Пространства имен и доверительных отношений.
Е.Я. СОЙМИНА
УСТАНОВКА
Active Directory
Методические указания к лабораторным работам по дисциплине «Администрирование в информационных системах»
МОСКВА – 2013
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
«Московский государственный
университет путей сообщения»
Кафедра «Автоматизированные системы управления»
Е.Я. СОЙМИНА
УСТАНОВКА
Active Directory
Рекомендовано редакционно-издательским советом университета в качестве методических указаний
для студентов специальностей 230400
МОСКВА – 2013
УДК 004
С 54
Соймина Е.Я. Установка Active Directory: Методические указания. — М.: МИИТ, 2013, - 35 с.
Методические указания позволяют студентам получить знания и практические навыки по установке службы каталогов Active Directory на виртуальный сервер, установке DHCP - сервера, настройке удаленного доступа. Представлены краткие теоретические сведения, последовательность действий и контрольные вопросы для лабораторной работы №3 по дисциплине «Администрирование в информационных системах».
Ó МИИТ, 2013
СОДЕРЖАНИЕ
СОДЕРЖАНИЕ. 3
1. ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ.. 4
2. ХОД ВЫПОЛНЕНИЯ РАБОТЫ.. 10
2.1. Установка службы каталогов Active Directory. 10
2.2. Проверка правильности конфигурации домена. 18
2.2.1. Проверка правильности имени созданного домена. 18
2.2.2. Проверка правильности свойств КД. 19
2.2.3. Проверка конфигурации DNS. 20
2.2.4. Проверка интеграции AD с DNS. 22
2.2.5. Проверка размещения общего системного тома. 24
2.2.6. Проверка работоспособности режима загрузки. Восстановление службы каталогов. 25
2.3. Установка DHCP – сервера на виртуальный Windows Server 2003 26
2.4. Настройка WINS. 30
2.5. Установка и настройка службы маршрутизации и удаленного доступа 31
2.6. Настройка параметров сервера. 32
3. СОДЕРЖАНИЕ ОТЧЕТА.. 33
4. КОНТРОЛЬНЫЕ ВОПРОСЫ……………………………….. 34
5. ЛИТЕРАТУРА.. 34
3
1. ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
В организациях с небольшим количеством ПК (30-100 шт), к функционированию сети не предъявляется никаких особых требований. Обычно необходимо получить:
• доступ к ПК или пространству жесткого диска при эксплуатации ПК несколькими пользователями,
• доступ к файлу на другом ПК,
• распечатать документ на общем принтере
• выйти в Интернет.
Эти сети называют одноранговыми или равноправными.
Средств разделения доступа к ресурсам ПК и пользователей в таких сетях достаточно на уровне средств ОС. Управление ресурсами ПК остается за локальным администратором.
Проблема локальных сетей - это:
- ограничение на максимальное число пользователей сети,
- ограничение по количеству одновременно открытых файлов.
С увеличением числа ПК в локальной сети и задач пользователей, осуществлять автономное управление каждой системой по единым требованиям для администратора становится слишком трудно.
Поэтому при росте локальной сети вводится, то или иное централизованное управление. Система централизованного управления в случае с ОС Windows – это создание доменов.
В доменах, каждый компьютер теряет свою автономность, он становится «подчиненным» центру – специально выделенным серверам контроллерам домена и единому администратору.
Локальный администратор может осуществлять свои функции, в некоторых пределах, пока они не противоречат настройкам, заданным администратором домена.
Для централизованного управления ПК, необходимо сделать ряд настроек. Эти операции выполняются при включении компьютера в домен. После добавления рабочей станции в домен, администратор домена получает над ней неограниченную власть.
Потребность в централизованном хранении информации об объектах распределенных сетей и их свойствах была реализована компанией Microsoft в виде службы каталогов Active Directory (AD).
В настоящее время Active Directory является центральным компонентом платформы Windows, основой логической структуры корпоративных сетей, базирующихся на этой платформе.
Active Directory (AD) - это иерархически организованное хранилище, которое предоставляет удобный доступ к сведениям о различных объектах сети.
Служба каталога AD обеспечивает:
ü хранение всей необходимой для применения объектов и управления ими информации в едином месте.
ü единую систему регистрации в сети
ü требуемый уровень безопасности сети для защиты от несанкционированного доступа,
ü осуществляет централизованное управление всеми ресурсами сети из любой точки независимо от размеров сети, используемых ОС и сложности оборудования.
ü поддерживает текущую информацию об объектах сети, облегчая тем самым доступ к этим объектам и их свойствам
ü выступает посредником между распределенными ресурсами и заставляет их работать совместно
ü служба AD спроектирована масштабируемой, т.е. приспособленной к увеличению размеров и потребностей организации
ü проектирует структуру каталога в соответствии с потребностями компании
ü распределяет каталог между несколькими серверами в сети, обеспечивая его доступность и отказоустойчивость, а также снижая сетевую нагрузку.
Служба каталога AD MS Windows Server 2003 существует на двух уровнях: логическом и физическом. Логическая структура AD не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Это позволяет структурировать домены, отталкиваясь не от требований физической сети, а от административных и организационных требований. Компонентами логической структуры являются: домены, подразделения, деревья, лес. Эти объекты в виде байтов информации хранятся в физических компонентах службы каталога.
5
Логическая группировка позволяет отыскивать ресурсы по именам, не запоминая их физическое местоположение, которое скрыто от пользователя.
Базовой единицей логической структуры является домен, который можно рассматривать как логическую группу объектов сети.
Объекты разделяются на три основные категории:
- ресурсы (например, ПК, принтеры),
- службы (электронная почта)
- люди (учётные записи пользователей и групп
пользователей).
Объект уникально идентифицируется своим именем и имеет набор атрибутов - характеристик и данных, которые объект может содержать.
Существуют объекты, в состав которых могут входить другие объекты. Они называются контейнерами - подразделениями. Подразделения существуют только внутри доменов и могут объединять только объекты из своего домена.
Домен в сравнении с рабочей группой можно охарактеризовать следующим образом:
· узлы в домене иерархически упорядочены. Наверху иерархии находится ПК - контроллер домена.
· пользователь имеет лишь одну «доменную», учетную запись, под которой он может регистрироваться на любом ПК, входящем в домен.
· все сетевые объекты существуют в рамках некоторого домена, при этом в каждом домене хранится информация только о содержащихся в нем объектах;
· доступ к ресурсам других ПК в домене управляется доменной учетной записью пользователя. Локальные учетные данные в домене не нужны.
· учетные записи пользователя, групп и компьютеров
находятся в БД домена. Базой данных домена управляет контроллер домена.
Термин «домен Windows» и термин «домен Интернета» не следует путать, т.к. говоря о домене Windows, в первую очередь имеют ввиду не единую систему имен, а единую политику управления и безопасности.
До появления понятия домена к компьютерам в сети обращались при помощи IP адреса, который сложно запоминать. Для упрощения было введено понятие доменное имя - уникальный текстовый идентификатор.
Система доменных имен создана для удобства пользователей, которым легче запомнить доменный адрес, чем числовые значения IP-адресов.
Доменные имена преобразовываются в IP-адресаслужбой DNS.Регистрация доменного адреса означает внесение его и соответствующего ему IP-адреса в базу данных DNS-сервера.
Дерево доменовназывается иерархическая структура из объектов или система одного или нескольких доменов Windows server 2003.
Деревья можно рассматривать с двух точек зрения
пространства имен и доверительных отношений.
Пространство имен -некоторая область, в которой данное имя может быть разрешено. Это иерархически упорядоченная структура имен, напоминающая перевернутое дерево.
При создании нескольких доменов в одном дереве AD автоматически устанавливаютсямеждоменные двунаправленные доверительные отношения.
Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева.
При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.
Доверительные отношения между доменами основываются на протоколе защиты Kerberos. Протокол предназначен для создания схемы доверительных отношений между доменами в дереве доменов и между корневыми доменами в лесу доменов.
Протокол Kerberos - это протокол аутентификации, представляет собой набор методов идентификации и проверки подлинности партнеров по обмену информации в открытой, незащищенной сети.
Протокол Kerberos встроен в Windows Server 2000/2003 по умолчанию.
7
Лесом называется иерархическая система, состоящая из одного или нескольких полностью независимых друг от друга деревьев доменов. В отличие от деревьев, у леса нет определенного имени. Он существует в виде поперечных ссылок и иерархических доверительных отношений, известных деревьям, его образующим. Для обращения к лесу используется имя дерева в корне доверяющего дерева.
Физическимикомпонентами ADявляются сайты и контроллеры домена (КД).
С помощью этих компонентов, администратор должен разработать структуру каталогов, отражающую физическую структуру компании.
Контроллеры домена (КД) -специальные ПК (серверы) с установленной Windows Server, которые хранят соответствующую данному домену часть базы данных AD - доменнаябаза данных.
По определению любой компьютер, на котором выполняется Windows Server 2003, и который поддерживает копию базы данных службы AD, является контроллером домена. Любой контроллер может обслуживать только один домен.
Основные функции КД:
· хранение БД AD;
· синхронизация изменений в AD;
· аутентификация пользователей.
В домене могут быть несколько КД. При реализации службы AD можно добавлять столько КД, сколько необходимо для поддержания служб каталога в данной организации.
Рекомендуется строить AD в виде одного домена, а в каждом домене устанавливать не менее двух КД :
- для защиты от потери БД AD в случае выхода из строя какого-либо контроллера,
- для распределения нагрузки между контроллерами.
Компьютерная сеть любой большой компании состоит из некоторого количество сетей или совокупности сетей, соединенных между собой. Один из важных параметров - их пропускная способность. Недостаточная пропускная способность отдельных подсетей компании может тормозить ее работу.
8
В зависимости от пропускной способности коммуникационных линий сети, сетевой администратор может разделить вычислительную сеть компании, на области, которые получили название сайт.
Сайтом или узлом называется IP - сеть или совокупность таких подсетей, соединенных друг с другом высокоскоростными линиями связи, призванные локализовать как можно больший объем сетевого трафика. Сайт объединяет только ПК и соединения.Эти самостоятельные образования не зависят (не связаны) от доменной структурой предприятия или сети. Т.е. сайт используется для планирования физической структуры сети независимо от логической структуры домена.
Все данные базы данных службы АD хранятся в отдельном файле Ntds.dit на контроллере домена. Этот файл данных по умолчанию находится в папке%SystemRoot%\NTDS,,расположенной на КД. %SystemRoot% - та директория (папка), в которой установлена Windows Server 2003.
Вторая копияфайла Ntds.ditнаходится в папке
%SystemRoot%\ System32.
Эта версия файла- поставляемая копия (копия, заданная по умолчанию)базы данных каталога,она используется для установки службы AD.Т.к. этот файл копируется на сервер во время установки Microsoft Windows Server 2003, то сервер можно назначать контроллером домена не обращаясь к инсталляционной среде.
Цель лабораторной работы: научиться устанавливать и работать с AD, подключать компьютеры к домену.
Задачи:
- Установитьслужбу каталогов Active Directory.
- Проверить правильность установки AD.
- Установить DHCP - сервер.
- Настроить удаленный доступ.
Средства для выполнения работы:
· аппаратные: компьютер с установленной ОС Windows XP.
· программные: виртуальные машины: сервер и рабочая станция, соединенные сетью, образ установочного диска win2003-1.iso
ХОД ВЫПОЛНЕНИЯ РАБОТЫ