Зміст

1. Лабораторна робота № 2. Створення та налаштування контролера домену Active Directory

2. Лабораторна робота № 3. Логічна організація комп’ютерних мереж

3. Лабораторна робота № 4. Вивчення устаткування локальних мереж

4. Лабораторна робота № 5. Логічна організація локальних комп’ютерних мереж.

ЛАБОРАТОРНА РОБОТА № 2

ТЕМА: Створення та налаштування контролера домену Active Directory.

МЕТА: Сконфігурувати контролер домену Active Directory.

ОБЛАДНАННЯ: Диск з ОС Windows 2003 Sever MSDN License, персональні ПК комп’ютерної аудиторії.

1. Теоретичні відомості

Active Directory – це служба каталогів в Windows 2003. Служба каталогів є сховищем інформації, яке використовується для цілей як доступу до інформації про об'єкти (таких як користувачі, комп'ютери, домени і т.д.), так і для забезпечення служб аутентифікації (перевірки достовірності) і безпеки. Active Directory дуже схожа на інші служби каталогів, заснованих на протоколі Х.500, такі як NDS фірми Novell і Directory Service фірми Sun, якщо розглядати базові структури і служби, що ними надаються.

0. Active Directory може бути створений широкий круг різних об'єктів. Об'єкт є унікальною суттю в середині Каталога і зазвичай володіє багатьма атрибутами, які допомагають описувати і розпізнавати його. Обліковий запис користувача є прикладом об'єкту. Цей тип об'єкту може мати безліч атрибутів, таких як ім'я, прізвище, пароль, номер телефону, адреса і багато інших. Таким же чином загальний принтер теж може бути об'єктом в Active Directory і його атрибутами є ім'я, місцезнаходження і т.д. Атрибути об'єкту не тільки допомагають визначити об'єкт, але також дозволяють шукати об'єкти всередині Каталога.

Логічна структура Active Directory.

Active Directory може розглядатися як фізична і логічна структура. Ці структури тісно взаємодіють одна з одною. Логічна частина Active Directory включає ліси, дерева, домени, OU і глобальні каталоги. Кожен з елементів логічної структури описаний нижче.

Домен в Windows 2003 дуже схожий на домен в Windows NT. Він залишається логічною групою користувачів

0. комп'ютерів, які підтримують централізоване адміністрування і безпеку. Домен продовжує бути одиницею безпеки ? це означає, що адміністратор одного домена, за замовчуванням, не може управляти іншим. Домен також є одиницею для реплікації – всі контроллери домена, які входять в один домен, повинні брати участь в реплікації один з одним. Як

1. в NT, підтримуються довірчі відносини, що дозволяє користувачам з одного домена отримувати доступ до ресурсів в іншому. Домени в одному лісі мають автоматично настроєні довірчі відносини.

Дерево – є набором доменів, які використовують зв'язані простори імен. У даній конфігурації домени підпадають під взаємовідношення діти-батьки, при якому дочірній домен отримує ім'я від батьківського. Наприклад, можна створити дочірній домен з іменем Canada в домені company.com, тоді його повне ім'я буде – Canada.company.com. Дочірній домен автоматично отримує двосторонні транзитні довірчі відносини з батьківським доменом.

Ліс є найбільш великою структурою в Active Directory і об'єднує дерева, які підтримують єдину Схему (визначення об'єктів, які можуть створюватися). У лісі всі дерева об'єднані транзитивними двонаправленими довірчими відносинами, що дозволяє користувачам в будь-якому дереві отримувати доступ до ресурсів в будь-якому іншому дереві, якщо вони мають відповідні дозволи і права на доступ. За замовчуванням, перший домен, що створюється в лісі, вважається його кореневим доменом. Крім всього, в кореневому домені за замовчуванням зберігається Схема. Користувач не може перейменувати або видалити кореневий домен – це викличе видалення всього лісу Active Directory.

Організаційна одиниця є контейнером, який допомагає групувати об'єкти для цілей адміністрування або застосування групових політик. OU існують тільки всередині доменів і можуть об'єднувати тільки об'єкти з свого домена. OU можуть бути вкладеними один в один, що дозволяє здійснювати гнучкіший адміністративний контроль. Існує декілька методів розробки структури OU, серед яких варто виділити методи, засновані на завданнях адміністрування (найчастіше використовуваний), географічного розташування або організаційної структури підприємства. Одним з найбільш поширених способів використання OU є делегування адміністративних повноважень

0. це дозволяє давати користувачам певний рівень адміністративних повноважень тільки над даною OU, а не над всім доменом в цілому.

Глобальний каталог є переліком всіх об'єктів, які існують в лісі Active Directory. За замовчуванням, контроллери домена містять тільки інформацію про всі об'єкти в домені. Сервер Глобального каталога є контроллером домена, в якому міститься інформація про кожен об'єкт (хоч і не про всі атрибути цих об'єктів), що знаходиться в даному лісі. Це полегшує і прискорює пошук інформації в Active Directory. За замовчуванням тільки перший контроллер домена, створений в лісі, має копію глобального каталога – інші контроллери повинні призначатися на цю роль вручну.

Фізична структура Active Directory допомагає управляти взаємодією між серверами по відношенню до каталога. Два елементи фізичної структури Active Directory – це контроллери і сайти. Їх опис приведений нижче. Контроллерами домена є сервери Windows 2003, які зберігають базу даних Active Directory. Кожен контроллер домена Windows 2003 має редаговану копію каталога.

Інсталювання контролера Active Directory.

Серверні можливості в Windows Server 2003 дозволяють побудувати специфічні ролі для системи, використовуючи майстер Configure Your Server Wizard (майстер настройки сервера). Залежно від налаштувань, вікно Manage Your Server може бути виведене автоматично після входу в систему. Якщо цього не відбудеться, можна запустити його з меню «Start» –> «All Programs» –> «Administrative Tools».

Рисунок 2.1 Вікно Manage Your Server

0. цього вікна адміністратор може додати роль існуючому серверу, що дозволяє конфігурувати його для виконання спеціального завдання. Також з цього вікна можна також керувати поточною роллю.

Починаючи з цього моменту, можна вибрати одну з ролей, перерахованих нижче, назви яких в достатній мірі говорять самі за себе.

0. Сервер файлів (File server);

1. Сервер друку (Print server);

2. Сервер додатків (Application server);

3. Поштовий сервер (Mail server);

4. Термінальний сервер (Terminal server);

5. Сервер віддаленого доступу/віртуальних приватних мереж (Remote access/VPN server);

6. Контролер домену (Domain controller);

7. Сервер DNS (DNS server);

8. DHCP сервер (DHCP server);

9. Потоковий мультимедіа-сервер (Streaming media server);

10. WINS сервер (WINS server).

Кроки по налаштуванню сервера для виконання будь-якої ролі достатньо прості. Потрібно відмітити опцію Add or Remove, а Role у вікні Mange Your Server для запуску майстра Configure Your Server Wizard.

Рисунок 2.2 Інформаційне вікно майстра керування ролями Windows 2003

Майстер установки перевірить доступні і дозволені мережеві з'єднання і виведе вікно Server Role (роль сервера).

Рисунок 2.3 Перевірка доступних мережевих з’єднань

0. вікні наведеному нижче є можливість призначити серверу одну або декілька ролей. Для того, щоб встановити другу або третю роль для сервера необхідно буде запустити майстер Configure Your Server Wizard ще раз, оскільки одночасно можна призначати тільки одну роль.

Рисунок 2.4 Вибір ролі для сервера

Після вибору ролі та натискання кнопки «Next» запускається майстер встановлення Active Directory, який складається з наступних етапів:

1. Привітальне вікно майстра встановлення доменного контролера Active Directory. Для переходу до наступного етапу натискаємо кнопку «Next».

Рисунок 2.5 Майстер встановлення Active Directory

2. В даному вікні пропонується створити новий доменний контролер для нового домену Active Directory або додатковий доменний контролер у існуючий домен.

Рисунок 2.6 Створення нового домену Active Directory

3. На даному етапі пропонується створення нового лісу Active Directory, додатковий домен в існуючому лісі або дерево доменів в існуючому лісі.

Рисунок 2.7 Створення нового лісу Active Directory

4. Вказання повного імені для домену.

Рисунок 2.8 Вказання імені домену Active Directory

5. На даному етапі вказуємо шляхи розміщення бази даних доменного контролера та місце розташування журналу транзакцій. Після цього додатково буде запропоновано вказати місце розташування системного тому SYSVOL.

Рисунок 2.9 Розміщення бази даних доменного контролера Active Directory та журналу транзакцій

Рисунок 2.10 Розміщення системного тому SYSVOL

6. Після виконання всіх вище описаних дій майстер проведе діагностику сервера доменних імен на коректність налаштування.

Рисунок 2.11 Вивід результатів діагностики правильності конфігурування сервера DNS

7. Вказання паролю для відновлення доменного контролеру Active Directory в разі порушення його роботи.

Рисунок 2.12 Вказання паролю відновлення Active Directory

8. Інсталювання контролера домену для організації Укрпромбанк.

9. 

Рисунок 2.13 Ілюстрація процесу створення Active Directory

Рисунок 2.14 Завершення процесу створення Active Directory

Після встановлення доменного контролера потрібно додати необхідні групи користувачів та облікові записи користувачів, що використовуватимуться.

Рисунок 2.15 Перелік груп користувачів та облікових записів присутніх в Active Directory за замовчуванням

Для створення нового облікового запису необхідно скористатися піктограмою . У вікні, що відкрилося, потрібно вказати наступні дані:

0. Ім’я користувача;

1. Прізвище користувача;

2. Логін;

3. Пароль.

Рисунок 2.16 Створення нового облікового запису

Рисунок 2.17 Вказання паролю та його властивостей

Рисунок 2.18 Перегляд створеного облікового запису

Крім створення облікових записів потрібно також створити групи, куди вони будуть входити. Це полегшить

процес адміністрування облікових записів. Для створення групи потрібно скористатися піктограмою

Рисунок 2.19 Вікно створення нової групи.

Налаштування сервера DNS Windows 2003 server

.

П еред конфігуруванням служби DNS, яка відіграє ключову роль у правильному функціонуванні основних служб та серівсів windows 2003 server. Система DNS (Domain Name Service) є ахілесовою п’ятою структури Active Directory. Оскільки мережеві комунікації в цілях доступності працюють з використанням відповідних імен, тому повинно здійснюватися перетворення імені в ІР та навпаки. Прямі запити перетворюють ім’я в ІР-адресу, а зворотні ІР-адресу в ім’я.

Рисунок 2.20 Приклад виконання зворонього запиту до DNS.

Службу DNS можна встановити тільки як компонент серверної операційної системи. Її установка здійснюється по наступному сценарію:

1. Реєструємося на сервері під обліковим записом administrator.

2. Виконуємо команду «Start» -> «Control Panel» -> «Add or Remove Programs». Вибираємо дію

«Add/Remove Windows Components».

3. У вікні «Windows Components Wizard» вибираємо «Networking Services» і натискаємо кнопку

« Details».

Рисунок 2.21 Майстер встановлення серверних додатків Windows 2003

4. У вікні «Network Services» встановлюємо прапорець навпроти служби «Domain Name Services

(DNS)» і натискаємо «ОК».

Рисунок 2.22 Встановлення служби DNS

5. Натискаємо кнопку «Next» для встановлення вище описаної служби.

Встановлення служби DNS не потребує перезавантаження операційної системи. Після встановлення DNS її потрібно налаштувати. Простір доменних імен (інформація про відповідність імен вузлів їх ІР адресам) організований ієрархічно в так звані зони. Інколи замість вислову зона вживають вислів домен. Хоча така взаємозамінність не є коректною. Зона може включати простір декількох доменів.

1. Виконуємо команду «Start» -> «Control Panel» -> «Administrative tools» і вибираємо службу DNS.

Відкриється вікно консолі з іменем сервера.

2. В лівій частині вікна потрібно розвернути об’єкт сервера, натиснути правою кнопкою миші на пункті

«Forward Lookup Zones» і вибрати із контекстного меню «New Zone». Запускається майстер створення нової зони. На першому кроці потрібно натиснути «Next».

Рисунок 2.23 Вікно Zone type

3. В діалоговому вікні «Zone Type» встановлюємо прапорець «Primary zone» і натискаємо «Next».

4. В полі «Zone name» вводимо ім’я зони ukrprombank.local. Після цього натискаємо «Next».

Рисунок 2.24 Вказання імені зони

5. В діалоговому вікні «Zone File» встановлюємо прапорець «Create new file» і вводимо ім’я файлу:

ukrprombank.local.dns. Натискаємо кнопку «Next».

Рисунок 2.25 Вказання імені файла зони

6. В вікні «Dynamic Update» встановлюємо прапорець «Allow both nonsecure and secure dynamic

updates».

Рисунок 2.26 Дозвіл динамічного обновлення зони

Рисунок 2.27 Завершення створення нової зони ukrprombank.local

Останнім кроком налаштування DNS є повідомлення всіх наявних ПК мережі використовувати сервер DNS і створену зону. Також потрібно проінформувати і сам сервер.

Налаштування DNS на сервері складається з наступних кроків:

1. В головному меню вибрати «Control Panel» -> «Network Connection», а потім правою кнопкою миші

натиснути на пункті «Local Area Connection» вибрати «Properties».

2. Встановити ІР-адресу DNS сервера.

3. 

Рисунок 2.28 Налаштування стеку протоколів TCP/IP сервера AD

3. В діалоговому вікні «System Properties» відкриваємо вкладку «Computer Name» і натискаємо кнопку

«Change».

4. В діалоговому вікні зміни імені сервера натискаємо кнопку «More» та вводимо ім’я зони ukrprombank.local.

Рисунок 2.29 Встановлення DNS-суфікса

5. При правильному виконанні вище описаних дій у вікні «Computer Name» повинно бути наведено повне ім’я

сервера в зоні ukrprombank.local.

Рисунок 2.30 Зміна імені та встановлення DNS-суфіксу сервера.

6. Після перезавантаження ПК відкриваємо консоль DNS і в лівій частині вікна вибираємо зону

ukrprombank.local. У правій частині вікна повинен з’явитися об’єкт А (хост) сервера AD.

Рисунок 2.31 Консоль DNS

Налаштування DNS на робочих станціях.

Для налаштування DNS на робочих станціях необхідно в стеку TCP/IP вказати ІР-адресу сервера та суфікса аналогічно вище описаній послідовності.

Для перевірки коректності функціонування DNS сервера потрібно виконати команду ping.

Рисунок 2.32 Тестування DNS сервера