9. Настройка групповых политик домена.

Доменные групповые политики могут создаваться при помощи консоли управления Active Directory - пользователи и компьютеры в любом контейнере, поддерживающем назначение групповых политик (сайт, домен, организационное подразделение).

Для запуска консоли управления Active Directory - пользователи и компьютеры необходимо в меню Пуск -> Администрирование щелкнуть Active Directory - пользователи и компьютеры. В дереве консоли управления найдите нужный контейнер, выберите его, нажмите на нем правую кнопку мыши и выберите пунктСвойства контекстного меню.

В окне свойств объекта перейдите на вкладку Групповая политика. На этой вкладке выводится список объектов групповой политики, связанных с выбранным контейнером. Для создания нового объекта групповой политики щелкните кнопку Создать и введите имя нового объекта. В качестве имени объекта групповой политики рекомендуется использовать термины, описывающие круг пользователей и компьютеры, которые попадут под действие групповой политики.

4. Настройка службы dns Server.

DNS сервер это доменная система имен она используется для взаимодействия с протоколами передачи данных. Если новый DNS-сервер установлен не на контроллере домена, как правило, необходимо выполнить определенные задачи для его настройки.

Создать зону прямого и (если необходимо) обратного просмотра.

Определить, будут ли разрешены на сервере динамические обновления, включая небезопасные обновления.

Определить, будут ли пересылаться запросы и на какие серверы.

Вместо настройки этих параметров можно настроить сервер для использования корневых ссылок, чтобы эти задачи настройки можно было выполнить в другой раз.

Чтобы настроить новый DNS-сервер с помощью средств интерфейса Windows

Откройте диспетчер DNS.

При необходимости добавьте нужный сервер в оснастку, затем подключитесь к нему.

В дереве консоли щелкните необходимый DNS-сервер.

Где?

DNS/DNS-сервер

В меню Действие выберите команду Конфигурация DNS-сервера.

Следуйте инструкциям мастера настройки DNS-сервера.

Дополнительные сведения

Чтобы открыть диспетчер DNS, нажмите кнопку Пуск, выберите Администрирование, затем щелкнетеDNS.

Если DNS-сервер установлен локально, нет необходимости выполнять шаг 2.

После завершения настройки сервера можно выполнить дополнительные задачи, такие как включение динамических обновлений для всех зон или добавление записей ресурсов для зон сервера.

Чтобы настроить новый DNS-сервер с помощью командной строки

Откройте окно командной строки.

Введите указанную ниже команду и нажмите клавишу ВВОД.

dnscmd <ServerName> /Config {<ZoneName>|..AllZones} <Property> {1|0}

Параметр Описание

dnscmd Имя средства командной строки, предназначенного для управления DNS-серверами.

<Имя_сервера> Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.).

/Config Настройка указанной зоны с помощью этой команды.

{<Имя_зоны>|..AllZones} Определяет имя настраиваемой зоны. Чтобы применить конфигурацию ко всем зонам, размещенным на указанном DNS-сервере, введите ..AllZones.

<Свойство> Свойство сервера или зоны, которое следует настроить. Существуют различные свойства, доступные для серверов и зон. Чтобы просмотреть список доступных свойств, в командной строке введите команду dnscmd /Config /help.

{1|0} Устанавливает для параметров конфигурации значение 1 (включено) или 0(отключено). Обратите внимание, что некоторые свойства сервера и зоны должны быть сброшены для выполнения более сложных операций.

Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:

dnscmd /Config /help

3. Конфигурирование зарезервированных ip-адресов. Настройка dhcp-опций.

Некоторые IP адреса зарезервированы для специального применения и администратор сети не в праве их приписывать узлам сети.

Адрес сети состоящий из 0 – интерпретируется как текущая сеть или текущий сегмент

Адрес сети состоящий из 1 – интерпретируется как вне сети

Сеть 127 – зарезервировано для кольцевых тестов. Обозначает локальный узел и используется когда узел посылает тестовый пакет самому себе без создания дополнительного трафика

Адрес узла состоящий из 0 – интерпретируется как текущий узел

Адрес узла состоящий из 1 – интерпретируется как все узлы определенной сети

Нулевой IP адрес – используется маршрутизаторами cisco для обозначения маршрута, выбранного по умолчанию

Ip адрес состоящий из 1 ( или 255.255.255.255) – широковещательный адрес

5.Создание зон. Настройка клиента службы dns Server. Настройка процесса разрешения имен хостов с использованием службы dns Server.

Зона — это любая часть дерева системы доменных имен, размещаемая как единое целое на некотором DNS-сервере. Зону, для большего понимания, можно назвать «зоной ответственности». Целью выделения части дерева в отдельную зону является передача ответственности (Делегирование) за эту ветвь другому лицу или организации. На иллюстрации, примеры зон выделены синим градиентом. На иллюстрации выделены не все зоны, а лишь некоторые для общего понимания и представления. В каждой зоне имеется, по крайней мере, одинавторитетный сервер DNS, который хранит ВСЮ информацию о зоне, за которую он отвечает.

1.Выберите объект dns из папки Администрирование (Administrative Tools), чтобы открыть консоль управления dns-сервером.

2…Выделите имя вашего компьютера и нажмите Действие (Action) | Конфигурация dns-сервера (Configure a dns Server), чтобы запустить Мастера настройки dns-сервера.

3…Нажмите Далее (Next) и выберите объект настройки: зона прямого просмотра (forward lookup zone), зоны прямого и обратного просмотра (forward and reverse lookup zone ), только корневые ссылки (root hints only) (изображение E).

4…Нажмите Далее (Next) и потом Да (Yes) для того, чтобы создать зону прямого просмотра (изображение f).

5…Отметьте желаемый тип зоны (изображение g).

6…Нажмите Далее (Next) и введите имя создаваемой зоны.

7…Нажмите Далее (Next) и потом Да (Yes) для того, чтобы создать зону обратного просмотра.

8…Повторите шаг 5.

9…Выберите протокол зоны обратного просмотра: iPv4 или iPv6 (изображение h).

10… Нажмите Далее (Next) и ведите идентификатор зоны обратного просмотра (изображение I).

11…Можно создать новый или использовать копию уже существующего файла dns (изображение j).

12…В окне Динамические обновления (Dynamic Update), выберите способ обновления dns: безопасный (secure), небезопасный (nonsecure), неполучать динамических обновлений (no dynamic updates).

13…При желании можно включить перенаправляющий dns-сервер в окне Перенаправление (Forwarders) (изображение k).

14…Нажмите Готово (Finish) (изображение l).

Настройка клиента службы DNS Server

После развертывания дополнительного контроллера домена необходимо изменить настройки службы DNS-клиента на первом развернутом контроллере домена. Так как при развертывании первого контроллера домена другие контроллеры домена не были запущены, необходимо изменить параметры службы DNS-клиента на первом контроллере домена, включив дополнительный контроллер домена.

При развертывании дополнительных контроллеров домена может понадобиться изменить параметры политикиДополнительный DNS-сервер для существующих контроллеров домена, чтобы убедиться, что значение указывает на DNS-сервер, подключенный через минимальное число сегментов сети

Настройка параметров службы DNS-клиента на предварительно установленных контроллерах домена

Нажмите кнопку Пуск, выберите пункт Выполнить и введите ncpa.cpl, чтобы открыть окно "Сетевые подключения".

Щелкните правой кнопкой мыши значок Подключение по локальной сети, выберите пункт менюСвойства, щелкните пункт Протокол Интернета (TCP/IP) , чтобы выделить его, и нажмите кнопкуСвойства.

В качестве значения параметра Предпочитаемый DNS-сервер укажите IP-адрес DNS-сервера, который выполняется локально на контроллере домена. (Данный сервер является локальным узлом.)

Определите, располагается ли вновь установленный контроллер домена ближе к контроллеру домена, который был изначально задан в качестве дополнительного DNS-сервера. Если вновь установленный контроллер домена расположен ближе, в поле Дополнительный DNS-сервер введите IP-адрес данного контроллера домена.

Разрешение имен

Вся иерархия DNS строится от корневого домена (root domain). Корневой домен поддерживается 13 главными отдельными серверами, работа которых обеспечивается коммерческими, правительственными и образовательными учреждениями. В предельном случае эти корневые серверы участвуют в процессе разрешения всех публичных имен в Internet. Когда сетевой компьютер обращается к хосту с именем download.beta.example.com, в первую очередь он должен получить IP-адрес этого хоста. Этот процесс может потребовать до 10 различных запросов DNS, начиная с первого, с которым компьютер обращается к серверу, настроенному как сервер DNS.

Как видно из рисунка, локальный сервер DNS для определения соответствующего IP-адреса использует рекурсивные запросы — один из двух видов запросов DNS (второй тип называется итеративным). Каждый публичный сервер DNS, на который попадает запрос, либо выдает конечный результат (выполняет разрешение имени), если ему известен ответ, либо отправляет на связанный с ним вышестоящий сервер DNS, пытаясь определить неизвестный адрес. Поскольку корневой сервер DNS ничего не знает о конечных индивидуальных хостах в Internet, каковым является компьютер beta.example.com, он сообщает, что ничего не знает о подобном адресе, но советует опросить сервер, обслуживающий домен .com. По мере того как рекурсивный процесс продолжается, разрешение имени может произойти на одном из этапов, и результатом запроса будет либо искомый IP-адрес, либо отказ.

Описанная процедура разрешения имен может ввести пользователя в заблуждение: можно подумать, что корневые серверы доменов — это гигантские суперкомпьютеры, которые к тому же часто ломаются из-за чрезмерной нагрузки. В действительности же корневые серверы большой нагрузки не испытывают благодаря второму элементу процесса разрешения имен — кэшированию.

1. Настройка службы dhcp Server.

Перед тем, как приступить к конфигурированию DHCP-сервера, нужно тщательно подготовиться. Заранее соберите всю необходимую информацию. В частности, полезно будет знать:

• Диапазон IP-адресов, которым будет управлять сервер (например, от 192.168.1.50 до 192.168.1.200).

• Каким машинам понадобятся статические IP-адреса (например, серверы и маршрутизаторы, настраиваемые вручную, которым не нужен DHCP для получения IP-адреса).

• Какую сетевую информацию вы хотите отправлять DHCP-клиентам после того, как те получат свои IP-адреса (например, адреса для шлюза по умолчанию, DNS-серверов, WINS-серверов).

Настроить DHCP-сервер будет гораздо легче, уже имея на руках всю необходимую информацию, чем если искать её в процессе.

Установить DHCP в Windows 2008 проще простого. Разработчики создали удобный мастер, который проведёт вас через весь процесс.

Чтобы установить DHCP-сервер из "Панели управления" (Control Panel):

1...В меню "Пуск" (Start) выберите "Панель управления" (Control Panel) | "Администрирование" (Administrative Tools) | "Управление сервером" (Server Manager).

2...Раскройте вкладку и выберите объект "Роли" (Roles) (изображение a).

3...Выберите команду "Добавить роли" (Add Roles) и, щёлкнув на dhcp, следуйте указаниям мастера (изображение b).

4...На экране появится новый мастер настройки dhcp-сервера.

В предыдущей версии Windows мастер не помогал в настройке DHCP-сервера. В Windows Server 2008 весь процесс разбит на семь шагов. Разумеется, по-прежнему можно управлять DHCP при помощи оснастки "Консоль управления" (DHCP Microsoft Management Console, MMC), либо создавать и удалять контексты по ходу дела.

Вернемся к мастеру. Сетевые карты и статические IP-адреса будут автоматически обнаружены, можно выбрать, как DHCP будет обслуживать клиентов в различных подсетях.

Выберите свои статические IP-адреса для обслуживания DHCP-клиентов

В следующем окне определяется подходящий DNS-сервер(ы) для использования с DHCP после утверждения адреса. На изображении E показано, где нужно указать подходящие WINS-серверы, если они используются в сети. Введите IP-адрес вашего DNS-сервера. Введите IP-адрес вашего WINS-сервера

При создании контекста нужно выбрать диапазон IP-адресов и указать соответствующие опции. Эти опции уже были упомянуты выше (дополнительная сетевая информация поступающая клиентам при получении ими IP-адресов).

Опции делятся на два вида: для всех контекстов (Global) и для одного из выбранной области (Scope). Глобальные опции распространяются на все контексты, созданные в данном DHCP-сервере, контекстные опции — для отдельной области, с которой вы работаете.

К примеру, если вы создали разные контексты для нескольких подсетей и у каждой из них будет отдельный шлюз по умолчанию, но один DNS-сервер на всех, следует активизировать DNS-сервера в качестве глобальной опции, а шлюзы — отдельно в каждой области как контекстную опцию.

Контексты создаются в соответствующем окне "Добавить область" (Add scope). Параметры настраиваются в зависимости от размера сети и количества пользователей, которым будут присвоены IP-адреса. Обзор конфигурации DHCP перед принятием настроек

Помимо указанных диапазонов исключений, в DHCP-сервер можно добавить резервирования. Добавляя резервирование, вы гарантируете, что указанная машина может всегда использовать один и тот же IP-адрес.

1...Щёлкните правой кнопкой на "Резервированиях" (Reservations) и выберите "Создать резервирование" (New reservation).

2...Введите имя резервирования и ip-адрес для данной машины или устройства.

3...Введите mac-адрес машины или устройства. Mac-адрес компьютера Windows можно узнать, запустив команду ipconfig/all в командной строке данной машины.

4...Введите описание и выберите тип резервирования: dhcp, bootp (проходит через маршрутизатор) либо оба (изображение l). Нажмите "Добавить" (Add).

Помимо указанных резервирований, в DHCP-сервер можно добавить исключения (изображение M). Добавляя исключение, вы гарантируете, что данный диапазон IP-адресов не будет предоставляться службой DHCP. Чрезвычайно полезно блокировать IP-адреса серверов и маршрутизаторов.

2. Создание диапазона ip-адресов.

DHCP – протокол динамического конфигурирования IP адресов.

Сначала ПК регистрируется в сети затем ему присваивается IP адрес. Выдача адресов происходит по определенным правилам. Область адресов разбита на 3 группы.

• Пул адресов. Это адреса которые получаются путем вычитания из общей группы адресов.

• Арендованные адреса. В эту область попадают адреса, которые в данный момент уже арендованы ПК.

• Резервированные адреса. В эту группу входят адреса которые выделяются ПК в постоянное пользование. Это выделение прописывается при настройке DHCP.

11. Настройка групповых политик домена

Запустите консоль управления Microsoft (MMC).

• Выберите в меню Консоль команду Добавить/удалить оснастку, в следующем окне нажмите кнопку Добавить.

• В окне Добавить изолированную оснастку выберите элемент Групповая политика, затем нажмите кнопку Добавить.

• В окне Поиск объекта групповой политики нажмите кнопку Обзор. Запустится браузер GPO.

• Для создания нового GPO с именем, установленным по умолчанию, нажмите кнопку Новый объект групповой политики (Create New Group Policy Object) (рис. 27.5).

• Переименуйте вновь созданный GPO. Дайте ему более информативное имя.

Примечание : Операционная система не следит за уникальностью имен объектов групповых политик безопасности, поскольку каждый GPO обладает внутренним глобальным уникальным идентификатором (GUID). За уникальность имени отвечает его создатель.

• Чтобы закрыть окно браузера GPO, нажмите кнопку ОК. Нажмите кнопку Готово, чтобы закрыть окно диалога Поиск объекта групповой политики.

• Нажмите кнопку Закрыть, чтобы закрыть окно диалога Добавить изолированную оснастку, затем закройте окно диалога Добавить/удалить оснастку.