Развертывание базовой инфраструктуры сети центрального и удалённого офисов гипотетической компании

      ЗАДАНИЕ

      Необходимо  развернуть базовую инфраструктуру сети центрального и удалённого офисов гипотетической компании. Необходимо развернуть лес Active Directory, состоящий  из одного домена, произвести конфигурирование сайтов, настроить службы DNS, WINS и DHCP. Необходимо обеспечить отказоустойчивость базовых сетевых сервисов в центральном офисе путём взаимного резервирования. Схема изображена на рисунке 1.

ЛИСТ ЗАМЕЧАНИЙ 
СОДЕРЖАНИЕ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

      ВВЕДЕНИЕ 

     Windows Server 2003 (кодовое название при разработке  — Whistler Server, внутренняя версия  — Windows NT 5.2) — операционная система  семейства Windows NT от компании Microsoft, предназначенная для работы на серверах. Она была выпущена 24 апреля 2003 года.

     Windows Server 2003 является новой версией  Windows 2000 Server и серверным вариантом  операционной системы Windows XP. Изначально Microsoft планировала назвать этот  продукт «Windows .NET Server» с целью продвижения своей новой платформы Microsoft .NET. Однако впоследствии это название было отброшено, чтобы не вызвать неправильное представление о .NET на рынке программного обеспечения.

     Windows Server 2003 в основном развивает функции, заложенные в предыдущей версии системы — Windows 2000 Server. На это указывала и версия NT 5.2 ядра системы (NT 5.0 для Windows 2000). Ниже приведены некоторые из наиболее заметных изменений по сравнению с Windows 2000 Server. Windows Server 2003 — первая из операционных систем Microsoft, которая поставляется с предустановленной оболочкой .NET Framework. Это позволяет данной системе выступать в роли сервера приложений для платформы Microsoft .NET без установки какого-либо дополнительного программного обеспечения.

     Windows Server 2003 включает в себя следующие  улучшения для Active Directory — службы  каталогов, впервые появившейся  в Windows 2000:

• возможность переименования домена Active Directory после его развёртывания;
• упрощение изменения схемы Active Directory — например, отключения атрибутов и классов;
• улучшенный пользовательский интерфейс для управления каталогом (стало возможно, например, перемещать объекты путём их перетаскивания и одновременно изменять свойства нескольких объектов);
• улучшенные средства управления групповой политикой, включая программу Group Policy Management Console.

     В составе Windows Server 2003 распространяется версия 6.0 служб Internet Information Services, архитектура  которой существенно отличается от архитектуры служб IIS 5.0, доступных в Windows 2000. В частности, для повышения стабильности стало возможным изолировать приложения друг от друга в отдельных процессах без снижения производительности. Также был создан новый драйвер HTTP.sys для обработки запросов по протоколу HTTP. Этот драйвер работает в режиме ядра, в результате чего обработка запросов ускоряется.

     По  заявлениям Microsoft, в Windows Server 2003 большое  внимание было уделено безопасности системы. В частности, система теперь устанавливается в максимально  ограниченном виде, без каких-либо дополнительных служб, что уменьшает поверхность атаки. В Windows Server 2003 также включён программный межсетевой экран Internet Connection Firewall. Впоследствии к системе был выпущен пакет обновления, который полностью сосредоточен на повышении безопасности системы и включает несколько дополнительных функций для защиты от атак. Согласно американскому стандарту безопасности Trusted Computer System Evaluation Criteria (TCSEC) система Windows Server 2003 относится к классу безопасности C2 — Controlled Access Protection

     В Windows Server 2003 впервые появилась служба теневого копирования тома (англ. Volume Shadow Copy Service), которая автоматически  сохраняет старые версии пользовательских файлов, позволяя при необходимости  вернуться к предыдущей версии того или иного документа. Работа с теневыми копиями возможна только при установленном «клиенте теневых копий» на ПК пользователя, документы которого необходимо восстановить.

Также в данной версии системы был расширен набор утилит администрирования, вызываемых из командной строки, что упрощает автоматизацию управления системой.

     Введено новое понятие — «роли», на них  основано управление сервером. Проще  говоря, чтобы получить файл-сервер, необходимо добавить роль — «файл-сервер». 
 
 

 
 
 
     1 ТЕОРЕТИЧЕСКАЯ ЧАСТЬ 

      Active Directory — LDAP-совместимая реализация  интеллектуальной службы каталогов  корпорации Microsoft для операционных  систем семейства Windows NT.  Active Directory позволяет администраторам использовать  групповые политики (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать ПО на множестве компьютеров (через групповые политики или посредством Microsoft Systems Management Server 2003 (или System Center Configuration Manager)), устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети (с использованием Windows Server Update Services (WSUS); Software Update Services (SUS) ранее). Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

      Представление Active Directory состоялось в 1996 году, продукт  был впервые выпущен с Windows 2000 Server, а затем был модифицирован  и улучшен при выпуске сначала Windows Server 2003, затем Windows Server 2003 R2.

      Лес — совокупность всех объектов, атрибутов  и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько  деревьев, связанных транзитивными  отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS — пространствами имён.

      Объекты в домене могут быть сгруппированы  в контейнеры — подразделения. Подразделения  позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать организационную и/или географическую структуры компании в Active Directory. Подразделения могут содержать другие подразделения. Корпорация Майкрософт рекомендует использовать как можно меньше доменов в Active Directory, а для структурирования AD и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.

      Другим  способом деления AD являются «сайты», которые являются способом физической (а не логической) группировки на основе подсетей IP. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных AD между сайтами.

      Ключевым  решением при проектировании AD является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

     DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) — это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к т. н. серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве крупных (и не очень) сетей TCP/IP.

     WINS (Windows Internet Name Service) — cлужба сопоставления NetBIOS-имён компьютеров с IP-адресами узлов. Осуществляет регистрацию имён, выполнение запросов и освобождение имён.

      2 ПРАКТИЧЕСКАЯ ЧАСТЬ 

      2.1 Установка роли службы каталогов на серверах компании 

      Для установки роли службы каталогов запускаем мастер добавления ролей на серверах hq-core-01, hq-core-02 и branch-core-01 (рисунок 2).

Рисунок 2 – мастер добавления ролей 

      Выбираем  добавление роли службы каталогов (рисунок 3).

Рисунок 3 – мастер добавления ролей 

      Далее проходим оставшиеся шаги мастера установки роли и в результате получаем установленную, но не сконфигурированную роль (рисунок 4).

Рисунок 4 – мастер добавления ролей (Результат) 
 

      2.2 Развёртывание  AD и DNS в центральном офисе 

      Для конфигурации запускаем мастер установки службы каталогов dcpromo.exe. Сначала делаем это на сервере hq-core-01.

      Читаем  предупреждение о совместимости  с предыдущими версиями операционных систем и нажимаем кнопку Next. Выбираем интересующий нас сценарий развёртывания службы каталогов. В нашем случае это будет создание нового домена в новом лесу. («Create a new domain in a new forest»). Далее вводим DNS-имя нового леса (корневого домена нового леса). В нашем случае это будет edutestdom.ru. Затем производятся автоматические проверки корректности введённых данных.

      После всех проверок выбираем нужный функциональный уровень леса

Рисунок 5 - выбор нужного функционального уровня леса 

      Соглашаемся с предложением автоматического  сопутствующего развёртывания дополнительных сервисов – глобального каталога и службы DNS. И подтверждаем развертывание, несмотря на невозможность делегирования DNS. На следующем шаге выбираем расположение файлов службы каталогов и вводим пароль восстановления службы каталогов (можно ввести стандартный pass@word1).