 Гб оперативной памяти, а спустя некоторое время решили, что 16 Гб - это много и будет достаточно 12 Гб. В 11:00 вы уменьшаете размер оперативной памяти. Когда это отразится на тарификации? Моментально, через час или в на­ чале следующего дня? • Скрытые платежи — узнайте, за что еще вам придется платить. Напри­ мер, придется ли доплачивать за панель управления сервером, резервное копирование и т.д. Постарайтесь по максимуму просчитать, сколько будет стоить содержание виртуальной инфраструктуры в месяц, чтобы в конце месяца это не было для вас неприятным сюрпризом. • Способы подключения к серверу — как можно подключиться к арендо­ ванному серверу? Обычно предоставляется SSH-доступ, но может быть еще и доступ через веб-консоль управления сервером, что будет особен- 3 Ai но полезно, если вы при настройке брандмауэра случайно закроете сами себе SSH-доступ - такое бывает. • Служба поддержки — узнайте график и условия работы службы под­ держки. Какие услуги саппорт (поддержка) оказывает платно, а какие - нет. Например, если нет веб-консоли, а вы заблокируете сами себя и обратитесь в саппорт, будет ли настройка брандмауэра платной или вам помогут бесплатно? 15.4. Выбор конфигурации сервера Конфигурацию сервера нужно подбирать исходя из выполняемых им функ­ ций и установленного на сервере ПО. На первых порах вам хватит 4 процес­ сорных ядер и 8 Гб оперативной памяти. Далее будьте готовы к расширению ресурсов. Да, 8 ядер и 32 Гб ’’оперативки”. Если подобная конфигурация сервера - для вас дорого, тогда стоит остановиться прямо сейчас и обратить внимание на SaaS-решения - возможно, они окажутся дешевле. Будьте готовы, что в реальных условиях вам понадобится как минимум 16 Гб памяти и 4-6 ядер. Соответственно, данные операционные расходы нуж­ но будет закладывать в работу магазина. 15.5. Переезд с хостинга на сервер Сейчас рассмотрим практический пример. Пусть у вас есть хостинг и на нем есть сайт. Вы хотите перенести сайт на собственный веб-сервер (физиче­ ский или виртуальный - без разницы). 15.5.1. Этапы переноса Перенос сайта на VPS состоит со следующих этапов: 1. Копирование файлов на локальный компьютер. 2. Экспорт базы данных. ф Odnux Сервер на Windows н Linux 3. Установка веб-сервера, СУБД и другого ПО на виртуальный сервер (ВС). 4. Настройка ПО на VPS. 5. Загрузка файлов с локальной системы на ВС. 6. Редактирование конфигурации движка (CMS). 7. Импорт базы данных на ВС. 8. Перенос домена. 15.5.2. Копирование файлов сайта на локальный компьютер Подключитесь к виртуальному хостингу по FTP. Лучше всего для этого ис­ пользовать FileZilla, поскольку этот FTP-клиент хорошо работает с большим количеством файлов. Перейдите в каталог, содержащий файлы сайта. Как правило, это каталог public_html. Если вы раньше администрировали сайт, то наверняка знаете, как называется этот каталог. Если возникли сложности, обратитесь в саппорт хостинг-провайдера. Й«я пслыоватеяя Размер flatto. CetMWZAxMkKWit оа.. Файлы в задании (454) Неулааиккя лер«д<ыи & Й Q Задана ОД ОД Рис. 15.1. Копирование файлов на локальный компьютер * Л-in их Глава 15. Вопросы администрирования веб-сервера 15.5.3. Экспорт базы данных на локальный компьютер Войдите в панель управления старого хостинга. В ней часто есть ссылка на phpMyAdmin -это приложение используется для работы с БД. Далее действия будут такими: 1. Выберите базу данных, которую нужно перенести. 2. Откройте вкладку Экспорт. 3. Выберите метод экспорта Обычный. 4. Нажмите кнопку Вперед. 5. Сохраните дамп. Рис. 15.2. Экспорт базы данных 15.5.4. Установка веб-сервера, СУБД и другого ПО на VPS Подключитесь к серверу по ssh. После этого первым делом обновим список пакетов и сами пакеты: sudo apt update sudo apt upgrade Сервер на Windows и Linux |inux Далее установим Apache (веб-сервер) и файловый менеджер тс (нужен для упрощения перемещения по файловой системе и редактирования файлов): sudo apt install apache2 me Перейдите в директорию /etc/apache2/sites-enabled и откройте файл 00-default.conf. Мы не будем создавать отдельные web-серверы для каждого сай­ та. Будем считать, что у нас есть один сайт и его конфигурация как раз будет храниться в 00-default.conf. Реальный пример конфигурации приведен на следующем рисунке. Рис, 15,3. Конфигурация сервера: имя сервера затерто (поскольку производи­ лась настройка реального сервера и его имя скрыто в интересах клиента) Основные директивы: • ServerName - здесь нужно указать домен; • DocumentRoot - указывает, где будут храниться документы сайта, мы ис­ пользуем каталог по умолчанию /var/www/html; • ServerAdmin - можно указать адрес электронной почты администратора сервера. ftlnux Глава 15. Вопросы администрирования веб-сервера Запустим web-сервер: sudo systemctl start apache2.service Установим СУБД MySQL, команды: sudo apt install mysql-server mysql-client sudo mysql_secure_installation Первая команда устанавливает необходимые пакеты - сервер и клиент. Вторая запускает настройку так называемой безопасной инсталляции, в ходе которой будут произведены: 1. Установка пароля для MySQL-пользователя root. Обратите внимание, что этот пользователь и системный пользователь root - две разные личности, поэтому постарайтесь, чтобы и пароли у них были разные. 2. Удаление тестовой БД. 3. Запрет подключения к серверу баз данных извне, только с локального узла. Это означает, что к СУБД сможет подключиться ПО, работающее только на этом VPS, а не все желающие. Не беспокойтесь: к вашему сайту смогут подключаться все пользователи, просто они не смогут напрямую подключаться к БД, что нежелательно с точки зрения безопасности. После этого нужно ввести команду: mysql -u root -р CREATE DATABASE site; CREATE USER siteuser@localhost IDENTIFIED BY '123456789'; GRANT ALL PRIVILEGES ON site.* TO siteuser@localhost IDENTIFIED BY 'password'; FLUSH PRIVILEGES; exit Здесь запускается клиент и от имени MySQL-пользователя root выполня­ ются запросы. Первый запрос создает базу данных site, второй - создает пользователя siteuser, от имени которого CMS будет обращаться к СУБД. ^455 Сервер на Windows и Linux inux Третий запрос - предоставление полномочий пользователю siteuser ко всем таблицам базы данных site. Естественно, вместо '123456789’ укажите какойто сложный пароль. Последний запрос осуществляет применение полномочий, а команда exit выход из клиента mysql. Для установки PHP и всех необходимых (в большинстве случаев) пакетов используется вот такая длинная команда: sudo apt install php php-cli openssl php-curl php-gd php—mcrypt php-xml php—inti php-zip php-mbstring php—soap php—mysql php-json libapache2-mod-php php-xsl composer Она установит последнюю версию интерпретатора, доступную для вашего дистрибутива. Например, для Ubuntu 16.04 это будет 7.0, для 18.04 - 7.2. Узнать версию можно командой: php -v Рис. 15.4. Версия интерпретатора Глава 15. Вопросы администрирования веб-сервера Jnux Установим максимальный размер памяти для сценария. Откройте файл кон­ фигурации (X - версия): sudo mcedit /etc/php/7.X/apache2/php .ini В нем нужно изменить лимит памяти и сразу сохраниться: memory_limit = 512М Добавим необходимые модули Apache (введите команду): a2enmod rewrite Также, чтобы нормально работали SEF URL некоторых CMS, нужно открыть /etc/apache2/sites-enabled/000-default.conf и добавить в секцию VirtualHost строки :о <Directory /var/www/html/magento_test> Options Indexes FollowSymLinks MultiViews AllowOverride All </Directory> Все, можно повторно перезапускать Apache. 15.5.5. Загрузка файлов с локальной системы на VPS Загрузите ваши файлы в каталог /var/www/html или любой другой, который вы указали в DocumentRoot. IIIIIIIIIIIIIIII II I I III 111 II III Illi Illi II I I II rill I I II I I II I I I II Illi I I I I I t I I I I I 1 I II I Если для подключения no SSH вы используете Bitvise SSH Client, загрузить файлы можно в окне Bitvise SFTP. Используйте команду кон­ текстного меню Upload. llllllllltllllllll I I II I Hill I I III llllllllllllll II II I II llllllllll I I II I I III I I Illi Illi III I I II I IIIIIIIIIIIIIIIIIIIIIHIIIIIHIIlHIIIIIIir 457 (^Linux Сервер на Windows и Linux ^ -8iM»»SnF W» kw# Винк* Цйми1<ЯН<» Comfort силы Les ^)Вмиоо i^Upfortau*» tJjDcnotfortcuoeo i/Les □ а*Г " "З " Remote fifes . ж . 0 : Й 3 <» .W*W Local We» 0 5 Nemo > on*wd * civile . <ЙУ . apt Л <MC <: haekar : kamal / photo Л Pkp Й Si a E «KniptStow dut Тура 0 Попове 0 Палме б Полис. 0 Полые в Полис 0 Палка с 0 Палме . 0 Папка с. . 0 Палме. в Палм с . 0 Палм с G Палме в Попове. 0 Полис 0 Полис. 0 Попев с С Палка с . ПО ata Омега 466 3М Chroma. Wvtfft (:< idhMta :: ayttam lOUrttl : ubuflb > w»nl :> MMp #fcw™».Mrt f rituaiaoOt Я!л»«а Bmoo • 'Лмии* X («eraupmaSrt '.'Оуолиои DotoModArt *в Nemo account 08 03201122 . EmM НСЗЯЧИ 08 0321115 22 Муо«И меззоиа. .Product £ Woo «озяиа :<ЦЛ.вемтуМ мозяна *.МСО*РМ 05.032013 22 МОШ»».. ^jox_eeeo««W нсзаюа. $Сог«1Ш(«р tfOtecourtow омзяна.. ■«aAeofopfcp Ов.ОЭ2О1»а. МИИЧУ ; ;■« 0«eon«.060»1*.prt яоэяиа. з^(МеМАЯППр* илзми a., j i nileyotMptip ^иммымо ЯШЯИа. S 0603201322 ii:■«омил-игеАр hs<MH.p*p ЛИЯИа.. 5 ЛЕЛЯ»».. А Ш«<«еи*5Р»|₽ ! илзмча. a ^«Т j омами» ЯопжУсМ в.пвгу »SU-i ■ < ««rti .hMOU,'»WftCfofocel^T^fc^ Me Тум DobModChd РвпгйеЫ «ОН Попове 10.08Я1811.. dnwMt«ОН Полые «ЛИЛИН... dnomw«ОМ Попове «ЯМИ 11.. «Ьтю«ОК Попове 1Л05ЯНН.. dnwwtr«ОМ Полове . М.ПЯН17.. «мо’ТХЗ Иехшвм 0705.20413 -пилим ИЛИ Исвоаны. 12.12301» 12. -маме450s Иеммы. «МЮТ11. «мним 317 Исхааны. 10Л8ЯИ11-. -галспиаЗОИ Иеммы. «ЛЕЯМИ., -twmi»22 832 Ишюш ЛИЯ» И... питие-* Я И» Исмет ИЛИОН 11.. емким 41» Иенпаиы.. 2803.20412.. «ни»»» 583 Исходны 10.052018'1 . -пипт212 Исмаиы. 1006201811 «амме«он иш>»ш.. швеями. -пи»»»2W Исмаиы 10.08201» >1.. «<г««-3»1 Исмаиы. «язвин, «то»»48 Немалы 10.05201811.. -мтм- X ЙЛ^ - Ж • • ?; Rowmo jOvomut» ЛшС 4 ttomfort X liwmdawntoaead Рис. 15.5. Bitvise SFTP После этого перейдите в каталог /var/www/html (или любой другой, указан­ ный в конфигурации): sudo find . -exec chown www-data:www-data (} \; Команда делает владельцем всех файлов и каталогов пользователя www-data, от имени которого работает веб-сервер (сейчас владелец root и пользователь www-data не сможет перезаписать файлы, созданные суперпользователем, в результате движок сайта не сможет записать кэш и другую информацию). 15.5.6. Редактирование конфигурации движка сайта В файловом менеджере тс откройте для редактирования (кнопка F4) файл конфигурации движка. Его название и расположение зависит от используе­ мой CMS (например, в случае WordPress - это wp-config.php). В нем нужно "прописать" новые параметры для доступа к БД: • Узел - localhost. • Имя пользователя - siteuser. 458 Глава 15. Вопросы администрирования веб-сервера inux • Пароль- 123456789. • База данных - site. Конечно, у вас будут другие, свои значения, которые вы указали при настройке MySQL. 15.5.7. Импорт базы данных на VPS Здесь все просто. Загрузите на сервер (по SSH) дамп базы данных, получен­ ный при экспорте. Пусть он называется db.sql. Если он сжатый, то сначала его нужно распаковать:^ unzip db.sql.zip Теперь импортируем его в БД: mysql -u siteuser -р site < db.sql Разберемся, что есть что: • опция -и задает пользователя БД (siteuser); • опция -р говорит о том, что нужно будет спросить пароль этого пользо­ вателя; • site - это БД; • db.sql - импортируемая БД. 15.5.8. Перенос доменного имени Осталось самое малое — открыть панель управления доменным именем. Если вы покупали домен вместе с хостингом, скорее всего, это будет панель управления хостингом. Если вы покупали домен у регистратора (например, Сервер на Windows и Linux на reg.ru), зайдите в личный кабинет. В настройках домена у вас сейчас про­ писаны NS-записи - удалите их. Вместо этого создайте A-запись, указываю­ щую на IP-адрес вашего VPS. Внимание! Многие после этого совершают одну большую ошибку, а именно - "забывают" пароль от старого хостинга или удаляют аккаунт. Если домен зарегистрирован непосредственно у регистратора домен­ ного имени (nic.ru, reg.ru и т.д.), старый аккаунт можно удалить. А вот если вы покупали домен вместе с хостингом, то управление доменом будет производиться через панель управления старым хостингом. Да, за хостинг платить не нужно, но раз в году необходимо оплачивать продление доменного имени. Или же обратитесь в службу поддерж­ ки старого хостинга - они помогут перенести домен в другое место. Лучше всего перенести домен к регистратору доменных имен, а не к новому хостеру - так не придется проделывать эту процедуру еще раз при следующем "переезде". 11111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111П111111Ш1111111111П1111111111111111111111Н1111П111|1Ш1Ш111111ШШ11ШШ1Ш111111111111111111111111111111111111и^ На этом процедура переезда с виртуального хостинга на сервер завершена. 460 Глава 16. Файловый сервер FTP Сервер на Windows и Linux A.inux 16.1. Выбор FTP-сервера Для Linux разработано очень много различных FTP-серверов. На данный момент доступны следующие варианты: proftpd, pure-ftpd, wu-ftpd, vsftpd. Попробуем разобраться, какой вариант будет лучше для вас. Если вам нужно максимум настроек и максимальная гибкость, тогда нужно выбрать proftpd. Это настоящий монстр (в хорошем смысле этого слова) по сравнению с остальными серверами. Как правило, данный сервер выби­ рают, если вам нужен полноценный FTP-сервер, работающий в Интернете (а не в закрытой локальной сети), к которому будут подключаться множе­ ство разных FTP-пользователей. Идеально подходит в качестве FTP-сервера хостинг-провайдера: когда есть один мощный физический сервер, на кото­ ром хранятся сайты множества клиентов. Для доступа к файлам этих сайтов можно использовать как раз proftpd. Сервер vsftpd (Very Secure FTP Daemon) позиционируется как очень защи­ щенный FTP-сервер. Обслуживает официальные репозитории ftp.debian. org, ftp.redhat.com, ftp.openbsd.org, ftp.freebsd.org и других дистрибутивов. Немного настроек, надежда на лучшую защищенность и вроде бы работает чуть быстрее - вот что можно сказать о vsftpd. Как правило, используется для организации анонимных архивов, например, часто его используют раз­ работчики дистрибутивов для размещения ISO-файлов. Для анонимного (гостевого) доступа - идеальное решение. Быстро, безопасно, просто. Глава 16. Файловый сервер FTP jnux Серьезное ограничение сервера vsftpd - он не позволяет одновременную регистрацию обычных и анонимных пользователей. Например, в случае с proftpd вы можете разрешить регистрацию обычных пользователей (пусть это будут пользователи, купившие у вас хостинг) и на этом же сервере вы можете создать публичный каталог downloads, откуда могут скачать файлы все кто угодно и без регистрации, то есть анонимно. В vsftpd такая конфигу­ рация работать не будет. Если у вас совсем простой проект и вам нужен сервер, который практически не нужно настраивать, тогда ваш выбор - pure-ftpd. Сервер простенький, но на production-серверах я бы его не рекомендовал. Самый древний вариант - wu-ftpd. Старый и ’’дырявый” сервер. По причине его почтенного возраста и не очень совершенной безопасности в книге мы его рассматривать не будем, как и pure-ftpd. Сначала мы рассмотрим proftpd, а затем - vsftpd. Какой из них выбрать? В большой корпоративной сети или на сервере хостинг-провайдера лучшим вариантом будет proftpd, то есть в среде, где будет много неанонимных пользователей. Если же в основном у вас будут анонимные пользователи и не очень много обычных пользовате­ лей, тогда можно смело выбирать vsftpd - не зря его выбрали разработчики дистрибутивов Linux и он обслуживает их репозитории. 16.2. Настройка FTP-сервера proftpd 16.2.1. Установка и управление сервером Для установки proftpd нужно установить одноименный пакет, который име­ ется во всех дистрибутивах Linux. Конфигурационные файлы сервера хранятся в каталоге /etc/proftpd. Основной конфигурационный файл называется proftpd.conf и будет рассмотрен в следующем разделе. В некоторых дистрибутивах файл proftpd.conf находится в каталоге /etc, то есть полное его имя - /etc/ proftpd.conf. Illlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllin HIHIIIHIIHIIIIIIIHHH НИИ llllllll IIIIIIIIIIII и II II II I I II I I II I I I II II II II III II III I II Hill II II II II I I II Illi I I I Illi II Illi I II I I I I I I 463 Сервер на Windows и Linux Управлять сервером можно с помощью команд: sudo sudo sudo sudo systemctl systemctl systemctl systemctl start proftpd restart proftpd stop proftpd status proftpd или с помощью таких команд (в устаревших дистрибутивах): # service proftpd start # service proftpd restart # service proftpd stop # service proftpd status Первая команда, как обычно, запускает сервер, вторая - перезапускает, тре­ тья - останавливает. Последняя команда показывает состояние сервера. Когда серверу ’’плохо”, с помощью этой команды можно узнать, что ему ”не нравится”. Пока запускать сервер не нужно. 16.2.2. Файл конфигурации proftpd.conf Конфигурационный файл proftpd.conf тщательно прокомментирован, однако я понимаю, что не все знают английский язык, поэтому сначала в листинге 16.1 будет приведен файл proftpd.conf с комментариями на русском языке, а затем мы рассмотрим некоторые директивы подробнее. Кроме простого перевода, я дополнил этот файл собственными комментариями. Тем более что в файле конфигурации по умолчанию не указаны все директивы и не все директивы прокомментированы. Листинг 16.1. Файл /etc/proftpd.conf # # # # # Это основной файл конфигурации ProFTPD Он настраивает одиночный сервер, поддерживающий кроме всего прочего и анонимный вход. Он подразумевает, что у вас созданы учетные записи пользователя/группы "nobody” и "ftp" для анонимной и обычной работы. 9 Глава 16. Файловый сервер FTP # Название сервера ServerName "ProFTPD" # Тип сервера - автономный. Не изменяйте это значение ServerType standalone # Это сервер по умолчанию Defaultserver on # Используем стандартный порт FTP—сервера - 21 Port 21 # Диапазон портов брандмауэра для PASV PassivePorts 40000 40999 # Уровень отладки - от 0 до 9 # по умолчанию - 0 DebugLevel 0 # SystemLog - задаем файл журнала SystemLog /var/log/proftpd/proftpd.log # По умолчанию мы не используем IPv6. Если нужна поддержка IPv6, установите # значение on для этого параметра UseIPv6 off # Обычно значение 022 - отличный выбор, и не изменяйте его за исключением # случаев, когда вы понимаете, что делаете Umask 022 # Для предотвращения DoS-атак установите максимальное число # дочерних процессов до 30. Если вам нужно более 30 одновременных # соединений, просто увеличьте это значение. Этот параметр работает только в # standalone-режиме. В inetd-режиме # количество одновременных соединений ограничивает суперсервер xinetd. # Значение по умолчанию - 30, но я его сделал меньше - 20. В вашем случае # нужно экспериментировать и смотреть, сколько одновременных пользователей # могут работать с сервером Maxinstances 20 # Учетные записи пользователя и группы, от имени которых будет работать сервер User ftp Group ftp # Формат журналирования LogFormat default "th 11 Fi t \"lr\" ts lb" LogFormat auth "cv [F] th t \"%r\" Is" LogFormat write "sh 11 lu It \"%r\" Is lb" # ------------------------------# Глобальные параметры описываются в секции Global # ------------------------------<Global> # ------------------------------# Вход на сервер # ------------------------------- ^---------------------------------------------------------------------------------------------------------------------- Сервер на Windows и Linux # Поскольку DeferWelcome равно on, то приветствие будет отображено после # аутентификации, а не до нее (off) Serverident on "FTP server ready” DeferWelcome on # Директива DisplayConnect задает текстовый файл, который # будет отображен сразу после подключения пользователя, но до его входа #DisplayConnect /etc/proftpd/msg # Директива DisplayLogin указывает текстовый файл, который будет # показан, когда пользователь зайдет на сервер #DisplayLogin /etc/proftpd/msg <IfModule mod_ident.c> # Отключаем Ident-запросы (RFC1413) I den t Loo kup s off </IfModule> # Если директива UseFtpUsers включена (on), то ProFTPD при подключении # пользователя будет искать его имя в файле /etc/ftpusers. Если его там # нет, тогда сервер откажет в подключении UseFtpUsers off # Подключение на основании /etc/shell. При включенной директиве # будет требоваться "правильная" оболочка. Если к серверу будут # подключаться не только Linux/Unix-клиенты, эту директиву нужно # выключить (off) RequireValidShell off # Максимальное число времени в секундах, которые разрешается # клиенту потратить на аутентификацию TimeoutLogin 60 # Максимальное число попыток входа MaxLoginAttempts 3 # Максимальное число клиентов на один узел. Позже мы поговорим об этой # директиве подробнее #MaxClientsPerHost none # Максимальное число соединений для одного пользователя #MaxClientsPerUser 1 "Only one connection at a time." # ---------------------------------------------------------# Аутентификация # ---------------------------------------------------------- ### РАМ-аутентификация # Включите РАМ-аутентификацию, если она вам нужна (если хотите # контролировать вход в систему по FTP через РАМ) AuthPAM off # Измененный AuthPAMConfig-файл AuthPAMConfig proftpd ### РАМ-аутентификация # Задает альтернативный файл паролей. Если нужно, чтобы 466 A.inux Глава 16. Файловый сервер FTP # информация об учетных записях бралась из /etc/passwd, # укажите его здесь, а еще лучше - закомментируйте следующие # две опции AuthUserFile /etc/proftpd/auth/passwd # Задает альтернативный файл групп AuthGroupFile /etc/group ### Порядок модулей аутентификации. # Обратите внимание: здесь # я изменил значение по умолчанию: сначала аутентификация # будет производиться # средствами самой ОС, а потом - через файл, заданный в AuthFile AuthOrder mod_auth_unix . с mod_auth_file. с # AuthOrder mod_auth_file . с # Если нужна аутентификация РАМ, то порядок должен быть такой: # AuthOrder mod_auth_pam.с* mod_auth_unix.с # --------------------------------------------------------- # После логина # ----------------------------------------------------# Задает файл,который будет отображен после входа на сервер DisplayLogin welcome.msg # Задает файл, который будет отображаться при изменении каталога DisplayChdir .message # Если off, запрещает перезаписывать существующие файлы AllowOverride off # Тайм-аут простоя: если пользователь не проявляет активности, # соединение будет закрыто Timeoutldle 600 # Тайм-аут начала передачи: если пользователь вошел и не начал # передачу за 900 секунд (по умолчанию), соединение будет разорвано TimeoutNoTransfег 900 # Замирание во время передачи. Подробнее этот параметр мы обсудим позже TimeoutStalled 300 # Максимальная продолжительность сессии с момента аутентификации TimeoutSession 3600 # ----------------------------------------------------# Сессия #----------------------------------------------------# Задает корневую файловую систему пользователя # Это очень важный параметр, и о нем мы поговорим отдельно DefaultRoot ~ web,'users # Регулярное выражение, задающее параметры командной строки, которые # будут блокироваться DenyFilter \*.*/ # Позволяет указать, что именно будет выводиться при листинге # каталога. Обычно не нужно изменять этот параметр ListOptions ”-А +R" strict # Включает/выключает glob ()-функциональность UseGlobbing off Сервер на Windows и Linux # Показывать (on) или нет (off) символические ссылки ShowSymlinks on # Рекомендую выключить этот параметр (off) , чтобы сервер # показывал локальное время, а не GMT TimesGMT off # ---------------------------------------------------------# Загрузка и выгрузка файлов # ---------------------------------------------------------# Можно ли перезаписывать существующие файлы или нет AllowOverwrite off # Можно ли клиентам продолжать загрузку (on) или нет (off) # Для удобства пользователей рекомендую включить этот параметр Al1оwRetгiеveRestагt on # Для более безопасной загрузки включите (on) этот параметр HiddenStores on # Включает автоматическое удаление частично загруженных файлов DeleteAbortedStores on # Al 1 оwS t о г eRe s t а г t off # ---------------------------------------------------------# Параметры протоколирования. Смело все оставляйте как есть # ---------------------------------------------------------- WtmpLog off TransferLog /var/log/proftpd/xferlog # Записываем все попытки входа ExtendedLog /var/log/proftpd/auth.log AUTH auth # Протоколирование доступа к файлам/каталогам ExtendedLog /var/log/proftpd/access.log WRITE,READ write # Параноидальный уровень протоколирования... ExtendedLog /var/log/proftpd/paranoid.log ALL default # SQLLogFile # SQLLogFile </Global> /var/1og/pгоftpd/SQL.log ### Конец глобальных параметров ### # Запрещаем использование CHMOD <Limit SITE_CHMOD> DenyAll </Limi t > ##### # Включаем другие конфигурационные файлы #Include /etc/proftpd/conf.d/*.conf ##### Глава 16. Файловый сервер FTP # ------------------------------# # # # # # Настройки анонимного доступа ------------------------------Базовая анонимная конфигурация, загрузка файлов на сервер запрещена. Анонимным пользователям можно только скачивать файлы с сервера. Если вам не нужен анонимный вход, просто удалите секцию. <Anonymous> <Anonymous ~ftp> # Limit LOGIN #<Limit LOGIN> # Order Allow,Deny # Allow from .examples.net,113.141.114.1 # Deny from All #</Limit> # Ограничиваем WRITE везде, <Limit WRITER DenyAl1 </Limit> запрещаем запись полностью # LoginPasswordPrompt -- будем ли отображать приветствие или нет LoginPasswordPrompt off # DirFakeMode -- прячем настоящие разрешения файлов/каталогов DirFakeMode 0640 # DirFakeUser -- прячем настоящих владельцев файлов/каталогов DirFakeUser On # DirFakeGroup -- скрываем настоящую группу файла/каталога DirFakeGroup On # Для анонимного входа можно использовать как имя anonymous, так и ftp UserAlias anonymous ftp # Максимальное число одновременных анонимных пользователей MaxClients 10 # Максимальный размер получаемого файла #MaxRetrieveFileSize 512 Mb # Ограничиваем скорость передачи данных до 255 КБайт/с #TransferRate АРРЕ,RETR,STOR,STOU 255 # Файл 'welcome.msg’ будет отображаться при входе, а файл '.message' при # каждом новом изменении каталога DisplayLogin welcome.msg DisplayChdir .message # Далее следует закомментированная секция Directory, позволяющая указать # параметры каталога. В данном случае ограничивается доступ к каталогу # pub. Получить доступ к нему могут только сети .examples.net и с IP # 113.141.114. 1 . #<Directory pub> # <Limit ALL> С ервер на Windows и Linux O-inux # Order Allow,Deny # Allow from .examples.net,.113.141.114.1 # Deny from All # </Limit> #</Directory> # Следующая секция содержит параметры каталога uploads, который обычно # используется для загрузки файлов анонимными пользователями на сервер. # Если вам нужна такая возможность, раскомментируйте эту секцию. # Мы запретили чтение этого каталога, но разрешили загрузку в # него файлов. #<Directory uploads/*> # <Limit READ> DenyAll # </Limit> # <Limit STOR> AllowAll # </Limit> #</Directory> </Anonymous> 16.2.3. Обеспечение безопасности FTP-сервера Рассматриваемый FTP-сервер довольно безопасен, но при правильной на­ стройке. Рассмотрим моменты, на которые стоит обратить внимание. Пер­ вым делом нужно исправить директиву DefaultRoot так:-. DefaultRoot ~ Для каждого пользователя его домашний каталог станет его корневым ката­ логом. Это означает, что пользователь не сможет выйти за пределы его до­ машнего каталога и прочитать ваши системные конфигурационные файлы. В своем домашнем каталоге пользователь может делать все, что ему захо­ чется: загружать в него файлы, загружать файлы на свой компьютер, удалять файлы и т.д. Как правило, никаких действий по ограничению возможностей пользователя предпринимать не нужно. Совсем другое дело - анонимные пользователи. Приведенная выше кон­ фигурация предполагает, что анонимные пользователи не могут загружать файлы на ваш FTP-сервер. С другой стороны, если это - корпоративный FTP-сервер, то нужно разрешить пользователям загружать файлы. Решение по умолчанию подразумевает загрузку файлов в каталог uploads, который ____________ 470J • A-inux Глава 16. Файловый сервер I I P пользователи не могут прочитать, - это делается, чтобы один анонимный пользователь не удалил файлы, загруженные другими пользователями:—. <Directory uploads/*> <Limit READ> DenyAll </Limit> <Limit STOR> AllowAll </Limit> </Directory> Доступ на запись разрешен всем (AllowAll), но рекомендуется ограничивать его по IP-адресу, например, разрешить запись только пользователям корпо­ ративной сети: /л <Directory uploads/*> <Limit READ> DenyAll </Limit> <Limit STOR> DenyAll Allow from 10.1.1. </Limit> </Directory> В глобальной секции можно ограничить доступ к серверу только пользова­ телям локальной сети. Повторюсь - только если у вас корпоративный сер­ вер. Это можно сделать путем ограничения операции LOGIN, например: <Limit LOGIN> Order deny, allow DenyAll Allow from 10.10.1. </Limit> Аутентификация также заслуживает отдельного разговора. В большинстве случаев вам будет удобнее использовать для аутентификации саму операци­ онную систему Linux: 471 Сервер на Windows и Linux AuthOrder Л-inux mod auth unix.c Если пользователей немного и все они зарегистрированы через /etc/passwd, это неплохой вариант. При желании можно использовать аутентификацию РАМ: AuthOrder mod_auth_pam.с* mod_auth_unix.с Когда же пользователей очень много (несколько сотен или тысяч), удобнее для аутентификации использовать MySQL. В этом случае учетные записи FTP-пользователей будут храниться не в /etc/passwd, а в отдельной таблице MySQL. Настройка этого способа аутентификации будет рассмотрена в сле­ дующем разделе, поскольку все не так просто, как кажется на первый взгляд. Ускорить аутентификацию может отключение следующих директив: IdentLookups UseReverseDns off off Первая строка отключает Ident-запросы (давно уже не используются), вторая - запрещает разрешать IP-адреса пользователей в доменные имена. При входе пользователя на сервер его IP-адрес автоматически преобразовы­ вается в доменное имя. Мы отключили данный функционал, чтобы аутен­ тификация проходила быстрее. При желании вы всегда сможете разрешить IP-адрес в доменное имя вручную, если вам это будет нужно. Директива TimeoutLogin задает, сколько времени можно потратить I пользователю на аутентификацию. По умолчанию - 60 секунд. Сейчас никто не вводит пароль вручную, поэтому нет смысла ждать 60 се­ кунд. FTP-клиент вводит пароль моментально. Зато такая настройка может ’’подвесить” сервер, например, злоумышленник подключается к серверу под множеством учетных записей и заставляет сервер ждать 60 секунд для каж­ дой из них. Так что меняем это значение на 10. Десять секунд вполне доста­ точно на предоставление пароля. 472 L____ Odnux TimeoutLogin Глава 16. Файловый сервер FTP 10 Сколько клиентов могут подключаться с одного и того же IP-адреса? Если вы настраиваете корпоративный сервер, то, очевидно, с одного IP-адреса может подключаться только один клиент: MaxClientsPerHost 1 Но если вы настраиваете FTP-сервер, к которому будут подключаться поль­ зователи Интернета, нужно помнить о NAT. Представьте, что есть другая ло­ кальная сеть с одним реальным IP-адресом (как правило, реальный IP-адрес есть только на шлюзе). Получается, что к вашему серверу могут подклю­ читься несколько пользователей из этой сети и у всех них будет одинаковый IP-адрес, хотя сами пользователи будут разные. Обычно такие ситуации редкие, поэтому можно ограничиться 2-3 клиентами. Но бывают исключе­ ния - у вас может быть очень популярный сервер, например с музыкальным контентом, или же вы знаете, что где-то есть другая сеть, практически все пользователи которой будут подключаться к вашему серверу. Здесь решать вам. Пока установим ограничение на уровне 3 пользователей с одного IPадреса: MaxClientsPerHost 3 Директива Maxinstances задает максимальное число одновремен ных клиентов. Чтобы предотвратить DoS-атаку, не устанавливайте большие значения для этого параметра:^ Maxinstances 20 Однако при настройке сервера хостинг-провайдера, на котором будет 1000 пользователей, а вы разрешили одновременную работу всего двадцати поль­ зователям, может возникнуть ситуация, когда пользователи не смогут войти ьж Сервер на Windows и Linux I............................................................. Л-lnux на сервер. Здесь нужно исходить из задач и ориентироваться по ситуации. В одном случае и 20 пользователей - это много, в другом 100 - мало. Об оперативной памяти можно особо не заботиться, proftpd довольно эко­ номно ее использует. Каждый процесс proftpd занимает около 2.5 Мб, сле­ довательно, 100 процессов займут всего 250 Мб. Самое страшное - это загрузка процессора. При закачке одного файла один процесс proftpd зани­ мает от 10 до 30% процессорного времени одного ядра. Вот и считаем, что если даже один процесс расходует 10% процессорного времени одного ядра, всего 10 процессов "сожрут" одно ядро процессора. 40 одновременных про­ цессов окажут ощутимое влияние даже на четырехядерный процессор. Вот поэтому в настройках по умолчанию и рекомендуется не превышать значе­ ние 30 для этого параметра. I | Директива MaxCllentsPerUser задает, сколько соединений может создать один пользователь. Чтобы один пользователь не залогинился 30 раз и не захватил все 30 про­ цессов, рекомендуется ограничить это значение до 1: MaxCllentsPerUser 1 "Only one connection at a time." Первый параметр этой директивы - число соединений. Второй - сообщение об ошибке, которое будет выведено. Если у клиента медленное или нестабильное соединение, бывает так, что он может начать передачу файла, но потом связь может оборваться. Можно задать тайм-аут, определяющий, сколько нужно ждать в такой ситуации до разъединения. Медленные и нестабильные соединения уходят в прошлое, поэтому можно понизить время ожидания с 5 минут (300 секунд) до 2 минут: TimeoutStalled 120 Это делается специально, чтобы процесс proftpd завершился как можно быстрее и не занимал драгоценное процессорное время. 474 Глава 16. Файловый сервер FTP Максимальная продолжительность сессии с момента аутентификации задается директивой TimeoutSession. По умолчанию сессия состав­ ляет 1 час, чего вполне хватит даже для загрузки больших файлов. Например, при относительно низкой скорости загрузки в 1 Мбайт/с файл размером 1 Гб загрузится примерно за 1024 секунды. То есть за одну такую сессию пользователь сможет загрузить три таких файла. Если есть необходи­ мость загрузки больших объемов данных, этот параметр можно увеличить. Когда все будет готово, запустим сервер: # service proftpd start После запуска просмотрим его состояние: # service proftpd status Далее попробуем подключиться к серверу: $ ftp <1Р—адрес сервера> 16.2.4. Аутентификация с помощью MySQL Как уже было отмечено ранее, если у вас очень много пользователей, то це­ лесообразно хранить их учетные записи в базе данных MySQL, а не в файле /etc/passwd, где лучше хранить пользователей, которым разрешен локальный вход в систему. Иначе /etc/passwd разрастется до неприличных размеров, что не есть хорошо, да и управлять таким большим количеством пользователей через /etc/passwd не очень удобно. К тому же возможность входа в систему локально любого из FTPпользователей -тоже не очень хорошо. Чем больше пользователей, тем боль­ ше вероятность входа в систему любого из них способом, отличным от FTP. Сервер на Windows и Linux inux Кроме самого сервера proftpd, нужно доустановить еще и модуль proftpdmysql, который обеспечит аутентификацию через MySQL. Как правило, это делается путем установки соответствующего пакета (пакет proftpd-mysql). Далее в область глобальных параметров конфигурационного файла proftpd. conf нужно добавить строки:^ SQLAuthTypes Plaintext SQLAuthenticate users ftpusers@localhost:3306 ftp password SQLConnectlnfo SQLUserlnfo 'users' 'username' 'password' 'uid' 'gid' 'homedir' 'shell' Первая строка определяет тип аутентификации. Мы будем хранить в БД па­ роли в открытом виде (в незашифрованном виде), поэтому используем тип аутентификации Paintext. Можно, конечно, использовать опцию Backend и шифровать пароли с помощью MySQL-функции PASSWORDQ. | Директива SQLAuthenticate указывает, кого мы будем аутентифици-1 ровать - пользователей. Директива SQLConnectlnfo задает параметры подключения к MySQL-1 серверу. Здесь: • ftpusers - название базы данных, которая будет содержать информацию о пользователях; • localhost - имя MySQL-сервера; • 3306 - порт сервера; . ftp - имя MySQL-пользователя (его еще нужно создать!); • password - пароль MySQL-пользователя. I Директива SQLUserlnfo задает имя и структуру таблицы с информа­ цией о пользователях. Глава 16. Файловый сервер FTP jnux Здесь ’users' - имя таблицы, остальные поля задают, соответственно, имя пользователя, пароль, UID, GID, домашний каталог и оболочку. Далее с помощью phpMyAdmin или клиента mysql создайте в базе данных ftpusers следующую таблицу:^ CREATE TABLE 'users ( 'uuid' int(ll) NOT NULL auto_increment, 'username' varchar(32) NOT NULL, 'password' varchar(128) NOT NULL, 'uid' int (11) NOT NULL, 'gid' int (11) NOT NULL, 'homedir' varchar(50) NOT NULL, 'shell' varchar(20) NOT NULL, 'last_login' int (15) NOT NULL, 'login_count' int (15) NOT NULL, 'last_err_login' int (15) NOT NULL, 'err_login_count' int (15) NOT NULL, PRIMARY KEY ('uuid') ) ENGINE=MyISAM; Собственно, вот и все. Можно приступить к заполнению этой таблицы. Если вы желаете хранить пароли в зашифрованном виде, используйте тип. аутентификации Backend и пароли в БД вносите через MySQL-функцию PASSWORD01. 163. Сервер vsftpd Сервер vsftpd гораздо компактнее, особенно это заметно при его настройке. Здесь нет огромного файла с множеством самых разнообразных опций. Зато настраивается он проще и быстрее. Для установки сервера vsftpd нужно установить одноименный пакет, кото­ рый имеется во всех современных дистрибутивах Linux и даже в FreeBSD. Конфигурационный файл vsftpd называется /etc/vsftpd.conf. В листинге 16.2 приводится вполне рабочая конфигурация сервера vsftpd. Нужно отметить, что последние версии vsftpd не разрешают более одновременную регистра­ цию анонимных и обычных пользователей. Если вам нужно, чтобы на серве1 http://dev.mysql.eom/doc/refman/5.0/en/encryption-functions.html#function_password ^477 Сервер на Windows и Linux ре регистрировались как анонимные, так и обычные пользователи, вам нуж­ но использовать proftpd. Это серьезное ограничение, и вы должны решить, будет ли ваш сервер анонимным или традиционным. Параметр anonymous_ enable позволяет включить/выключить поддержку анонимных пользовате­ лей, а параметр local_enable - локальных. В старых версиях вы могли бы написать эти параметры так: anonymous_enable=YES local enable=YES В новых версиях такая конфигурация работать не будет. Как правило, vsftpd используется для загрузки файлов анонимными пользователями, поэтому данное ограничение не является существенным. Листинг 16.2. Конфигурационный файл /etc/vsftpd.conf # Разрешаем только анонимных пользователей anonymous_enable=YES # Запрещаем загрузку файлов анонимными пользователями anon_upload_enable=NO # Можно ли анонимному пользователю создавать свои каталоги? anon_mkdir_write_enable=NO # Разрешить ли операцию записи (не только сохранение файла, но и удаление, и # переименование) анонимному пользователю? anon_other_write_enable=NO # Запрещаем регистрацию обычных пользователей local_enable=NO # Из соображения безопасности не изменяйте этот параметр! chroot_local_user=YES # Максимальная скорость передачи данных (в байтах/с) # 0 - без ограничения local_max_rate=7200 # Разрешена ли запись в каталог? write_enable=NO # Выводить ли сообщения при смене директории? dirmessage_enable=YES # Строка, которая будет показана при входе пользователя mux Глава 16. Файловый сервер FTP ftpd_banner="Welcome to FTP service." # Включить регистрацию событий? xferlog_enable=YES # Протоколировать все активные FTP-соединения? 1og_f tp_p го t осо1=N0 # Разрешать ли соединения только на порт 20 connect_from_port_2 0=YES (ftp data)? # Тайм-аут сессии idle_session_timeout=600 # Тайм-аут передачи данных data_connection_timeout=120 # Предоставлять вход через РАМ pam_service_name=vsftpd # Для автономной работы (как standalone в proftpd) для следующего # параметра нужно установить значение YES. # Если нужно запускать сервер через xinetd, установите значение NO listen=YES После того как вы отредактируете файл конфигурации, сохраните его и за­ пустите сервер: # service vsftpd start Глава 17. Доменная система имен Сервер на Windows и Linux I............................................................. Л-inux 17.1. Разнообразие DNS-серверов Все мы знаем, что такое система доменных имен (DNS, Domain Name System). I Система DNS отвечает за разрешение числовых IP-адресов в символь­ ные доменные имена. Например, всем известному сайту www.mail.ru соответствует IP-адрес 217.69.139.202 (это один из его IP-адресов). В браузере вы можете ввести или символьное имя (www.mail.ru), или этот IP-адрес. Машинам проще ра­ ботать с числами, человеку - с символьными именами. Рассмотрим процесс разрешения доменного имени в IP-адрес. Когда вы вво­ дите адрес узла в браузер, браузер обращается к резолверу - это часть операционной системы, которая отвечает за разрешение доменных имен. Если доменное имя есть в локальном кэше резолвера, он сразу же возвра­ щает его браузеру. Браузер, получив IP-адрес узла, отправляет ему запрос, например GET /, с целью получения корневой страницы (которая обычно называется index.*). Qlnux Глава 17. Доменная система имен Если в кэше резолвера нет доменного имени, тогда он обращается к DNSсерверу, который указан в настройках сети или же получен от DHCPсервера во время автоматической настройки сетевого интерфейса. Как пра­ вило, это DNS-сервер провайдера. DNS-сервер провайдера проверяет свой кэш. Если в нем будет нужное доменное имя, он отправляет соответствую­ щий ему IP-адрес резолверу. Если же нет, тогда DNS-сервер обращается к DNS-серверу корневого домена .ru. Скорее всего, в его кэше будет нужный IP-адрес, если же нет, тогда будет произведено обращение к DNS-серверу домена mail.ru с целью получить IP-адрес узла www. Полученный IP-адрес будет по цепочке возвращен узлу, который запросил разрешение доменно­ го имени. Как видите, схема разрешения доменного имени является рекурсивной, а наш запрос - рекурсивным. Существуют различные виды DNS-серверов. Даже если у вашей органи­ зации нет своего домена или же вы предпочитаете, чтобы делегированием домена занимался ваш регистратор или интернет-провайдер, вы все равно можете установить кэширующий DNS-сервер. При этом рекурсивными запросами будут заниматься DNS-серверы провайдера, а вашему серверу нужно только кэшировать результаты запросов - так вы ускорите скорость разрешения доменных имен - странички начнут открываться быстрее, а ваши пользователи будут довольны. Зачем нужен кэширующий DNS-сервер, если в каждой системе есть кэш резолвера? В кэше резолвера находятся толь­ ко те имена, к которым обращались вы. В кэше кэширующего DNS-сервера находятся все имена, к которым обращались все пользователи вашей сети. Следовательно, чем больше пользователей в вашей сети, тем больше будет эффективность от кэширующего DNS-сервера. Итак, вы уже познакомились с одним типом DNS-сервера - кэширующим. Есть и обычный сервер DNS - он занимается тем, чем и должен заниматься, - хранит информацию о вашей доменной зоне. Также он называется первич­ ным DNS-сервером. На помощь первичному настраивают вторичный DNSсервер - он будет обрабатывать DNS-запросы, когда первичному серверу станет ’’плохо”. Далее в этой главе будет показано, как настроить вторичный DNS-сервер. Настройку DNS-сервера мы начнем с самого простого варианта - с кэширу­ ющего DNS-сервера. 483 Сервер на Windows и Linux inux 17.2. Настройка кэширующего DNS-сервера Unbound Для настройки кэширующего DNS-сервера раньше было принято исполь­ зовать BIND9 - тот же пакет, который используется для настройки полно­ ценного DNS-сервера. Но сейчас вместо него принято использовать пакет unbound. Сервер Unbound распространяется под лицензией BSD, обладает модульной структурой и может работать как в рекурсивном, так и кэширующем режи­ ме. Мы же будем использовать Unbound сугубо в кэширующем режиме. Основной файл конфигурации называется /etc/unbound/unbound.conf. По умолчанию он практически пуст, а полный пример со всеми возможными опциями можно найти в каталоге /usr/share/doc/unbound/examples. В листинге 17.1 представлен листинг /etc/unbound/unbound.conf, настраива­ ющий Unbound на работу в кэширующем режиме. Листинг 17.1. Файл /etc/unbound/unbound.conf server: # Порт, на котором наш сервер будет ’’слушать” запросы port: 53 # Описываем интерфейсы, на которых мы будем слушать запросы # 192.168.1.1 - сервер нашей локальной сети, на котором установлен Unbound interface: 127.0.0.1 interface: 192.168.1.1 # Исходящий интерфейс (WAN) outgoing-interface: ххх.хх.хх.хх # Сеть, которой разрешен доступ к нашему серверу access-control: 192.168.1.0/24 allow # Разрешаем IPv4 TCP/UDP, запрещаем IPv6 do-ip4: yes do-ip6: no do-udp: yes do-tep: yes # Пользователь, от имени которого будет запускаться сервер username: unbound 1 Указываем файл журнала и отключаем использование syslog logfile: ’’unbound.log” use-syslog: no # Путь к PID-файлу pidfile : ’’ /var/run/ local_unbound. pid" # Скрываем версию софта em....... J Глава 17. Доменная система имен hide-version: yes # Уровень журналирования - 0 (только ошибки) verbosity: О # Следующая строка настраивает Unbound на осуществление криптографической # валидации DNSSEC, используя корневой ключ auto-trust-anchor-file : " / var/lib/unbound/root .key" Теперь проверим конфигурацию сервера: # unbound-checkconf Если ошибок нет, вы получите сообщение: unbound-checkconf: no errors in /etc/unbound/unbound.conf Осталось только перезапустить Unbound: # service unbound restart Осталось только настроить DHCP-сервер, чтобы он сообщал всем локальным узлам ваш новый IP-адрес DNS-сервера. В нашем случае - это 192.168.1.1. 17.3. Настройка кэширующего сервера на базе bind Ради контраста сейчас мы попытаемся настроить кэширующий сервер на базе пакета bind (в некоторых дистрибутивах - bind9). Первым делом уста­ новим сам bind: # apt-get install bind9 Примечание. BIND9 - это уникальный сервер. Его пакет называется bind9, каталог с конфигурационными файлами - /etc/bind, а название конфигурационного файла - named.conf. Процесс (исполнимый файл) называется named. К такому многообразию имен придется привы­ кнуть. Главное понимать, что это одно и то же. [ 485; Сервер на Windows и Linux O.lnux Раньше основной конфигурационный файл /etc/bind/named.conf был до­ вольно большим, если не огромным. Сейчас в нем только три строчки (лист. 17.2). Листинг 17.2. Файл Zetc/bind/named.conf по умолчанию include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; Общие параметры теперь вынесены в файл /etc/bind/named.conf.options. Локальные зоны описываются в named.conf.local, а зоны по умолчанию - в named.conf.default-zones. Нас в данный момент интересует файл named.conf. default-zones, в котором описаны зоны по умолчанию. Проследите, чтобы в этом файле были описаны зоны, представленные в листинге 17.3. Листинг 17.3. Файл /etc/bind/named.conf.default-zones // Корневая зона, содержит корневые серверы имен zone "." { type hint; file "/etc/bind/db. root" ; }; // Зона localhost zone "localhost" { type master; file "/etc/bind/db. local" ; }; zone ”127.in-addr.arpa" { type master; file "/etc/bind/db. 127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db. 0" ; }; zone "255.in-addr.arpa" { type master; file " /et c/bind/db . 2 5 5 " ; Глава 17. Доменная система имен Как видите, в этом конфигурационном файле описывается зона корневых серверов и локальная зона localhost, которая отвечает за преобразование имени localhost в IP-адрес 127.0.0.1 и обратно. Теперь рассмотрим файл /etc/bind/named.conf.options (лист. 17.4). Листинг 17.4. Файл /etc/bind/named.conf.options options { directory "/var/cache/oind"; // Здесь описываются forward-серверы // forwarders { // 0.0.0.0; // }; dnssec-validation auto; auth-nxdomain no; listen-on-v6 { any; # conform to RFC1035 }; }; Все, что нужно, - это добавить IP-адрес DNS-сервера провайдера в блок forwarders. Именно они будут выполнять всю грязную работу по разреше­ нию доменных имен, а наш сервер будет только кэшировать результаты запроса. Перед блоком forwarders можно указать параметр forward, который может принимать значение only или first. В первом случае наш сервер вообще не будет предпринимать попыток обработать запрос самостоятельно. Во вто­ ром случае сервер предпримет попытку обработать запрос самостоятельно, если не получит ответ от серверов, описанных в блоке forwarders. Второе значение более предпочтительно:^ forward first; forwarders { 8.8.8.8 ; 8.8.8.4; }; Сервер на Windows и Linux Л-inux Вот и все. Перезапустите сервер: # service bind9 restart Просмотрите файл журнала: # tail /var/log/daemon.log Вы должны увидеть сообщение, что сервер запущен, вроде этого: Jun 29 09:41:42 debian named[6921]: running Проверим, работает ли наш DNS-сервер. В /etc/resolv.conf на DNS-сервере добавьте строку: nameserver 127.0.0.1 Если вы по каким-то причинам не отключили NetworkManager, то он при сле­ дующей перезагрузке перезапишет этот файл. Понятно, что NetworkManager получит IP-адрес DNS-сервера от DHCP-сервера, но пока вы еще не настро­ или DHCP-сервер, то можете запретить изменение файла /etc/resolv.conf: # chattr + i /etc/resolv.conf После этого перезапустите сеть или компьютер. Далее введите команду: nslookup mail.ru Вывод будет таким: Server: 127.0.0.1 Address: 127.0.0.1#53 Л-inux Глава 17. Доменная система имен Non-authoritative answer: Name: mail.ru Address: 217.69.139.202 Name: mail.ru Address: 217.69.139.200 Name: mail.ru Address: 94.100.180.201 Name: mail.ru Address: 94.100.180.200 Как видите, ответ пришел от нашего сервера 127.0.0.1. Мы убедились, что наш DNS-сервер работает, значит, можно настроить DHCP-сервер, чтобы он ’’раздавал” всем вашим клиентам IP-адрес только что настроенного DNSсервера. Конечно, прописывать в настройках DHCP-сервера нужно не IPадрес 127.0.0.1, а IP-адрес сервера, который вы можете получить командой ifconfig. запущенной на DNS-сервере. 17.4. Нас।ройка полноценною сервера Настройка полноценного DNS-сервера сложнее настройки кэширующего DNS-сервера. Ведь нам придется настроить одну или несколько зон, которые будет обслуживать наш DNS-сервер. Домен - это не зона. Зона - это часть домена, которая управляется определенным DNS- I сервером. В случае с небольшими доменами зона = домен. Но иногда бывает так, что часть поддоменов одного домена обслуживается одним DNS-сервером, а другая часть - другим DNS-сервером. Так вот, эта часть, которая обслуживается определенным DNS-сервером, и есть зона. Представим, что у нас есть домен example.com, который представляет сеть 192.168.1.0. В конфигурацию BIND нужно добавить следующие строки: zone "example.com" { type master; file "example.com"; С ервер на Windows и Linux ftjnux notify no; }; zone "0.1.168.192.in-addr.arpa" { type master; file ”192.168.1.0”; notify yes; } Данные строки нужно добавить или в файл /etc/bind/named.conf.local, или прямо в файл /etc/bind/named.conf после тех строк, которые в нем уже есть. Файл example.com, описанный в первом блоке zone, содержит конфигура­ цию прямого преобразования, то есть используется для преобразования до­ менных имен в IP-адреса. Содержимое этого файла приведено в лист. 17.5. Листинг 17.5. Файл /etc/blnd/example.com @ WWW mail ftp IN admin.example.com. ( SOA ns. example.com. 1 ; серийный номер 60480 ; обновление каждые 60480 секунд ; повтор каждые 86400 секунд 86400 ; время хранения информации - 672 часа 2419200 86400 ; TTL записи IN NS IN A IN MX IN CNAME IN A IN A localhost. IN A ns.example.com. 192.168.1.1 100 mail.example.com. ns.example.com. 192.168.1.3 192.168.1.2 127 .0.0.1 Теперь разберемся, что есть что. Первым делом запомните "правило точки". Если в конце доменного имени ставится точка (посмотрите - ns.example. com.), то сервер не будет дописывать имя домена example.com к имени. Если же имя указано без точки, к нему будем дописано имя домена example.com. Запись SOA описывает начало полномочий. Первое имя после SOA - это имя данного компьютера - ns.example.com. Затем указывается электронный адрес администратора сервера. Символ @ зарезервирован, поэтому первая . 4411 J Глава 17. Доменная сие гема имен точка считается @. Выходит, адрес администратора - [email protected]. Оставшаяся часть записи SOA прокомментирована в листинге. Запись NS задает имя DNS-сервера имен, в нашем случае это ns.example. com, запись А задает его 1Р-адрес. Запись MX задает адрес и приоритет (100) почтового сервера. У вас может быть несколько почтовых серверов, тогда вы можете указать несколько за­ писей MX с разным приоритетом. Чем ниже значение приоритета, тем выше приоритет сервера, например: IN MX 100 maill.example.com. IN MX 200 mail2.example.com. Далее записи CNAME создают псевдоним для имени www. Это означает, что веб-сервер тоже запущен на этом компьютере и когда кто-то укажет имя www.example.com, запрос придет к узлу с IP-адресом 192.168.1.1. Запись А используется для преобразования доменного имени в соответству­ ющий ему IP-адрес. Как видите, мы задаем IP-адреса для компьютеров с именами mail, ftp и localhost. Неужели в сети нет больше компьютеров? Остальные компьютеры, как пра­ вило, являются обычными рабочими станциями, и назначением IP-адресов им занимается DHCP-сервер. Обычно не нужно разрешать имена этих компьютеров в IP-адреса, так как никаких соединений с ними устанавливать не планируется. Теперь рассмотрим файл обратного преобразования - /etc/bind9/192.168.1.0 (лист. 17.6). Листинг 17.6. Файл Zetc/bind9/192.168.1.0 @ ) @ 1 IN SOA ns.example.com. admin.example.com. 1 ; серийный номер 60480 ; обновление каждые 60480 секунд 86400 ; повтор каждые 86400 секунд 2419200 ; время хранения информации' - 672 часа 86400 ; TTL записи INNSns.example.com IN PTR ns.example.com ^inux Сервер на Windows и Linux 2 IN PTR ftp.example.com 3 IN PTR mail.example.com $GENERATE 5-104 $ PTR ip-192-168-1-$.example.com Из листинга 17.6 видно, что IP-адрес 192.168.1.1 принадлежит узлу ns.example.com, 192.168.1.2 - узлу ftp.example.com и адрес 192.168.1.3 - узлу mail.example.com. Последняя запись не обязательна. Она говорит, что узлам с IP-адресами от 192.168.1.5 до 192.168.1.104 будут соответствовать имена ip-192-168-l-N-example.com, где N - последнее число IP-адреса. Данная за­ пись нужна, только если вы заботитесь о преобразовании IP-адресов, выдан­ ных вашим DHCP-сервером, в доменные имена. В этом файле вы можете не указывать IP-адреса полностью, но если вы это делаете, то их нужно указывать в обратном порядке, например: 1.1.168.192 IN PTR ns.example.com Точки в конце доменного имени также не нужны. Вот собственно и все. Поч­ ти все. Мы еще не позаботились о защите вашего сервера. Для настройки удаленного управления сервером нужно подготовить блоки key и controls. Проще всего это сделать с помощью команды: # /usr/sbin/rndc-confgen > remote.conf Далее скопируйте содержимое файла remote.conf в самое начало файла named.conf или в самое начало файла named.conf.options - в зависимости от ваших предпочтений (где вы предпочитаете хранить конфигурацию). Комментарии из remote.conf, которые также будут сгенерированы утилитой, можно не копировать. Вот что нужно скопировать (ключ у вас будет другим): key "rndc-key" { algorithm hmac-md5; secret ”sJZkj PskmF9KPkQBwaUtfQ=="; }; controls { default-key ”rndc—key”; default-server 127.0.0.1; default-port 953; Глава 17. Доменная система имен Jnux Также в файл named.conf.options нужно добавить блок allow-query (внутри блока options): allow-query { 192.168.1.0/24; localhost; } Здесь мы разрешаем обращаться к нашему DNS-серверу только пользовате­ лям внутренней локальной сети и узлу localhost. Также можно обновить файл корневых серверов (это рекомендуется делать периодически): # wget ftp://ftp.internic.net/domain/named.root # ср named.root /etc/bind/db.root Вот теперь действительно все и можно перезапустить сервер: # service bind9 restart В крупных сетях или там, где важна отказоустойчивость, например в сетях провайдера, важно настроить вторичный DNS-сервер, который будет обслу­ живать запросы клиентов в случае отказа первичного сервера. Вторичный сервер настраивается так же, как и первичный, вот только тип зоны задается подчиненная (slave), а в блоке masters указываются первич­ ные DNS-серверы (в нашем случае только один): zone "example.com" { type slave; file "example.com"; masters { 192.168.1.1; }; Сервер на Windows и Linux Л-inux На первичном сервере в блоке options нужно добавить блок allow-transfer, в котором указывают IP-адрес вторичного DNS-сервера:-^ options { allow-transfer ]: 192.168.1.2; } Вот теперь действительно все. 494 Ж ............... ■ ■ ----------------- Глава 18. DHCP-сервер Сервер на Windows и Linux jnux 18.1. Настраивать DHCP-сервер или нет? В небольшой сети, как правило, в DHCP-сервере необходимости особой нет, поскольку имеется сетевое устройство вроде Wi-Fi-маршрутизатора, ”на борту” которого работает небольшой DHCP-сервер, возможностей которого вполне достаточно для обслуживания такой сети. Однако в сетях среднего и большого размера, как правило, используются DHCP-серверы. Конфигурация таких сетей более сложна и обычно содер­ жит подсети: то есть нужно назначать IP-адреса не только для основной сети, но и для нескольких подсетей. Встроенные DHCP-серверы беспро­ водных маршрутизаторов (да и такие простые устройства в крупных сетях редко используются) не обладают необходимым функционалом, поэтому без полноценного DHCP-сервера будет сложно. 18.2. Принцип работы протокола DHCP lllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllinillllllllllllllllllllllllllllllllllllllllllllllllllllillllllilllllllllllllllllllllllllllllllllllllllllllllllllllllllin^ Протокол DHCP (Dynamic Host Configuration Protocol) используется для автоматической настройки узлов сети. DHCP-сервер, работающий в сети, автоматически настраивает все остальные компьютеры и сете­ вые устройства (например, сетевые принтеры, хранилища данных и т.д.). Компьютеру передается следующая информация: IP-адрес, маска сети, IP-адрес шлюза, IP-адреса DNS-серверов. 496 ^inux Глава 18. DHCP-сервер При необходимости DHCP-сервер может предоставлять и другую информа­ цию (например, адреса WINS-серверов, если это необходимо) и выполнять некоторые защитные функции, например, сервер может не предоставить IP-адрес устройству, если его МАС-адрес не находится в списке разрешен­ ных, другими словами, DHCP-сервер может назначать IP-адреса только тем устройствам, чьи МАС-адреса ’’прописаны” в его конфигурационном файле. Такая защита легко обходится даже опытными пользователями, не говоря уже о профессионалах, но все же лучше, чем ничего. DHCP-сервер можно настроить так, чтобы он предоставлял компьютеру с определенным МАС-адресом один и тот же IP-адрес. Эту функцию очень удобно использовать для серверов, у которых должны быть постоянные IPадреса. Лет 20 назад DHCP-серверы использовались только в крупных сетях, где были сотни узлов. В небольших сетях на несколько десятков узлов IP-адреса назначались вручную. Но позже все осознали преимущества DHCP, и теперь уже сложно найти сеть, в которой не использовался бы DHCP. Даже в не­ больших домашних сетях есть DHCP-сервер, который, как правило, запущен на маршрутизаторе, предоставляющем доступ к Интернету. Однако функ­ ционал таких маршрутизаторов обычно оставляет желать лучшего, поэтому в сетях среднего размера, как уже отмечалось, рекомендуется настраивать отдельный DHCP-сервер, работающий на стационарном компьютере под управлением Windows Server или Linux. Далее в этой главе приводится описание настройки DHCP-сервера, устано­ вить который можно посредством установки пакета dhcp (CentOS), dhcpserver или isc-dhcp-server (последние версии Ubuntu). Название пакета мо­ жет отличаться в зависимости от дистрибутива и его версии. 18.3. Редактирование конфигурации DHCP Конфигурация DHCP хранится в двух конфигурационных файлах dhcpd.conf и dhcpd6.conf. Оба файла находятся в каталоге /etc. В некоторых дистрибутивах эти конфи­ гурационные файлы следует поискать в каталогах /etc/dhcp или /etc/dhcpd. Сервер на Windows и Linux O-inux Как вы уже догадались, первый файл используется для протокола IPv4, вто­ рой - для IPv6. Обычно второй не используется, а конфигурация хранится в первом файле. Директивы файла конфигурации не чувствительны к регистру символов, поэтому вы можете написать директиву как ddns-update-style ad-hoc или как DDNS-UPDATE-STYLE AD-HOC. Разницы нет. Однако использовать верх­ ний регистр не принято. Комментарии в файле dhcpd.conf начинаются с решетки, например: # Комментарий Сервер DHCP может предоставлять IP-адреса нескольким подсетям. Каждая из подсетей описывается в виде блочной директивы subnet. Параметры конфигурации, описанные за пределами директивы subnet, применяются ко всем подсетям - это глобальные параме­ тры. А вот параметры конфигурации, описанные внутри директивы subnet, применяются только к конкретной подсети. Обычно в самом начале файла конфигурации задаются следующие директивы: option domain-name ’’company.com” option domain-name-servers nsl.company.com ns2.company.com I Если ваш DHCP-сервер обслуживает несколько подсетей и у каждой I из них есть собственное доменное имя, тогда опции domain-name и I domain-hame-servers задаются внутри блочной директивы subnet. Директивы default-lease-time и max-lease-time задают время арен­ ды IP-адреса по умолчанию и максимальное время аренды. IP-адрес выделяется DHCP-сервером не навсегда, а только на определенное время. По истечении данного времени IP-адрес возвращается в пул адресов, а компьютеру назначается другой IP-адрес из пула свобод­ ных адресов. Odnux Глава 18. DHCP-сервер Вполне вероятно, что компьютеру опять будет назначен тот же адрес, напри­ мер, если в настройках DHCP-сервера указано, что компьютеру с определен­ ным МАС-адресом должен быть назначен определенный 1Р-адрес. । ..................................................... Примечание. База данных аренды IP-адресов находится в файле | /var/lib/dhcp/dhcpd.leases. I Пример установки этих директив (значения указываются в секундах): default-lease-time 28800; max-lease-time 86400; # 8 часов # 24 часа Очень важной является директива ddns-update-style, задающая стиль обновления DNS: непосредственное (ad-hoc) или предваритель­ ное взаимодействие DHCP-DNS (interim). Разработчики протокола DHCP рекомендуют использовать второй стиль: ddns-update-style interim; Теперь рассмотрим блочную директиву subnet, которая описывает параме­ тры определенной подсети. В примере ниже описываются параметры для подсети 192.168.0.0 с маской сети 255.255.255.0 (сеть класса C):q subnet 192.168.0.0 netmask 255.255.255. 0 { # Список маршрутизаторов (через пробел) option routers 192.168.0.1; # Маска подсети option subnet-mask 255.255.255.0; # Широковещательный адрес option broadcast-address 192.168.0.255; # Доменное имя option domain-name ’’company. com # IP-адрес/имя DNS-сервера, если не задано в глобальных # параметрах option domain-name-servers 192.168.0.1; Сервер на Windows и Linux # Сервер времени (NTP) option ntp-servers 192.168.0.1; # IP-адрес сервера NetBIOS и его тип узла (если нужно) option netbios—name—servers 192.168.0.1; option netbios—node—type 8; # Диапазон IP-адресов, выделяемый клиентам сети range 192.168.0.10'1 192. 168.0.200; } На данный момент в директиве subnet представлены практически все опции. Но на практике набор опций у вас будет другим. Серверы NetBIOS исполь­ зуется не всеми, как и серверы времени (NTP). Параметры DNS (имя и IPадреса DNS-серверов) обычно выносят в область глобальных параметров, поскольку они в большинстве случаев одинаковы для всех подсетей. Если из нашей директивы subnet удалить все ненужное, она будет выглядеть так: subnet 192.168.,0.0 netmask 255.255.255.0 { option routers 192.168.0.1; 255.255.255.0; option subnet-mask 192.168.0.101 192.168.0.200; range } Мы оставили только список маршрутизаторов, маску подсети и диапазон IPадресов, из которого будут выделяться IP-адреса. В листинге 18.1 приводится пример файла dhcpd.conf для небольшой сети с несложной топологией. Листинг 18.1. Пример файла dhcpd.conf для простой сети ddns-update-style interim; # Расположение базы данных с арендой IP-адресов lease-file-name "/ var/lib/dhcpd/dhcpd.. leases”; # Данный сервер является официальным DHCP-сервером для локальной сети authoritative; # Доменное имя и имена DNS-серверов option domain-name option domain-name-servers "company.com"; nsl.company.com ns2.company.com Глава 18. DHCP-сервер inux # Время аренды default-lease-time max-lease-time 86400; 172800; subnet 192.168.0.0 netmask 255.255.255.0 { option routers 192.168.0.1; option subnet-mask 255.255.255.0; range 192.168.0.101 # 24 часа # 48 часов 192.168.0.200; } Мы удалили из dhcpd.conf все лишнее, и наш файл получился довольно ком­ пактным (сравните его с файлом по умолчанию, где в качестве примера при­ водятся чуть ли не все мыслимые и немыслимые параметры). 18.4. DHCP-сервер в больших сетях Далее мы рассмотрим пример более сложной сети с несколькими подсетями - ради чего, собственно, и есть смысл настраивать DHCP-сервер вручную, а не использовать встроенный в маршрутизатор DHCP. Общая сеть должна быть описана в директиве shared-network, а все подсети должны быть описа­ ны директивами subnet внутри директивы shared-network. Пример приведен в листинге 18.2. Листинг 18.2. Пример файла dhcpd.conf для сложной сети shared-network my_bignet { # Доменное имя и имена DNS-серверов option domain-name ’’company.com"; option domain-name-servers nsl.company.com # Шлюз по умолчанию option routers 192.168.0.1; # Подсети 192.168.1.0 и 192.168.2.0 subnet 192.168.0.0 netmask 255.255.252.0 { range 192.168.0.101 192.168.0.200; } subnet 192.168.1.0 netmask 255.255.252.0 { range 192.168.1.101 192.168.1.200; } ns2.company.com ftlnux Сервер на Windows и Linux Если для подсетей 192.168.0.0 и 192.168.1.0 нужно указать различные пара­ метры, например разные шлюзы или разные имена DNS-серверов, то соот­ ветствующие параметры нужно указать в директиве subnet для определен­ ной подсети. 18.5. Статические IP-адреса. Директива host Иногда нужно привязать некоторые IP-адреса к МАС-адресам. Это полезно, если в вашей сети есть несколько компьютеров, IP-адреса которых не долж­ ны изменяться (как правило, это серверы сети и некоторые специальные компьютеры вроде компьютера администратора). Статические IP-адреса описываются с помощью директивы host:-. |||Н111111Н1111111Н1111111Ш11111Н|1|Н1|1Н1111111111Н1111Ш11111|11Н|11111ШН1ШШ11111Н111111НН111111111111111111111111Ш1Н11111111111111111111111Н1и11|Н1111111111|111111111111Ш1111111111111ШШ1111111111П1111111ШИ11111111Ш1111НШ11||||1НШПШ|1Н1ШШ11Ш11Н^ host server { 4 option host-name "server”; option routers 192.168.1.1; hardware ethernet 00:FF:FB:69:DC:E5; fixed-address 192.168.1.99; В данном случае если к сети подключится компьютер с МАС-адресом 00:FF:FB:69:DC:E5, ему будет назначен IP-адрес 192.168.1.99, имя узла server и шлюз по умолчанию 192.168.1.1. Директиву host нужно поместить в одну из директив subnet, которой принад­ лежит выделяемый IP-адрес, например: subnet 192.168.1.0 netmask 255.255.255.0 { option routers 192.168.1.1; option subnet-mask 255.255.255.0; range 192.168.1.101 192.168.1.200; host server { option host-name "server"; option routers 192.168.1.1; hardware ethernet 00:FF:FB:69:DC:E5; fixed-address 192.168.1.99; } } A-In их I лава 1 S. |)||( Т-сервер Управлять DHCP-сервером можно с помощью команды service. Следующие команды позволяют запустить, перезапустить или остановить сервер: $ sudo systemctl start isc-dhcp-server $ sudo systemctl enable isc-dhcp-server $ sudo systemctl stop isc-dhcp-server или (в старых дистрибутивах): # service dhcpd start # service dhcpd restart # service dhcpd stop Обратите внимание, как называется сервис DHCP-сервиса. В со­ временных версиях Ubuntu он называется Isc-dhcp-server. В старых версиях Ubuntu и других дистрибутивов нужный сервис назывался dhcpd. 18.6. Настройка DHCP-клиента в Ubuntu В Ubuntu 16.04 вы можете настроить интерфейс в файле конфигурации /etc/ network/interfaces. $ sudo nano /etc/network/interfaces _________________________________________ Добавьте эти строчки: auto ethO iface ethO inet dhcp Сервер на Windows и Linux ( Linux Сохраните файл и перезапустите сетевой сервис (или перезагрузите систему). $ sudo systemctl restart networking В Ubuntu 18.04 и более новых сетевое управление контролируется програм­ мой Netplan. Вам нужно отредактировать соответствующий файл, например, в каталоге /etc/netplan/: $ sudo vim /etc/netplan/01-netcfg. yaml Затем включите dhcp4 под конкретным интерфейсом, например под ethernet, ensO, и закомментируйте статические настройки, связанные с IP: network: version: 2 renderer: networkd ethernets: ensO : dhcp4: yes Сохраните изменения и выполните следующую команду, чтобы применить изменения:^ $ sudo netplan apply Для получения дополнительной информации смотрите справочные страницы dhcpd и dhcpd.conf. $ man dhcpd $ man dhcpd.conf В Windows все гораздо проще - нужно включить автоматическое назначе­ ние IP-адреса, как показано на рис. 18.1. Как правило, по умолчанию все и так уже настроено, и никаких дополнительных действий предпринимать не нужно. 504 Глава 18. DHCP-сервер Изменение параметров IP Параметры IР р—.............._^^._ I Автоматически (DHCP) Сохранить Отмена Рис. 18.1. Настройка DHCP-клиента в Windows Вот мы и рассмотрели процесс настройки сервера и клиента DHCP. Глава 19. Виртуализация Windowsсервера Сервер на Windows и Linux 19.1. Конвертирование виртуальных машин из одного формата в другой 19.1.1. Преобразование из Hyper-V в VMWare Выбор конвертера Вы можете использовать штатный инструмент VM Converter Standalone, но только в случае, когда есть прямая связь между гипервизором ESXi и кон­ вертируемой виртуальной машиной. Если же такой связи нет и есть лишь .vhd-файл, то можно использовать другие инструменты, например бесплат­ ный конвертер StarWind V2V Converter (https://www.starwindsoftware.com/ converter). Также можно использовать PowerShell-сценарий HypervOVAConverter (https://github.com/ihumster/HypervOVAConverter ). Сам процесс конвертации сводится к запуску конвертера, но до этого нуж­ но еще много чего сделать: установить дополнительный модуль PowerShell (если вы будете использовать PowerShell-сценарий), подготовить саму вир­ туальную машину к конвертированию и т.д. Далее мы рассмотрим все под­ готовительные мероприятия, а только затем - приступим к самому процессу преобразования виртуальной машины из одного формата в другой. кЛ2 Глава 19. Виртуализация Windows-сервера Установка модуля PowerShell для Hyper-V Даже если вы планируете использовать инструмент StarWind V2V Converter, вы можете установить PowerShell - вдруг что-то пойдет не так и придется попробовать альтернативный конвертер. Итак, запустите PowerShell от имени администратора (рис. 19.1). D (п) © Фильтры Лучшее соответствие Windows PowerShell Классической приложение Запуск от имени администратора Перейти к расположению файла Закрепить на начальном экране Закрепить на панели задач ® Удалить Запуск от имени администратора Запустить ISE от имени администратора Windows PowerShell ISE Рис. 19.1. Запуск PowerShell от имени администратора Далее нужно ввести одну из команд: Add-WindowsFeature RSAT-Hyper-V-Tools -IncludeAllSubFeature Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-VManagement-PowerShe11 Первая команда предназначена для Windows 8.1/Windows Server 2012, а вто­ рая - для Windows 10/Windows Server 2016/2019. Сервер на Windows и Linux Для корректной работы сценария конвертирования нужно изменить полити­ ку выполнения сценариев. Для этого запустите PowerShell с правами адми­ нистратора и введите команду:^ Set-ExecutionPolicy -ExecutionPolicy RemoteSigned Чтобы подтвердить изменение политики, нужно ответить Y. Рис. 19.2. Изменение политики выполнения сценариев Подготовка виртуальной машины Если производится перенос старой гостевой операционной системы, напри­ мер того же Windows Server 2003, нужно убедиться, что в системе инициа­ лизирован драйвер SCSI. Если гостевая ОС установлена на IDE-диск, нужно подключить к этой виртуальной машине хотя бы один SCSI-диск и убедить­ ся, что он инициализирован в системе. После этого можно приступить к экспорту виртуальной машины. Откройте оснастку управления Hyper-V (Панель управления \ Админи­ стрирование \ Управление Hyper-V или Control Panel \ All Control Panel Items \ Administrative Tools \ Hyper-V Manager). ' 510 J Глава 19. Виртуализация Windows-сервера Щелкните правой кнопкой по названию виртуальной машины и выберите команду Export (рис. 19.3). На момент экспорта виртуальная машина долж­ на быть выключенной. Выберите папку для экспорта виртуальной машины и дождитесь, пока экспорт будет завершен. Рис, 19.3. Экспорт виртуальной машины Конвертирование с помощью HypervOVAConverter Скачайте архив, содержащий файлы инструмента (ссылка приводилась в начале статьи). Распакуйте архив, запустите Windows PowerShell с правами администратора и перейдите в каталог Converter (он появится в результате распаковки архива). Команда преобразования будет выглядеть так: Convert-VM.psl -HyperWMPath <string> -OVAPath <string> [<CommonParameters>] Сценарию Convert-VM.psl нужно передать два параметра: HyperWMPath путь к экспортированной ранее виртуальной машине, OVAPath - путь к пап­ ке, в которую будет сконвертирована виртуальная машина в формате OVA. Пример: Convert-VM.psl -HyperWMPath C:\export\Test\ -OVAPath D:\vmware\ 511 Сервер на Windows и Linux Вам останется только дождаться процесса завершения конвертации. Если у вас есть vhd-файл (или vhdx-файл), можно использовать другой инструмент: Convert-VM.psl -VHDPath <string> -OVAPath <string> [-CPU <byte>] <byte>] [-Memory [<CommonParameters>] Здесь: • VHDPath - путь к вашему файлу виртуального диска в формате vhd или vhdx; • OVAPath - путь к папке, в которую будет сконвертирована виртуальная машина в формате OVA. Также вы можете использовать параметры CPU и Memory. Первый задает количество процессоров виртуальной машины (по умолчанию 1), второй объем оперативной памяти в мегабайтах (по умолчанию 1024). Пример: Convert-VM.psl -VHDPath C:\test.vhd -OVAPath D:\vmware\ -CPU 4 -Memory 8092 Собственно, на этом перенос можно считать завершенным, но у нас есть еще один инструмент, который нам предстоит рассмотреть. Конвертирование с помощью StarWind V2V Converter Данный инструмент подойдет пользователям, предпочитающим графиче­ ский инструмент, а не командную строку. Инструмент хоть и бесплатный, но для его загрузки нужно пройти бесплатную регистрацию. Использовать этот инструмент очень просто. Нужно выбрать источник (при этом вы можете задать как локальный файл, так и ’’взять” виртуальную ма­ шину прямо с гипервизора), а затем нужно выбрать формат файла назначе­ ния (рис. 19.5). Глава 19. Виртуализация Windows-сервера <~ О StarWind V2V Converter Source image location Source image location: Location description: О Local file VMware Server virtual disk image on the remote ESXi server. ^VMware ESXi Server; О Microsoft Hyper-V Server [ Cancel Puc. 19.4. Star Wind V2V Converter: выбираем источник Ч~ О StarWind V2V Converter Destination image format Image format: Format description: О VMware growabie image VMware Server virtual disk image (VMDK). Disk space for this image is allocated at the creation time and does not change over time. О VMware stream-optimized image О VMware pre-allocated image r^VMware ESX server image) О VMware direct conversion to ESXi О Microsoft VW growable image О Microsoft VW pre-allocated image О Microsoft VWX image О QC0W2 disk image О Raw image Puc. 19.5. StarWind V2VConverter: выбираем назначение Какой инструмент использовать, зависит от личных предпочтений. Оба инструмента хорошо справляются с поставленной перед ними задачей. 513 Сервер на Windows и 19.1.2. Перенос сервера из Amazon ЕС2 на виртуальную машину VMware Прежде чем приступить к переносу виртуальной машины из Amazon ЕС2, нужно установить Amazon ЕС2 CLI. Подробнейшее руководство по команд­ ной строке Amazon ЕС2 можно найти в следующем официальном документе http://awsdocs.s3.amazonaws.com/EC2/ec2-clt.pdf. Далее вам нужно создать S3 Bucket для хранения экспортированных экзем­ пляров и предоставить разрешение VM Import/Export на доступ к корзине. Если у вас уже есть корзина, вы можете использовать ее, а не создавать за­ ново. Для создания S3 Bucket (корзины) выполните следующие действия: 1. Откройте консоль Amazon S3 https://console.aws.amazon.com/s3/. 2. Нажмите Create Bucket. 3. В появившемся окне в поле Bucket Name введите имя корзины. Оно должно быть уникальным для всех существующих корзин в Amazon S3, так что проявите фантазию. 4. В поле Region введите свой регион. 5. Создайте корзину. После создания корзины нужно добавить необходимые права. Выполните следующие действия: 1. Откройте консоль Amazon СЗ. 2. Выберите созданную корзину и нажмите Properties. 3. В разделе Permissions выберите Add more permissions. 4. Для добавления права Grantee введите [email protected]. 5. Выберите права Upload/Delete и View. 6. Сохраните. » Windows Глава 19. Виртуализация Windows-сервера Вот теперь можно приступить к экспорту виртуальной машины. В команд­ ной строке введите следующую команду: ес2—create—instance—export—ta.sk instance_id -e target_environment - f disk_image_format -c container_format -b s3_bucket Здесь: • instance_id — ID виртуальной машины; • targetenvironment — среда назначения (vmware); • disk_image-format — формат диска (для VMware - vmdk, для Microsoft Hyper-V и Citrix Xen - vhd); • container-format — формат целевого файла (для VMware - ova); • s3-bucket — имя целевой корзины. Пример команды: ec2-create-instance-export-task i-47d555z8 -е vmware -f vmdk -c ova b mycoolbucket6767 Если вы получите сообщение об ошибке, нужно проверить установку пе­ ременной окружения EC2URL. В Linux можно установить значение этой переменной командой export. export EC2_URL=https://<service_endpoint > В Windows установить переменную окружения можно в дополнительных настройках системы: 1. Откройте окно Система. 2. На панели слева выберите команду Дополнительные параметры системы. 3. В появившемся окне нажмите кнопку Переменные среды. 515 Сервер на Windows и Linux 4. Нажмите кнопку Создать и создайте переменную с именем EC2URL. В качестве значения укажите ваш service endpoint. Далее мы рассмотрим другие варианты экспорта виртуальных машин раз­ ных форматов. 19.1.3. Перенос из Azure в VMWare Разберемся, как можно перейти с Microsoft Azure на VMWare. Первым делом нужно установить Azure PowerShell на саму виртуальную машину, работаю­ щую под управлением Windows. Команда Save-AzureVhd Самый простой способ получить Vhd-файл по работающей виртуальной ма­ шине - это использовать команду Save-AzureVhd. Общий синтаксис выглядит так:^. Save-AzureVhd [-Source] [-LocalFilePath] [ [-StorageKey] ] [[-OverWrite]] [[-NumberOfThreads] ] • Параметр -Source задает URI для BLOB в Azure; • Параметр -LocalFilePath - локальный путь для сохранения VHD. • Третий параметр, -NumberOfThreads, указывает количество загружаемых потоков, которые будут использоваться при загрузке. Значение по умол­ чанию - 8. • Параметр -StorageKey указывает ключ хранилища. Если он не указан, ко­ манда попытается определить ключ хранилища учетной записи в исход­ ном URI из Azure. • Наконец, параметр -OverWrite позволяет перезаписать существующий локальный VHD-файл. 516 Несколько примеров Сохраняем blob в указанном файле с перезаписью такового, если он суще­ ствует:^ Save-AzureVhd -Source http://myaccount.blob.core.windows.net/ vhdstore/ win7baseimage.vhd —LocalFilePath C:\vhd\Win7Image.vhd -Overwrite Делаем то же самое, но указываем ключ хранилища для загрузки: Save-AzureVhd -Source http://myaccount.blob.core.windows.net/ vhdstore/ win7baseimage.vhd -LocalFilePath C:\vhd\Win7Image.vhd -Overwrite -StorageKey <ключ> Конвертирование в формат VMDK После того как VHD-файл загружен, его нужно преобразовать в формат VMDK. Для этого используйте инструмент Winimage, который вы без про­ блем найдете в Интернете. Для ознакомления доступна его 30-дневная версия, чего вполне хватит для переноса множества виртуальных машин в VMWare, а вот если вы собираетесь использовать его регулярно, то придется купить. Стоит данный инструмент недорого - порядка 30 долларов, что не­ много для такой полезной утилиты. 19.2. Виртуализация Windows-сервера 19.2.1. Преобразование в VMware VMware® vCenter Converter Standalone Для виртуализации Windows-сервера необходимо преобразовать физиче­ ский сервер в файл формата ovf. OVF (Open Virtualization Format) — стан­ дарт для хранения и распространения виртуальных машин. HHHHHH||^U Сервер на Windows и Linux Мы будем использовать инструмент VMware® vCenter Converter Standalone: нет смысла использовать сторонние решения, если есть ’’родное”. Данный программный продукт позволяет преобразовать виртуальную и физическую машину в VMWare. vCenter Converter можно бесплатно скачать с официального сайта VM­ Ware: https://ту. vmware. com/en/^veb/vmware/info/slug/infras tructureoperations _ management/vmware_vcenter_converter_standalone/6_2_0 Запустите загруженный файл. Начнется установка, которая особо не отли­ чается от установки других Windows-программ. Единственный момент: при установке нужно выбрать Local installation (рис. 19.6). f VMware vCenter Converter Standalone Setup Type Click the type of setup you prefer, then dick Next. Install Converter on this machine. Use this option to create and manage conversion tasks from this local machine only. О Cient-Server installation (advanced) Set up a client-server model for Converter. Use this option to install the server, client or the agent on this machine. InstallShreld —....................л.---------- --- -------- --------------- — < Back [flext > J Cancel Puc. 19.6. Выберите локальный тип установки После установки конвертера запустите его. Нажмите кнопку Convert Machine (рис. 19.7). Думаю, ее сложно будет не заметить. ' 518 ] Глава 19. Виртуализация Windows-сервера Ц Windows ^ VMware vCenter Converter Standalone 0» X»w Тик admin«yafeon fcteip ^ Convert machine ^ Confer* machine Vies bv: Show: W© * %sks "Г^ью' О * At tasks £ * Recent tasks i Source < Destination pod time Welcome to VMware vCenter Converter Standalone VMware vCenter Convert» Standalone «Sows you to tike one of a variety of machines and convert £ into a new VMware iMuai machine. The machines you may convert indude: - Physic»! madiines • Wwe viftuai machines Сиж) - VMware Constated Backup (nw) - Microsoft Virtual PC or Virtual Server virtual machine* (.wk) - Symantec Restate Recovery image (jv20 • Acrons True Image Backup tt^) - SttogeCraft ShadawStor (,®0 • Parades Virtuateation Products Cpvs? ■ Hyper-V vrtuai machines Puc. 19.7. vCenter Converter Выберите, какую машину нужно конвертировать. Установите тип машины Powered-on machine и укажите, что нужно конвертировать локальную ма­ шину (This local machine), рис. 19.8. Рис. 19.8. Укажите, какую машину нужно конвертировать Сервер на Windows и Linux Далее нужно выбрать тип машины назначения - выберите VMware Work­ station or other VMware virtual machine, выберите совместимость c VM­ ware 11.0, укажите название виртуальной машины и путь ее сохранения. В каталоге назначения должно быть достаточно свободного места (рис. 19.9). □ В Conversion X Destination System Select a host for the new virtual machine text $«tr Source; # This loot machine OMndMW Serve* Ж 2 ЙЙ^^ Destination: none Destination System ^p^ns .----------- --------------------------------------------------- -----------1 s*kct cesanston type; iVMwe Workstation or other VMware virtual machine Summary Creates* new vetuairaariwfi» sat rm yMwsreWfsasm.VMweMasw's^^ ether-Ware orodwet. Select VMware groduct:: fvMwe У&гйй»^^ Virtual michre deta* N^nes |ймш : Select a location for the virtual machine: i .Ictymt&'MmrCTHrep-^-OG&A^^ НФ J^- J^.ji |в®пййЛ^« ^>. | Bjowse... : Cancel J Puc. 19.9. Параметры назначения Чтобы избежать проблем с сетью, отключите все сетевые адаптеры, сняв флажок Connect at power-on (рис. 19.10). ^ Conversion Options Set up the parameters for the conversion task Source: # This local machi Destination: ^ C:\Users\A/pum nfoadsVvmt (VMware WortafcaDM 11.0 л) CkK cw an g₽t»n below to edit it. ^ Data to copy Edit 3 Copy type; Voh «V^vobmr^eV. <O>; 39.51 SB ^Devices Ed* vCPVK 2 (2 sock. Disk controier: 5 . ^Memory; 4GB «Httwort» Ей* NKltBdcW * Services E<& TOtat 193 serve vAdvanced... Ей* Synchroneatton:... Synchrone»: N/A Final synchroniat!... Wat VMware T Customers Guest Remove Restore Reconfigure; Yes ^Throtthng EC* ™ CPU; Hone *j galp ] £.wrt dia^ostic Их... Bridged: Connected вмкйу to the ohmai network HAT: Used to share the host’s F address Host-only: A private network shared with the host и У й» | Рис. 19.10. Отключите все сетевые адаптеры 520 t Глава 19. Виртуализация Windows-сервера В разделе Data to сору убедитесь, что включены переключатели Ignore page file and hibernation file и Create optimized partition layout. Первый будет игнорировать файлы подкачки и гибернации, второй - создаст оптимизиро­ ванную разметку (рис. 19.11). Ша&йа ййтж» Options Summary Source: # This focal tract» Destination: # CWsersKMwH. ,.nioads\vmc (VMware workstation 11.0л) Ckk oo an gpt®n Ь«Ш to edit it 'Vd^ to «MW Set " Cwtyw Wu <WWW{«9 ^««^ВЙЙШИЕ advanced... vOPUs: 2 (2 sock. Select the source vermes to copy to the destination machine. Resite delation disks to add or save space. Select a system and an active volume, or a systenVacwe volume to run the destination machine. Disk csntr&Ser: S Source volumes_________________ lj*S^ X Memory: <G8 Sap wd^ rSWS@ 77 ~ 7 8oC J teOOlGB)*] <ox Ж51 a * Devices Ed* ’’v * Hetworks Edit HKl: Sodded ^Services Ede Total: 193 serve.. ^Advanced... Edit Synchronization: .. Synchronize: N/A foalsynchrendatr.. install VMware T. Customs Guest , ^ Ignore page file and hibernation fie Remove Restore Reconfigure: Yes ^Throttling CPU: None M | Export diagnostic fogs... • P Create outraged partition layout Edit vj .♦<K»^f’i»t»jf’r <♦ ^...u<4«^,Лtt«<«„..»<■>».^-л"*»»£>'«>■«,''>Г4жГ*'~ Sack | gext > Cancel | Puc. 19,11. Данные, которые будут конвертированы Нажмите кнопку Next, а затем - кнопку Finish для начала конвертирования (рис. 19.12). Рис. 19.12. Конвертирование в процессе серверна^^ _________________________ Затем в каталоге, который вы указали в настройках конвертера, появятся два файла - vmx и vmdk. Размер последнего будет большой - ведь это и есть об­ раз диска. Преобразование в формат OVF Осталось преобразовать полученный vmdk-файл в формат OVF. Для этого вам понадобится OVF Tool (https://www.vmware.corn/support/developer/ovf7 ). Команда преобразования выглядит так:п ovftool.exe <путь до файла vmx> <путь до файла ovf> Перед этим нужно сменить каталог - перейдите в каталог, в который вы установили VMware OVF Tool. cd ’C:\Program Files (x86)\VMware\VMware OVF Tool’ После завершения у вас появится виртуальная машина в формате OVF. 19.2.2. Утилита Disk2Vhd: преобразование в Hyper-V В прошлом разделе было показано, как преобразовать реальный физиче­ ский сервер в виртуальную машину в формате VMware, но если вы выбрали Hyper-V, процесс будет другим. Нужно отметить, что процесс преобразова­ ния в VMware довольно запутанный. Если вы выбрали Hyper-V, вам доста­ точно использовать простую утилиту Disk2Vhd: https://docs.microsoft.com/ru-ru/sysinternals/down/oads/disk2vhd . Просто запустите утилиту на сервере, который нужно виртуализировать, вы­ берите диски, подлежащие виртуализации, и нажмите кнопку Create. Вот мы и завершили виртуализацию сервера в Windows. 522 Глава 20. Виртуальный сервер на базе VMware Workstation Сервер на Windows и Linux Л-inux В прошлой главе мы рассмотрели виртуализацию сервера в Windows. Теперь давайте разберемся, как это сделать в Linux. VMware Workstation - один из самых популярных продуктов вир­ туализации для десктопа. Посредством него пользователь сможет ■ создавать "виртуалки" с практически любой гостевой "операционкой" - Windows, Linux, Solaris и др. 20.1. Установка VMWare Главу начнем со следующей задачи - создать образ (виртуальный диск) уже имеющегося сервера и подключить его к виртуальной машине, создан­ ной в VMWare. При этом нет разницы, какой будет операционная систе­ ма, под управлением которой будет работать VMWare. Если у вас VMWare Workstation уже установлена в Windows, вы можете без проблем создать виртуальный Linux-сервер в Windows. Никаких проблем с этим не будет, а процесс создания будет мало отличаться от аналогичного Linux-процесса (за исключением сугубо системных отличий, например, путей к файлам). Поскольку эта глава посвящена Linux, то мы будем рассматривать Linuxвариант VMWare. Загрузить инсталлятор VMWare можно (и нужно) с официального сайта: https ://www. vmware. com/products/workstation-pro/workstation-pro-evaluation. html Г 524 1 O.inux Глава 20. Виртуальный сервер на базе VMware Workstation После загрузки инсталлятора перейдите в папку Downloads и выполните ко­ манду (хххххх нужно заменить версией вашего файла) :^л chmod +х VMware-Workstation-Full-xxxxxx.х86 64.bundle Этим мы разрешим выполнение инсталлятора. Запустите установщик (или из командной строки, или через графический интерфейс - без разницы). Учитывая размер файла установщика, нужно немного подождать, пока он запустится. На первом экране инсталлятора будут отображены условия ли­ цензии, просто нажмите кнопку Next. Далее установщик спросит, хотите ли вы получать обновления VMware при запуске. Здесь решать только вам, обычно обновления - штука хорошая, но если все устраивает и нормально работает, то особого смысла в них тоже нет. Рис. 20.1. Установка VMWare в Linux Затем вас спросят, хотите ли вы участвовать в программе улучшения каче­ ства (CEIP). Как и в предыдущем случае - решать только вам. Если не желае­ те заморачиваться, просто выберите No. Далее более важный вопрос - нужно ввести имя пользователя, который будет подключаться к Workstation Server. Как правило, это пользователь, от имени которого вы сейчас работаете. гй§2 Сервер на Windows и Linux Следующий шаг - выбор каталога для хранения общих виртуальных машин (далее - ВМ). Если имеется только один раздел, содержащий и файлы ОС, и пользовательские данные, то этот каталог можно не изменять. А вот если создано несколько разделов, то желательно выбрать каталог, находящийся на самом большом и самом быстром накопителе. Для виртуальных машин должно быть достаточно дискового пространства (если вы собрались виртуализировать уже готовый сервер, посмотрите, какой размер он занимает прямо сейчас - вам понадобится столько же плюс 10-20% запаса). Что же касается скорости, желательно размещать файлы виртуальных машин на SSD-диске: так ВМ будут работать быстрее. Рис. 20.2. Выбор каталога для виртуальных машин Следующие два вопроса: номер порта HTTPS - не нужно изменять это зна­ чение, особенно если вы не понимаете, зачем это нужно, - и серийный но­ мер продукта. Если VMware Workstation пока не приобреталась, серийный номер можно не вводить, и вы получите 30-дневную бесплатную версию. Осталось только нажать кнопку Install для установки программы. Установка проходит быстро, поэтому долго ждать не придется - через несколько минут программа будет установлена. Как только установка будет завершена, нажмите Close, чтобы закрыть инсталлятор. I лава 20. Виртуальный сервер на базе VMware Workstation Рис. 20.3. Установка завершена 20.2. Создание виртуальной машины При запуске VMWare будет запрошен пароль пользователя, указанного при установке. На рис. 20.4 - запущенная VMWare Workstation, напоминающая, что у нас есть 30-дневный пробный период. Рис. 20.4. VMWare Workstation для Linux 527 Сервер на Windows и Linux A.inux Нажмите кнопку Create a New Virtual Machine. В появившемся окне вы­ берите метод конфигурации ВМ: Typical или Custom. В первом случае вам будет задано меньше вопросов, во втором - больше, все просто. Рис, 20,5. Выбор метода конфигурации Установка гостевой ОС может быть выполнена или с привода CD/DVD, или путем указания ISO-файла инсталляционного DVD, который можно без проблем найти в Интернете. В первом случае нужно выбрать Use a physical drive и указать имя устройства CD/DVD (обычно это /dev/srO), во втором Use ISO image и нажать кнопку Browse для выбора ISO-файла с гостевой ОС. Можно также выбрать переключатель I will install the operation system later, если необходимо установить гостевую систему позже. Нам как раз по­ дойдет этот вариант, и позже вы поймете почему. Затем нужно выбрать тип гостевой ОС (рис. 20.6). Поддерживаются различ­ ные варианты Microsoft Windows, Linux и другие системы. Поскольку сервер у нас работает на Linux, то нужно выбрать именно этот вариант. Г 528 inux Глава 20. Виртуальный сервер на базе VMware Workstation Рис. 20.6. Выбор типа гостевой ОС Следующий шаг - выбор имени виртуальной машины и каталога для хране­ ния ее файлов. Обратите внимание: ранее мы выбирали каталог для общих ВМ, а сейчас выбираем каталог для конкретной виртуальной машины. Впро­ чем, рекомендации те же: должно быть достаточно дискового пространства и накопитель должен быть достаточно быстрым (желательно SSD). Размер дискового пространства имеет значение. К счастью, VMware эко­ номно расходует место на диске, поэтому можете указать размер дискового пространства с запасом - будет использовано ровно столько, сколько нужно. Другими словами, вы указываете верхнюю границу, а реально виртуальная машина займет дисковое пространство по факту потребления. Также выберите режим виртуального диска - Store virtual disk as a single file (хранить диск ВМ в одном файле) или Split virtual disk into multiple files (разбить диск ВМ на несколько файлов). В первом случае ВМ (из-за размера файла) будет сложнее перенести на другой компьютер, но ее производитель- Сервер на Windows и Linux Ainux ность будет выше. Если не планируете переносить виртуальную машину, можно выбрать первый вариант. Далее мастер предоставит сводку по параметрам виртуальной машины (рис. 20.7). Нажав кнопку Customize Hardware, можно изменить параметры обо­ рудования, например, указать количество процессоров, размер оперативной памяти, тип работы сетевого адаптера и т.д. Рис, 20,7, Нажмите эту кнопку В окне Virtual Machine Settings нажмите кнопку Add. Нам нужно добавить жесткий диск. Выберите Hard Disk, тип интерфейса SCSI, а вот когда мастер дойдет до выбора диска, то нужно выбрать Use an existing virtual disk и указать путь к созданному образу диска вашего сервера. О том, как его создать, мы поговорим в следующем разделе. Глава 20. Виртуальный сервер на базе VMware Workstation 20.3. Виртуализация физического сервера Любой физический Linux-сервер можно относительно легко подвергнуть виртуализации. Первым делом нужно снять образ диска для VMware с физи­ ческого Linux-сервера. Никакое дополнительное программное обеспечение для начала виртуализа­ ции нам не нужно, поскольку образ можно создать стандартной командой dd. dd if=/dev/sda of=/mnt/temp/sda.img bs=8M conv=sync,noerror Здесь мы параметром if задаем входящий файл — весь диск /dev/sda. В ка­ честве выходного файла (of) мы устанавливаем /mnt/share/sda.img — это и будет наш образ диска. Параметр bs задает размер блока для ускорения про­ цедуры копирования (по умолчанию 512 байт, следовательно, данные будут сбрасываться небольшими блоками по 512 байт, что существенно замедлит процедуру создания образа). Последний параметр указывает на необходи­ мость копирования с игнорированием ошибок и создания точной (бит-в-бит) копии физического диска. Примечание. В точке монтирования /mnt/temp должно быть доста­ точно места. Как минимум, должно быть свободно столько, сколько займет копируемый физический диск после виртуализации. После создания образа диска его нужно преобразовать в образ, подходя­ щий для вашего гипервизора. Как вы уже догадались, в нашем случае - это VMWare. Далее будет показано, как преобразовать созданный с помощью команды dd образ в формат VMWare. Для этого мы будем использовать qemu, точнее утилиту qemu-img, входящую в состав этого пакета эмуляции. Для проведения виртуализации физического сервера придется установить весь пакет: sudo apt install qemu Сервер на Windows и Linux Alnux Команда конвертирования выглядит так: qemu-img convert -о compat6 /mnt/temp/sda.img -0 vmdk /mnt/share/vmware.vmdk Обратите внимание, что в /mnt/temp должно быть достаточно места для хра­ нения файла vmware.vmdk, который также будет большого размера. Создан­ ный vmdk-файл уже можно использовать. Например, вы можете указать его при создании виртуальной машины в VMWare Workstation в качестве образа жесткого диска и сможете загрузиться с него. 532 Глава 21. KVM - бесплатное решение для виртуализации Сервер на Windows и Linux ^inux 21.1. Что такое KVM Гипервизор KVM (Kernel-based Virtual Machine) — это программное обеспечение для виртуализации на платформе Linux, работающее на разных операционных системах. Гипервизор распределяет ресурсы между всеми подключенными компьютерами, на которых могут стоять разные ОС, что позволяет запускать их одновременно. Здесь нужно понимать важное отличие от решения, которое мы рассматри­ вали в прошлой главе - на базе VMWare Workstation. Решение на базе VMWare подойдет в любительских целях - создать виртуальный сервер, дабы что-то протестировать, например, попробовать новую версию дистрибутива Linux, запустить Windows "внутри" Linux, развернуть копию сервера для тестирования. Однако если вы надумаете предоставлять другим пользова­ телям виртуальные серверы (то есть самому стать облачным провайдером), VMWare Workstation будет не очень удобным решением, и она не обеспечит должный уровень масштабируемости. Для этого у VMWare есть другие ре­ шения. А вот KVM отлично справится с этой задачей. Конечно, его можно использовать и как бесплатное решение виртуализации. Заметьте, в качестве бесплатного аналога VMWare можно было бы использовать Virtual Box, но сами по себе решения (VMWare Workstation и Virtual Box) - по сути, одина­ ковые, только VMWare - коммерческий продукт, a Virtual Box - бесплатный, и в книге не очень полезно для читателя рассматривать два разных продукта с одинаковым функционалом. Поэтому мы рассматриваем более профессио­ нальное и масштабируемое решение. Л>пих Глава 21. KVM - бесила 1 ное решение для виртуализации 21.2. Установка KVM Прежде чем мы приступим к установке, нужно отметить, что все действия мы будем производить в дистрибутиве Ubuntu. В других дистрибутивах воз­ можны изменения, как минимум, будет использоваться другой менеджер па­ кетов для установки KVM. Первым делом проверим, поддерживает ли ваш процессор виртуализацию: grep -Е '(vmxlsvm)’ /proc/cpuinfо Результат выполнения данной команды приведен на рис. 21.1. Вникать осо­ бо в вывод не нужно - главное, что он есть. А вот если в ответ на ввод этой команды - тишина, значит, ваш процессор не поддерживает виртуализацию. Рис. 21.1. Результат выполнения команды grep -Е '(vmx\svm)' /proc/cpuinfо Сервер на Windows и Linux Ubuntu поддерживает KVM на уровне ядра, а для работы с гипервизором рекомендует использовать библиотеку libvirt, что мы и будем делать далее. Но сначала нужно проверить поддержку аппаратной виртуализации, и для этого введем команду:^ kvm-ok В ответ вы должны увидеть следующий вывод: INFO: /dev/kvm exists KVM acceleration can be used Осталось установить пакеты, необходимые для работы с KVM: sudo apt install qemu-kvm libvirt-bin ubuntu-vm-builder bridge-utils При желании также можно установить графическую оболочку для libvirt: sudo apt install virt-manager Использовать Virt Manager довольно просто - примерно как и VMWare Workstation, и вы без проблем сможете освоить его самостоятельно. Мы же сконцентрируемся на консольном варианте использования. 21.3. Создание виртуального сервера В консольном варианте установки, настройки и управления системой неза­ менимым инструментом является утилита virsh. У нее очень много параме­ тров, с которыми вы можете ознакомиться в справочной системе (man virsh). | Для создания виртуального сервера используется команда virt-install. 536 Глава 21. KVM - бесплатное решение для виртуализации Рассмотрим сразу вариант использования этой команды: sudo virt-install \ --virt-type=kvm \ --name ubuntu2004\ --ram 2048 \ --vcpus=2 \ --os-variant=ubuntu20 .04 \ --hvm \ --cdrom=/iso/ubuntu-20.04.l-server-amd64.iso \ --network network=defau1tЛmodel=virtiо \ --graphics vnc \ —disk path=/var/lib/libvirt/images/ubuntu2004 .img,size=20,bus=virtio Разумеется, все эти параметры можно ввести в одну строку, мы же использу­ ем \ для удобства читателя. Разберемся, что есть что. Мы создаем виртуаль­ ную машину с именем ubuntu2004 с 2 Гб оперативной памяти, 2 виртуаль­ ными процессорами. Гостевая операционная система задается параметром -os-variant. Мы будем использовать Ubuntu 20.04. Предварительно нужно скачать и по­ местить в каталог /iso (это может быть точка монтирования внешней файло­ вой системы для экономии места на основной файловой системе) ISO-образ дистрибутива. У нас он называется ubuntu-20.04. l-server-amd64.iso. Образ виртуального диска мы будем хранить в каталоге =/var/lib/libvirt/ images. Параметр size=20 задает размер виртуального диска в гигабайтах, то есть 20 Гб. Сетевая карта - стандартная, то есть виртуальная машина будет ’’ходить” в Интернет через NAT. При желании вы можете не загружать ISO-образ, а получить его по сети. Пример: 537 O-lnux Сервер iki Windows и Linux sudo virt-install —name ubuntu-guest —os-variant ubuntu20.04 —vepus 2 --ram 2048 --location http://ftp.ubuntu.com/ubuntu/dists/ focal/main/instailer—amd64/ —network bridge=virbrO,model=virtio —graphics none —extra—args='console=ttyS0,115200n8 serial’ Параметр -os-variant, как уже отмечалось, указывает гипервизору, под какую именно ОС следует адаптировать настройки. iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiim ....... Список доступных вариантов ОС можно получить, выполнив команду: osinfo-query os Если такой утилиты нет в вашей системе, то ее нужно установить: sudo apt install libosinfо-bin После запуска установки в консоли появится вот такая надпись: Domain installation still in progress. You can reconnect to the console to complete the installation process. Это вполне нормально. Продолжить установку мы сможем через VNC. Но сначала нужно посмотреть, на каком порту он работает. Введите команду: virsh dumpxml ubuntu2004 <graphics type='vnc’ port=’5900’ autoport=’yes’ listen=’127.0.0.1'> <listen type=’address’ address=’127.0.0.1’/> </graphi cs > 538 Глава 21. KVM - бесплатное решение для виртуализации Чтобы просмотреть доступные соединения, можно ввести команду sudo netstat -tin. Это показано на рис. 21.2. Active Interrlet coni lections (only servers) Proto Recv-Q Send-Q Local Address tcp В S 192.168.122.1:53 tcp В 8.8.0.0:22 tcp 8 8Л.8.6:5900 | tcp 8 ""CT"'T'"T: TIT1 tcp 8 * tcp6 8 :: :22 tcp6 0 .г:Г:Ш tcp6 8 :::111 1 Foreign Address 0.0.6.8 0.0.0.0 0.0.0.0 0.0.0.0 :* 0.8.B.8 : * : I: * ::: * State LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN Рис. 21.2. Определяем, на каком порту работает виртуальная машина Порт 5900, на локальном адресе 127.0.0.1. Чтобы подключиться к VNC, не­ обходимо использовать Port Forwarding через ssh. Перед тем как это сделать, убедитесь, что tcp forwarding разрешен у демона ssh. Для этого нужно проверить настройки sshd: cat /etc/ssh/sshd_config | grep AllowTcpForwarding Если ничего не нашлось или форвардинг выключен: AllowTcpForwarding по Тогда нужно изменить файл так: AllowTcpForwarding yes После этого нужно перезагрузить sshd. 539 Сервер на Windows и Linux I Linux Выполняем команду на локальной машине: ssh -fN -1 login -L 127 . О.О.1:5900:localhost:5900 server_ip Здесь мы настроили ssh port forwarding с локального порта 5900 на сервер­ ный порт 5900. Вместо server_ip нужно указать ваш IP-адрес во внутрен­ ней сети. Теперь уже можно подключиться к VNC, используя любой VNCклиент. Я предпочитаю UltraVNC из-за простоты и удобства. После успешного подключения на экране отобразится стандартное окно приветствия начала установки Ubuntu. Рис. 21.3. Установка Ubuntu в виртуальной машине 21.4. Список команд virsh Чтобы посмотреть запущенные виртуальные хосты (все доступные можно получить, добавив -all):^ sudo virsh list Остановить виртуальную машину можно так: sudo virsh stop $VM_NAME Запуск: sudo virsh start $VM NAME Отключение: sudo virsh shutdown $VM NAME Добавить виртуальную машину в автозапуск (чтобы она запускалась автоматически при запуске физического сервера) можно командой: sudo virsh autostart $VM_NAME Очень часто требуется клонировать систему, чтобы в будущем ис­ пользовать ее как каркас для других виртуальных ОС, для этого ис­ пользуют утилиту virt-clone:^ virt-clone -help Подробная информация об этой команде есть в справочной системе (man virt-clone). Сервер на Windows и Linux В этой завершающей главе мы рассмотрели виртуализацию сервера в Linux посредством использования гипервизора KVM. Надеемся, что данный мате­ риал был вам полезен. Список использованных источников информации: • http://proline.biz.ua/calculator-ups-time-count • https://docs.microsoft.com/en-us/windows-server/get-started-19/editions-comparison-19 • https://docs.microsoft.com/ru-ru/windows-server/identity/ad-ds/active-directory-functionallevels • http://dev.mysql.eom/doc/refman/5.0/en/encryption-functions.html#function_password • https://www.starwindsoftware.com/converter • https://www.vmware.com/support/developer/ovf/ • http://awsdocs.s3.amazonaws.com/EC2/ec2-clt.pdf • https://docs.microsoft.com/ru-ru/sysinternals/downloads/disk2vhd • https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html • http://ftp.ubuntu.com/ubuntu/dists/focal/main/installer-amd64/ • https://it-black.ru/linux/3Z • https://ru.freepik.com/free-photo/data-server-racks-hub-room-with-big-data-computer-center-blueinterior-for-hosting-storage-hardware_37159301 .htm#query=server%20room&position=4&from_ view=search&track=ais • https://www.freepik.com/free-ai-image/integrated-microchip-circuit-board-server-central-computerprocessor-with-neon-lights_39518209.htm#query=server&position=16&from_view=search&track=sph 542 ^НиТ уйздатёльстваИ^ Книги по компьютерным технологиям, медицине, радиоэлектронике Уважаемые авторы! Приглашаем к сотрудничеству по изданию книг по IT-технологиям, электронике, медицине, педагогике. Издательство существует в книжном пространстве более 20 лет и имеет большой практический опыт. Наши преимущества: - Большие тиражи (в сравнении с аналогичными изданиями других издательств); - Наши книги регулярно переиздаются, а автор автоматически получает гонорар с каждого издания; - Индивидуальный подход в работе с каждым автором; - Лучшее соотношение цена-качество, влияющее на объемы и сроки продаж, и, как следствие, на регулярные переиздания; - Ваши книги будут представлены в крупнейших книжных магазинах РФ и ближнего зарубежья, библиотеках вузов, ссузов, а также на площадках ведущих маркетплейсов. Ждем Ваши предложения: тел. (812) 412-70-26 / эл. почта: [email protected] Будем рады сотрудничеству! Для заказа книг: > интернет-магазин: www.nit.com.ru / БЕЗ ПРЕДОПЛАТЫ по ОПТОВЫМ ценам более 3000 пунктов выдачи на территории РФ, доставка 3-5 дней более 300 пунктов выдачи в Санкт-Петербурге и Москве, доставка 1-2 дня тел. (812) 412-70-26 эл. почта: [email protected] > магазин издательства: г. Санкт-Петербург, пр. Обуховской обороны, д.107 метро Елизаровская, 200 м за ДК им. Крупской ежедневно с 10.00 до 18.30 справки и заказ: тел. (812) 412-70-26 > крупнейшие книжные сети и магазины страны Сеть магазинов «Новый книжный» > тел. (495) 937-85-81, (499) 177-22-11 маркетплейсы ОЗОН, Wildberries, Яндекс.Маркет, Myshop и др. Левицкий Н. Д., Завьялов А. В. Сервер на Windows и Linux Администрирование и виртуализация Группа подготовки издания: Зав. редакцией компьютерной литературы: М. В. Финков Редактор: Е. В. Финков Корректор: А. В. Громова ООО "Издательство Наука и Техника" ОГРН 1217800116247, ИНН 7811763020, КПП 781101001 192029, г. Санкт-Петербург, пр. Обуховской обороны, д. 107, лит. Б, пом. 1-Н Подписано в печать 05.07.2023. Формат 70x100 1/16. Бумага газетная. Печать офсетная. Объем 34 п.л. Тираж 1500. Заказ 5865. Отпечатано с готовых файлов заказчика в АО «Первая Образцовая типография», филиал «УЛЬЯНОВСКИЙ ДОМ ПЕЧАТИ» 432980, Россия, г. Ульяновск, ул. Гончарова, 14