Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 3 (всего у книги 91 страниц)
чтобы создать центр сертификации для выдачи ц и ф р о в ы х с е р т и ф и к а т о в ,
которые привязывают объект и д е н т и ф и к а ц и и п о л ь з о в а т е л я , у с т р о й с т в а
либо службы к соответствующему частному ключу. С е р т и ф и к а т ы м о ж н о
использовать для проверки подлинности п о л ь з о в а т е л е й , к о м п ь ю т е р о в и
веб-прнложений, поддержки проверки п о д л и н н о с т и с м а р т – к а р т , а т а к ж е
для поддержки таких приложений: з а щ и щ е н н ы х б е с п р о в о д н ы х сетей, в и р -
туальных частных сетей V P N (Virtual Private N e t w o r k ) , п р о т о к о л о в д л я
обеспечения защиты данных (IPsec), ш и ф р у ю щ е й ф а й л о в о й с и с т е м ы E F S
(Encrypting File System), цифровых п о д п и с е й и м н о г и х д р у г и х . С л у ж б ы
AD CS предоставляют эффективный и б е зо па с н ый способ в ы д а ч и с е р т и -
фикатов и управления ими. С их помощью м о ж н о д е л а т ь э т о д л я в н е ш н и х
сообществ. В таких случаях следует связать с л у ж б ы AD CS с к а к и м – н и б у д ь
известным внешним центром с е р т и ф и к а ц и и ( С А ) , к о т о р ы й п о д т в е р д и т
вашу подлинность. Роль AD CS предназначена д л я с о з д а н и я « о с т р о в к о в
доверия» в ненадежном мире, поэтому она д о л ж н а и с п о л ь з о в а т ь н а д е ж н ы е
процессы, которые подтверждают, что п о д л и н н о с т ь всех п е р с о н и к о м -
пьютеров, получивших сертификат, тщательно п р о в е р е н а и п о д т в е р ж д е н а .
Во внутренних сетях службы AD CS м о ж н о и н т е г р и р о в а т ь со с л у ж б а м и
AD DS, чтобы пользователи и компьютеры а в т о м а т и ч е с к и п о л у ч а л и сер-
тификаты. Роль AD CS описана в главе 15. Б о л е е п о д р о б н ы е с в е д е н и я
об инфраструктуре PKI и ее применении в о р г а н и з а ц и и м о ж н о н а й т и по
Занятие 1
Установка доменных служб Active Directory " ) 7
адресу http://www.reso-net.com/articles.asp7m~8 в разделе «Advanced Public
Key I n f r a s t r u c t u r e s » .
• С л у ж б ы управления правами A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y R i g h t s
M a n a g e m e n t S e r v i c e s ) – Ц е л о с т н о с т ь Хотя сервер Windows может запре-
щ а т ь и р а з р е ш а т ь д о с т у п к д о к у м е н т у на основе списка контроля доступа
ACL, м о ж н о н е с к о л ь к и м и способами следить за д а л ь н е й ш и м и операциями
с д о к у м е н т о м и его с о д е р ж и м ы м после открытия документа пользователем.
С л у ж б ы у п р а в л е н и я п р а в а м и Active Di r e c t o r y ( A D R M S ) предоставляют
т е х н о л о г и ю з а щ и т ы и н ф о р м а ц и и , с п о м о щ ь ю которой можно реализовать
ш а б л о н ы у с т о й ч и в ы х п о л и т и к и с п о л ь з о в а н и я , з а д а ю щ и х разрешенное и
н е а в т о р и з о в а н н о е п р и м е н е н и е в сети, вне ее, а также внутри и вне пери-
м е т р а б р а н д м а у э р а . Н а п р и м е р , д л я пользователей м о ж н о сконфигуриро-
в а т ь ш а б л о н , к о т о р ы й р а з р е ш а е т читать документ, но запрещает печатать
и к о п и р о в а т ь его с о д е р ж и м о е . Т а к и м образом м о ж н о гарантировать целос-
т н о с т ь г е н е р и р у е м ы х д а н н ы х , з а щ и т и т ь и н т е л л е к т у а л ь н у ю собственность
и к о н т р о л и р о в а т ь о п е р а ц и и , в ы п о л н я е м ы е с д о к у м е н т а м и организации.
Д л я р о л и A D R M S н е о б х о д и м д о м е н Active Di re c t o r y с контроллерами,
где у с т а н о в л е н ы в е р с и я с и с т е м ы не н и ж е W i n d o w s 2000 Server с пакетом
о б н о в л е н и й Service Pack 3 ( S P 3 ) , веб-сервер IIS, сервер баз д а н н ы х типа
M i c r o s o f t S Q L Server 2008, к л и е н т AD R M S (он доступен в центре загрузок
M i c r o s o f t , а т а к ж е по у м о л ч а н и ю включен в версии W i n d o w s Vista и Win-
d o w s S e r v e r 2 0 0 8 ) , а т а к ж е обозреватель или п р и л о ж е н и е RMS, например
M i c r o s o f t I n t e r n e t Explorer, Microsoft Office, Microsoft Word, Microsoft O u t -
look и л и M i c r o s o f t P o w e r P o i n t . В с л у ж б а х AD R M S может использоваться
р о л ь AD CS д л я в л о ж е н и я с е р т и ф и к а т о в в документы, а также роль AD DS
д л я у п р а в л е н и я д о с т у п о м . Р о л ь AD R M S описана в главе 16.
• С л у ж б ы ф е д е р а ц и и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y F e d e r a t i o n Ser-
v i c e s ) – П а р т н е р с к и е о т н о ш е н и я С п о м о щ ь ю с л у ж б AD FS организация
м о ж е т р а с ш и р и т ь и н ф р а с т р у к т у р у I D A н а множестве платформ, включая
с р е д ы W i n d o w s и д р у г и е , а т а к ж е обеспечить д л я доверенных партнеров
з а щ и т у п р а в и д е н т и ф и к а ц и и и доступа вне периметра безопасности. В среде
ф е д е р а ц и и о р г а н и з а ц и и поддерживают и контролируют собственные объек-
т ы и д е н т и ф и к а ц и и , о д н а к о могут т а к ж е безопасно проектировать объекты
и п р и н и м а т ь их из д р у г и х о р г ани з аци й . Пользователи проходят проверку
п о д л и н н о с т и в о д н о й сети, но могут получать доступ к ресурсам в другой.
Э т о т п р о ц е с с н а з ы в а е т с я е д и н ы м входом S S O (Single Sign-On). Роль A D
F S п о д д е р ж и в а е т п а р т н е р с к и е отношения, поскольку она дает различным
о р г а н и з а ц и я м в о з м о ж н о с т ь получать общий доступ к п р и л о ж е н и я м в экс-
трасети, п р и этом и с п о л ь з у я д л я реальной проверки подлинности свои внут-
р е н н и е с т р у к т у р ы AD DS. С этой целыо данная роль р а с ш и р я е т внутрен-
н ю ю с т р у к т у р у A D D S в о в н е ш н и й мир через T C P / I P – п о р т ы (Transmission
C o n t r o l P r o t o c o l / I n t e r n e t P r o t o c o l ) 8 0 ( H T T P ) и 443 (Secure H T T P либо
H T T P S ) . О б ы ч н о р о л ь A D F S размещена вдоль периметра сети. Службы
AD FS м о г у т и с п о л ь з о в а т ь роль AD CS д л я создания доверенных серверов,
I •| g Установка
Глава 1
а также роль AD RMS для обеспечения внешней з а щ и т ы и н т е л л е к т у а л ь н о й
собственности. Роль AD FS описана в главе 17.
В совокупности роли Active Directory реализуют и н т е г р и р о в а н н о е р е ш е н и е
IDA:
• AD DS и AD LDS – поддерживают основные службы к а т а л о г о в в д о м е н н о й
и независимой реализации;
• AD CS – предоставляет надежные учетные д а н н ы е в в и д е ц и ф р о в ы х сер-
тификатов PKI;
• AD RMS – защищает целостность и н ф о р м а ц и и в д о к у м е н т а х ;
• AD FS – поддерживает партнерские отношения, и з б а в л я я от н е о б х о д и м о с -
ти создавать множество отдельных объектов и д е н т и ф и к а ц и и д л я о д н о г о
прпнципала безопасности в средах федерации.
Помимо идентификации и доступа
Структура Active Directory поддерживает не т о л ь к о и д е н т и ф и к а ц и ю и д о с т у п ,
но и механизмы поддержки, управления и н а с т р о й к и р е с у р с о в в р а с п р е д е л е н -
ных сетевых средах.
Набор правил, называемый схемой, задает к л а с с ы о б ъ е к т о в и а т р и б у т ы ,
которые могут храниться в каталоге. Н а п р и м е р , в к а т а л о г е A c t i v e D i r e c t o r y
можно хранить объекты пользователей, в к л ю ч а ю щ и е их и м е н а и п а р о л и , п о с -
кольку схемой задан класс объектов user, два их а т р и б у т а , а т а к ж е с в я з ь м е ж д у
классом объекта и атрибутами.
Администрирование на основе п о л и т и к и у п р о щ а е т у п р а в л е н и е д а ж е в са-
мых больших сложнейших сетях, предоставляя е д и н у ю точку, в к о т о р о й м о ж н о
развернуть параметры настройки во множестве систем. Э т и п о л и т и к и ( г р у п -
повая, политики аудита и гранулированные п о л и т и к и п а р о л е й ) о п и с а н ы в гла-
вах 6-8.
Службы репликации распространяют по сети д а н н ы е к а т а л о г о в , в ч а с т н о с -
ти само хранилище данных, а также и н ф о р м а ц и ю д л я р е а л и з а ц и и п о л и т и к и
и конфигурации вместе со сценариями входа. В г л а в а х 8, 10 и 11 о п и с а н а р е п -
ликация Active Directory. Д л я х р а н и л и ща д а н н ы х с у щ е с т в у е т д а ж е о т д е л ь н ы й
раздел конфигурации, который содержит и н ф о р м а ц и ю о сетевой к о н ф и г у р а ц и и ,
топологии и службах.
Запрашивать каталог Active Directory и л о к а л и з о в ы в а т ь о б ъ е к т ы в х р а -
нилище данных можно с помощью н е с к о л ь к и х к о м п о н е н т о в и т е х н о л о г и й .
Информация обо всех объектах в каталоге с о д е р ж и т с я в р а з д е л е х р а н и л и щ а
данных, называемом глобальным каталогом ( и л и частичпъм набором атрибу-
тов), который дает возможность локализовать о б ъ е к т ы в к а т а л о г е . Д л я ч т е н и я
информации из хранилища данных можно применять, н а п р и м е р , п р о г р а м м н ы й
интерфейс ADSI (Active Directory Services I n t e r f a c e ) и п р о т о к о л L D A P .
Хранилище данных Active Directory м о ж н о и с п о л ь з о в а т ь т а к ж е д л я п о д -
держки приложений и служб, напрямую не с в я з а н н ы х с AD D S . В н у т р и б а з ы
данных в разделах приложений может храниться и н ф о р м а ц и я д л я п о д д е р ж к и
приложений, которым необходимы д а н н ы е репликации, Система ДОМеПНЫХ
Занятие 1
Установка доменных служб Active Directory " ) 9
имен DNS (Domain Name System) на сервере Windows Server 2008 может хра-
нить информацию в базе данных, которая называется интегрированной зоной
Active Directory. Она поддерживается в AD DS как раздел приложения и реп-
лицируется с помощью служб репликации Active Directory.
Компоненты инфраструктуры Active Directory
В главах 1 – 1 3 этого руководства описаны установка и настройка доменных
служб Active Directory (AD DS), а также управление ими. Роль AD DS обес-
печивает инфраструктуру IDA и управление корпоративной сетью. Поэтому
стоит потратить некоторое время на изучение компонентов инфраструктуры
Active Directory.
ПРИМЕЧАНИЕ Дополнительные сведения о структуре Active Directory
Более подробно структура Active Directory описана в справочном руководстве к сис-
теме Windows Server 2008 и на сайте TechCenter по адресу http://technet.microsoft.
com/en-us/windowsserver/2008/default.aspx.
• Х р а н и л и щ е д а н н ы х Active Directory Как уже говорилось в предыдущем
подразделе, структура AD DS хранит свои объекты идентификации в ка-
талоге (хранилище данных) на контроллерах домена. Каталог состоит из
одного ф а й л а Ntds.dit, который по умолчанию находится в папке %System-
Root% Ntds на контроллере домена. База данных состоит из нескольких
разделов: схемы, конфигурации, глобального каталога и контекста имено-
вания домена, содержащего данные об объектах внутри домена (например,
пользователях, группах и компьютерах).
• К о н т р о л л е р ы д о м е н а Так называют серверы, играющие роль AD DS —
в частности, запускающие службу Центр распространения ключей Kerberos
(Kerberos Key Distribution Center, KDC), которая проверяет подлинность,
а также другие службы Active Directory. Роли контроллеров домена опи-
саны в главе 10.
• Д о м е н Д л я создания домена Active Directory необходим один или не-
сколько контроллеров. Домен представляет собой административную еди-
ницу, внутри которой совместно используются определенные возможности
и характеристики. Прежде всего, контроллеры домена реплицируют раздел
хранилища данных, который помимо всего прочего содержит данные иден-
т и ф и к а ц и и пользователей, групп и компьютеров домена. Поскольку все
контроллеры домена поддерживают одно хранилище объектов идентифи-
кации, то любой такой контроллер может проверить подлинность всякого
объекта и д е н т и ф и к а ц и и в домене. Кроме того, домен является областью
действия административных политик (например, политики сложности па-
ролей и блокировки учетных записей). Такие политики, конфигурируемые в
одном домене, влияют на все учетные записи в нем и не оказывают влияния
на учетные записи в других доменах. Объекты в базе данных Active Direc-
tory можно изменять на любом контроллере домена, и такие изменения
реплицируются на все остальные такие контроллеры. Поэтому в сетях, где
не поддерживается репликация всех данных среди контроллеров домена.
2 Зак. 3399
•| о Установка
Глава 1
может потребоваться более одного домена, чтобы у п р а в л я т ь р е п л и к а ц и е й
поднаборов объектов идентификации. Д о м е н ы о п и с а н ы в главе 12.
Лес Это набор из одного либо нескольких д о м е н о в A c t i v e D i r e c t o r y .
Первый установленный в лесу домен называется корневым. Л е с с о д е р ж и т
единственное описание сетевой конфигурации и один э к з е м п л я р к а т а л о г а
схемы. Это единственный замкнутый экземпляр каталога, то есть д а н н ы е не
реплицируются за его пределы. Поэтому лес задает п е р и м е т р б е з о п а с н о с т и .
Концепция леса более подробно описана в главе 12.
Дерево Пространство доменных имен DNS в лесу с о д е р ж и т д е р е в ь я леса.
Если домен является дочерним для другого домена, то э ти д в а д о м е н а и н -
терпретируются как дерево. Например, если лес t r e y r e s e a r c h . n e t с о д е р ж и т
два домена treyresearch.net и antarctica.treyresearch.net, то п о с л е д н и е о б р а -
зуют непрерывную область именного пространства D N S и п р е д с т а в л я ю т
одно дерево. Если же домеиы treyresearch.net и p r o s e w a r e . c o m не о б р а з у ю т
непрерывной области в пространстве имен DNS, то о н и п р е д с т а в л я ю т д в а
дерева. Деревья составляются из DNS-имен д о м е н о в в лесу.
На рис. 1-2 показан лес Active Directory к о м п а н и и Trey R e s e a r c h , к о т о р ы й
поддерживает небольшую п о л я р н у ю с т а н ц и ю в А н т а р к т и д е . П о с к о л ь к у
связь между Антарктикой и ш т а б – к в а р т и р о й д о р о г о с т о я щ а я , м е д л е н н а я
н ненадежная, то полярная станция с к о н ф и г у р и р о в а н а к а к о т д е л ь н ы й д о -
мен. Лесу назначено DNS-имя treyresearch.com. Д о м е н A n t a r c t i c a с и м е н е м
antarctica.treyresearch.net в именном пространстве D N S и н т е р п р е т и р у е т с я
в доменном дереве как дочерний домен.
Рис. 1-2. Лес Active Directory с двумя доменами
• Функциональный уровень Возможности домена Active D i r e c t o r y з а в и с я т
от его функционального уровня. Этот параметр д а ет в о з м о ж н о с т ь в в е с т и
дополнительные компоненты AD DS у р о вня домена л и б о леса. С у щ е с т в у е т
три функциональных уровня домена ( W i n d o w s 2000, W i n d o w s 2 0 0 3 и W i n -
Занятие 1
Установка доменных служб Active Directory " ) 1
d o w s 2 0 0 8 ) , а т а к ж е два ф у н к ц и о н а л ь н ы х у р о вня леса (Microsoft Windows
S e r v e r 2 0 0 3 и W i n d o w s Server 2008). При п о в ы ш е н и и ф у н к ц и о н а л ь н о г о
у р о в н я д о м е н а л и б о леса становятся д о с т у п н ы м и компоненты, предостав-
л я е м ы е с о о т в е т с т в у ю щ е й в е р с и е й с и с т е м ы W i n d o w s . Н а п р и м е р , ф у н к -
ц и о н а л ь н о м у у р о в н ю с и с т е м ы W i n d o w s Server 2008 свойственны новые
а т р и б у т ы , у к а з ы в а ю щ и е в р е м я последнего успешного входа пользователя,
к о м п ь ю т е р , на к о т о р ы й он входил, а также количество неудачных попыток
п о с л е у с п е ш н о г о входа. Следует отметить, что от функционального уров-
н я з а в и с и т , к а к и е в е р с и и с и с т е м ы W i n d o w s р а з р е ш е н ы н а контроллерах
д о м е н а . П р и п о в ы ш е н и и ф у н к ц и о н а л ь н о г о у р о в н я д о системы Windows
S e r v e r 2 0 0 8 на всех к о н т р о л л е р а х доменов следует установить именно эту
в е р с и ю . Ф у н к ц и о н а л ь н ы е у р о в н и домена и леса более подробно описаны
в г л а в е 12.
• П о д р а з д е л е н и я ( о р г а н и з а ц и о н н ы е е д и н и ц ы ) Б а з а д а н н ы х Active Direc-
t o r y я в л я е т с я и е р а р х и ч е с к о й . О б ъ е к т ы в х р а н и л и щ е д а н н ы х можно соби-
р а т ь в к о н т е й н е р ы . О д н и м из т и п о в контейнеров я в л я е т с я класс объектов
container. О т к р ы в оснастку Active Directory – пользователи и компьютеры
( A c t i v e D i r e c t o r y Users and Computers), вы увидите заданные по умолчанию
к о н т е й н е р ы , в ч а с т н о с т и Users, C o m p u t e r s и Builtin. Еще один тип контей-
н е р а – п о д р а з д е л е н и е ( о р г а н и з а ц и о н н а я единица). О н о предоставляет не
т о л ь к о к о н т е й н е р д л я объектов, но и область д е й с т в и я у п р а в л е н и я объек-
т а м и . П о д р а з д е л е н и е (Organizational Unit, O U ) может хранить так называ-
е м ы е о б ъ е к т ы г р у п п о в о й п о л и т и к и , которые автоматически применяются
к п о л ь з о в а т е л я м и к о м п ь ю т е р а м в подразделении. В главе 2 более подробно
о п и с а н ы п о д р а з д е л е н и я , а в главе 6 – объекты групповой политики.
• С а й т ы П р и п р о е к т и р о в а н и и сетевой топологии распределенного предпри-
я т и я п р и х о д и т с я р а с с м а т р и в а т ь сайты сети. О д н а к о в Active Directory им
п р и д а е т с я в е с ь м а с п е ц и ф и ч е с к и й смысл благодаря особому классу объек-
т о в site. С а й т ( и л и у з е л ) Active Directory – это объект, представляющий
ч а с т ь п р е д п р и я т и я с х о р о ш е й сетевой к о м м у н и к а ц и е й . С а й т создает пе-
р и м е т р р е п л и к а ц и и и и с п о л ь з о в а н и я служб. К о н т р о л л е р ы домена внутри
с а й т а р е п л и ц и р у ю т и з м е н е н и я в течение нескольких секунд. И з м е н е н и я
м е ж д у с а й т а м и р е п л и ц и р у ю т с я и а основе д о п у щ е н и я , что п о д к л ю ч е н и я
м е ж д у с а й т а м и медленные, дорогостоящие либо ненадежные по сравнению
с п о д к л ю ч е н и я м и в н у т р и сайта. Кроме того, клиенты предпочитают исполь-
з о в а т ь р а с п р е д е л е н н ы е службы, предоставляемые серверами в своем и л и
с о с е д н е м у з л е . Н а п р и м е р , когда пользователь входит в домен, клиент сис-
т е м ы W i n d o w s в н а ч а л е пытается пройти проверку подлинности с помощью
к о н т р о л л е р а д о м е н а в своем узле. Если же там нет доступного контроллера,
к л и е н т п р о б у е т с д е л а т ь это с п о м о щ ь ю контроллера домена в другом узле.
В г л а в е 11 о п и с а н ы к о н ф и г у р а ц и я и ф у н к ц и о н а л ь н ы е возможности сайтов
A c t i v e D i r e c t o r y .
Все э т и к о м п о н е н т ы подробно описаны в руководстве. Если вы еще мало
з н а к о м ы с A c t i v e Directory, то вам нужно изучить основную терминологию,
к о м п о н е н т ы п их с в я з и .
Установка
глава 1
Подготовка к созданию нового леса системы
Windows Server 2008
Перед установкой роли AD DS на сервере и п о в ы ш е н и е м его р а н г а до конт-
роллера домена нужно спланировать структуру Active Directory. П р и с о з д а н и и
контроллера домена потребуется некоторая и н ф о р м а ц и я , в ч а с т н о с т и т а к а я .
• Имя домена и DNS-имя. Домен должен иметь у н и к а л ь н о е D N S – и м я , на-
пример contoso.com, а также короткое имя, с к а ж е м CONTOSO ( т а к н а з ы -
ваемое имя NetBIOS). Сетевой протокол N e t B I O S и с п о л ь з о в а л с я е щ е в
первых версиях Microsoft Windows NT и все еще п р и м е н я е т с я н е к о т о р ы м и
приложениями.
• Должен ли домен поддерживать контроллеры с п р е д ы д у щ и м и в е р с и я м и
Windows? При создании нового леса Active D i r e c t o r y н у ж н о с к о н ф и г у -
рировать функциональный уровень. Если в домен будут в к л ю ч е н ы л и ш ь
контроллеры системы Windows Server 2008, то м о ж н о у с т а н о в и т ь с о о т в е т с -
твующий функциональный уровень для и с п о л ь з о в а н и я у с о в е р ш е н с т в о в а н -
ных компонентов этой версии Windows.
• Детали реализации DNS для поддержки Active Directory. С т р у к т у р у D N S
лучше всего реализовать для доменных зон с п о м о щ ь ю с л у ж б ы D N S ( D N S
Service) системы Windows, как описано в главе 9, о д н а к о с т о р о н н я я с л у ж б а
DNS также может поддерживать домен Windows.
• Конфигурация I Р-контроллера домена. Д л я к о н т р о л л е р о в д о м е н а т р е б у ю т -
ся статические IP-адреса и маски подсети. Кроме того, в ц е л я х р а з р е ш е н и я
имен нужно сконфигурировать контроллер домена с и с п о л ь з о в а н и е м а д р е с а
DNS-сервера. В случае создания нового леса и з а п у с к а на к о н т р о л л е р е
домена DNS-службы Windows в качестве DNS-адреса м о ж н о у к а з а т ь собс-
твенный IP-адрес сервера. После установки D N S – с т р у к т у р ы с е р в е р сам
может разрешать DNS-имена.
• Пользовательское имя и пароль учетной записи в группе А д м и н и с т р а т о р ы
(Administrators) сервера. Для учетной записи н у ж н о н а з н а ч и т ь н е п у с т о й
пароль.
« Место установки хранилища данных (включая ф а й л N t d s . d i t ) и с и с т е м н о г о
тома (SYSVOL). По умолчанию эти хранилища с о з д а ю т с я в п е р е м е н н о й
%SystemRoot% (например, C:Windows) с о о т в е т с т в е н н о в п а п к а х NTDS
и SYSVOL. При создании контроллера домена эти х р а н и л и щ а м о ж н о пере-
направить на другие диски.
К СВЕДЕНИЮ развертывание AD DS
Данный список содержит параметры, которые потребуется сконфигурировать при
создании контроллера домена. Существует много дополнительных параметров
развертывания AD DS на предприятии. Более подробную информацию об этом
можно найти в технической библиотеке системы Windows Server 2008 по адресу
Занятие 1
Установка доменных служб Active Directory ") 3
Добавление роли AD DS с помощью интерфейса Windows
П о с л е сбора у п о м я н у т о й выше предварительной и н ф о р м а ц и и можно присту-
пать к д о б а п л е п и ю р о л и AD DS. Это м о ж н о сделать несколькими способами.
На д а н н о м з а н я т и и мы рассмотрим создание контроллера домена посредством
и н т е р ф е й с а W i n d o w s , а па следующем – с п о м о щ ь ю командной строки.
В с и с т е м е W i n d o w s Server 2008 в о з м о ж н а к о н ф и г у р а ц и я на основе ролей
с у с т а н о в к о й т о л ь к о тех с л у ж б и компонентов, которые н у ж н ы для выполня-
емых р о л е й сервера. Управлять сервером на основе ролей можно с помощью
н о в о й а д м и н и с т р а т и в н о й консоли Д и с п е т ч е р сервера (Server Manager), пока-
з а н н о й на рис. 1-3. Д и с п е т ч е р сервера объединяет информацию, инструменты
и р е с у р с ы , н е о б х о д и м ы е д л я п о д д е р ж к и ролей сервера.
Рис. 1-3. Диспетчер сервера
Р о л и м о ж н о д о б а в л я т ь на сервер с п о м о щ ь ю ссылки Добавить роли (Add
Roles) на д о м а ш н е й с т р а н и ц е диспетчера сервера л и б о щелкнув правой кноп-
к о й м ы ш и у з е л Р о л и (Roles) в дереве консоли и применив команду Добавить
р о л и ( A d d Roles). М а с т е р д о б а в л е н и я ролей (Add Roles Wizard) предоставит
с п и с о к д о с т у п н ы х д л я у с т а н о в к и р о л е й и в ы п о л н и т шаги установки тех из
иих, к о т о р ы е б ы л и в ы б р а н ы .
ПРИМЕЧАНИЕ
В упражнении 3 в конце этого замятия добавляется роль AD DS с помощью ин
терфейса Windows.
Создание контроллера домена
П о с л е д о б а в л е н и я р о л и AD DS иа сервере устанавливаются файлы, необходи-
мые д л я ее в ы п о л н е н и я , но при этом сервер еще не становится контроллером
I •| g Установка
Глава 1
домена. Затем надо запустить Мастер установки д о м е н н ы х с л у ж б A c t i v e Di-
rectory (Active Directory Domain Services Installation Wizard), к о т о р ы й м о ж н о
открыть с помощью команды Dcpromo.exe, чтобы с к о н ф и г у р и р о в а т ь , и н и ц и а -
лизировать и запустить Active Directory.
ПРИМЕЧАНИЕ
В упражнении 4 в конце этого занятия выполняется настройка AD DS с помощью
мастера установки доменных служб Active Directory.
Контрольный вопрос
• Вы хотите использовать новый сервер Windows Server 2008 в качестве кон-
троллера домена Active Directory. Какую команду следует применить для
запуска процесса настройки контроллера домена?
Ответ на контрольный вопрос
• Dcpromo.exe
Практические занятия. Создание леса Windows Server 2008
В предложенных далее упражнениях вы создадите лес AD DS д л я к о м п а н и и
Contoso, Ltd. Он будет использоваться во всех о с т а л ь н ы х у п р а ж н е н и я х э т о г о
руководства. Вы начнете с установки системы W i n d o w s Server 2 0 0 8 и в ы п о л -
ните послеустановочные задачи, а затем добавите роль AD DS и с п о м о щ ь ю
мастера установки доменных служб Active Directory п о в ы с и т е р а н г с е р в е р а до
контроллера домена в лесу contoso.com.
Упражнение 1. Установка системы Windows Server 2008
В этом упражнении вы установите систему Windows Server 2008 на к о м п ь ю т е р е
либо виртуальной машине.
1. Вставьте в DVD-привод установочный диск системы W i n d o w s S e r v e r 2008.
При использовании виртуальной машины ( V M ) м о ж н о с м о н т и р о в а т ь I S O -
образ установочного DVD. Справочная и н ф о р м а ц и я об э т о м есть в д о к у -
ментации виртуальной машины.
2. Запустите установку системы. Если жесткий с и с т е м н ы й д и с к п у с т о й , то
следует загрузить систему с DVD. Когда же на д и с к е есть д а н н ы е , в а м
может быть предложено нажать клавишу д л я загрузки с D V D . Е с л и сис-
тема не загружается с DVD, то откройте параметры B I O S к о м п ь ю т е р а и
сконфигурируйте порядок загрузки с DVD. З а п у с т и т с я М а с т е р у с т а н о в к и
Windows (Install Windows Wizard), показанный на рис. 1-4.
3. Выберите язык, региональные параметры и р а с к л а д к у к л а в и а т у р ы д л я
системы, после чего щелкните кнопку Далее (Next).
4. Щелкните кнопку Установить (Install Now). Отроется с п и с о к д о с т у п н ы х
для установки выпусков, показанный на рис. 1-5. '
Занятие 1
Установка доменных служб Active Directory " ) 5
Рис. 1-4. Мастер установки Windows
Рис. 1-5. Страница выбора операционной системы для установки
5. В ы б е р и т е в а р и а н т установки системы Windows Server 2008, пункт Полная
у с т а н о в к а ( F u l l Installation), и щелкните кнопку Далее (Next).
6. У с т а н о в и т е ф л а ж о к Я п р и н и м а ю условия лицензии (I Accept the License
Terms') и щ е л к н и т е к н о п к у Далее (Next).
I •| g Установка
Глава 1
7. Щелкните пушсг Полная установка (дополнительные п а р а м е т р ы ) ( C u s t o m
(Advanced)).
8. Па странице Выберите раздел для установки Windows ( W h e r e Do You W a n t
to Install Windows) выберите диск, на который хотите у с т а н о в и т ь систе-
му. Чтобы создать, расширить или форматировать р а з д е л ы л и б о з а г р у -
зить настраиваемый драйвер массового храпения д л я п о л у ч е н и я д о с т у п а
к подсистеме диска, щелкните кнопку Загрузка драйвера ( D r i v e r O p t i o n s
(Advanced)).
9. Щелкните кнопку Далее (Next). Откроется д и а л о г о в о е о к н о У с т а н о в к а
Windows (Installing Windows), показанное на рис. 1-6. В нем о т о б р а ж а е т с я
ход выполнения установки. Инсталляция версии W i n d o w s Server 2008, ка к
и Windows Vista, основана на образе, поэтому она в ы п о л н я е т с я з н а ч и т е л ь н о
быстрее, чем для предыдущих версий Windows, хотя сама о п е р а ц и о н н а я
система занимает больше места, чем более ранние версии. В п р о ц е с с е у с т а -
новки компьютер перезагрузнтся один или несколько раз. П о с л е ее з а в е р -
шения будет указано, что перед первым входом в систему надо и з м е н и т ь
пароль пользователя.
Рис. 1-6. Окно Установка Windows (Installing Windows)
10. Щелкните ОК.
П. В поля Новый пароль (New Password) и П о д т в е р ж д е н и е ( C o n f i r m Pass-
word) введите пароль для учетной записи А д м и н и с т р а т о р ( A d m i n i s t r a t o r )
и нажмите клавишу Enter. Пароль должен содержать к ак м и н и м у м с е м ь
символов, относящихся хотя бы к трем из четырех в о з м о ж н ы х т и п а м :
• символы в верхнем регистре: A – Z ;
• символы в нижнем регистре: a – z ;
Занятие 1
Установка доменных служб Active Directory " ) 17
я ц и ф р ы : 0 – 9 ;
• д р у г и е с и м в о л ы , н а п р и м е р $, #, @ и !.
ПРИМЕЧАНИЕ Не забывайте пароль
Без него вы не сможете войти на сервер для выполнения других упражнений дан-
ного руководства.
12. Щ е л к н и т е О К . О т к р о е т с я рабочий стол учетной записи Администратор
( A d m i n i s t r a t o r ) .
Упражнение 2. Выполнение послеустановочных задач настройки
В э т о м у п р а ж н е н и и вы о с у щ е с т в и т е послеустановочную настройку сервера
и у к а ж е т е и м я , а т а к ж е п а р а м е т р ы T C P / I P , не о б х о д и м ы е д л я в ы п о л н е н и я
у п р а ж н е н и й д а н н о г о р у к о в о д с т в а .
1. Д о ж д и т е с ь п о я в л е н и я рабочего стола учетной записи Администратор (Ad-
m i n i s t r a t o r ) . О т к р о е т с я о к н о Задачи начальной настройки (Initial Configu-
r a t i o n T a s k s ) , п о к а з а н н о е на рис. 1-7. Этот инструмент предназначен для
в ы п о л н е н и я р е к о м е н д у е м ы х послеустановочных задач настройки.
Й Выполните следующие задачи дая начальной настройки данного t ' Windows Servers
сервера ' ыярте
I » "Р
щ Ух«з*ме сесвпмй о
' ' Vr.eHOTMTh 'ИСППОЙ поас
•К>* Нас трои п. сеть
А !
у ОК...,;,,,,,.
Обиившям» «.ороц» WruVwi
СЛ Гжгю-vih аг)1ом.11ичго<м ОФишмлмя
оСиопяп«»ч и обре imjw опяаь Обил нл* •
Нестойка сервер!
^ • . Ло&ямгъ роли
k по*лаыг»'»> >гомм цаи sxc.vee еясгаму
Рис. 1-7. Задачи начальной настройки
2. В о к н е задач н а ч а л ь н о й настройки сконфигурируйте следующие параметры:
• Ч а с о в о й п о я с ( T i m e Zone): в соответствии с вашей средой;
• И м я к о м п ь ю т е р а ( C o m p u t e r Name): SERVER01. Не перезагружайте сис-
тему, п о к а в у п р а ж н е н и и не будут даны соответствующие указания.
3. В о к н е з а д а ч н а ч а л ь н о й настройки щелкните ссылку Настроить сеть (Con-
f i g u r e N e t w o r k i n g ) и п р о в е р ь т е соответствие конфигурации IP с вашей
средой.
18
I •| g Установка
Глава 1
4. Если сервер подключен к Интернету, то строго р е к о м е н д у е т с я щ е л к н у т ь