Удаление ролей серверов

По мере настройки, корректировки и оптимизации вашего предприятия обычно приходится пересматривать роли серверов в предоставлении сетевых услуг пользователям. У вас могут быть серверы, выполняющие несколько ролей, и по мере приобретения нового оборудования вы можете передавать роли новым компьютерам. Или может оказаться, что некоторые серверы с несколькими ролями испытывают слишком большую нагрузку, обслуживая пользователей, что приводит к снижению производительности.

Manage Your Server позволяет удалять роли так же легко и быстро, как и добавлять их. Для этого щелкните на ссылке Add Or Remove Role, чтобы запустить мастер Configure Your Server Wizard, который вы уже использовали для создания ролей. Щелкните на кнопке Next в первом окне (предварительная информация), и после того, как Windows проверит ваши сетевые соединения, вы увидите список ролей серверов. Роли, которые вы назначили данному компьютеру, будут представлены значением Yes в колонке Configured. Если вы задали роль вручную, установив определенный компонент Windows вместо использования мастера Configure Your Server Wizard, то эта роль тоже будет представлена значением Yes.

Выделите роль, которую хотите удалить, и щелкните на кнопке Next, чтобы вызвать окно мастера Role Removal Confirmation (Подтверждение удаления роли).

Установите флажок, подтверждающий удаление, и затем щелкните на кнопке Next. Мастер удалит соответствующие файлы и при необходимости внесет изменения в конфигурацию.

Щелкните на кнопке Finish в последнем окне мастера, чтобы завершить этот процесс.

Задание ролей серверов вручную

Если вы предпочитаете сделать это вручную и вообще избегаете работать с мастерами, то можете настроить любой сервер Windows Server 2003 для любой роли. Для большинства доступных ролей серверов требуется установка одного или нескольких компонентов Windows. Исключение составляют роли файлового сервера (для этого требуются только разделяемые папки) и сервера печати (для этого требуется задать разделяемый доступ к подсоединенным принтерам).

Откройте вкладку Add Or Remove Programs в Control Panel и щелкните на кнопке Add. Затем выполните прокрутку, чтобы найти компонент, требующийся для роли, которую должен выполнять данный компьютер в вашей сети.

Для многих компонентов вы можете выбрать определенные средства и функции или выбрать все средства, доступные для данного компонента.

Если установить компонент таким способом, то роль этого компонента появится в списке ролей, которые представлены значением Yes в колонке Configured мастера Configure Your Server Wizard. Вы можете удалить этот компонент (и соответствующую роль) вручную во вкладке Add Or Remove Programs или с помощью мастера.

Часть 2 Служба каталогов Active Directory

Сети, службы каталогов и контроллеры доменов

Сети были созданы в один прекрасный день, когда пользователю надоело бегать по коридору, чтобы обмениваться данными с другим пользователем. В конце концов, цель любой сети — обеспечить удаленный доступ к ресурсам. Когда-то это были файлы, папки и принтеры. Со временем к ним добавились другие ресурсы, наиболее важными из которых являются электронная почта, базы данных и приложения. Потребовался механизм, позволяющий отслеживать ресурсы и предоставляющий как минимум каталог пользователей и групп, чтобы предотвратить нежелательный доступ к ресурсам.

Сети Microsoft Windows поддерживают две модели служб каталогов: рабочую группу (workgroup) и домен (domain). Для огранизаций, внедряющих Windows Server 2003, модель домена наиболее предпочтительна. Модель домена характеризуется единым каталогом ресурсов предприятия — Active Directory, — которому доверяют все системы безопасности, принадлежащие домену. Поэтому такие системы способны работать с субъектами безопасности (учетными записями пользователей, групп и компьютеров) в каталоге, чтобы обеспечить защиту ресурсов. Служба Active Directory, таким образом, играет роль идентификационного хранилища и сообщает «кто есть кто» в этом домене. Впрочем, Active Directory — не просто база данных. Это коллекция файлов, включая журналы транзакций и системный том ( Sysvol ), содержащий сценарии входа в систему и сведения о групповой политике. Это службы, поддерживающие и использующие БД, включая протокол LDAP (Lightweight Directory Access Protocol), протокол безопасности Kerberos, процессы репликации и службу FRS (File Replication Service). БД и ее службы устанавливаются на один или несколько контроллеров домена. Контроллер домена назначается Мастером установки Active Directory, который можно запустить с помощью Мастера настройки сервера (как вы сделаете в упражнении 2) или командой DCPROMO из командной строки. После того как сервер становится контроллером домена, на нем хранится копия (реплика) Active Directory, и изменения БД на любом контроллере реплицируются на все остальные контроллеры домена.

Домены, деревья и леса

Active Directory не может существовать без домена и наоборот. Домен — это основная административная единица службы каталогов. Однако предприятие может включить в свой каталог Active Directory более одного домена. Когда несколько моделей доменов совместно используют непрерывное пространство имен DNS, они образуют логические структуры, называемые деревьями (tree). Например, домены contoso.com , us.contoso.com и europe.contoso.com совместно используют непрерывное пространство имен DNS и, следовательно, составляют дерево.

Контроллеры домена — специальные серверы, которые хранят соответствующую данному домену часть базы данных Active Directory. Основные функции контроллеров домена:

• хранение БД Active Directory (организация доступа к информации, содержащейся в каталоге, включая управление этой информацией и ее модификацию);

• синхронизация изменений в AD (изменения в базу данных AD могут быть внесены на любом из контроллеров домена, любые изменения, осуществляемые на одном из контроллеров, будут синхронизированы c копиями, хранящимися на других контроллерах);

• аутентификация пользователей (любой из контроллеров домена осуществляет проверку полномочий пользователей, регистрирующихся на клиентских системах).

Настоятельно рекомендуется в каждом домене устанавливать не менее двух контроллеров домена — во-первых, для защиты от потери БД Active Directory в случае выхода из строя какого-либо контроллера, во-вторых, для распределения нагрузки между контроллерами.

Домены Active Directory с разными корневыми доменами образуют несколько деревьев. Они объединяются в самую большую структуру Active Directory — лес (forest). Лес Active Directory содержит все домены в рамках службы каталогов. Лес может состоять из нескольких доменов в нескольких деревьях или только из одного домена. Когда доменов несколько, приобретает важность компонент Active Directory, называемый глобальным каталогом (global catalog): он предоставляет информацию об объектах, расположенных в других доменах леса.

Объекты и организационные подразделения

Ресурсы предприятия представлены в Active Directory в виде объектов или записей в БД. Каждый объект характеризуется рядом атрибутов или свойств. Например, у пользователя есть атрибуты имя пользователя и пароль, у группы — имя группы и список пользователей, которые в нее входят.

Для создания объекта в Active Directory откройте консоль derive Directory — пользователи и компьютеры (Active Directory Users And Computers) в группе программ Администрирование (Administrative Tools). Раскройте домен, чтобы увидеть его контейнеры и организационные подразделения. Щелкните контейнер или ОП правой кнопкой и в контекстном меню выберите Создать (New) тип_объекта.

Служба Active Directory способна хранить миллионы объектов, включая пользователей, группы, компьютеры, принтеры, общие папки, сайты, связи сайтов, объекты групповой политики (ОГП) и даже зоны DNS и записи узлов. Можно представить, в какой кошмар превратился бы доступ к каталогу и его администрирование без определенной структуры.

Структура — цель введения характерного типа объекта, называемого организационным подразделением (organization unit, OU). ОП представляют собой контейнеры внутри домена, позволяющие группировать объекты, управляемые или настраиваемые одинаковым образом. Однако задача ОП — не только организовать объекты Active Directory, они обеспечивают важные возможности управления, поскольку образуют точку, куда могут делегироваться функции управления и с которой можно связать групповые политики.

Делегирование управления

Делегирование прав управления основано на простой идее, что администраторы на местах должны иметь возможность сменить пароль для определенного подмножества пользователей. У каждого объекта в Active Directory (в нашем случае — у объектов пользователей) есть таблица управления доступом (access control list , ACL), которая определяет разрешения доступа к этому объекту, аналогично тому, как файлы на томе жесткого диска обладают таблицей ACL, определяющей доступ к этим файлам. Например, ACL объекта пользователя будет определять, каким группам разрешено сбрасывать свой пароль. Было бы неправильно заставлять администратора изменять пароль каждого пользователя: проще поместить всех нужных пользователей в одно ОП и разрешить администратору менять в нем пароли. Это разрешение будет наследоваться всеми объектами пользователей в ОП, так что администратор сможет изменить разрешения для всех пользователей.

Сброс паролей пользователей — один из примеров делегирования административных полномочий. Существуют тысячи комбинаций разрешений, которые можно было бы назначить группам, отвечающим за администрирование и поддержку Active Directory. ОП позволяют предприятию создавать активное представление административной модели и указывать, кто и что может делать с объектами в домене.

Групповая политика

ОП также используются для объединения одинаково настроенных объектов — компьютеров и пользователей. Групповая политика Active Directory позволяет централизованно управлять практически любыми конфигурационными изменениями системы. С ее помощью можно указать настройки безопасности, развернуть ПО и настроить поведение ОС и приложений, даже не прикасаясь к компьютерам пользователей. Вы просто реализуете свою конфигурацию в рамках одного ОГП.

ОГП состоят из сотен возможных конфигурационных параметров: от прав и привилегий пользователя до ПО, которое разрешено запускать на системе. ОГП подключается к контейнеру внутри Active Directory (обычно к ОП, но может и к доменам или даже сайтам), и после этого его настройки распространяются на всех пользователей и компьютеры внутри этого контейнера.

Важно запомнить, что групповая политика — средство централизованной реализации конфигурации, что одни настройки применяются только к компьютерам, а другие — только к пользователям, и что политика распространяется только на компьютеры и пользователей из ОП, с которым она связана.

Инсталляция контроллера домена (DC) на базе Windows Server 2003 с помощью мастера установки Active Directory

1. Чтобы запустить мастер повышения статуса сервера необходимо в меню Start (Пуск) выбрать Run… (Выполнить…), ввести dcpromo и нажать OK.

2. После запуска мастера установки Active Directory нажмите Next (Далее).

3. На странице Domain Controller Type (Тип контроллера домена) выберите вариант Domain controller for a new domain (Контроллер домена в новом домене). Нажмите Next.

4. На странице Create New Domain (Создать новый домен) выберите вариант Domain in a new forest (Новый домен в новом лесу). Нажмите Next.

5. На странице New Domain Name (Новое имя домена) введите полное (FQDN) DNS-имя для создаваемого нового домена леса Active Directory (например, kszi.local). Не рекомендуется использовать одиночное (single label) имя домена (например, kszi). Нажмите Next.

6. Проверьте NetBIOS-имя на странице NetBIOS Domain Name (NetBIOS-имя домена). Хотя домены Active Directory обозначаются в соответствии со стандартами именования DNS, необходимо так же задать NetBIOS-имя. NetBIOS-имена по возможности должны совпадать с первой меткой DNS-имени домена. Если первая метка DNS-имени домена Active Directory отличается от его NetBIOS-имени, в качестве полного доменного имени используется DNS-имя, а не NetBIOS-имя. Нажмите Next.

7. На странице Database and Log Folders (Папки базы данных и журналов) введите путь, по которому будут располагаться папки базы данных и журналов, или нажмите кнопку Browse (Обзор), чтобы указать другое расположение. Убедитесь, что на диске достаточно места для размещения базы данных каталога и файлов журналов, чтобы избежать проблем при установке или удалении Active Directory. Мастеру установки Active Directory необходимо 250 МБ дискового пространства для установки базы данных Active Directory и 50 МБ для файлов журналов. Нажмите Next.

8. На странице Shared System Volume (Общий доступ к системному тому) укажите расположение, в которое следует установить папку SYSVOL, или нажмите кнопку Browse (Обзор), чтобы выбрать расположение. Папка SYSVOL должна находиться на томе NTFS, так как в ней находятся файлы, реплицируемые между контроллерами домена в домене или лесу. Эти файлы содержат сценарии, системные политики для Windows NT 4.0 и более ранних версий, общие папки NETLOGON и SYSVOL и параметры групповой политики. Нажмите Next.

9. На странице DNS Registration Diagnostics (Диагностика регистрации DNS) проверьте правильность установки параметров. Если в окне Diagnostic Results (Результаты диагностики) отображается сообщение об ошибках диагностики, нажмите кнопку Help (Справка) для получения дополнительных инструкций по устранению ошибки. Нажмите Next.

10. На странице Permissions (Разрешения) выберите требуемый уровень совместимости приложений с операционными системами pre-Windows 2000, Windows 2000 или Windows Server 2003. Нажмите Next.

11. На странице Directory Services Restore Mode Administrator Password (Пароль администратора для режима восстановления) введите и подтвердите пароль для учетной записи администратора режима восстановления Active Directory для данного сервера. Этот пароль необходим для восстановления резервной копии состояния системы данного контроллера домена в режиме восстановления Active Directory. Нажмите Next.

12. Проверьте сведения на странице Summary (Сводка) и нажмите Next.

13. После завершения установки нажмите кнопку Finish (Готово). Для перезагрузки компьютера нажмите кнопку Restart Now (Перезагрузить сейчас), чтобы изменения вступили в силу.