1.3. Подготовка к созданию нового леса системы windows server 2008
Перед установкой роли AD DS на сервере и повышением его ранга до контроллера домена нужно спланировать структуру Active Directory. При создании контроллера домена потребуется некоторая информация, в частности такая.
1. Имя домена и DNS-имя. Домен должен иметь уникальное DNS-имя, например UIB.com, а также короткое имя, скажем UIB (так называемое имя NetBIOS). Сетевой протокол NetBIOS использовался еще в первых версиях Microsoft Windows NT и все еще применяется некоторыми приложениями.
2. Должен ли домен поддерживать контроллеры с предыдущими версиями Windows? При создании нового леса Active Directory нужно сконфигурировать функциональный уровень. Если в домен будут включены лишь контроллеры системы Windows Server 2008, то можно установить соответствующий функциональный уровень для использования усовершенствованных компонентов этой версии Windows.
3. Детали реализации DNS для поддержки Active Directory. Структуру DNS лучше всего реализовать для доменных зон с помощью службы DNS (DNS Service) системы Windows.
4. Конфигурация IP-контроллера домена. Для контроллеров домена требуются статические IP-адреса и маски подсети. Кроме того, в целях разрешения имен нужно сконфигурировать контроллер домена с использованием адреса DNS-сервера. В случае создания нового леса и запуска на контроллере домена DNS-службы Windows в качестве DNS-адреса можно указать собственный IP-адрес сервера. После установки DNS-структуры сервер сам может разрешать DNS-имена.
5. Пользовательское имя и пароль учетной записи в группе Администраторы (Administrators) сервера. Для учетной записи нужно назначить непустой пароль.
6. Место установки хранилища данных (включая файл Ntds.dit) и системного тома (SYSVOL). По умолчанию эти хранилища создаются в переменной %SystemRoot% (например, C:\Windows) соответственно в папках NTDS и SYSVOL. При создании контроллера домена эти хранилища можно перенаправить на другие диски.
1.4. Добавление роли ad ds с помощью интерфейса windows
После сбора упомянутой выше предварительной информации можно приступать к добавлению роли AD DS. Это можно сделать несколькими способами:
1. создание контроллера домена посредством интерфейса Windows, 2. создание контроллера домена с помощью командной строки.
1.4.1 СОЗДАНИЕ КОНТРОЛЛЕРА ДОМЕНА ПОСРЕДСТВОМ ИНТЕРФЕЙСА WINDOWS
В системе Windows Server 2008 возможна конфигурация на основе ролей с установкой только тех служб и компонентов, которые нужны для выполняемых ролей сервера. Управлять сервером на основе ролей можно с помощью новой административной консоли Диспетчер сервера (Server Manager), показанной на рис. 1.3. Диспетчер сервера объединяет информацию, инструменты и ресурсы, необходимые для поддержки ролей сервера.
Only for UIB group from Dobrynin I.S. Страница 8
Роли
можно
добавлять
на
сервер
с
помощью
ссылки
Добавить
роли
(Add
Roles)
на
домашней
странице
диспетчера
сервера
либо
щелкнув
правой
кнопкой
мыши
узел
Роли
(Roles)
в
дереве
консоли
и
применив
команду
Добавить
роли
(Add
Roles).
Мастер
добавления
ролей
(Add
Roles
Wizard)
предоставит
список
доступных
для
установки
ролей
и
выполнит
шаги
установки
тех
из
них,
которые
были
выбраны.
Создание контроллера домена
После добавления роли AD DS на сервере устанавливаются файлы, необходимые для ее выполнения, но при этом сервер еще не становится контроллером домена. Затем надо запустить Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard), который можно открыть с помощью команды Dcpromo.exe, чтобы сконфигурировать, инициализировать и запустить Active Directory.
Only for UIB group from Dobrynin I.S. Страница 9
ПРАКТИЧЕСКИЕ ЗАДАНИЯ. СОЗДАНИЕ ЛЕСА WINDOWS SERVER 2008
В предложенных далее упражнениях вы создадите лес AD DS для компании UIB.com. Он будет использоваться при выполнении последующих лабораторных и практических занятий. Вы начнете с установки системы Windows Server 2008 и выполните послеустановочные задачи, а затем добавите роль AD DS и с помощью мастера установки доменных служб Active Directory повысите ранг сервера до контроллера домена в лесу UIB.com.
Упражнение 1. Установка системы Windows Server 2008
В этом упражнении вы установите систему Windows Server 2008 на персональном компьютере либо виртуальной машине.
1. Вставьте в DVD-привод установочный диск системы Windows Server 2008. При использовании виртуальной машины (VM) можно смонтировать ISO-образ установочного DVD.
2. Запустите установку системы. Если жесткий системный диск пустой, то следует загрузить систему с DVD. Когда же на диске есть данные, вам может быть предложено нажать клавишу для загрузки с DVD. Если система не загружается с DVD, то откройте параметры BIOS компьютера и сконфигурируйте порядок загрузки с DVD. Запустится Мастер установки Windows (Install Windows Wizard).
3. Выберите язык, региональные параметры и раскладку клавиатуры для системы, после чего щелкните кнопку Далее (Next).
4. Щелкните кнопку Установить (Install Now). Отроется список доступных для установки выпусков (полная установка либо установка ядра сервера).
5. Выберите вариант установки системы Windows Server 2008, пункт Полная установка (Full Installation), и щелкните кнопку Далее (Next).
6. Установите флажок Я принимаю условия лицензии (I Accept the License Terms) и щелкните кнопку Далее (Next).
7. Щелкните пункт Полная установка (дополнительные параметры) (Custom (Advanced)).
8. На странице Выберите раздел для установки Windows (Where Do You Want to Install Windows) выберите диск, на который хотите установить систему. Чтобы создать, расширить или форматировать разделы либо загрузить настраиваемый драйвер массового хранения для получения доступа к подсистеме диска, щелкните кнопку Загрузка драйвера (Driver Options (Advanced)).
9. Щелкните кнопку Далее (Next). Откроется диалоговое окно Установка Windows (Installing Windows), показанное на рис. 1.4.
Only
for
UIB
group
from
Dobrynin
I.S. Страница
10
В нем отображается ход выполнения установки. Инсталляция версии Windows Server 2008, как и Windows Vista, основана на образе, поэтому она выполняется значительно быстрее, чем для предыдущих версий Windows, хотя сама операционная система занимает больше места, чем более ранние версии. В процессе установки компьютер перезагрузится один или несколько раз. После ее завершения будет указано, что перед первым входом в систему надо изменить пароль пользователя.
10. Щелкните ОК.
11. В поля Новый пароль (New Password) и Подтверждение (Confirm Password) введите пароль для учетной записи Администратор (Administrator) и нажмите клавишу Enter. Пароль должен содержать как минимум семь символов, относящихся хотя бы к трем из четырех возможных типам:
символы в верхнем регистре: A-Z; символы в нижнем регистре: a-z; цифры: 0-9;
другие символы, например $, #, @ и !.
12. Щелкните ОК. Откроется рабочий стол учетной записи Администратор (Administrator).
Упражнение 2. Выполнение послеустановочных задач настройки
В этом упражнении вы осуществите послеустановочную настройку сервера и укажете имя, а также параметры TCP/IP, необходимые для выполнения последующих занятий.
1. Дождитесь появления рабочего стола учетной записи Администратор (Administrator). Откроется окно Задачи начальной настройки (Initial Configuration Tasks), показанное на рис. 1.5.
Only
for
UIB
group
from
Dobrynin
I.S. Страница
11
Этот инструмент предназначен для выполнения рекомендуемых послеустановочных задач настройки.
В некоторых случаях, для того чтобы вызвать окно послеустановочных задач настройки необходимо выполнить команду oоbe.exe.
2. В окне задач начальной настройки сконфигурируйте следующие параметры: Часовой пояс (Time Zone): в соответствии с вашей средой;
Имя
компьютера
(Computer
Name):
Server-01.
Не
перезагружайте
систему,
пока
в
упражнении
не
будут
даны
соответствующие
указания.
Only
for
UIB
group
from
Dobrynin
I.S. Страница
12
3. В окне Задачи начальной настройки (Initial Configuration Tasks) щелкните ссылку Настроить сеть (Configure Networking). Откроется диалоговое окно Сетевые подключения (Network Connections).
4. Выберите Подключение по локальней сети (Local Area Connection).
5. На панели инструментов щелкните команду Настройка параметров подключения (Change Settings of This Connection).
6. Выберите
пункт
Протокол
Интернета
версии
4
(TCP/IPv4)
(Internet
Protocol
Version
4
(TCP/IPv4))
и
щелкните
кнопку
Свойства
(Properties).
В
системе
Windows
Server
2008
реализована
также
встроенная
поддержка
протокола
Интернета
версии
6
(TCP/IPv6).
Only
for
UIB
group
from
Dobrynin
I.S. Страница
13
7. Щелкните пункт Использовать следующий IP-адрес (Use the Following IP Address). Введите такие параметры конфигурации:
IP-адрес (IP Address): 10.0.0.11;
маска подсети (Subnet Mask): 255.255.255.0; основной шлюз (Default Gateway): 10.0.0.11;
предпочитаемый DNS-сервер (Preferred DNS Server): 10.0.0.11. 8. Щелкните OK, а затем — кнопку Закрыть (Close).
9. Обратите
внимание
на
ссылки
Добавить
роли
(Add
Roles)
и
Добавить
компоненты
(Add
Features)
в
окне
задач
начальной
настройки.
В
следующем
упражнении
вы
будете
использовать
Диспетчер
сервера
(Server
Manager)
для
добавления
ролей
и
компонентов
на
SERVER01.
С
помощью
этих
ссылок
можно
выполнить
те
же
задачи
еще
одним
способом.
Окно
задач
начальной
настройки
открывается
каждый
раз
при
входе
на
сервер.
10. Установите флажок Не показывать это окно при входе в систему (Do Not Show This Window at Logon), чтобы это окно больше не появлялось при загрузке. Чтобы в будущем открыть окно задач начальной настройки, используйте команду Oobe.exe.
11. Щелкните кнопку Закрыть (Close) в нижней части окна задач начальной настройки. Откроется Диспетчер сервера (Server Manager). С его помощью можно конфигурировать и администрировать роли и компоненты сервера Windows Server 2008. Вы будете применять этот диспетчер в следующем упражнении.
Only for UIB group from Dobrynin I.S. Страница 14
Упражнение 3. Установка леса Windows Server 2008 с помощью интерфейса Windows («лентяям» этот пункт можно пропустить, т.к в упражнении 4 роль AD DS будет добавлена автоматически).
В этом упражнении вы добавите роль AD DS на сервер, установленный и сконфигурированный в упражнениях 1 и 2.
1. В группе программ Администрирование (Administrative Tools) откройте Диспетчер сервера (Server Manager).
2. В разделе Состояние роли (Rоles Summary) домашней страницы щелкните кнопку Добавить роли (Add Roles). Будет запущен Мастер добавления ролей (Add Roles Wizard).
3. Щелкните кнопку Далее (Next).
4. На странице Выбор ролей сервера (Select Server Rôles) установите флажок Доменные службы Active Directory (Active Directory Domain Services). Щелкните кнопку Далее (Next).
5. На странице Доменные службы Active Directory (Active. Directory Domain Services) щелкните кнопку Далее (Next).
6. На странице Подтвердите выбранные элементы (Conflrm Installation Sélections) щелкните кнопку Установить (Install). Процесс выполнения задач установки отображается на странице Ход выполнения установки (Installation Progress).
7. На странице Результаты установки (Installation Results) просмотрите результаты установки и щелкните кнопку Закрыть (Close). В разделе Состояние роли (Roles Summary) домашней страницы Диспетчера сервера (Server Manager) вы увидите сообщение об ошибке, помеченное красным кружком с белым крестиком. В разделе Доменные службы Active Directory (Active Directory Domain Services) также появится сообщение. Обе ссылки открывают роли доменных служб Active Directory в диспетчере сервера. Сообщение напоминает о том, что надо запустить команду Dcpromo.exe. Этим мы займемся в следующем упражнении.
Only for UIB group from Dobrynin I.S. Страница 15
Упражнение 4. Установка леса Windows Server 2008
В этом упражнении вы воспользуетесь мастером установки доменных служб Active Directory (Dcpromo.exe) для создания нового леса Windows Server 2008.
ПРИМЕЧАНИЕ
В предыдущем упражнении вы добавили роль AD DS с помощью диспетчера сервера. Однако если запустить команду Dcpromo.exe на сервере без установленной роли AD DS, то мастер добавит эту роль автоматически.
1. Щелкните кнопки Пуск (Start) и Выполнить (Run), введите команду Dcpromo.exe и нажмите клавишу Enter. Откроется Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard).
2. Щелкните
кнопку
Далее
(Next).
Only
for UIB
group
from
Dobrynin
I.S. Страница
16
3. На странице Совместимость операционных систем (Operating System Compatibility) ознакомьтесь с предупреждением о заданных по умолчанию параметрах безопасности для контроллеров доменов системы Windows Server 2008, а затем щелкните кнопку Далее (Next).
4. На странице Выберите конфигурацию развертывания (Choose a Deployment Configuration) остановите свой выбор на конфигурации Создать новый домен в новом лесу (Create a New Domain in a New Forest) и щелкните кнопку Далее (Next).
5. На
странице
Укажите
имя
корневого
домена
леса
(Name
the
Forest
Root
Domain)
введите
в
поле
имя
UIB.com
и
щелкните
кнопку
Далее
(Next).
Система
проверит
уникальность
имен
DNS
и
NetBIOS
в
сети.
Only
for UIB
group
from
Dobrynin
I.S. Страница
17
6. На странице Задание режима работы леса (Set Forest Functional Level) выберите функциональный уровень Windows Server 2008 и щелкните кнопку Далее (Next).
Все
функциональные
уровни
описаны
в
окне
Подробности
(Details)
страницы.
При
выборе
функционального
уровня
леса
Windows
Server
2008
все
домены
в
лесу
будут
работать на уровне Windows Server 2008, обеспечивающем несколько новых
возможностей
системы Windows Server 2008. Откроется страница Параметры
дополнительного
контроллера
домена
(Additional
Domain
Controller
Options).
По
умолчанию
будет
выбран
DNS-сервер.
Мастер
установки
доменных
служб
Active
Directory
создаст
инфраструктуру
DNS
в
процессе
установки
AD
DS.
Первый
контроллер
домена
в
лесу
должен
быть
сервером
глобального
каталога
GC
(Global
Catalog)
и
не
может
быть
контроллером
домена
только
для
чтения
RODC
(Read-Only
Domain
Controller).
Only for UIB group from Dobrynin I.S. Страница 18
7. Щелкните кнопку Далее (Next). Появится предупреждение о назначении
статического
IP-адреса.
В
упражнении
2
вы
назначили
статический
IPv4-адрес,
который
будет
использоваться
в
последующих
занятиях.
В
контексте
текущего
упражнения
данное
предупреждение
можно
проигнорировать.
8. Щелкните кнопку Да, компьютер будет использовать динамически назначаемый IP-адрес (не рекомендуется) (Yes, the Computer Will Use a Dynamically Assigned IP Address (Not Recommended)). Появится предупреждение о том, что для этого DNS-сервера не будет делегирования. В контексте данного упражнения вы можете проигнорировать эту ошибку.
9. Щелкните кнопку Да (Yes), чтобы закрыть окно предупреждения мастера установки доменных служб Active Directory.
В учебном процессе, т.к. домен UIB в зоне com был создан условно, то п.7-9 следует пропустить.
Only for UIB group from Dobrynin I.S. Страница 19
10. На странице Расположение для базы данных, файлов журнала и SYSVOL (Location for Database, Log Files and SYSVOL) примите заданное по умолчанию размещение для файла базы данных, файлов журнала службы каталогов и SYSVOL, а затем щелкните кнопку Далее (Next). В производственной среде эти файлы лучше всего хранить в трех отдельных томах, где нет приложений и других файлов, которые не имеют отношения к AD DS. Благодаря этому повысится производительность, а также эффективность архивации и восстановления.
11. На
странице
Пароль
администратора
для
режима
восстановления
служб
каталогов
(Directory
Services
Restore
Mode
Administrator
Password)
введите
строгий
пароль
в
поля
Пароль
(Password)
и
Подтверждение
(Confirmed
Password).
Щелкните
кнопку
Далее
(Next).
(в
учебных
целях
пароль
оставляем
тот
же,
что
и
пароль
администратора
–
Pa$$w0rd).
Only for UIB group from Dobrynin I.S. Страница 20
12. На
странице
Сводка
(Summary)
просмотрите
выбранные
параметры.
Если
какие-либо
из
них
некорректны,
то
щелкните
кнопку
Назад
(Back),
чтобы
внести
модификации.
Only
for UIB
group
from
Dobrynin
I.S. Страница
21
13. Дважды щелкните кнопку Далее (Next). Начнется процесс настройки AD DS. После его завершения потребуется перезагрузить сервер. При желании вы можете установить флажок Перезагрузка по завершении (Reboot on Completion).
РЕЗЮМЕ
Службы Active Directory обеспечивают интегрированную реализацию идентификации и доступа в корпоративных сетях.
Доменные службы Active Directory (Active Directory Domain Services) предоставляют компоненты служб каталогов и проверки подлинности решения IDA. Кроме того, они упрощают управление даже в больших и сложных распределенных сетях.
Системы Windows Server 2008 конфигурируются на основе выполняемых ими ролей. Роль AD DS можно добавить с помощью Диспетчера сервера (Server Manager).
Для настройки AD DS и создания контроллера домена используется команда Dcpromo.exe.
Only for UIB group from Dobrynin I.S. Страница 22
Контрольные вопросы
1. Укажите роли, которые можно развернуть на Windows Server 2008
2. Какие требования предъявляются к паролю администратора при установлении сервера Windows Server 2008?
3. Перечислите основные послеустановочные задачи настройки в установке сервера Windows Server 2008.
4. Вы хотите использовать новый сервер Windows Server 2008 в качестве контроллера домена Active Directory. Какую команду следует применить для запуска процесса настройки контроллера домена?
5. Какие условия необходимы для успешного создания контроллера домена?
6. Компания Trey Research недавно приобрела компанию Litware, Inc. Из-за проблем, возникших в связи с регулированием репликации, было принято решение сконфигурировать дочерний домен в лесу для пользователей и компьютеров Litware. Лес Trey Research в настоящее время содержит лишь контроллеры доменов Windows Server 2008. Новый домен будет создан посредством повышения ранга рядового сервера до контроллера домена Windows Server 2008, однако в качестве контролеров в домене Litware вам, возможно, придется использовать существующие системы Windows Server 2003. Какие функциональные уровни следует сконфигурировать в такой ситуации?
7. В процессе выполнения лабораторной работы, вы выполнили установку сервера. С каким сервером у Вас происходит синхронизация времени?
8. Компания UIB территориально располагается в г.Харькове. Партнеры компании – в Центральной Америке и Австралии. Укажите такой порядок настройки, при котором возможно отображение часовых поясов всех трех представительств одновременно.
9. В лабораторной работе, при установке параметров сетевого подключения Вы выбрали IP-адрес (IP Address): 10.0.0.11; маска подсети (Subnet Mask): 255.255.255.0; основной шлюз (Default Gateway): 10.0.0.11; предпочитаемый DNS-сервер (Preferred DNS Server): 10.0.0.11. Объясните данные параметры. Каково максимально достижимое количество пользователей в данной сети?
10. На каких дисках (томах) возможно хранение файла базы данных, файлов журнала службы каталогов и SYSVOL?
11. Почему первый устанавливаемый в домене контроллер не может быть контроллером RODC (Read Only Domain Controller)?
12. Какую команду необходимо использовать для добавления роли Active Directory Domain Services?
13. Какая команда используется для вывода на экран диалогового окна постустановочных задач?
Only for UIB group from Dobrynin I.S. Страница 23