Развертывание базовой инфраструктуры сети центрального и удалённого офисов гипотетической компании

      ЗАДАНИЕ

      Необходимо  развернуть базовую инфраструктуру сети центрального и удалённого офисов гипотетической компании. Необходимо развернуть лес Active Directory, состоящий  из одного домена, произвести конфигурирование сайтов, настроить службы DNS, WINS и DHCP. Необходимо обеспечить отказоустойчивость базовых сетевых сервисов в центральном офисе путём взаимного резервирования. Схема изображена на рисунке 1.

ЛИСТ ЗАМЕЧАНИЙ 
СОДЕРЖАНИЕ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

      ВВЕДЕНИЕ 

     Windows Server 2003 (кодовое название при разработке  — Whistler Server, внутренняя версия  — Windows NT 5.2) — операционная система  семейства Windows NT от компании Microsoft, предназначенная для работы на серверах. Она была выпущена 24 апреля 2003 года.

     Windows Server 2003 является новой версией  Windows 2000 Server и серверным вариантом  операционной системы Windows XP. Изначально Microsoft планировала назвать этот  продукт «Windows .NET Server» с целью продвижения своей новой платформы Microsoft .NET. Однако впоследствии это название было отброшено, чтобы не вызвать неправильное представление о .NET на рынке программного обеспечения.

     Windows Server 2003 в основном развивает функции, заложенные в предыдущей версии системы — Windows 2000 Server. На это указывала и версия NT 5.2 ядра системы (NT 5.0 для Windows 2000). Ниже приведены некоторые из наиболее заметных изменений по сравнению с Windows 2000 Server. Windows Server 2003 — первая из операционных систем Microsoft, которая поставляется с предустановленной оболочкой .NET Framework. Это позволяет данной системе выступать в роли сервера приложений для платформы Microsoft .NET без установки какого-либо дополнительного программного обеспечения.

     Windows Server 2003 включает в себя следующие  улучшения для Active Directory — службы  каталогов, впервые появившейся  в Windows 2000:

• возможность переименования домена Active Directory после его развёртывания;
• упрощение изменения схемы Active Directory — например, отключения атрибутов и классов;
• улучшенный пользовательский интерфейс для управления каталогом (стало возможно, например, перемещать объекты путём их перетаскивания и одновременно изменять свойства нескольких объектов);
• улучшенные средства управления групповой политикой, включая программу Group Policy Management Console.

     В составе Windows Server 2003 распространяется версия 6.0 служб Internet Information Services, архитектура  которой существенно отличается от архитектуры служб IIS 5.0, доступных в Windows 2000. В частности, для повышения стабильности стало возможным изолировать приложения друг от друга в отдельных процессах без снижения производительности. Также был создан новый драйвер HTTP.sys для обработки запросов по протоколу HTTP. Этот драйвер работает в режиме ядра, в результате чего обработка запросов ускоряется.

     По  заявлениям Microsoft, в Windows Server 2003 большое  внимание было уделено безопасности системы. В частности, система теперь устанавливается в максимально  ограниченном виде, без каких-либо дополнительных служб, что уменьшает поверхность атаки. В Windows Server 2003 также включён программный межсетевой экран Internet Connection Firewall. Впоследствии к системе был выпущен пакет обновления, который полностью сосредоточен на повышении безопасности системы и включает несколько дополнительных функций для защиты от атак. Согласно американскому стандарту безопасности Trusted Computer System Evaluation Criteria (TCSEC) система Windows Server 2003 относится к классу безопасности C2 — Controlled Access Protection

     В Windows Server 2003 впервые появилась служба теневого копирования тома (англ. Volume Shadow Copy Service), которая автоматически  сохраняет старые версии пользовательских файлов, позволяя при необходимости  вернуться к предыдущей версии того или иного документа. Работа с теневыми копиями возможна только при установленном «клиенте теневых копий» на ПК пользователя, документы которого необходимо восстановить.

Также в данной версии системы был расширен набор утилит администрирования, вызываемых из командной строки, что упрощает автоматизацию управления системой.

     Введено новое понятие — «роли», на них  основано управление сервером. Проще  говоря, чтобы получить файл-сервер, необходимо добавить роль — «файл-сервер». 
 
 

 
 
 
     1 ТЕОРЕТИЧЕСКАЯ ЧАСТЬ 

      Active Directory — LDAP-совместимая реализация  интеллектуальной службы каталогов  корпорации Microsoft для операционных  систем семейства Windows NT.  Active Directory позволяет администраторам использовать  групповые политики (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать ПО на множестве компьютеров (через групповые политики или посредством Microsoft Systems Management Server 2003 (или System Center Configuration Manager)), устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети (с использованием Windows Server Update Services (WSUS); Software Update Services (SUS) ранее). Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

      Представление Active Directory состоялось в 1996 году, продукт  был впервые выпущен с Windows 2000 Server, а затем был модифицирован  и улучшен при выпуске сначала Windows Server 2003, затем Windows Server 2003 R2.

      Лес — совокупность всех объектов, атрибутов  и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько  деревьев, связанных транзитивными  отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS — пространствами имён.

      Объекты в домене могут быть сгруппированы  в контейнеры — подразделения. Подразделения  позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать организационную и/или географическую структуры компании в Active Directory. Подразделения могут содержать другие подразделения. Корпорация Майкрософт рекомендует использовать как можно меньше доменов в Active Directory, а для структурирования AD и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.

      Другим  способом деления AD являются «сайты», которые являются способом физической (а не логической) группировки на основе подсетей IP. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных AD между сайтами.

      Ключевым  решением при проектировании AD является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

     DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) — это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к т. н. серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве крупных (и не очень) сетей TCP/IP.

     WINS (Windows Internet Name Service) — cлужба сопоставления NetBIOS-имён компьютеров с IP-адресами узлов. Осуществляет регистрацию имён, выполнение запросов и освобождение имён.

      2 ПРАКТИЧЕСКАЯ ЧАСТЬ 

      2.1 Установка роли службы каталогов на серверах компании 

      Для установки роли службы каталогов запускаем мастер добавления ролей на серверах hq-core-01, hq-core-02 и branch-core-01 (рисунок 2).

Рисунок 2 – мастер добавления ролей 

      Выбираем  добавление роли службы каталогов (рисунок 3).

Рисунок 3 – мастер добавления ролей 

      Далее проходим оставшиеся шаги мастера установки роли и в результате получаем установленную, но не сконфигурированную роль (рисунок 4).

Рисунок 4 – мастер добавления ролей (Результат) 
 

      2.2 Развёртывание  AD и DNS в центральном офисе 

      Для конфигурации запускаем мастер установки службы каталогов dcpromo.exe. Сначала делаем это на сервере hq-core-01.

      Читаем  предупреждение о совместимости  с предыдущими версиями операционных систем и нажимаем кнопку Next. Выбираем интересующий нас сценарий развёртывания службы каталогов. В нашем случае это будет создание нового домена в новом лесу. («Create a new domain in a new forest»). Далее вводим DNS-имя нового леса (корневого домена нового леса). В нашем случае это будет edutestdom.ru. Затем производятся автоматические проверки корректности введённых данных.

      После всех проверок выбираем нужный функциональный уровень леса

Рисунок 5 - выбор нужного функционального уровня леса 

      Соглашаемся с предложением автоматического  сопутствующего развёртывания дополнительных сервисов – глобального каталога и службы DNS. И подтверждаем развертывание, несмотря на невозможность делегирования DNS. На следующем шаге выбираем расположение файлов службы каталогов и вводим пароль восстановления службы каталогов (можно ввести стандартный pass@word1).

      Проверяем правильность введённых параметров установки (рисунок 6).

Рисунок 6 – проверка введенных параметров установки 

      Ставим  флажок автоматической перезагрузки после  завершения работы мастера и ждём окончания работы dcpromo.

      Заходим в сеанс администратора созданного нами домена и открываем консоль управления DNS (рисунок 7).

Рисунок 7 – консоль управления DNS 

      Создаём обратную зону 10.0.х.х.

      Откроется приветственное окно мастера создания новой зоны.

      Далее необходима выбрать необходимый  тип зоны ( в нашем случае это Primary Zone). Затем выбираем как наша зона будет реплицироваться (to all DNS servers in this domain: editestdom.ru).на следущем шаге выбираем для какой адресации будет зона IPv4 или IPv6. (выберем первый случай – IPv4 reverse Lookup Zone).

      Указываем IP для обратной зоны – 10.0. . . и выбираем тип обновления – Allow only secure dynamic updates. В результате должно появиться диалоговое окно, представленное на рисунке 8.

Рисунок 8 – мастер создания новой зоны 

      Запускаем мастер dcpromo на сервере hq-core-02.

      Выбираем  нужный сценарий. В этом случае нам  необходимо выбрать уже существующий лес. Долее вводим имя домена и  учётные данные для подключения к домену (edutestdom.ru). Выбираем нужный домен в списке доменов.  И на следующем шаге выбираем сайт.

      Соглашаемся с предложением автоматического  сопутствующего развёртывания дополнительных сервисов – глобального каталога и службы DNS.

      Остальные шаги выполняем аналогично предыдущему  серверу и ждём перезагрузки сервера. 
 
 
 
 
 
 
 

      2.3 Создание структуры сайтов 

      Открываем консоль управления сайтами службы каталогов (рисунок 9) .

Рисунок 9 - консоль управления сайтами службы каталогов 

      Переименуем сайт «по умолчанию» в HQ (сайт центрального офиса) и создадим сайт BRANCH для удалённого офиса.

      Определим подсети для центрального и удалённого офисов и распределим их между сайтами (рисунок 10).

Рисунок 10  - распределение сетей между сайтами                                                                                                                
 
 
 
 

      2.4 Развёртывание AD и DNS в удалённом офисе 

      Запускаем мастер dcpromo на сервере branch-core-01.Выбираем нужный сценарий (нам необходимо выбрать уже существующий лес).Выбираем нужный домен в списке доменов.  И на следующем шаге выбираем сайт, соответствующий  IP-адресу сервера. Соглашаемся с предложением автоматического сопутствующего развёртывания дополнительных сервисов – глобального каталога и службы DNS. Службу каталога будем развёртывать в режиме RODC (контроллер домена только для чтения). Делегирование установки контроллера непривилегированным учётным записям делать не будем.

      Остальные шаги выполняем аналогично предыдущим серверам и ждём перезагрузки сервера. 

      2.5 Развёртывание сервисов DHCP и WINS. 

      На  всех серверах контроллерах домена запускаем  мастер добавления ролей и добавляем роль DHCP сервера. Вводимые параметры контролируйте по схеме сети (рисунок 11).

Рисунок 11 – мастер добавления ролей DHCP сервера 

      Далее выбираем привязку к интерфейсу. На уровне сервера не будем определять никаких параметров.

      На  следующем шаге добавим область (рисунок 12).

Рисунок 12 – добавление новой области 

      Выберем режим работы с IPv6-клиентами. 

      Зададим параметры учётной записи для  авторизации сервера в службе каталога. Проверим итоговые параметры и завершим работу мастера (рисунок 13).

Рисунок 13 - итоговые параметры работы мастера 

      После этого открываем консоль управления DHCP. Настраиваем исключения на серверах hq-core-01 и hq-core-02. Настраиваем параметры областей.

      На  всех серверах контроллерах домена запускаем мастер добавления функций и добавляем роль WINS-сервера (рисунок 14).

Рисунок 14 - мастер добавления функций 

      Настраиваем репликацию WINS-серверов в центральном  офисе (рисунок 15).

Рисунок 15 – консоль WINS-сервера 

      В настройках сетевых интерфейсов корректируем параметры DNS и дополняем параметры WINS. 
 
 

       ЗАКЛЮЧЕНИЕ 

      В ходе выполнения работы была развернута базовая инфраструктура сети центрального и удалённого офисов гипотетической компании. Был развернут лес Active Directory, состоящий из одного домена, произведено конфигурирование сайтов, настройка служб DNS, WINS и DHCP. Обеспечена отказоустойчивость базовых сетевых сервисов в центральном офисе путём взаимного резервирования. 

СПИСОК  ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 

1. Active Directory [Электронный ресурс] / Режим доступа свободный: http://ru.wikipedia.org/wiki/Active_Directory;
2. DHCP [Электронный ресурс] / Режим доступа свободный: http://ru.wikipedia.org/wiki/DHCP;
3. WINS [Электронный ресурс] / Режим доступа свободный: http://ru.wikipedia.org/wiki/WINS.