1-freelance.ru

Журнал "Фрилансер"
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

4. 1 Настройка сервера

4.1 Настройка сервера

Для того чтобы обеспечить централизованное управление локальной сетью нам потребуется создать домен. Домен — логически объединенная группа сетевых пользователей и компьютеров, для которой поддерживается единая политика администрирования и безопасности. Домен является элементом структуры Active Directory в которую также входят следующие элементы:

1. дерево — набор доменов, использующих связанные пространства имен.

2. лес — наиболее крупная структура Active Directory, объединяющая деревья, поддерживающие единую схему (определения объектов и их свойств).

3. контейнер — очень важное понятие в AD. Хотя он и является полноправным объектом каталога и частью пространства имен, с ним не может быть сопоставлен какой-либо физический объект. Контейнер представляет собой только логическую оболочку для групп объектов и других контейнеров.

4. организационное подразделение (ОП) — контейнер, помогающий группировать объекты для целей администрирования и применения групповых политик. ОП существуют только внутри доменов и могут объединять объекты только из своего домена.

5. глобальный каталог — хранилище информации обо всех объектах, существующих в лесу AD.

6. контроллеры домена — серверы w2k3, хранящие редактируемую копию каталога (репплику) AD.

7. сайт — под сайтом понимается группа TCP/IP-подсетей, между которыми осуществляется высокоскоростная связь.

Служба Active Directory позволит нам:

- обеспечить единую систему регистрации в сети (используя свое регистрационное имя и пароль, пользователь получает доступ ко всем ресурсам сети независимо от их расположения);

- обеспечивать требуемый уровень безопасности сети для защиты от несанкционированного доступа, используя встроенные средства аутентификации и управления доступом к ресурсам;

- осуществлять централизованное управление всеми ресурсами сети, широко используя такие инструменты, как групповые политики, в случае необходимости делегируя рутинную административную работу наиболее опытным пользователям;

- поддерживать текущую информацию об объектах сети, облегчая тем самым доступ к этим объектам и их свойствам;

- распределять каталог между несколькими серверами (контроллерами домена) в сети с помощью службы репликации, обеспечивая его доступность и отказоустойчивость, а также снижая сетевую нагрузку;

Для создания контроллера домена, нам нужно сначала установить роль доменных служб Active Directory, а затем запустить мастер установки доменных служб, который открывается с помощью команды Dcpromo.exe.

В результате у нас запустится мастер «Вас приветствует мастер установки доменных служб Active Directory». Нам нужны расширенные опции, поэтому ставим галочку напротив «Использовать расширенный режим установки» и нажимаем Далее.

На странице «Совместимость операционной системы» мастер предупреждает о том, что ваши NT и non-Microsoft SMB клиенты будут испытывать проблемы с некоторыми криптографическими алгоритмами, используемыми в Windows Server 2008. У нас нет таких проблем в нашей тестовой среде, поэтому просто нажимаем Далее.

На странице «Выбор конфигурации установки» выбираем опцию Создание нового домена в лесу. Мы делаем это по той простой причине, что это новый домен в новом лесу

На странице «Имя корневого домена в лесу» мы вводим название домена в текстовое поле FQDN корневого домена в лесу. Назовем домен serverbux-ok.local. Нажимаем Далее.

На странице «Определение функционального уровня леса» выбираем опцию Windows Server 2008. Нажимаем Далее.

На странице «Дополнительные опции контроллера домена» нажимаем Далее.

Появится диалоговое окно, говорящее о том, что невозможно создать делегирование для этого сервера DNS, поскольку полномочная родительская зона не может быть найдена или не использует Windows DNS сервер. нажимаем Да, чтобы продолжить.

Читайте так же:
Материнская плата asrock 775vm800

Оставляем папки для Database, Log Files и SYSVOL на своих местах по умолчанию и нажимаем Далее.

На странице «Пароль администратора в режиме восстановления служб каталогов» вводим надежный пароль в текстовые поля Пароль и Подтверждение.

Проверяем информацию на странице «Сводка» и нажимаем Далее.

Установится Active Directory. Установка первого контроллера домена занимает немного времени. Отмечаем опцию Перезагрузить по окончании, чтобы машина автоматически перезагрузилась после установки контроллера домена.

Теперь после того, как мы установили контроллер домена, зайдем в свойства «Моего компьютера»:

Мы видим, что наш сервер входит в домен Visan.local. Это необходимо для идентификации компьютера в сети. Всех пользователей нашей сети также необходимо добавить в домен. Так как доступ к данным будут иметь только пользователи этого домена.

Установка AD на сервер добавляет на вкладку «Administrative Tools» инструменты: «Active Directory Domains and Trusts», «Active Directory Sites and Services» и «Active Directory Users and Computers». Последний используется для управления пользователями, компьютерами, группами безопасности и другими объектами в AD. На левой панели этого приложения мы увидим структуру AD, созданный домен visan.local и находящиеся в нем встроенные контейнеры.

Начнем создание структуры домена. Щелкнем правой кнопкой мыши узел домена visan.local в дереве каталога и выберем из появившегося меню опцию «Создать», а затем «Подразделение».

Назовем это подразделение buh, и после нажатия кнопки «ОК» оно появится в дереве каталога ниже узла домена.

Поместим в этот контейнер пользователей. Для этого щелкнем правой кнопкой мыши нужное подразделение и выберем из контекстного меню сначала «Создать», а затем «Пользователь».

Заполним появившееся окно свойств пользователя, установим для него пароль, и, проверив эти сведения, нажмем кнопку «Готово».

Проделав эту операцию несколько раз, мы разместим всех пользователей в соответствующие подразделения. Теперь, щелкнув правой кнопкой мыши одного из пользователей и выбрав вкладку.

«Все задачи», ознакомимся с теми задачами, которые может выполнять с ней администратор.

Контейнеры AD допускают добавление дочерних контейнеров, поэтому не составит большого труда создать ОП Printers, вложенное в подразделение buh, и разместить в нем сетевые принтеры.

Настройка DNS-записей

В панели управления аккаунтом вы можете настроить следующие записи для доменов и поддоменов:

Для настройки почты для домена (Яндекс.Почта, Mail.ru, Google) воспользуйтесь нашими инструкциями.

Меню настроек

В разделе "Домены и поддомены" нажмите на значок шестеренки рядом с доменом и выберите пункт Настройки DNS.

Для добавления новой записи выберите ее тип из выпадающего списка. Для редактирования уже созданной записи кликните на значок карандаша рядом с ней.

Для редактирования NS-серверов домена нажмите соответствующую ссылку справа вверху.

Во всплывающем окне укажите необходимые значения и сохраните изменения.

Удалить запись можно, нажав на крестик рядом с ней.

Обратите внимание, что в рамках нашей системы невозможно указать какие-либо ресурсные записи для поддомена www.

NS-серверы

Для изменения NS-серверов домена нажмите на ссылку "Редактировать NS-серверы" и укажите требуемые значения. Для успешного делегирования домена необходимо указать не менее двух NS-серверов.

Если вы указываете NS-серверы на самом домене (т.е., например, для домена mydomain.ru прописываете ns1.mydomain.ru и ns2.mydomain.ru), то как минимум для двух из них необходимо указать IP-адреса.

Читайте так же:
Моноблок и компьютер сравнение

Процедура делегирования домена на новые NS может занимать от 3 до 24 часов; после ее завершения на административный e-mail домена будет отправлено уведомление об успешном делегировании.

Через панель Timeweb вы сможете редактировать NS-серверы только для доменов, зарегистрированных через ТаймВэб.Домены.

Если домен находится под управлением другого регистратора, настройка NS будет доступна только через панель соответствующего регистратора.

А и АААА

А и АААА — адресные записи, связывающие имя домена с его IP-адресом. Просто укажите во всплывающем окне необходимый IP-адрес.

MX — записи для почтовых серверов.

При добавлении новой MX-записи выберите используемый вами почтовый сервис либо укажите необходимые значения вручную по кнопке "Другое":

Созданные ранее MX-записи при этом нужно удалить.

Настройка этого типа записей требуется, например, при использовании протоколов SIP и XMPP (Jabber).

Запросите параметры у провайдера Jabber-сервиса и укажите их в настройках домена. Для этого нажмите "Добавить DNS-запись", выберите SRV и заполните поля:

SRV-записи имеют формат: _service._proto.name IN SRV priority weight port hostname , где:

service — имя сервиса;
proto — имя протокола, обычно это _tcp или _udp;
priority — приоритет записи;
weight — вес записи;
port — порт на сервере;
hostname — хост, имя сервера.

К примеру, для указания SRV-записи: _xmpp-server._tcp.domain.com. IN SRV 5 0 5269 xmpp-server.l.google.com. в настройках нужно прописать:

Служба: _xmpp-server
Протокол: TCP
Приоритет: 5
Порт: 5269
Хост: xmpp-server.l.google.com

Настройка недоступна для поддоменов

TXT-запись содержит вспомогательную информацию о домене (запись произвольных двоичных данных). TXT-записи используются, как правило, для настройки SPF и DKIM.

Настройка недоступна для поддоменов

Для доменов, делегированных на наши NS-серверы, SPF-запись указывается автоматически; в настройках вам доступно ее редактирование.

Для добавления новой SPF-записи нажмите "Добавить DNS-запись" и выберите TXT. Обратите внимание: Не рекомендуется создавать несколько SPF-записей для домена, так как это может вызывать проблемы с доставкой почты. Для добавления дополнительных почтовых серверов необходимо обновить существующую запись, не создавая новую.

Пример записи: v=spf1 ip4:176.57.223.0/24 ip4:92.53.116.0/22

Подробнее о настройке SPF см. в отдельной статье.

Настройка недоступна для поддоменов

Если вы используете почту Timeweb, то для домена уже создана DKIM-подпись — необходимые настройки прописываются автоматически при создании в разделе "Почта" первого ящика на домене.

Если же вы используете сторонний почтовый сервис, вам необходимо запросить параметры для настройки DKIM у провайдера почтовой услуги и указать их в настройках домена: "Настройка DNS" — "Добавить DNS-запись" — "TXT".

В окне настроек укажите необходимое значение в поле "Хост", а также полученное от провайдера значение TXT-записи:

Для писем, отправляемых с сервера виртуального хостинга, настроить DKIM можно по следующей инструкции.

CNAME

Запись CNAME (каноническое имя) используется для наследования доменом всех ресурсных записей указанного домена, за исключением NS.

Например, если необходимо, чтобы для test.mydomain.com были применены те же настройки DNS, что и для mydomain.com, необходимо указать его в качестве CNAME-записи:

В рамках нашей системы невозможно указать какие-либо ресурсные записи для поддомена www, в том числе запись CNAME.

Если вы настраиваете Bitrix24, для его корректной работы на нашем хостинге указание CNAME не потребуется. Достаточно сделать следующее:

Установка и настройка второго контроллера домена.

1. На первом контроллере домена открываем сетевые настройки первого сервера. Для этого в поле поиска набираем ncpa.cpl. Далее выбираем нужный сетевой интерфейс, правый клик — «Свойства — IP версии 4(TCP/IPv4). — Свойства». В поле альтернативный интерфейс, вписываем IP-адрес добавочного контроллера домена (в данном случае 192.168.100.6).

Читайте так же:
Мощность персонального компьютера в квт

second controller domen 2016 1

2. Затем переходим на второй сервер и задаём имя будущему серверу: «Этот компьютер — Свойства — Изменить параметры — Изменить». В поле «Имя компьютера» задаём имя серверу, далее «ОК». Потребуется перезагрузка компьютера, соглашаемся.

second controller domen 2016 2

3. После перезагрузки переходим к настройке сетевого интерфейса. Для этого в поле поиск пишем ncpa.cpl. Выбираем нужный интерфейс, правый клик — «Свойства — IP версии 4(TCP/IPv4). — Свойства». В открывшемся окне заполняем поля:

  • IP-адрес: IP-адрес сервера (например, 192.168.100.6)
  • Маска подсети: например, 255.255.255.0 (маска 24 бит)
  • Основной шлюз: например, 192.168.100.1
  • Предпочитаемый DNS-сервер: IP-адрес первого сервера (например, 192.168.100.5)
  • Альтернативный DNS-сервер: IP-адрес второго сервера (например, 192.168.100.6)

Затем нажимаем «ОК».

second controller domen 2016 3

4. Добавляем в домен новый сервер. Для этого выбираем «Этот компьютер — Свойства — Изменить параметры — Изменить». Ставим чекбокс «Является членом домена» и вписываем имя домена. Затем «ОК».

second controller domen 2016 4

5. В диалоге «Изменение имени компьютера или домена» вводим имя пользователя домена с административными правами (пользователь должен иметь возможность добавлять компьютеры в домен), далее «ОК».

second controller domen 2016 5

6. При успешной операции появится надпись «Добро пожаловать в домен. «. Нажимаем «ОК».

second controller domen 2016 6

7. После перезагрузки компьютера в окне «Просмотр основных сведений о вашем компьютере» можно проверить напротив «Полное имя», что компьютер вошел в состав домена.

second controller domen 2016 7

8. На этом подготовительный этап закончен, пора устанавливать необходимые роли на сервер. Для этого открываем «Диспетчер серверов» — «Добавить роли и компоненты». Необходимо установить DNS-сервер, Доменные службы Active Directory, DHCP-сервер.

second controller domen 2016 8

9. Читаем информацию в окне «Перед началом работы», нажимаем «Далее». В следующем окне «Выбор типа установки» оставляем чекбокс «Установка ролей или компонентов» по умолчанию, снова «Далее». Выбираем наш сервер из пула серверов, затем «Далее».

second controller domen 2016 9

10. В окне «Выбор ролей сервера» выбираем DNS-сервер, Доменные службы Active Directory, DHCP-сервер. При добавлении роли будет появляться предупреждение, например «Добавить компоненты, необходимые для DHCP-сервер». Нажимаем «Добавить компоненты». После выбора нужных ролей нажимаем «Далее».

second controller domen 2016 10

11. В новом окне «Выбор компонентов» игнорируем «Выберите один или несколько компонентов для установки на этом сервере», нажимаем Далее. В следующем окне «DHCP-сервер» читаем на что обратить внимание при установке DHCP-сервера, затем «Далее». В новом окне «Подтверждение установки» проверяем выбранные роли, нажимаем «Установить».

second controller domen 2016 11

12. Появится окно с ходом установки выбранных компонентов. Данное окно можно закрыть, оно на процесс установки уже не влияет.

second controller domen 2016 12

13. После того, как установятся выбранные компоненты, в «Диспетчер серверов» нажимаем значок предупреждения в виде восклицательного знака, выбираем «Повысить роль этого сервера до уровня контроллера домена».

second controller domen 2016 13

14. Появится «Мастер настройки доменных служб Active Directory». В окне «Конфигурация развертывания» оставляем по умолчанию чекбокс «Добавить контроллер домена в существующий домен», проверяем название домена в поле «Домен». Напротив поля (текущий пользователь) нажимаем кнопку «Изменить».

second controller domen 2016 14

15. Вводим логин и пароль пользователя в домене с административными правами. Нажимаем «ОК». Затем «Далее».

second controller domen 2016 15

16. В окне «Параметры контроллера домена» вводим парль для режима восстановления служб каталогов (DSRM), снова «Далее».

Читайте так же:
Монитор для компьютера самсунг

second controller domen 2016 16

17. В окне «Параметры DNS» игнорируем предупреждение о том, что делегирование для этого DNS-сервера невозможно создать, поскольку полномочная родительская зона не найдена», просто жмем «Далее».

second controller domen 2016 17

18. В окне «Дополнительные параметры» источник репликации оставляем «Любой контроллер домена», снова «Далее».

second controller domen 2016 18

19. Расположение базы данных AD DS, файлов журналов и папки SYSVOL оставляем по умолчанию, нажимаем «Далее».

second controller domen 2016 19

20. Просматриваем параметры, настроенные в «Мастер настройки доменных служб Active Directory», затем «Далее».

second controller domen 2016 20

21. В окне «Проверка предварительных требований» проверяем, что появился зеленый чекбокс. Таким образом все проверки готовности к установке выполнены успешно. Нажимаем «Установить».

second controller domen 2016 21

22. В следующем окне читаем, что «Этот сервер успешно настроен как контроллер домена». Читаем предупреждения, нажимаем «Закрыть».

second controller domen 2016 22

23. Пришло время проверить работоспособность Доменных служб Active Directory и DNS-сервера. Для этого открываем «Диспетчер серверов».

second controller domen 2016 23

24. Выбираем «Средства» — «Пользователи и компьютеры Active Directory».

second controller domen 2016 24

25. Открываем наш домен и раскрываем подразделение «Domain Controllers». В окне напротив проверяем наличие второго сервера как контроллера домена.

second controller domen 2016 25

26. Далее в «Диспетчер серверов» выбираем «Средства» — «DNS».

second controller domen 2016 26

27. Проверяем наличие IP-адреса второго сервера в зоне прямого и в зоне обратного просмотра.

second controller domen 2016 27

28. Затем выбираем «Active Directory — сайты и службы».

second controller domen 2016 28

29. Раскрываем дерево «Active Directory — сайты». Проверяем наличие второго контроллера домена напротив «Servers».

second controller domen 2016 29

30. Пришло время настроить DHCP-сервер. Для этого на втором сервере выбираем в «Диспетчер серверов» — «Средства» — «DHCP».

second controller domen 2016 30

31. Выбираем добавочный сервер, правой клавишей мыши — «Добавить или удалить привязки».

second controller domen 2016 31

32. Проверяем настройку сетевого интерфейса, через который будут обслуживать DHCP-клиенты на втором сервере.

second controller domen 2016 32

33. Объединяем два DHCP-сервера. Конфигурация высокой доступности, режим балансировка высокой нагрузки. Распределяем нагрузку на сервера 50×50. Для настройки на первом сервере, где установлен и настроен DHCP-сервер, выбираем «Диспетчер серверов» — «Средства» — «DHCP».

second controller domen 2016 33

34. Правый клик на созданную в DHCP-сервере область, далее «Настройка отработки отказа. «.

second controller domen 2016 34

35. Появится мастер «Настройка отработки отказа», затем «Далее».

second controller domen 2016 35

36. Указываем сервер-партнер для отработки отказа. Для этого в поле «Сервер партнер» с помощью кнопки «Добавить сервер» добавляем второй (дополнительный) сервер, на котором развернута роль DHCP-сервер. Затем нажимаем «Далее».

second controller domen 2016 36

37. В поле «Общий секрет» вписываем пароль. Остальные настройки можно оставить по умолчанию, в том числе процент распределения нагрузки Локальный сервер — Сервер партнер — 50% на 50%. Снова «Далее».

second controller domen 2016 37

38. Проверяем параметры настройки отработки отказа между первым сервером и дополнительным сервером. Нажимаем «Готово».

second controller domen 2016 38

39. Смотрим в ходе настройки отработки отказа, чтобы все было «Успешно» и закрываем мастер.

second controller domen 2016 39

40. Открываем второй сервер. «Диспетчер серверов» — «Средства» — «Авторизовать».

second controller domen 2016 40

41. Проверяем «Пул адресов». Будет произведена синхронизация DHCP-серверов.

second controller domen 2016 41

На этом процесс установки и настройки Active Directory, DHCP, DNS закончен. Посмотреть, что и как делать, можно здесь:

Настройка DNS-сервера для использования серверов пересылки

Сервер пересылки — это DNS-сервер в сети, который пересылает DNS-запросы внешних DNS-имен на DNS-серверы за пределами этой сети. Сервер также можно настроить на пересылку запросов в соответствии с определенными именами домена, используя условную пересылку.

DNS-сервер используется как сервер пересылки, когда другие DNS-серверы в сети настроены на переадресацию запросов, которые не могут быть разрешены локально, на этот DNS-сервер. С помощью сервера пересылки можно управлять разрешением имен для имен, находящихся за пределами организации, например в сети Интернет, что может способствовать увеличению эффективности разрешения имен для компьютеров в сети. Дополнительные сведения об использовании серверов пересылки и условной пересылки см. в разделе Общее представление о серверах пересылки.

Читайте так же:
Жесткий диск для hp pavilion dv7

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .

Настройка DNS-сервера для использования пересылки

Откройте диспетчер DNS.

В дереве консоли щелкните необходимый DNS-сервер.

    DNS/необходимый DNS-сервер

В меню Действие выберите команду Свойства.

На вкладке Серверы пересылки в разделе Домен DNS щелкните имя домена.

В поле Список IP-адресов серверов пересылки для выбранного домена введите IP-адрес сервера пересылки, а затем нажмите кнопку Добавить.

Дополнительные сведения
  • Чтобы открыть диспетчер DNS, нажмите кнопку Пуск, выберите Администрирование, затем щелкнете DNS.

Можно отключить рекурсию для DNS-сервера, чтобы она не выполнялась для любого запроса. Если рекурсия на DNS-сервере отключена, на этом сервере невозможно будет использовать пересылку.

Откройте окно командной строки.

Введите указанную ниже команду и нажмите клавишу ВВОД.

Имя средства командной строки, предназначенного для управления DNS-серверами.

Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.).

Обязательный компонент. Настройка сервера пересылки.

Обязательный компонент. Разделенный пробелами список, состоящий из одного или нескольких IP-адресов DNS-серверов, на которые пересылаются запросы. Можно указать список IP-адресов, разделенных запятыми.

Параметр времени ожидания. Параметр времени ожидания — это количество секунд перед истечением срока действия пересланных запросов.

Указывает значение для параметра /TimeOut. Значение указывается в секундах. По умолчанию это время составляет 5 секунд.

Определяет, использует ли DNS-сервер рекурсию при запросе имени домена, указанного в параметре имя_зоны.

Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:

Дополнительная информация
  • Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.

Команда /ZoneAdd служит для добавления зоны, указанной в параметре имя_зоны. Параметр IP-адрес — это IP-адрес, на который DNS-сервер будет пересылать неразрешенные DNS-запросы. С помощью параметра /Slave DNS-сервер обозначается как подчиненный сервер. При указанном параметре /NoSlave (параметр по умолчанию) DNS-сервер не является подчиненным сервером, а это означает, что он может выполнять рекурсию. Параметры /Timeout и Время были рассмотрены в предыдущей таблице.

С помощью параметра /Local можно задать локальный список главных серверов для серверов пересылки, интегрированных в Active Directory. Параметр IP-адреса_серверов является списком, состоящим из одного или нескольких IP-адресов главных серверов для зоны. Главными серверами могут быть DNS-серверы, содержащие основные или дополнительные копии зоны, однако в главные серверы не могут быть записаны IP-адреса DNS-серверов таким образом, чтобы два DNS-сервера, содержащие копии зоны, использовали друг друга в качестве главных серверов. Такая настройка приведет к созданию циклической пересылки.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector