36. Серверы имен. Основные понятия DNS, WINS Сервер имен - специальный сервер, осуществляющий отображение доменных имен в IP-адреса (и наоборот) И WINS, и DNS выполняют разрешение имен, которое представляет собой процесс преобразования компьютерного имени в адрес. WINS преобразовывает внутренние имена NetBIOS в IP-адреса, а DNS преобразует в IP-адреса Internet-имена. Если ваша сеть охватывает только вашу компанию и в ней используются только системы компании Microsoft (например, на базе NetBIOS), DNS вам абсолютно ни к чему; все, что необходимо для разрешения имен предлагает WINS. Однако, если вы подключены к Internet, вам следует подумать о том, какой тип связи имеет смысл реализовывать. Если ваши пользователи будут получать доступ к внешним серверам в Internet, необходимо предоставить им возможности, которые выходят за рамки поиска адреса в Internet. Если же, напротив, вы планируете предоставлять ресурсы, к которым будут обращаться пользователи вне вашей сети, следует в своей базе данных DNS сконфигурировать серверы (например, все машины, которые содержат ресурсы для совместного использования) как хосты. DNS - это часть семейства протоколов и утилит TCP/IP. Microsoft и другие компании предлагают различные версии DNS, работающие на разнообразных операционных системах (в основном на вариантах Unix). Слово domain в названии DNS относится к доменам в Internet, а не к доменной модели NT. Internet подразделяется на домены, каждый из которых обслуживает различные группы пользователей. К таковым доменам относятся домены .com, .edu, .gov и .mil. Ими управляет Internet-сервер первого уровня, получивший название корневого сервера имен (это название становится понятным, если представлять себе Internet как древовидную структуру). Система именования доменов Internet сначала обращается к Internet-серверам первого уровня, а затем "спускается" по дереву серверов. Когда вы набираете адрес, ваш локальный сервер DNS просматривает свою базу данных и кэширует требуемую информацию. Если локальный сервер не содержит IP-адрес, он передает запрос корневому серверу имен. После чего корневой сервер имен возвращает вашему серверу DNS адрес соответствующего сервера имен. В свою очередь ваш сервер DNS обращается с запросом к серверу имен в поисках адреса сервера на следующем уровне и далее процесс повторяется. WINS-сервер служит для хранения имен NetBIOS и разрешения их в IP-адреса. Если для узла TCP/IP задан IP-адрес WINS-сервера, то этот узел TCP/IP регистрирует свои имена NetBIOS на этом WINS-сервере и направляет ему запросы на разрешение имен NetBIOS. 37. Групповые политики, функции и назначения. Объекты групповой политики. Назначение групповых политик для задач администрирования. Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются в домене и реплицируются в рамках домена. Объект групповой политики (Group Policy Object, GPO) состоит из двух физически раздельных составляющих: контейнера групповой политики (Group Policy Container, GPC) и шаблона групповой политики (Group Policy Template, GPT). Эти два компонента содержат в себе всю информацию о параметрах рабочей среды, которая включается в состав объекта групповой политики. Продуманное применение объектов GPO к объектам каталога Active Directory позволяет создавать эффективную и легко управляемую компьютерную рабочую среду на базе ОС Windows. Политики применяются сверху вниз по иерархии каталога Active Directory. Создание групповых политик По умолчанию в иерархии каталога Active Directory создаются две групповые политики с чрезвычайно выразительными именами: Default Domain Policy (политика домена по умолчанию) и Default Domain Controller’s Policy (политика контроллера домена по умолчанию). Первая из них назначается домену, а вторая — контейнеру, в состав которого входит контроллер домена. Если вы хотите создать свой собственный объект GPO, вы должны обладать необходимыми полномочиями. По умолчанию правом создания новых GPO обладают группы Enterprise Administrators (Администратор предприятия) и Domain Administrators (Администраторы домена). Чтобы создать новый объект групповой политики, необходимо выполнить следующие действия: Убедитесь в том, что вы подключились к системе с использованием учетной записи, принадлежащей к одной из групп: Domain Administrators (Администраторы домена) или Enterprise Administrators (Администраторы предприятия). Убедитесь в том, что в системе, к которой вы подключились, установлены средства администрирования, необходимые для работы с групповыми политиками. В частности, вам потребуется оснастка Active Directory Users and Computers (Active Directory — пользователи и компьютеры). Этой оснастке соответствует файл dsa.msc. Откройте консоль Active Directory Users and Computers (Active Directory — пользователи и компьютеры) и перейдите к контейнеру OU, в отношении которого вы намерены применить политику. Правой кнопкой мыши щелкните на контейнере OU, в появившемся меню выберите пункт Properties (Свойства) и перейдите на вкладку GPO. Чтобы создать новый объект GPO и назначить его текущему контейнеру, щелкните на кнопке New (Новый). В списке ссылок на объекты GPO появится новая позиция, строка имени которой будет находиться в режиме редактирования. Присвойте новому объекту GPO содержательное имя. Созданная вами политика является лишь заготовкой. Ее содержимое формируется на основе административных шаблонов, содержащихся в папке SysVol контроллера домена, на котором был создан GPO. Эти шаблоны можно расширить и модифицировать в соответствии с нуждами вашей организации. В дополнение к существующим компонентам объекта GPO можно добавить созданные вами расширения. Например, при помощи групповой политики можно управлять настройками прикладных программ. Информация о том, как создавать свои собственные расширения GPO, содержится в Windows 2000 SDK (Software Development Kit). После создания GPO следует модифицировать содержащиеся в этом объекте значения параметров таким образом, чтобы настроить определяемую групповой политикой конфигурацию рабочей среды. На вкладке Group Policy (Групповая политика) щелкните на кнопке Edit (Редактировать). При этом запустится редактор групповой политики, при помощи которого вы сможете модифицировать конфигурацию компьютера и пользователя, определяемую политикой. Список ссылок на объекты GPO, отображаемый на странице свойств контейнера OU, содержит ссылки на объекты GPO, расположенные в каталоге Active Directory. Изменения, вносимые в любой из объектов GPO, могут повлиять на поведение многих объектов каталога Active Directory. Чтобы определить, в отношении каких именно контейнеров OU будут применены сделанные вами изменения, откройте диалоговое окно свойств интересующего вас GPO и перейдите на вкладку Links (ссылки). Чтобы получить список контейнеров, с которыми связана данная политика, воспользуйтесь кнопкой Find Средства администрирования Утилиты группы Administrative Tools (Администрирование) входят в комплект поставки операционных систем Server, Advanced Server и Datacenter Server. Файл, необходимый для установки этих утилит, называется adminpak.msi и располагается в каталоге i386 на установочном компакт-диске или в подкаталоге WINNT\SYSTEM32\ операционной системы. Этот 15-мегабайтный файл устанавливает все необходимые оснастки и регистрирует библиотеки DLL, необходимые для использования средств администрирования. В настоящее время установить утилиты группы Administrative Tools (Администрирование) можно только на платформе Windows 2000. Применение групповых политик Работая с групповыми политиками, следует учитывать, что: объекты GPO применяются в отношении контейнеров, а не замыкающих объектов; один контейнер может быть связан с несколькими объектами GPO; объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены; объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю; обработку любой из этих составляющих можно отключить; наследование объектов GPO можно блокировать; наследование объектов GPO можно форсировать; применение объектов GPO можно фильтровать при помощи списков ACL. 38. Маршрутизация и удаленный доступ. Организация маршрутизации на сервере Windows Server 2003. Маршрутизация (routing) — это процесс пересылки данных между локальными вычис­ лительными сетями (ЛВС). В отличие от моста (bridge), который обеспечивает связь сетевых сегментов и совместный доступ к трафику с использованием аппаратных адресов, маршрутизатор принимает и пересылает трафик, ориентируясь на программные адреса. Служба Маршрутизация и удаленный доступ (Routing and Remote Access, RRAS) в Windows Server 2003 представляет собой программный многопротокольный маршрутизатор, ко­ торый легко объединяется с другими функциями Windows, такими как учетные записи безопасности и групповые политики. Во вновь установленной копии Windows Server 2003 служба Маршрутизация и удаленный доступ отключена — ее активизируют с помощью Мастера настройки сервера маршру­ тизации и удаленного доступа (Routing and Remote Access Server Setup Wizard). Консоль Маршрутизация и удаленный доступ (Routing and Remote Access) — это стандарт ный графический пользовательский интерфейс пользователя для управления маршру­ тизацией в Windows Server 2003. Параметры службы Маршрутизация и удаленный доступ настраиваются в окне свойств узла сервера в консоли Маршрутизация и удаленный доступ. К этим параметрам относят­ ся: маршрутизация, вызов по требованию, включение поддержки удаленного доступа, конфигурация аутентификации, назначение адресов пользователей, протокол РРР (Point-to-Point Protocol) и особенности входа в систему. Маршрутизаторы считывают адреса назначения пакетов и переправляют пакеты в соот­ ветствии с информацией, хранящейся в таблицах маршрутизации. Отдельные записи таблицы маршрутизации называются маршрутами (routes) — они содержат ссылки на сети и узлы-адресаты. Существуют три типа маршрутов: • Маршрут узла (host route) — определяет ссылку на определенный узел или широко­ вещательный адрес. В таблицах маршрутизации IP такие маршруты обозначаются маской подсети 255.255.255.255. • Маршрут сети (network route) — определяет маршрут к определенной сети, а соответ­ ствующее поле в таблицах IP-маршрутизации может содержать любую маску подсе­ ти из диапазона 0.0.0.0-255.255.255.255. • Маршрут по умолчанию (default route) — один маршрут, по которому «уходят» все пакеты, чей адрес назначения не совпадает ни с одним адресом таблицы маршрутизации. В таблицах IP-маршрутизации такому маршруту соответствует адрес 0.0.0.0 и маска подсети 0.0.0.0. Увидеть таблицу IP-маршрутизации можно в консоли Маршрутизация и удаленный дос­ туп (Routing and Remote Access) или в командной строке. 39. Контроллеры доменов, их функции и назначения. Роли к-ров в АД. Репликация между к-рами. Протоколы репликации. Структура контроллеров домена. В операционной системе главный контроллер домена является единственным источником изменений содержимого базы данных SAM. В системе Windows 2003 изменения в БД SAM вносятся без участия главных контроллеров доменов, ибо данная ОС обеспечивает мультисерверную репликацию данных AD. Но основные контроллеры доменов тоже остаются. Функционирование леса Windows 2003 требует наличия контроллеров домена, выполняющих пять функций или ролей — Operations Master roles. Перечислим их: основной контроллер домена (PDC), контроллер пула относительных идентификаторов (Relative Identifier — RID — Pool), контроллер инфраструктуры (Infrastructure), контроллер именования доменов (Domain Naming) и контроллер схемы (schema). Роли Master PDC, RID Pool Master и Infrastructure Operatons Master должны выполняться по меньшей мере одним контроллером в каждом домене. Если сервер, ответственный за выполнение одной из этих ролей, выходит из строя, ее нужно вручную возложить на другой контроллер домена. Смысл роли Master PDC: если имеются резервные контроллеры домена и клиенты младшей версии ОС NT 4.0, контроллер домена Windows 2003, на который возложена роль PDC, и будет основным контроллером домена. Роль RID Pool Master получила такое название от идентификатора пользователя RID, который является частью идентификатора Security ID, SID. Поскольку в Windows 2003 допускается внесение изменений в каталог любым контроллером домена, без координации назначений относительных идентификаторов новым объектам не обойтись. Именно эту роль и выполняет RID Pool Master. Infrastructure Operatons Master — процесс, поддерживающий согласованность данных об объектах, которые реплицируются между доменами (это относится к общему каталогу, конфигурации узлов и соединениям репликации). Роли Domain Naming и Schema Masters выполняются по меньшей мере на одном контроллере домена в каждом лесу. Роль Domain Naming Master гарантирует уникальность имени домена в масштабах леса при добавлении новых доменов. Роль Schema Master определяет, на каком контроллере домена могут вноситься изменения в схему каталога; понятно, что, если позволить вносить изменения в схему каталога на нескольких контроллерах домена, это может вызвать проблемы. Структура и репликация Физически информация AD хранится на одном или нескольких равнозначных контроллерах доменов, заменивших использовавшиеся в Windows основной и резервные контроллеры домена (хотя для выполнения некоторых операций сохраняется и так называемый сервер «операций с одним главным сервером», который может эмулировать главный контроллер домена). Каждый контроллер домена хранит копию данных AD, предназначенную для чтения и записи. Изменения, сделанные на одном контроллере, синхронизируются на все контроллеры домена при репликации. Серверы, на которых сама служба Active Directory не установлена, но которые при этом входят в домен AD, называются рядовыми серверами. Репликация AD выполняется по запросу. Служба KCC создаёт топологию репликации, которая использует сайты, определённые в системе, для управления трафиком. Внутрисайтовая репликация выполняется часто и автоматически с помощью средства проверки согласованности (уведомлением партеров по репликации об изменениях). Репликация между сайтами может быть настроена для каждого канала сайта (в зависимости от качества канала) — различная «оценка» (или «стоимость») может быть назначена каждому каналу (например DS3, T1, ISDN и т. д.), и трафик репликации будет ограничен, передаваться по расписанию и маршрутизироваться в соответствии с назначенной оценкой канала. Данные репликации могут транзитивно передаваться через несколько сайтов через мосты связи сайтов, если «оценка» низка, хотя AD автоматически назначает более низкую оценку для связей «сайт-сайт», чем для транзитивных соединений. Репликация сайт-сайт выполняется серверами-плацдармами в каждом сайте, которые затем реплицируют изменения на каждый контроллер домена своего сайта. Внутридоменная репликация проходит по протоколу RPC по IP, междоменная — может использовать также протокол SMTP. Если структура Active Directory содержит несколько доменов, для решения задачи поиска объектов используется глобальный каталог: контроллер домена, содержащий все объекты леса, но с ограниченным набором атрибутов (неполная реплика). Каталог хранится на указанных серверах глобального каталога и обслуживает междоменные запросы. Возможность операций с одним главным компьютером позволяет обрабатывать запросы, когда репликация с несколькими главными компьютерами недопустима. Есть пять типов таких операций: эмуляция главного контроллера домена (PDC-эмулятор), главный компьютер относительного идентификатора (мастер относительных идентификаторов или RID-мастер), главный компьютер инфраструктуры (мастер инфраструктуры), главный компьютер схемы (мастер схемы) и главный компьютер именования домена (мастер именования доменов). Первые три роли уникальны в рамках домена, последние две — уникальны в рамках всего леса. Базу AD можно разделить на три логические хранилища или «раздела». «Схема» является шаблоном для AD и определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья находятся в одном лесу, потому что у них одна схема). «Конфигурация» является структурой леса и деревьев AD. «Домен» хранит всю информацию об объектах, созданных в этом домене. Первые два хранилища реплицируются на все контроллеры доменов в лесу, третий раздел полностью реплицируется между репликами контроллеров в рамках каждого домена и частично — на сервера глобального каталога. 40. Объекты Active Directory. Инструменты управления объектами AD. Active Directory (AD) имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три основные категории: ресурсы, службы и люди. Каждый объект представляет отдельную сущность — пользователя, компьютер, принтер, приложение или общую сетевую папку — и его атрибуты. Объекты могут также быть контейнерами для других объектов. Объект уникально идентифицируется своим именем и имеет набор атрибутов — характеристик и данных, которые объект может содержать, — которые зависят от типа объекта. Атрибуты являются составляющей базовой структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать в AD. Сама схема состоит из двух типов объектов: объекты классов схемы и объекты атрибутов схемы. Один объект класса схемы определяет один тип объекта Active Directory (например, объект «Пользователь»), а один объект атрибута схемы определяет атрибут, который объект может иметь. Каждый объект атрибута может быть использован в нескольких разных объектах классов схемы. Эти объекты называются объектами схемы (или метаданными) и позволяют изменять и дополнять схему, когда это необходимо. Однако каждый объект схемы является частью определений объектов Active Directory, поэтому деактивация или изменение этих объектов может иметь серьёзные последствия, так как в результате этих действий будет изменена структура AD. Изменение объекта схемы автоматически распространяется в Active Directory. Будучи однажды созданным объект схемы не может быть удалён, он может быть только деактивирован. Обычно все изменения схемы тщательно планируются. Верхним уровнем структуры является лес — совокупность всех объектов, атрибутов объектов и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, связанных транзитивными отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS — пространствами имён. Объекты в домене могут быть сгруппированы в контейнеры — подразделения. Подразделения позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать организационную и/или географическую структуры компании в Active Directory. Подразделения могут содержать другие подразделения. Рекомендуетcя использовать как можно меньше доменов в Active Directory, а для структурирования AD и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.Другим способом деления AD являются «сайты», которые являются способом физической (а не логической) группировки на основе подсетей IP. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных AD между сайтами. Ключевым решением при проектировании AD является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей. Администрирование Active Directory включает в себя управление объектами домена и их свойствами. Объекты, которые управляются в домене, включают в себя учетные записи пользователей, групп, компьютеров и OU. В отличие от NT 4, где мы использовали один инструмент для управления пользователями и группами (User Manager for Domain (Диспетчер пользователей для домена)) и совсем другой для учетных записей компьютера (Server Manager (Диспетчер серверов)), в домене Windows 2003 все управление этими объектами осуществляется при помощи инструмента, называемую Active Directory Users and Computers (Пользователи и компьютеры Active Directory), оснастки ММС. Инструменты работы с объектами AD: Консоли ММС: Active Directory домены и доверие, Active Directory пользователи и компьютеры, Active Directory Сайты и службы, Схема Active Directory. Консольные программы:dsadd, dsmod и т.п., csvde, wmic. Еще дополнительные инструменты, которые можно найти на диске WS 2003: Acldiag.exe: используется для определения того, является ли пользователь был предоставлен доступ или отказано в доступе на объект в Active Directory. Adsiedit.msc: используется для добавления, перемещения и удаления объектов, а также изменить или удалить объект атрибутов. Dcdiag.exe: используется для определения состояния контроллеров домена в лесу / предприятия. Dfsutil.exe: Используется для управления распределенной файловой системы (DFS) и просмотреть информацию DFS. Dsacls.exe: Используется для управления списки управления доступом к объектам Active Directory. Dsastat.exe: Для сравнения контекстов именования на контроллерах домена. Ldifde: используется для создания, удаления и изменения объектов на компьютерах под управлением WXP и WS 2003. Ldp.exe: Используется для проведения Lightweight Directory Access Protocol (LDAP) функции по Active Directory. Movetree.exe: используется для перемещения объектов с одного домена на другой домен. Netdom.exe: Может быть использован для управления доменами и доверительных отношений. Nltest.exe: Может быть использована для просмотра информации о начальном контроллеры домена, трестов и репликации. Repadmin.exe: Используется для мониторинга, диагностики, управления и воспроизведения проблем. Replmon.exe: Используется для мониторинга и управления репликации с помощью графического интерфейса пользователя (GUI). Sdcheck.exe: Отображает Дескриптор безопасности для объектов Active Directory, и может быть использовано для проверки ACL распространения, тиражирования и списки управления доступом ли в настоящее время унаследовала правильно. Setspn.exe: используется для просмотра, изменения или удаления службы Высший названиям (SPN) каталога собственности для обслуживания счета в Active Directory. Sidwalker.exe: используется для конфигурирования списки управления доступом на объекты, которые принадлежат либо перемещаются или удаляются учетные записи. 41. Удаленное управление компьютером. Сервер терминалов. Сеансы пользователей. Управление многопользовательской средой. Инструменты управления. Терминальный сервер, сервер терминалов — сервер, предоставляющий клиентам вычислительные ресурсы (процессорное время, память, дисковое пространство) для решения задач. Технически, терминальный сервер представляет собой очень мощный компьютер (либо кластер), соединенный по сети с терминальными клиентами — которые, как правило, представляют собой маломощные или устаревшие рабочие станции или специализированные решения для доступа к терминальному серверу. Терминал сервер служит для удалённого обслуживания пользователя с предоставлением рабочего стола. В семействе Windows 2000 Server был реализован набор технологий, позволяющих выполнять удаленное администрирование и совместно использовать приложения с помощью Служб терминалов. В WS 2003 службы терминалов — неотъемлемый компонент семейства, а инструмент Дистанционное управление рабочим столом усовершенствован и позиционируется как стандартная функция. Достаточно одного щелчка мыши, и компьютер с WS 2003 будет параллельно обрабатывать до двух подключений удаленного администрирования. Добавив компонент Сервер терминалов и настроив соответствующую лицензию, администратор добьется еще большего эффекта: множество пользователей смогут запускать приложения на сервере. Службы терминалов позволяют совместно использовать приложения с помощью таких инструментов, как Дистанционное управление рабочим столом (Remote Desktop), Удаленный помощник (Remote Assistance) и Сервер терминалов (Terminal Server). Подключение к удаленному рабочему столу (Remote Desktop Connection) — это клиентское приложение, используемое для подключения к серверу в контексте режима Дистанционное управление рабочим столом (Remote Desktop) или Сервер терминалов (Terminal Server). Для клиента нет функциональных различий между этими двумя конфигурациями сервера. На компьютерах с Windows XP и Windows Server 2003 программа. Параметры сервера Параметры входа (Logon Settings) Позволяет задать статические реквизиты для подключения вместо реквизитов, предоставляемых клиентом Сеансы (Sessions) Чтобы перекрыть настройки клиента, задайте здесь параметры завершения прерванного сеанса, ограничения длительности сеанса и времени его простоя, а также допустимость повторного подключения Среда (Environment) Перекрывает настройки из профиля пользователя для данного подключения в отношении запуска программы: здесь вы можете переопределить запускаемую при подключении программу. Заданный здесь путь и папка запуска приоритетнее настроек, сделанных программой Подключение к удаленному рабочему столу Разрешения (Permissions) Позволяет задавать дополнительные разрешения для данного подключения Удаленное управление (Remote Control) Указывает, можно ли удаленно управлять сеансом Подключение к удаленному рабочему столу, и если так, то должен ли пользователь выдавать разрешение на инициализацию сеанса удаленного управления. Дополнительные параметры позволяют ограничить сеанс удаленного управления только функцией просмотра либо разрешить полную интерактивность с сеансом клиента Дистанционное управление рабочим столом Параметры клиента (Client Settings) Позволяют перекрыть параметры из конфигурации клиента, изменить глубину цвета и отключить различные коммуникационные порты (порты ввода-вывода) Сетевой адаптер (Network Adapters) Указывает, какие сетевые платы на сервере будут принимать удаленные подключения для администрирования Общие (General) Задает уровень шифрования и механизм проверки подлинности для подключений к этому серверу Устранение неполадок при работе со службами терминалов При использовании программы Удаленный рабочий стол для администрирования (Remote Desktop for Administration) создается подключение к консоли сервера. Есть несколько потенциальных причин неудачных подключений или сеансов с ошибками. • Сбои сети. Ошибки в работе стандартной TCP/IP сети могут вызывать сбои или разрывы подключений Дистанционное подключение к рабочему столу (Remote Desktop). Если не функционирует служба DNS, клиент не сможет найти сервер по имени. Если не функционирует маршрутизация либо неверно настроен порт Служб терминалов (Terminal Services) (по умолчанию это порт 3389) на клиенте или сервере, соединение установить не удастся. • Реквизиты входа. Для успешного подключения к серверу средствами программы Удаленный рабочий стол для администрирования пользователи должны быть включены в группу Администраторы (Administrators) или Пользователи удаленного рабочего стола (Remote Desktop Users). Если подключиться через Удаленный рабочий стол для администрирования не удается из-за запрета доступа, проанализируйте членство в группах. В предыдущих версиях Сервера терминалов (Terminal Server) для подключения к серверу требовалось быть участником группы Администраторы (Administrators), хотя специальные разрешения можно было выдать вручную. Сервер терминалов поддерживает только два удаленных подключения. • Политика. Только администраторам разрешено подключаться средствами программы Дистанционное подключение к рабочему столу (Remote Desktop) к контроллерам доменов. Чтобы разрешить подключаться остальным пользователям, нужно настроить политику безопасности на контроллере домена. • Слишком много параллельных подключений. Если сеансы прерывались без выхода из системы, сервер может посчитать, что достигнут предел одновременно обрабатываемых подключений, даже если в данный момент к серверу не подключены два пользователя. Например, администратор может завершить сеанс без выхода из системы. Если еще два администратора попытаются подключиться к серверу, это удастся только одному из них. 42. Сетевые службы Windows. Организация и использование файлового сервера в сетях Microsoft. Утилиты командной строки для управления общими файловыми серверами. Файловый сервер (File Server). Обеспечивает централизованный доступ к файлам и каталогам для пользователей, отделов и организации в целом. Выбор этого варианта позволяет управлять пользовательским дисковым пространством путем включения и настройки средств управления дисковыми квотами и ускорить поиск в файловой системе за счет активизации Службы индексирования (Indexing Service). Windows Server 2003 включает в себя следующие функции по управлению файлами и дисками. File Server Management (Управление файловым сервером) Вы можете использовать File Server Management для выполнения ряда таких задач, как форматирование и дефрагментация томов, создание и управление общими ресурсами, установка квот, создание отчетов об использовании хранилища, репликация данных с файлового сервера и на него, управление Storage Area Networks (SANs, Сети хранилищ данных) и выделение файлов в общий доступ для систем UNIX и Macintosh. File Server Resource Manager (Управление ресурсами файлового сервера) Спрос на ресурсы хранилищ данных увеличивается, так как сейчас организации зависят от информации более тесно, чем когда-либо, - и системные администраторы сталкиваются с требованием обслуживать всё более и более объёмные и сложные системы хранилищ, и в то же время отслеживать содержащиеся в них различные типы информации. File Server Resource Manager (Управление ресурсами файлового сервера) - новая оснастка Microsoft Management Console (MMC, Управляющей консоли Microsoft), которая предоставляет администраторам комплект инструментов для отслеживания, контроля и управления количеством и типами информации, хранящейся на серверах. Используя File Server Resource Manager, администраторы могут задавать квоты на папки и тома, оперативно классифицировать и отбирать файлы и получать исчерпывающие отчёты о хранилище. Квоты File Server Resource Manager (Управление ресурсами файлового сервера) в сравнении с дисковыми квотами NTFS Операционные системы Windows 2000 и Windows Server 2003 поддерживают на томах NTFS дисковые квоты, которые используются для отслеживания и контроля над использованием диска пользователями. В следующей таблице отражены преимущества инструмента управления квотами File Server Resource Manager. Функции квоты File Server Resource Manager (Управление Ресурсами Дисковые квоты NTFS Файлового Сервера) Отслеживание квоты По папкам или по томам По пользователю относительно всего тома Оценка загрузки диска Фактическое дисковое пространство Логический размер файлов Механизмы уведомления Электронная почта, Только журналы событий настраиваемый отчёт, выполнение команд, журналы событий Microsoft Services for Network File System (Службы Microsoft для Сетевой файловой системы) Microsoft Services for Network File System (NFS, Службы Microsoft для Сетевой файловой системы) это компонент Windows Server 2003 R2, который обеспечивает общий доступ к файлам на предприятиях, которые используют смешанную среду из Windows и UNIX. Microsoft Services for Network File System (NFS) позволяют пользователям передавать файлы между компьютерами, работающими под управлением Windows Server 2003 R2 и UNIX, используя протокол Network File System (NFS). Microsoft Services for NFS - это обновлённая версия компонентов NFS, которые ранее были доступны в составе Services for UNIX 3.5 (Служб для UNIX версии 3.5). Microsoft Services for NFS включают следующие новые функции: поддержка 64-битной архитектуры. Microsoft Services for NFS могут быть установлены на все издания Windows Server 2003 R2, включая 64-х битные версии; обновлённая оснастка Microsoft Management Console (MMC, Управляющей консоли Microsoft) для администрирования Microsoft Services for NFS; повышенная надёжность; поддержка специальных устройств UNIX (mknod) Microsoft Services for NFS позволяют поддерживать смешанные среды, состоящие из операционных систем семейств Windows и UNIX, а также производить обновление компьютеров вашей организации, поддерживая устаревшие технологии на время переходной фазы. Ниже приведены примеры сценариев того, какие преимущества может получить предприятие от использования Microsoft Services for NFS. Обеспечить клиентам UNIX доступ к ресурсам, которые находятся на компьютерах, работающих под управлением Windows Server 2003 R2. Ваша компания может иметь клиентов UNIX, имеющих доступ к таким ресурсам, как файлы на файловых серверах UNIX. Чтобы воспользоваться преимуществами новых возможностей Windows Server 2003 - таких, как Shadow Copies for Shared Folders (Теневые копии общих папок) - вы можете переместить ресурсы с серверов UNIX на компьютеры, работающие под управлением Windows Server 2003 R2, а затем установить Microsoft Services for NFS для того, чтобы обеспечить доступ клиентам UNIX, использующим NFS. Все клиенты UNIX смогут получить доступ к ресурсам по протоколу NFS без внесения каких-либо изменений. Обеспечить компьютерам, работающим под управлением Windows Server 2003 R2, доступ к файловым серверам UNIX. Ваша компания может иметь смешанную среду из Windows и UNIX и такие ресурсы, как файлы, хранящимися на файловых серверах UNIX. Вы можете использовать Microsoft Services for NFS для того, чтобы обеспечить компьютерам, работающим под управлением Windows Server 2003 R2, доступ к ресурсам файловых серверов, которые используют NFS. Storage Management for SANs (Управление сетями хранилищ данных) Storage Management for SANs (Управление сетями хранилищ данных) является новой оснасткой для Microsoft Management Console (MMC, Управляющей консоли Microsoft), которая поможет создавать и управлять номерами логических устройств (LUNs) на оптоволоконных каналах и дисковыми устройствами iSCSI в вашей сети хранилищ данных. Данная оснастка может быть использована для управления подсистемами хранилищ, которые поддерживают Virtual Disk Server (VDS, Виртуальные дисковые сервера). Используйте Storage Management for SANs для создания и присвоения номеров логических устройств (LUNs), управляйте соединениями между LUN-ами и серверами в вашей SAN и устанавливайте параметры безопасности для подсистемы хранилища iSCSI. 43. Разграничение доступа к ресурсам файлового сервера. Управление безопасностью общих сетевых ресурсов. Инструменты разграничения доступа. Разрешения для общего ресурса Чтение (Read) Пользователи могут просматривать имена папок, а также имена, содержимое и атрибуты файлов, запускать программы и обращаться к другим папкам внутри общей папки Изменение (Change) Пользователи могут создавать папки, добавлять файлы и редактировать их содержимое, изменять атрибуты файлов, удалять файлы и папки и выполнять действия, допустимые разрешением Чтение (Read) Полный доступ (Full Control) Пользователи могут изменять разрешения файлов, становится владельцами файлов и выполнять все действия, допустимые разрешением Изменение (Change) Разрешения общего ресурса можно предоставлять или отменять. Действующим набором разрешений общего ресурса называют сумму разрешений, предоставленных пользователю и всем группам, членом которых он является. Разрешения общего ресурса определяют максимальные действующие разрешения для всех файлов и папок внутри общей папки. Назначая разрешения NTFS для отдельных файлов и папок, доступ можно ужесточить, но не расширить. Другими словами, доступ пользователя к файлу или папке определяется наиболее жестким набором из разрешений общего ресурса и разрешений NTFS. Если разрешения NTFS дают группе полный доступ к папке, а разрешения общего ресурса остаются стандартными — группе. Все (Everyone) предоставлено разрешение Чтение (Read) или даже Изменение (Change) — разрешения NTFS ограничиваются разрешением общего ресурса. Этот механизм означает, что разрешения общего ресурса усложняют управление доступом к ресурсам. Это одна из причин, по которой в организациях обычно назначают общим ресурсам открытые разрешения: группе Все (Everyone) дается разрешение Полный доступ (Full Control), а для защиты папок и файлов используют только разрешения NTFS. NTFS — более продуманная система. Разрешения NTFS обеспечивают надежный, безопасный способ управления доступом к файлам и папкам. Разрешения NTFS реплицируются, сохраняются при архивировании и восстановлении тома данных, подлежат аудиту и обеспечивают чрезвычайную гибкость и удобство управления. Использование разрешений общего ресурса для решения реальных задач Из-за этих ограничений разрешения общего ресурса применяются только в очень редких случаях, когда том отформатирован под файловую систему FAT или FAT 32, которые не поддерживают разрешения NTFS. Иначе, правило «реального мира» звучит так: предоставьте группе Все (Everyone) разрешение общего ресурса Полный доступ (Full Control), а для ограничения доступа к содержимому общей папки используйте разрешения NTFS. Средства разграничения доступа: - Ограничение физического доступа к серверам - прямой вход в приложение - использование ограничивающего командного интерпретатора - контроль переменной окружения PATH - установка umask в профайлах пользователей - разбиения пользователей на группы в соответствии со служебными обязанностями - использования списка управления доступом для индивидуального задания прав 44. Службы каталогов, функции и назначение. Служба каталогов Active Directory. Компоненты структуры каталога. Сети Microsoft Windows поддерживают две модели служб каталогов: рабочую группу (workgroup) и домен (domain). Для огранизаций, внедряющих Windows Server 2003, модель домена наиболее предпочтительна. Модель домена характеризуется единым каталогом ресурсов предприятия — Active Directory, — которому доверяют все системы безопасности, принадлежащие домену. Поэтому такие системы способны работать с субъектами безопасности (учетными записями пользователей, групп и компьютеров) в каталоге, чтобы обеспечить защиту ресурсов. Служба Active Directory, таким образом, играет роль идентификационного хранилища и сообщает «кто есть кто» в этом домене. Впрочем, Active Directory — не просто база данных. Это коллекция файлов, включая журналы транзакций и системный том ( Sysvol ), содержащий сценарии входа в систему и сведения о групповой политике. Это службы, поддерживающие и использующие БД, включая протокол LDAP (Lightweight Directory Access Protocol), протокол безопасности Kerberos, процессы репликации и службу FRS (File Replication Service). БД и ее службы устанавливаются на один или несколько контроллеров домена. Контроллер домена назначается Мастером установки Active Directory, который можно запустить с помощью Мастера настройки сервера (как вы сделаете в упражнении 2) или командой DCPROMO из командной строки. После того как сервер становится контроллером домена, на нем хранится копия (реплика) Active Directory, и изменения БД на любом контроллере реплицируются на все остальные контроллеры домена. Домены, деревья и леса Active Directory не может существовать без домена и наоборот. Домен — это основная административная единица службы каталогов. Однако предприятие может включить в свой каталог Active Directory более одного домена. Когда несколько моделей доменов совместно используют непрерывное пространство имен DNS, они образуют логические структуры, называемые деревьями (tree). Например, домены contoso.com , us.contoso.com и europe.contoso.com совместно используют непрерывное пространство имен DNS и, следовательно, составляют дерево. Домены Active Directory с разными корневыми доменами образуют несколько деревьев. Они объединяются в самую большую структуру Active Directory — лес (forest). Лес Active Directory содержит все домены в рамках службы каталогов. Лес может состоять из нескольких доменов в нескольких деревьях или только из одного домена. Когда доменов несколько, приобретает важность компонент Active Directory, называемый глобальным каталогом (global catalog): он предоставляет информацию об объектах, расположенных в других доменах леса. Объекты и организационные подразделения Ресурсы предприятия представлены в Active Directory в виде объектов или записей в БД. Каждый объект характеризуется рядом атрибутов или свойств. Например, у пользователя есть атрибуты имя пользователя и пароль, у группы — имя группы и список пользователей, которые в нее входят. Для создания объекта в Active Directory откройте консоль derive Directory — пользователи и компьютеры (Active Directory Users And Computers) в группе программ Администрирование (Administrative Tools). Раскройте домен, чтобы увидеть его контейнеры и организационные подразделения. Щелкните контейнер или ОП правой кнопкой и в контекстном меню выберите Создать (New) тип_объекта. Служба Active Directory способна хранить миллионы объектов, включая пользователей, группы, компьютеры, принтеры, общие папки, сайты, связи сайтов, объекты групповой политики (ОГП) и даже зоны DNS и записи узлов. Можно представить, в какой кошмар превратился бы доступ к каталогу и его администрирование без определенной структуры. Структура — цель введения характерного типа объекта, называемого организационным подразделением (organizationunit, OU). ОП представляют собой контейнеры внутри домена, позволяющие группировать объекты, управляемые или настраиваемые одинаковым образом. Однако задача ОП — не только организовать объекты Active Directory, они обеспечивают важные возможности управления, поскольку образуют точку, куда могут делегироваться функции управления и с которой можно связать групповые политики.