Размещено на http://www.allbest.ru/
СОДЕРЖАНИЕ
1. Установка и настройка контроллера домена
1.1 Терминология Active Directory
1.2 Установка служб AD (Active Directory)
1.3 Настройка контроллера домена
2. Domain Name System (DNS)
2.1 Для чего он нужен DNS.
2.2 Структура DNS зон
2.3 Типы записей DNS и их создание.
2.3.1 Создание записи типа “SRV”
2.3.2 Создание записи типа “А” или “AAAA”
3. Установка и настройка RMS (Служба управления правами)
3.1 Требования для установки RMS
3.2 Установка Net framework 3.5 SP1
3.3 Создание пользователя для службы RMS
3.4 Установка RMS (Служба управления правами)
3.5 Действия на клиенте
4. Установка и настройка WDS (Windows Deployment Services)
4.1 Что такое WDS ?
4.2 Компоненты WDS
4.3 Установка WDS
4.4 Настройка службы WDS
4.5 Добавление образов в WDS
5/ Установка и настройка WSUS (Windows Server Update Services)
5.1 Установка Report Viewer
5.2 Установка WSUS.
5.3 Конфигурирование WSUS 3.0 SP2
5.4 Настройка объектов GPO на контроллере домена для WSUS
5.5 Поиск и одобрение обновлений WSUS
5.6 Действия, которые необходимо выполнить на клиенте.
5.7 Создание отчета об обновлениях установленных на клиенте
6. Установка LINUX (Ubuntu, Cent OS, Open BSD) по сети
6.1 Как это работает?
6.2 Требования
6.3 Установка tftpd32 v3.50
6.4 Настройка tftpd32 v3.50
6.5 Установка Ubuntu
6.6 Создание образа загрузочной дискеты
6.7 Действия на клиенте
7. Создание файлов ответов.
7.1 Требования для создания файлов ответов.
7.1.1 Установка Windows SIM
7.2 Примеры файлов ответов для одного образа Windows 7
7.2.1 Пример файла ответов UNATTEND.xml
7.2.2 Пример файла ответов IMAGE UNATTEND.xml
7.3 Описание файлов ответов UNATTEND.xml и IMAGE UNATTEND.xml
7.3.1 Описание тегов xml для файла ответов UNATTEND.xml
7.3.2 Описание тегов xml для файла ответов IMAGE UNATTEND.xml
7.4 Файлы ответов на WDS-сервере
7.5 Модификация PXE загрузчика
7.6 Пример установки образа ОС с файлами ответов.
7.7 Описание образов WDS
8. Установка и настройка KMS (Key Management Service)
8.1 Что такое KMS ?
8.2 Корпоративные ключи KMS и MAK
8.3 Схема работы KMS
8.4 Требования использования службы KMS в локальной
8.5 Действия необходимые для настройки KMS сервера.
8.6 Настройки KMS-сервера
9. Миграция параметров USMT (User State Migration Tool). (winXP и win 7).
9.1 Требования
9.2 Миграция файлов параметров из Windows XP в Windows 7
9.3 Проверка миграции файлов.
ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ
AD – Active Directory «Активные директории», AD — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.
ASP (Active Server Pages) — предшествовавшая ASP.NET технология создания динамических веб-страниц на основе сценариев. Входит в поставку IIS начиная с версии 3.0. Первая технология компании Microsoft, позволяющая динамически создавать веб-страницы на сторонесервера. ASP работает на операционных системах линейки Windows NT и на веб-сервере Microsoft IIS.
ASP.NET — разработанная Microsoft технология; для IIS это — основное на сегодняшний день средство создания веб-приложений и веб-служб. IIS 6.0 поставляется вместе с операционными системами, в которые также изначально входит .NET Framework, так что поддержка ASP.NET как будто уже встроена в IIS 6.0; для более ранних версий необходимо отдельно загрузить и установить .NET Framework.
BDC - резервный контроллер домена
CGI (Common Gateway Interface)— стандартная межплатформенная низкоуровневая технология создания динамических веб-страниц. Стандарт интерфейса, используемого для связи внешней программы с веб-сервером. Программу, которая работает по такому интерфейсу совместно с веб-сервером, принято называть шлюзом, хотя многие предпочитают названия «скрипт» (сценарий) или «CGI-программа».
Checkbox – Галочка .
DFSN – ( Default-First-Site-Name ) - Имя сайта по умолчанию.
DNS (Domain Name System) — система доменных имён— компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись). Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения — другой организации или человеку), что позволяет возложить ответственность за актуальность информации на серверы различных организаций (людей), отвечающих только за «свою» часть доменного имени.
FastCGI — клиент-серверный протокол взаимодействия веб-сервера и приложения.
FQDN (Fully Qualified Domain Name) – «полностью определённое имя домена», иногда сокращается до «полное имя домена») — имя домена, не имеющее неоднозначностей в определении. Включает в себя имена всех родительских доменов иерархии DNS
FTP (File Transfer Protocol) – стандартный протокол, предназначенный для передачи файлов по TCP-сетям (например, Интернет). FTP часто используется для загрузки сетевых страниц и других документов с частного устройства разработки на открытые сервера хостинга.
HTTP (HyperText Transfer Prоtocоl) - протокол прикладного уровня передачи данных (изначально — в виде гипертекстовых документов). Основой HTTP является технология «клиент-сервер», то есть предполагается существование потребителей (клиентов), которые инициируют соединение и посылают запрос, и поставщиков (серверов), которые ожидают соединения для получения запроса, производят необходимые действия и возвращают обратно сообщение с результатом. HTTP в настоящее время повсеместно используется во Всемирной паутине для получения информации с веб-сайтов.
HTTPS (Hypertext Transfer Protocol Secure) – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTPS, «упаковываются» в криптографический протокол SSL или TLS, тем самым обеспечивается защита этих данных. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443.
IIS (Internet Information Services) -проприетарный набор серверов для нескольких служб Интернета от компании Майкрософт. IIS распространяется с операционными системами семейства Windows NT.
IMAGE UNATTEND.xml - конфигурирование системы после заливки образа, этот так называемая стадия OOBE (Out-Of-Box-Experience).
IP (Internet Protocol) – межcетевой протокол. Относится к маршрутизируемым протоколам сетевого уровня семейства TCP/IP. Именно IP стал тем протоколом, который объединил отдельные подсети во всемирную сеть Интернет.
ISAPI (Internet Server Application Programming Interface)— низкоуровневая технология, аналогичная интерфейсу модулей Apache, предоставляющая полный доступ ко всем возможностям IIS, возможность разработки веб-приложений в машинном коде и возможность переопределения части функций IIS и добавления к нему функций, как связанных с генерацией контента, так и не связанных с этим. Подсистема исполнения скриптов ASP и подсистема ASP.NET выполнены как модули ISAPI.
KKC (Knowledge Consistency Checker) – Проверки согласованности знаний является составной частью доменных служб Active Directory (AD DS), который отвечает за генерацию топологии репликации между контроллерами домена. Создание эффективной и отказоустойчивой топологии репликации является неотъемлемой частью достижения согласованности данных между контроллерами домена.
LDAP – (Lightweight Directory Access Protocol)-облегчённый протокол доступа к каталогам — протокол прикладного уровня для доступа к службе каталогов X.500. LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции авторизации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей. Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636 или LDAPS.
NNTP (Network News Transfer Protocol) - представляет собой сетевой протокол, распространения, запрашивания, размещения и получения групп новостей при взаимодействии между сервером групп новостей и клиентом.
OU – (Organizational Unit) Организационное подразделение в котором создаются объекты (группы, пользователи и т.д. )
PDC - первичный контроллер домена
RMS – (Rights Management Services) - технология защиты документов Microsoft Active Directory путем шифрования с применением ограничений доступа и лицензий доступа позволяющая сохранять ограничения даже после загрузки и открытия файла пользователем. Технология требует поддержки со стороны клиентского ПО применяемого для работы с документами, такую поддержку имеет Microsoft Office 2007 Enterprise, Professional Plus и Ultimate. AD RMS можно использовать параллельно с другими технологиями, например смарт-картами. Так же необходима поддержка со стороны клиентской ОС; в Windows 7, Windows Vista и Windows Server 2008 включён клиент AD RMS.
Служба FRS - использует контейнеры, объекты и атрибуты, которые хранятся в Active Directory и реплицируются между контроллерами определенного домена. Наиболее важное значение имеют объекты члена FRS и объекты подписчика FRS. К обязательным (в соответствии с определением класса схемы) и дополнительным атрибутам относят атрибуты Schedule, FRS-File-Filter, FRS-Folder-Filter и место расположения базы данных FRS. Определение схемы содержит определения контейнеров или место расположения объектов FRS. Дополнительные сведения см. в следующей статье базы знаний Майкрософт: [Ссылка 3]
Служба FRS поддерживает два типа наборов репликации: DFS и SYSVOL. Средство Dcpromo.exe косвенно создает контейнеры, объекты и атрибуты для наборов репликации SYSVOL. Оснастка DFS (Dfsgui.msc) создает объекты, когда включается репликация между двумя и более целями в корне или ссылке DFS, а также в случае добавления нового члена в набор репликации FRS.
RODC (Read-Only Domain Controllers) – Контроллеры домена только для чтения это новый тип контроллера доменов для Windows Server 2008. Благодаря функции RODC, организации могут с легкостью разворачивать контроллеры доменов в тех местах, где физически нельзя гарантировать безопасность. Основной задачей RODC является улучшение безопасности в офисах филиалов компании. В офисах филиалов компаний зачастую трудно обеспечить безопасность, необходимую для инфраструктуры IT, особенно для контроллеров доменов, содержащих незащищенные данные. Часто контроллеры доменов расположены под столами в офисах. Если кому-либо удается получить физический доступ к контроллеру, то ему не сложно будет манипулировать системой и получить доступ к данным. RODC решает эту проблему.
SID (Security Identifier) - Идентификатор безопасности — структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера (в Windows на базе технологии NT (NT4, 2000, XP, 2003, Vista). SID ставится в соответствие каждой учетной записи в момент её создания. Система оперирует с SID'ами учетных записей, а не их именами. В контроле доступа пользователей к защищаемым объектам (файлам, ключам реестра и т.п.) участвуют также только SID'ы.
SMTP (Simple Mail Transfer Protocol) - это широко используемый сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP.
SMTP впервые был описан в RFC 821 (1982 год); последнее обновление в RFC 5321 (2008) включает масштабируемое расширение — ESMTP (англ. Extended SMTP). В настоящее время под «протоколом SMTP», как правило, подразумевают и его расширения. Протокол SMTP предназначен для передачи исходящей почты, используя для этого порт TCP 25.
SSI (Server Side Includes) — включение в одни страницы текста из других страниц. Строго говоря, веб-приложением не является, поскольку IIS поддерживает лишь ограниченный набор возможностей и без того мало функционального SSI. В частности, IIS5 поддерживает только статическое включение и игнорирует команды условного ветвления.
SYSVOL – папка, в которой хранится серверная копия общих файлов домена, которые должны быть общими для общего доступа и репликации во всем домене.
TCP – Transmission Control Protocol (протокол управления передачей) — один из основных сетевых протоколов Интернета, предназначенный для управления передачей данных в сетях и подсетях TCP/IP.
UDP – User Datagram Protocol — протокол пользовательских датаграмм) — один из ключевых элементов Internet Protocol Suite (более известного как TCP/IP), набора сетевых протоколов для Интернета. С UDP, компьютерные приложения могут посылать сообщения (в данном случае называемые дата граммами) другим хостам по IP-сети без необходимости предварительного сообщения для установки специальных каналов передачи или путей данных. Протокол был разработан Дэвидом П. Ридом в 1980 году. RFC 768.
UNATTEND.xml - Это файл ответов для начальной стадии установки (разбивка диска, подключение к WDS, Выбор образа системы)
X.500 – Служба каталогов. [Ссылка 4]
База AD — представляет собой древовидную структуру каталогов в которых хранятся объекты. Каталоги имеют название Organizational Unit или организационное подразделение OU .
Домен - Это логическое объединение объектов, имеющих одну общую базу службы каталогов, возможно размещенную на нескольких (компьютерах) контроллерах.
За́пись MX ( Mail Exchanger) — это один из типов записей в DNS, указывающий способ маршрутизации электронной почты. MX-записи для данного домена указывают серверы, на которые нужно отправлять электронную почту, предназначенную для адресов в данном домене. Кроме того, MX-записи указывают приоритет каждого из возможных серверов для отправки.
Имя хоста, указанного в записи MX, должно содержать IP-адрес, определённый с помощью записи IN A. Псевдонимы IN CNAME не могут иметь своих MX-записей.
Лес – это термин, применяемый для описания совокупности Active Directory деревьев. Каждое дерево в лесу имеет собственное отдельное пространство имен.
Начиная с 2010 года, в систему DNS внедряются средства проверки целостности передаваемых данных, называемые DNS Security Extensions (DNSSEC). Передаваемые данные не шифруются, но их достоверность проверяется криптографическими способами.
Основным компонентом IIS является веб-сервер, который позволяет размещать в Интернете сайты. IIS поддерживает протоколы HTTP, HTTPS, FTP, POP3, SMTP, NNTP.
Служба каталогов - это база данных, хранящая все системные объекты предприятия и их атрибуты (Пользователи, Компьютеры, Группы, Принтеры, Разделяемые папки (Шары) ,Групповые политики) и набор сервисов, предоставляющих доступ к этой базе данных и обслуживание базы.
Чтобы отправить электронную почту на определённый адрес, сервер-отправитель делает DNS-запрос, запрашивая MX-запись домена получателя электронного сообщения (то есть части адреса после символа «@»). В результате запроса возвращается список хостов почтовых, принимающих входящую почту для данного домена, а также величину приоритета для каждого из хостов. Сервер-отправитель затем пытается установить SMTP-соединение с одним из этих хостов, начиная с того, у кого значение величины приоритета наименьшее, перебирая каждый из них, пока не удастся установить соединение хотя бы с одним из них. Если же имеется несколько хостов с одинаковыми приоритетами, то должны быть предприняты попытки установить соединение с каждым из них.
ВВЕДЕНИЕ
Тема: Установка и настройка службы Active Directory
Объем работы: 113 стр.
Цель работы: Настроить программное обеспечение предприятия, которое позволит: централизованно хранить базу пользователей (AD) с отказоустойчивостью, предотвратить несанкционированное обращение к электронной информации (RMS), обеспечить обновление операционных систем и программного обеспечения (WSUS),обеспечить сетевую установку операционных систем. (WDS),автоматизировать установку операционных систем (файлы ответов),обеспечить автоматическую активацию ОС (KMS), перенести данные и параметры пользователей на Windows 7 (USMT).
Рекомендации по использованию: Рекомендую использовать данное программное обеспечение, на предприятиях или сетей с большим количеством компьютеров и пользователей.
1. УСТАНОВКА И НАСТРОЙКА КОНТРОЛЛЕРА ДОМЕНА ACTIVE DIRECTORY
Контроллер домена в компьютерных сетях - сервер, контролирующий область компьютерной сети (домен).
Существует два типа контроллера домена:
первичный контроллер домена (PDC)
резервный контроллер домена (BDC)
Контроллеры домена, работающие под управлением Windows Server 2003-2008, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory.
1.1 Терминология Active Directory
Контроллер домена - это сервер на котором располагается, база службы каталогов домена, а так же запущенные службы позволяющие получить доступ к этой базе. Для доступа к базе используется протокол LDAP и LDAPS. Контроллеров домена отвечающих за один и тот же домен может быть несколько, в этом случае между ними выполняется репликация базы данных.
В состав AD входит 5 служб:
AD DS (Active Directory Directory Services) – Службы с помощью которой организована работа базы данных.
AD CS (Active Directory Certification Services) – Отвечает за выфдачу сертификатов.
AD LDS (Active Directory Lightweight Directory Services) – Обеспечивает работу дополнительных экземпляров баз данных служб каталогов. Это необходимо для работы некоторых приложений.
AD RMS (Active Directory Rights Management Services) – Службы управления правами пользователей.
AD FS (Active Directory Federations Services) – Позволяет настроить доверительные отношения, между двумя организациями.
Структура базы LDAP
Рисунок 1.1 - Структура базы LDAP
LDAP - протокол прикладного уровня для доступа к службе каталогов X.500
LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции авторизации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей. Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP- сеансов, инкапсулированных в SSL, обычно используется порт LDAPS -636.
Рисунок 1.2 - Пример базы LDAP на основе нашего проекта .
1.2 Установка служб ad (Active Directory)
1
)
ПУСК Выполнить “dcpromo“
2) Далее выполняется проверка данных необходимых для установки AD (Active Directory).
3) Далее запустится мастер AD (Active Directory). Так же можно использовать расширенный режим установки [Приложение А]
4) Далее (информация о совместимости операционных систем).
5) Далее (необходимо выбрать конфигурацию развертывания существующего или нового леса).
Т.к. это первый контроллер мы выбираем “Создать новый домен в новом лесу” и нажимаем далее .
Подчиненный контроллер домена необходимо включить в существующий лес.
6) Теперь нам необходимо ввести полное доменное имя так называемое FQDN (Fully Qualified Domain Name) , для нового домена леса.
Мы вводим имя нашего домена, а именно ( jdsons.com )
7) Далее мастер проверит введенное имя на уникальность .
8) После этого мастер предложит нам выбрать режим работы леса.
Т.к. В нашей сети помимо Windows 2008 server будут ещё использоваться Windows 2003 server, мы выбираем вариант (для установки доверительных отношений, репликации данных, создания сложных топологий репликации).
В режиме работы леса Windows Server 2003 доступны все возможности режима Windows 2000, а также ряд дополнительных:
- Репликация связанного значения, улучшающая репликацию изменений на членов групп.
- Более эффективное создание сложных топологий репликации с помощью KCC.
- Доверие леса, что предоставляет организациям удобство общего пользования внутренними ресурсами в нескольких лесах.
Все новые домены, созданные в этом лесу, будут автоматически функционировать в режиме работы домена Windows Server 2003.
9) Далее выбираем режим работы домена, т.к. в нашей сети используются и 2003 и 2008 сервера.
В основном режиме работы домена Windows Server 2003 доступны следующие возможности:
- универсальные группы
- вложение групп
- преобразование типа группы
- журнал SID
- Ограниченное делегирование, позволяющее приложению воспользоваться преимуществом безопасного делегирования пользовательских учетных данных с помощью протокола проверки подлинности Kerberos.
- Обновления LastLogonTimestamp: Атрибут lastLogonTimestamp обновляется до времени последнего входа пользователя или компьютера и реплицируется по всему домену.
- Возможность задать атрибут userPassword в качестве эффективного пароля для inetOrgPerson и пользовательских объектов.
- Возможность перенаправлять контейнеры "Пользователи" и "Компьютеры" для определения новых известных расположений учетных записей пользователей и компьютеров.
10) Далее устанавливаем дополнительные параметры контроллера домена.
Т.к. это первый контроллер домена он должен быть сервером глобального каталога и не может быть RODC .
Первый контроллер домена в лесу должен быть сервером глобального каталога и не может быть RODC.
Рекомендуется установить службу DNS-сервера на первый контроллер домена.
11) Далее выбираем где будит хранится База Данных и Файлы журнала и папка SYSVOL - папка, в которой хранится серверная копия общих файлов домена, которые должны быть общими для общего доступа и репликации во всем домене. Папка Sysvol на контроллере домена содержит следующие элементы:
1 NET Logon являются общими. Обычно эти размещения объектов политики для сетевых компьютеров-клиентов и сценариев входа в систему.
2 Сценарии входа пользователей для доменов, где администратор использует Active Directory-пользователи и компьютеры.
3 Групповой политики Windows.
4 Соединения файловой системы.
Служба репликации файлов (FRS) промежуточной папки и файлы, которые должны быть доступны и синхронизированных между контроллерами домена.
12) Далее устанавливаем пароль администратора для восстановления служб каталогов в случае сбоя.
13) Просмотр выбранных параметров.
Сделать данный сервер первым контроллером домена Active Directory в новом лесу.
Имя нового домена jdsons.com. Это имя является также именем нового леса.
NetBIOS-имя этого домена JDSONS.
Режим работы леса: Windows Server 2003
Режим работы домена: Windows Server 2003
Сайт: Default-First-Site-Name
Дополнительные параметры:
Контроллер домена только для чтения: Нет
Глобальный каталог: Да
DNS-сервер: Да
Создать DNS-делегирование: Нет
Папка базы данных: C:\Windows\NTDS
Папка файлов журнала: C:\Windows\NTDS
Папка SYSVOL: C:\Windows\SYSVOL
Служба DNS-сервера будет установлена на этом компьютере.
Служба DNS-сервера будет настроена на этом компьютере.
Данный DNS-сервер будет основным DNS-сервером для этого компьютера.
Пароль администратора нового домена будет таким же, как и пароль локального администратора этого компьютера.
14) Далее мастер доменных служб выполняет настройку доменных служб AD согласно выбранным параметрам. По желанию можно перезагрузить систему автоматически.
15) Мастер завершает работу нужно нажать “Готово”.
\1.3 Настройка контроллера домена
Настройка контроллера домена выполнялась мастером, нам лишь остается создать необходимые подразделения (OU), необходимых пользователей определить для них права и разрешения, а также включить их в соответствующие группы.
1) Создание подразделения
2) Создание группы пользователей (группы необходимы для удобства распределения и поиска необходимых пользователей, а так же для назначения групповых политик).
3) Создание пользователей
Заполнение данных (Имя, Фамилия, login - имя пользователя для входа в систему)
Далее необходимо задать пароль (в нашем случае, согласно политикам, это должен быть сложный пароль) На предприятии необходимо дать пользователю возможность самостоятельно назначить себе пароль для этого необходимо, установить checkbox “Требовать смену пароля при следующем входе в систему”. Пароль пользователя должен знать только сам пользователь !
В дополнительных свойствах пользователя необходимо назначить, адрес электронной почты, (это необходимо для обмена почтовыми сообщениями, а так же для службы управления правами RMS).
2. DNS (Domain Name System)
DNS (Domain Name System — система доменных имён) — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись). DNS – подменяет имя на IP адрес.