Установка nat
Для того чтобы выступать в роли маршрутизатора, на сервере должно быть 2 сетевых интерфейса. Интернет и сама сеть, которую необходимо пускать в Интернет. У меня сетевые подключения называются LAN_1 (Internet) и LAN_2 (локальная сеть).
Сразу скажу, что служба Брандмауэр Windows/Общий доступ к Интернету (ICS) должна быть отключена.
Итак, приступим к установке:
Пуск – Программы – Администрирование – Маршрутизация и удаленный доступ (Routing and Remote Access). В контекстном меню выбираем пункт Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access)
Появляется
Мастер настройки сервера маршрутизации
и удаленного доступа. Этот мастер
позволяет вам выбрать различные
конфигурации для Routing and Remote Access (RRAS).
RRAS может быть настроен как вы захотите,
но Microsoft включил несколько шаблонов,
чтобы сделать процесс настройки для
основных типов установки проще. Но мы
выберем Особая конфигурация (Custom
configuration)
Выбираем
NAT и основной брандмауэр и Маршрутизация
ЛВС (NAT and basic firewall и LAN routing)
В
конце нажимаем Готово (Finish) на вопрос
Хотите запустить службу? (Do
you want to start the service?) Нажимаем
Да
(Yes)
Далее
переходим к пункту меню NAT/Простой
брандмауэр (NAT/Basic Firewall). Для работы NAT
необходимо добавить публичный
(подключенный к Интернет) и приватный
(локальный) интерфейс. В контекстном
меню выбираем Новый интерфейс (New
Interface)
В
списке интерфейсов выбираем интерфейс,
подключенный к Интернету в нашем случае
это LAN_1
В
появившимся окне, выбираем пункт Общий
интерфейс подключен к Интернету (Public
interface connected to the Internet) и ставим галочку
Включить NAT на данном интерфейсе (Enable
NAT on this interface)
Снова
идем к пункту меню NAT/Простой брандмауэр
(NAT/Basic Firewall), в контекстном меню выберите
Новый интерфейс (New Interface). В появившимся
окне выберите интерфейс локальной или
публичной сети
Оставляем
это окно без изменений (по умолчанию
выбрано Частный интерфейс подключен к
частной сети (Private interface connected to private
network)).
Нажимаем OK.
Настройка nat
Итак, сетевые интерфейсы мы установили, теперь настроим их. Первым делом давайте настроим Внешний интерфейс (LAN_1): Нам необходимо настроить IP адреса и маску. Переходим к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Выбираем контекстное меню LAN_1, идем в Свойства (Prefences). Появится окно с вкладками, выбираем Пул адресов (Address Pool). Далее нужно добавить внешний IP-адрес и маску.
Закончили составлять список. Далее необходимо зарезервировать IP-адрес (мы зарезервируем один IP). Во вкладке (Address Pool) нажимаем на кнопку Зарезервировать
192.168.0.2
– IP-адрес
пользователя, который будет выходить
в сеть через наш сервер
10.7.40.154 – внешний IP-адрес сервера Выходя в Интернет по такой технологии вы будете иметь IP-адрес 10.7.40.154. Есть различные пути настройки, можно каждой машине отдельно резервировать адреса. В резервации можно указывать не один диапазон адресов или не указывать вовсе, тогда любой IP в локальной сети сможет сидеть в Интернете через сервер.
Настраиваем клиентскую машину
Заходим в Свойства локальной сетевой карты, далее Свойства TCP/IP. Прописываем IP клиента, маску, в Основной шлюз (Default gateway) прописываем IP адрес сервера. В полях DNS необходимо прописать IP адреса DNS провайдера или IP адреса установленного локального DNS сервера.
Установка asminpak.msi
На сегодняшний день наиболее полезная коллекция утилит присутствует в Resource Kit for Windows Servers, который поставляется Microsoft. Однако его необходимо брать отдельно. На Windows CD присутствует административный пакет, который можно быстро установить, запустив команду "asminpak.msi". Он расширяет доступные опции для администрирования.
Установка DHCP-сервера
Как только сервер сможет разрешать имена и IP-адреса, а также будет работать в режиме Active Directory, остаётся установить только сервер DHCP (Dynamic Host Configuration Protocol). По умолчанию каждый компьютер Windows ищет в сети подобный сервер, чтобы получить свой IP-адрес, адрес шлюза и другие сетевые параметры.
После
установки службы в пункте [Control Panel] -
[Software] - [Windows Components] - [Network Services] его
необходимо настроить. Нам нужно ввести
диапазон раздаваемых IP-адресов (см.
скриншот выше).
В свою очередь, из диапазона можно убрать какие-либо адреса, если они уже заняты.
Аренда IP-адреса указывает на время, в течение которого IP-адрес остаётся за компьютером. Если сеть у вас меняется редко, то аренду можно продлить до месяца, а в сетях с частой сменой компьютеров её лучше сократить до нескольких дней.
Добавление адреса шлюза очень важно для пользователей. В небольших сетях шлюзом, как правило, выступает DSL-маршрутизатор.
Немаловажно указать доменное имя, а также адрес DNS-сервера. Если DNS-серверов несколько, то можно указать их все. Для надёжности мы добавили IP-адрес DLS-маршрутизатора, чтобы пользователи смогли выходить в Интернет даже в случае краха (или перезагрузки) сервера.
Если вы не установили сервер WINS, то оставьте эту страницу пустой. Иначе выполните то же самое, что и для настроек DNS.
После успешной настройки диапазона адресов (scope) сервер DHCP необходимо авторизовать, чтобы он смог работать в Active Directory. Нажмите правой клавишей мыши и сделайте правильный выбор. Вся процедура займёт полминуты.
Всё готово - DHCP работает! Однако убедитесь, что раздачей адресов в сети занимается именно ваш DHCP-сервер. Часто DSL-маршрутизаторы тоже выполняют подобные функции, которые, конечно же, следует отключить.
Настройка VPN сервера в Windows 2003
VPN PPTP-сервер для защищенного подключения клиентов может быть настроен только на серверных версиях Windows 2000/2003. Он настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS (Маршрутизация и удаленный доступ). Эта справка предназначена для опытных пользователей.
Создание VPN сервера
1. Откройте службу "Маршрутизация и удаленный доступ" и зайдите в свойства сервера.
2.
Выставите параметр "локальной
сети
и вызова по требованию", а также
"сервер удаленного доступа"
3. Зайдите во вкладку "IP", выберите название внутреннего адаптера и создайте статический пул адресов отличного от внутреннего который будет присваиваться VPN клиентам.
4.
Далее во вкладке "PPP" снимите галку
с "Многоканальные подключения"-это
ускорит работу Интернета.
5. Во вкладке "Журнал событий" выставите параметр "вести журнал всех событий"
Конфигурация
портов
1. Зайдите в свойства "Порты". По умолчанию RRAS создаст 5 "PPTP" , 5 "L2TP" и 1 "Прямой параллельный". Для стабильной работы сервера рекомендуется удалить ненужные порты (прямой параллельный, L2TP, и.т.д.) и создать необходимое количество портов, их должно быть больше чем одновременных подключений.
2. Удаляем порты WAN(L2TP)
3. Выставите необходимое число PPTP портов (число портов должно быть больше чем планируемых одновременных подключений)
4.
В итоге у Вас появится следующее окно
Конфигурируем NAT
1. Зайдите в "IP-маршрутизация" / "NAT-преобразование сетевых адресов". Если Вы собираетесь предоставлять доступ только по VPN соединению тогда удалите внутренний интерфейс, если нет тогда оставьте. Если вы используете Windows 2003 вам необходимо отключить basic firewall. Ее использование при наличии Traffic Inspector может привести к конфликтам. Для этого зайдите в свойства внешнего подключения и отключите.
Далее вам надо добавить RAS интерфейс для этого в командной строке наберите "netsh routing ip nat add interface Внутренний (в английской версии windows "internal") private" см.рис. Кроме того очень полезно запретить привязку NetBios к интерфейсу Внутренний (internal), если он активен (см. выше). Это важно, если используется RAS-сервер для подключения диалапных клиентов (модемы или VPN) и поможет избавится от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка этой службы. Появление IP- адреса интерфейса Внутренний (internal) в этих регистрациях может привести к проблемам. Для этого редактором реестра в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessParametersIp добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу надо перезапустить.
3.
Автоматически появится RAS интерфейс
Создание
клиентов
Зайдите в "Управление компьютером", далее в "Локальные пользователи и группы", "Пользователи"
2. Создайте пользователя, имена пользователей должны совпадать с именами клиентов заведенных в ТИ, далее зайдите во вкладку "Входящие звонки".
Настройка
VPN соединения
1. В группе "Политика удаленного доступа" зайдите в свойства "Разрешить доступ, если разрешены входящие подключения"
2.
Нажмите на кнопку "Изменить профиль..."
3.
Зайдите во вкладку "Проверка
подлинности"
4.
Оставьте два параметра проверки
подлинности MS-CHAP для ОС Windows и CHAP для
других ОС.
5.
Далее зайдите на вкладку "Шифрование",
выберите параметры шифрования. Все
произведенные настройки должны быть
идентичны, при настройке VPN соединения
у клиентов.
Перезапустите
сервер.
Удалённое управление через терминал
Хорошая иллюстрация: удалённый доступ к компьютеру. Даже при соединении ISDN скорость подобного подключения будет вполне достаточной.
В Windows 2000 следует установить службы терминала, в то время как у Windows Server 2003 они уже работают по умолчанию. Без дополнительной лицензии службы обеспечивают доступ, максимум, двум пользователям.
Администратор может подключаться к рабочему столу в любое время, а других пользователей необходимо добавить, нажав клавишу "Select Remote Users" в закладке Remote окна System Properties.
Необходимое программное обеспечение для подключения к удалённому рабочему столу уже присутствует в Windows XP или Server 2003. Просто перейдите в меню [Start] - [Programs] - [Accessories] - [Communications], где вы обнаружите Remote Desktop Connection.
Для выбора компьютера, к которому вы желаете подключиться, достаточно знать его IP-адрес или имя.
Производительность Remote Desktop Connection можно регулировать, изменяя опции.
Создаём пользователей и группы
Пользователей можно создавать через пункт меню [Start] - [Programs] - [Active Directory Users and Computers]. Убедитесь, что вы также добавили права на dial-in для VPN или терминальных служб (или не добавили), а также вписали пользователей в нужные группы.
Для лучшей организации разрешений мы рекомендуем с самого начала создавать группы. В идеальных условиях разрешения должны быть привязаны к группам, а не к отдельным пользователям. Конечно, исключением являются персональные папки.
Создаём общие каталоги
Администраторы всегда могут получить полный доступ к логическим дискам сервера Windows. Обратившись, к примеру, по имени \\testserver\c$ вы получите диск C. Для других же пользователей необходимо создать общие папки с разными разрешениями.
При нажатии правой клавишей на каталог откроется меню, в котором следует выбрать закладку [Sharing and security]. Здесь можно указать сетевое имя для папки. Если вы не хотите давать каких-либо прав на запись, то по умолчанию все пользователи будут иметь права на чтение. Но мы также хотим дать права и на запись.
Мы добавили пользователя Patrick и дали ему права на чтение и запись. Однако права, которые здесь прописываются, относятся только к уровню сетевого каталога. Необходимо прописать права на уровне файловой системы, что осуществляется в том же окне, в закладке [Security].
Доступ к ресурсам сервера
Самый лёгкий способ доступа к общему каталогу осуществляется через имя ресурса \\testserver\source (в нашем примере). Однако если ресурс будет использоваться часто, то неплохо будет привязать к нему имя диска.
Путь вводится как в Windows Explorer.
Готово! Первый сетевой диск успешно привязан к общему каталогу.
Подготовка к установке сервера Exchange 2003
До установки сервера Exchange 2003 должны быть выполнены несколько задач:
1. Необходимо убедиться в доступности сервера глобального каталога (GC). Если сервер Exchange устанавливается в домене с несколькими сайтами AD, то 2. необходимо удостоверится, что у него будет постоянный доступ к GC. Убедиться, что на сервере, на котором планируется развернуть Exchange, установлены все необходимые компоненты:
• .NET
Framework
• ASP.NET
• Internet Information Services
(IIS)
• World Wide Web Publishing Service
• Simple Mail
Transfer Protocol (SMTP) service
• Network News Transfer
Protocol (NNTP) service
Компоненты,
необходимые для установки Exchange
Так же рекомендуется установить Windows 2003 Support Tools с компакт диска Windows 2003 Server из папки support\tools. 3. Если у учётной записи, под которой планируется установка Exchange не достаточно прав для модификации схемы, то необходимо предварительно произвести расширение схемы AD под учётной записью, у которой имеются права модификации схемы AD. Для расширения схемы AD необходимо последовательно запустить установку Exchange с ключами /forestprep(расширение схемы леса AD) и domainprep (расширение схемы домена AD): setup.exe /forestprep необходимо запускать на Хозяине Схемы (Schema Master) setup.exe /domainprep
После выполнения подготовительных шагов можно переходить к установке сервера Exchange.