Проектирование ЛВС для учебного центра

Поскольку мы устанавливаем сервер, он должен быть достижим по правильному IP-адресу. В  локальной сети это не так важно, так как вы всегда можете добраться  до компьютера по его имени. Но, как  только дело доходит до обеспечения служб в Интернете (VPN, терминальные службы, FTP...) , для маршрутизатора должен существовать реальный IP-адрес.

 

В качестве шлюза (default gateway) мы указали IP-адрес нашего DSL-маршрутизатора, поскольку сервер должен иметь доступ в Интернет. В качестве DNS-сервера мы тоже указали маршрутизатор.

Развёртывание Active Directory

 

 

 

 

 

 

 

 

 

 

Active Derectory Рис 52

Функциональный обзор Active Directory в Windows 2000 Server и Windows Server 2003. Источник: Microsoft.

Служба каталога Active Directory (AD) в Windows 2000 Server и Windows Server 2003 содержит информацию обо всех ресурсах, необходимых для работы в сети. Она включает соединения, приложения, базы данных, принтеры, пользователей и группы. Microsoft вполне конкретно указывает, что Active Directory обеспечивает стандартный путь для указания, описания, управления и доступа к ресурсам.

Active Directory по умолчанию не устанавливается, поскольку она не является обязательной для простых серверных задач. Но, по мере того, как сервер начинает заниматься всё большим количеством задач, AD становится всё более и более важной. Дополнительные компоненты, типа почтового сервера Exchange Server от Microsoft, к примеру, требуют полнофункциональной Active Directory.

Командная строка Рис 53

Команда dcpromo позволяет превратить обычный сервер в контроллер Active Directory. Процесс отнимает около десяти минут.  

Мастер настройки Active Directory  Рис 54

Нам нужен  контроллер для новой инфраструктуры Active Directory.  

Создание  домена Рис 55

После этого  мы должны определить, будет ли новый  домен AD интегрирован в существующую систему.  

Путь размещения БД Рис 56

Active Directory использует  свою собственную базу данных, чтобы наиболее эффективно работать  с информацией. Поскольку наше окружение может быстро наращиваться, а сервер может получать дополнительные задачи, базы данных и файлы журнала лучше размещать на раздельном жёстком диске, чтобы системная производительность была максимально высока.

Расположение  папки SYSVOL Рис 57

Папка SYSVOL является ещё одной особенностью Active Directory, поскольку её содержимое дублируется  всеми контроллерами Active Directory в  домене. Она содержит скрипты входа в систему, групповые политики и другие опции, которые должны быть доступны на всех серверах. Конечно же, расположение этой папки можно менять.  

Разрешения Рис 58

Эта опция  будет важна, только если использовать компьютеры Windows NT с доменной структурой.

Во время  установки мастер AD будет жаловаться, что DNS-серверы не запущены. Поэтому  необходимо установить и его.

Установка DNS-сервера

 

Установка DNS сервера Рис 59

Система DNS (Domain Name Service) является ахиллесовой пятой  структуры Active Directory. Поскольку сетевые  коммуникации в целях доступности  осуществляются по именам (скажем, www.thg.ru), должна существовать система преобразования имён в IP-адреса - и наоборот. Прямые запросы преобразовывают имя в IP-адрес, а обратные - IP-адрес в имя.

Установка сервера DNS происходит .  

обратный  запрос Рис 60 
Так работает обратный запрос. Источник: Microsoft.

 

Зона обратного преобразования Рис 61

Довольно  важно добавить зону обратного преобразования (Reverse Lookup Zone). Тогда DNS-сервер сможет выдавать имена на основе IP-адресов.  

Тип зоны Рис 62

Для наших  нужд потребуется первичная зона (primary zone), поскольку мы желаем полностью  обслуживать локальную сеть этим DNS-сервером. Важно выбрать опцию  интеграции с Active Directory в нижней части  окна.  

Адресное  пространство сети Рис 63

Конечно же, нам  нужно ввести адресное пространство для локальной сети. В данном случае идентификатор сети будет 192.168.1.x. В качестве маски подсети выбрана 255.255.255.0, при этом сеть может содержать 254 компьютера. Этого количества будет достаточно для учебного центра. Переход на маску 255.255.0.0 увеличит количество компьютеров до 64 516.  

Динамические  обновления Рис 64

Нам нужны  только безопасные динамические обновления зоны. Ручные обновления отнимают слишком  много сил.

После подтверждения  будет создана зона обратного  преобразования.  

Создание PTR записи Рис 65

Наконец, нам  понадобится запись PTR на нашу подсеть 192.168.1.0.

Настройка PTR Рис 66

Здесь необходимо задать полное доменное имя сервера. Допустим это будет testserver.testdomain.com.  

Утилита ping Рис 67

Лучшим способом проверки правильной настройки DNS являются утилиты nslookup и ping. Поскольку мы планируем выходить и в Интернет, необходимо проинформировать DNS-сервер, как разрешать запросы на другие имена.

 Св-ва сервера Рис 68

Для простоты мы просто ввели IP-адрес нашего DSL-маршрутизатора в качестве DNS forwarder. Наш сервер будет  автоматически перенаправлять запросы  к серверу DNS провайдера.

Настройки TCP/IP

Настройка протокола TCP/IP Рис 69

Сейчас необходимо отрегулировать настройки TCP/IP, чтобы  сервер мог работать в паре с новым  сервером DNS. На этот раз в качестве основного сервера DNS мы введём IP-адрес 192.168.1.50. Мы отметили все галочки, поскольку тоже хотим работать с суффиксами DNS.

Настройка Windows Internet Naming Service Рис 70

Мы можем  ввести адрес сервера WINS (Windows Internet Naming Service), если будем его устанавливать. Он выбирается в пункте [Control Panel] - [Software] - [Windows Components] - [Network Services] и имеет только ряд опций по конфигурации.

 

Установка asminpak.msi  Рис 71

На сегодняшний  день наиболее полезная коллекция утилит присутствует в Resource Kit for Windows Servers, который  поставляется Microsoft. Однако его необходимо брать отдельно. На Windows CD присутствует административный пакет, который можно быстро установить, запустив команду "asminpak.msi". Он расширяет доступные опции для администрирования.

Установка DHCP-сервера

 

Настройка DHCP Рис 72

Как только сервер сможет разрешать имена и IP-адреса, а также будет работать в режиме Active Directory, остаётся установить только сервер DHCP (Dynamic Host Configuration Protocol). По умолчанию  каждый компьютер Windows ищет в сети подобный сервер, чтобы получить свой IP-адрес, адрес шлюза и другие сетевые параметры.

После установки  службы в пункте [Control Panel] - [Software] - [Windows Components] - [Network Services] его необходимо настроить. Нам нужно ввести диапазон раздаваемых IP-адресов .  

Исключения IP адреса Рис 73

В свою очередь, из диапазона можно убрать какие-либо адреса, если они уже заняты.  

Настройка времени ip Рис 74

Аренда IP-адреса указывает на время, в течение  которого IP-адрес остаётся за компьютером. Если сеть будет меняется редко, то аренду можно продлить до месяца, а в сетях с частой сменой компьютеров её лучше сократить до нескольких дней.  

Адрес шлюза Рис 45

Добавление  адреса шлюза очень важно для  пользователей. В небольших сетях шлюзом, как правило, выступает DSL-маршрутизатор.  

Доменное  имя Рис 76

Немаловажно указать доменное имя, а также  адрес DNS-сервера. Если DNS-серверов несколько, то можно указать их все. Для надёжности мы добавили IP-адрес DLS-маршрутизатора, чтобы пользователи смогли выходить в Интернет даже в случае краха (или перезагрузки) сервера.  

Wins Server Рис 77

Если вы не устанавливать  сервер WINS, то надо оставить эту страницу пустой. Иначе выполняем то же самое, что и для настроек DNS.  

 

 

 

 

 

 

Авторизация DHCP Рис 78

 

После успешной настройки диапазона адресов (scope) сервер DHCP необходимо авторизовать, чтобы он смог работать в Active Directory. Жмем правой клавишей мыши и делаем правильный выбор. Вся процедура занимает полминуты.  

 

 

 

 

 

 

 

 

 

 

Настройка DHCP Рис 79

Всё готово - DHCP работает! Однако надо убедиться, что раздачей адресов в сети занимается именно наш DHCP-сервер. Часто DSL-маршрутизаторы тоже выполняют подобные функции, которые, конечно же, мы отключаем.

Удалённое управление через  терминал

 

 

 

 

 

 

 

 

 

 

Удаленный доступ Рис 80

Хорошая иллюстрация удалённый доступ к компьютеру. Даже при соединении ISDN скорость подобного подключения будет вполне достаточной.

В Windows 2000 следует  установить службы терминала, в то время  как у Windows Server 2003 они уже работают по умолчанию. Без дополнительной лицензии службы обеспечивают доступ, максимум, двум пользователям.

Системные настройки Рис 81

Администратор может подключаться к рабочему столу  в любое время, а других пользователей необходимо добавить, нажав клавишу "Select Remote Users" в закладке Remote окна System Properties.

 

Запуск подключения к удалённому рабочему столу Рис 82

Необходимое программное обеспечение для  подключения к удалённому рабочему столу уже присутствует в Windows XP или Server 2003. Просто переходим в меню [Start] - [Programs] - [Accessories] - [Communications], где мы обнаружим Remote Desktop Connection.

 

Выбор компьютера удаленного управления Рис 83

Для выбора компьютера, к которому необходимо подключиться, достаточно знать его IP-адрес или имя.

Настройка производительности Рис 84

Производительность Remote Desktop Connection можно регулировать, изменяя опции.

 

 

 

 

 

 

 

 

Создаём пользователей  и группы

 
 Создание пользователей Рис 85

Пользователей можно создавать через пункт  меню [Start] - [Programs] - [Active Directory Users and Computers]. Убеждаемся, что мы также добавили права на dial-in для VPN или терминальных служб (или не добавили), а также вписали пользователей в нужные группы.

Настройка привязок Рис 86

Для лучшей организации  разрешений лучше с самого начала создавать группы. В идеальных  условиях разрешения должны быть привязаны к группам, а не к отдельным пользователям. Конечно, исключением являются персональные папки.

Создаём общие каталоги

Создание общих папок Рис 87

Администраторы  всегда могут получить полный доступ к логическим дискам сервера Windows. Обратившись, к примеру, по имени \\testserver\c$ вы получите диск C. Для других же пользователей  необходимо создать общие папки  с разными разрешениями.

Настройка доступа Рис 88

При нажатии  правой клавишей на каталог откроется  меню, в котором следует выбрать  закладку [Sharing and security]. Здесь можно  указать сетевое имя для папки. Если вы не хотите давать каких-либо прав на запись, то по умолчанию все пользователи будут иметь права на чтение. Но мы также хотим дать права и на запись.

 

 

Добавление  прав на уровне ФС Рис 89

Мы добавили пользователя Patrick и дали ему права  на чтение и запись. Однако права, которые  здесь прописываются, относятся  только к уровню сетевого каталога. Необходимо прописать права на уровне файловой системы, что осуществляется в том же окне, в закладке [Security].

 

 

 

 

Доступ к ресурсам сервера

Самый лёгкий способ доступа к общему каталогу осуществляется через имя ресурса \\testserver\source (в нашем примере). Однако если ресурс будет использоваться часто, то неплохо будет привязать к нему имя диска.

 
Подключение сетевого диска Рис 90

Путь к  сетевому диску Рис 91

Путь вводится как в Windows Explorer.  

 Сетевой диск Рис 92

Первый сетевой  диск успешно привязан к общему каталогу.

Установка ПО на клиентские компьютеры

 

При добавление пользователей также можно настроить максимальную длину паролей, потребовать, чтобы они были сложными, и указать, как часто пользователи должны менять свои пароли. Очень интересна возможность отложенного применения политики паролей – можно применить новые настройки не сразу, а через несколько дней! Это является очень удобной функцией.

Были рассмотрены  и использованы возможности по работе с учетными записями компьютеров. Уже при добавлении пользователя предлагается сделать для его компьютера учетную запись, но ее можно создать и отдельно. Для этого служит мастер установки клиентских компьютеров. Одна из особенностей использования этого мастера – массовое создание учетных записей компьютеров. Но самое большое преимущество этого мастера – это возможность указать, какое программное обеспечение будет установлено на компьютеры.