3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / 1 / 001-ЛБ-УСТАНОВКА ДОМЕННЫХ СЛУЖБ ACTIVE DIRECTORY

УСТАНОВКА ДОМЕННЫХ

СЛУЖБ ACTIVE DIRECTORY

Занятие №1

Учебные Вопросы:

1.Установка системы Windows Server

2.Выполнение послеустановочных задач настройки

3.Установка леса Windows Server

Практическая часть - представлена применительно к Windows Server 2008R2.

Особенности практической реализации для Windows Server 2012R2 (2016) приведены в Приложении 1.

Теоретическая часть – обобщенная. Попрошу с ней крепко разобраться!!!

УСТАНОВКА ДОМЕННЫХ СЛУЖБ ACTIVE DIRECTORY

Компонент Active Directory Domain Services (AD DS) и связанные с ним службы формируют основу корпоративных сетей Microsoft Windows. Они хранят данные о подлинности пользователей, компьютеров и служб, а, следовательно, их можно использовать для проверки подлинности пользователя или компьютера. Кроме того, указанные средства предоставляют пользователям и компьютерам механизм получения доступа к ресурсам предприятия.

Данное занятие посвящено созданию нового леса Active Directory с одним доменом на одном контроллере домена. В ее практических упражнениях представлен процесс создания домена UIB.com, который будет использоваться и в последующих лабораторных и практических занятиях.

Для выполнения упражнений данного занятия вам понадобятся следующие аппаратные и программные средства:

Компьютер, который должен соответствовать минимальным требованиям системы Windows Server 2008 - потребуется не менее 512 Мбайт памяти, 10 Гбайт свободного пространства на жестком диске и процессор х86 с минимальной тактовой частотой 1 ГГц или процессор х64 с минимальной тактовой частотой 1,4 ГГц.

Можно также использовать виртуальные машины, соответствующие тем же требованиям.

В учебных целях, в специализированной аудитории 308, будем пользоваться именно виртуальными машинами.

1. УСТАНОВКА ДОМЕННЫХ СЛУЖБ ACTIVE DIRECTORY

Доменные службы Active Directory (Active Directory Domain Services, AD DS)

обеспечивают идентификацию и доступ (Identity and Access, IDA) для корпоративных сетей. На этом занятии рассмотрим AD DS и другие роли Active Directory, поддерживаемые в системе Windows Server. Также обсудим Диспетчер сервера (Server Manager), с помощью которого можно конфигурировать роли сервера, а также усовершенствованный Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard). Здесь также описаны ключевые концепции IDA и Active Directory.

Изучив материал этого занятия, вы должны уметь:

1.Описать роль идентификации и доступа в корпоративной сети.

2.Понимать связь между службами Active Directory.

3.Конфигурировать контроллер домена с ролью Доменные службы Active Directory (AD DS) посредством интерфейса системы Windows.

1.1 СТРУКТУРА ACTIVE DIRECTORY, ИДЕНТИФИКАЦИЯ И ДОСТУП

Как известно, структура Active Directory обеспечивает идентификацию и доступ IDA для корпоративных сетей Windows. Решение IDA необходимо для поддержки безопасности корпоративных ресурсов, в том числе файлов, электронной почты, приложений и баз данных. Инфраструктура IDA должна выполнять следующие задачи.

1.Хранение информации о пользователях, группах, компьютерах и других объектах идентификации Объект идентификации (identity) — это представление сущности, выполняющей какие-то действия в корпоративной сети. Предположим, что пользователь открывает документы в общей папке на сервере. Они защищены разрешениями списка контроля доступа (Access Control List, ACL). Доступом к документам управляет подсистема безопасности сервера, который, сравнивая объект идентификации пользователя с объектами в списке ACL, предоставляет или запрещает пользователю доступ. Поскольку компьютеры, группы, службы и другие объекты тоже выполняют определенные действия в сети, они должны быть представлены объектами идентификации. Среди информации об объекте идентификации, которая хранится, есть свойства, уникальным образом идентифицирующие объект, например имя пользователя либо идентификатор безопасности (Security Identifier, SID), а также пароль объекта идентификации. Таким образом, хранилище объектов идентификации является одним из компонентов инфраструктуры IDA. В хранилище данных Active Directory, которое также называется каталогом, хранятся объекты идентификации. Самим хранилищем управляет контроллер домена — сервер, играющий роль AD DS.

2.Проверка подлинности объекта идентификации Сервер не предоставляет пользователю доступа к документу, пока не будет подтверждена подлинность объекта идентификации, представленного в запросе доступа. Чтобы подтвердить подлинность объекта, пользователь указывает секретную информацию, известную только ему и инфраструктуре IDA. Эти данные сравниваются с информацией в хранилище объектов идентификации во время процесса, который называется проверкой подлинности.

3.Управление доступом Инфраструктура IDA обеспечивает защиту конфиденциальных данных, например информации в документе. Доступ к конфиденциальным данным должен контролироваться в соответствии с политиками предприятия. Списки управления доступом ACL документа отражают политику безопасности, состоящую из разрешений, в которых для отдельных объектов идентификации указаны уровни доступа. В данном примере функции контроля доступа в инфраструктуре IDA выполняет подсистема безопасности на сервере.

4.Обеспечение данных аудита Предприятию может потребоваться отслеживать изменения и действия, выполняемые в инфраструктуре IDA, поэтому решение IDA должно обеспечить механизм управления аудитом.

Службы AD DS представляют не единственный компонент IDA, поддерживаемый в системе Windows Server. Начиная с версии Windows Server 2008 корпорация Microsoft

объединила множество ранее разделенных компонентов в интегрированную платформу IDA. Сама структура Active Directory теперь включает пять технологий, назначение которых очевидно из их названий (см. рис. 1.1). Эти технологии полностью реализуют идентификацию и доступ IDA.

Кратко рассмотрим указанные технологии.

1.Доменные службы Active Directory (Active Directory Domain Services) —

Идентификация. Описанные ранее доменные службы AD DS предоставляют центральный репозиторий для управления идентификацией в организации. Они проверяют подлинность

иавторизацию в сети, а также поддерживают управление объектами с помощью групповой политики. Кроме того, службы AD DS обеспечивают управление информацией и общим доступом к службам, помогая пользователям находить в каталоге различные компоненты: файловые серверы, принтеры, группы и других пользователей. По этой причине AD DS часто называют службой каталогов сетевой операционной системы. Службы AD DS представляют основную технологию Active Directory, поэтому они должны быть развернуты в каждой сети с операционной системой Windows Server.

2.Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services) - Приложения Роль AD LDS является, по сути, независимой версией службы Active Directory. Ее называют также Режимом приложений Active Directory (Active Directory Application Mode, ADAM). Она обеспечивает поддержку приложений каталогов. Компонент AD LDS фактически является поднабором AD DS, поскольку оба компонента основаны на одном коде ядра. Каталог AD LDS хранит и реплицирует только данные приложений. Его часто используют приложения, которым необходимо хранилище каталогов, но не требуется реплицировать информацию на все контроллеры доменов. Кроме того, службы AD LDS дают возможность развернуть настраиваемую схему для поддержки приложения без модификации схемы AD DS. Роль AD LDS облегченная. Она поддерживает множество хранилищ данных в одной системе, чтобы каждое приложение можно было развернуть с собственным каталогом, схемой, назначенным облегченным протоколом доступа к каталогам LDAP (Lightweight Directory Access Protocol), портами SSL

ижурналом событий приложения. Роль AD LDS не зависит от служб AD DS, поэтому ее можно использовать в автономной среде либо рабочей группе. Однако в доменных средах эта роль может использоваться службами AD DS для проверки принципалов безопасности системы Windows (пользователей, групп и компьютеров). Кроме того, роль AD LDS можно применять для реализации служб проверки подлинности в открытых сетях (например, в

экстрасети). При использовании данной роли в такой ситуации угроза безопасности меньше, чем при использовании AD DS.

3.Службы сертификации Active Directory (Active Directory Certificate Services) — Доверие Организации могут использовать службы сертификации AD CS в инфраструктуре открытых ключей PKI (Public Key Infrastructure), чтобы создать центр сертификации для выдачи цифровых сертификатов, которые привязывают объект идентификации пользователя, устройства либо службы к соответствующему частному ключу. Сертификаты можно использовать для проверки подлинности пользователей, компьютеров и веб-приложений, поддержки проверки подлинности смарт-карт, а также для поддержки таких приложений: защищенных беспроводных сетей, виртуальных частных сетей VPN (Virtual Private Network), протоколов для обеспечения защиты данных (IPsec), шифрующей файловой системы EFS (Encrypting File System), цифровых подписей и многих других. Службы AD CS предоставляют эффективный и безопасный способ выдачи сертификатов и управления ими. С их помощью можно делать это для внешних сообществ.

Втаких случаях следует связать службы AD CS с каким-нибудь известным внешним центром сертификации (СА), который подтвердит вашу подлинность. Роль AD CS предназначена для создания «островков доверия» в ненадежном мире, поэтому она должна использовать надежные процессы, которые подтверждают, что подлинность всех персон и компьютеров, получивших сертификат, тщательно проверена и подтверждена. Во внутренних сетях службы AD CS можно интегрировать со службами AD DS, чтобы пользователи и компьютеры автоматически получали сертификаты.

4.Службы управления правами Active Directory (Active Directory Rights Management Services) — Целостность. Хотя сервер Windows может запрещать и разрешать доступ к документу на основе списка контроля доступа ACL, можно несколькими способами следить за дальнейшими операциями с документом и его содержимым после открытия документа пользователем. Службы управления правами Active Directory (AD RMS) предоставляют технологию защиты информации, с помощью которой можно реализовать шаблоны устойчивых политик использования, задающих разрешенное и неавторизованное применение в сети, вне ее, а также внутри и вне периметра брандмауэра. Например, для пользователей можно сконфигурировать шаблон, который разрешает читать документ, но запрещает печатать и копировать его содержимое. Таким образом, можно гарантировать целостность генерируемых данных, защитить интеллектуальную собственность и контролировать операции, выполняемые с документами организации. Для роли AD RMS необходим домен Active Directory с контроллерами, где установлены версия системы не ниже Windows 2000 Server с пакетом обновлений Service Pack 3 (SP3), веб-сервер IIS, сервер баз данных типа Microsoft SQL Server 2008, клиент AD RMS (он доступен в центре загрузок Microsoft, а также по умолчанию включен в версии Windows Vista и Windows Server 2008), а также обозреватель или приложение RMS, например Microsoft Internet Explorer, Microsoft Office, Microsoft Word, Microsoft Outlook или Microsoft PowerPoint. В службах AD RMS может использоваться роль AD CS для вложения сертификатов в документы, а также роль AD DS для управления доступом.

5.Службы федерации Active Directory (Active Directory Federation Services) — Партнерские отношения С помощью служб AD FS организация может расширить инфраструктуру IDA на множестве платформ, включая среды Windows и другие, а также обеспечить для доверенных партнеров защиту прав идентификации и доступа вне периметра безопасности. В среде федерации организации поддерживают и контролируют собственные объекты идентификации, однако могут также безопасно проектировать объекты и принимать их из других организаций. Пользователи проходят проверку подлинности в одной сети, но могут получать доступ к ресурсам в другой. Этот процесс называется единым входом SSO (Single Sign-On). Роль AD FS поддерживает партнерские отношения, поскольку она дает различным организациям возможность получать общий

доступ к приложениям в экстрасети, при этом используя для реальной проверки подлинности свои внутренние структуры AD DS. С этой целью данная роль расширяет внутреннюю структуру AD DS во внешний мир через TCP/IP-порты (Transmission Control Protocol/Internet Protocol) 80 (HTTP) и 443 (Secure HTTP либо HTTPS). Обычно роль AD FS

размещена вдоль периметра сети. Службы AD FS могут использовать роль AD CS для создания доверенных серверов, а также роль AD RMS для обеспечения внешней защиты интеллектуальной собственности.

Всовокупности роли Active Directory реализуют интегрированное решение IDA:

AD DS и AD LDS — поддерживают основные службы каталогов в доменной и независимой реализации;

AD CS — предоставляет надежные учетные данные в виде цифровых сертификатов PKI;

AD RMS — защищает целостность информации в документах;

AD FS — поддерживает партнерские отношения, избавляя от необходимости создавать множество отдельных объектов идентификации для одного принципала безопасности в средах федерации.

Структура Active Directory поддерживает не только идентификацию и доступ, но и механизмы поддержки, управления и настройки ресурсов в распределенных сетевых средах.

Набор правил, называемый схемой, задает классы объектов и атрибуты, которые могут храниться в каталоге. Например, в каталоге Active Directory можно хранить объекты пользователей, включающие их имена и пароли, поскольку схемой задан класс объектов user, два их атрибута, а также связь между классом объекта и атрибутами.

Администрирование на основе политики (групповая, политики аудита и гранулированные политики паролей) упрощает управление даже в самых больших сложнейших сетях, предоставляя единую точку, в которой можно развернуть параметры настройки во множестве систем.

Службы репликации распространяют по сети данные каталогов, в частности само хранилище данных, а также информацию для реализации политики и конфигурации вместе со сценариями входа. Для хранилища данных существует даже отдельный раздел конфигурации, который содержит информацию о сетевой конфигурации, топологии и службах.

Запрашивать каталог Active Directory и локализовывать объекты в хранилище данных можно с помощью нескольких компонентов и технологий. Информация обо всех объектах в каталоге содержится в разделе хранилища данных, называемом глобальным каталогом (или частичным набором атрибутов), который дает возможность локализовать объекты в каталоге. Для чтения информации из хранилища данных можно применять, например,

программный интерфейс ADSI (Active Directory Services Interface) и протокол LDAP.

Хранилище данных Active Directory можно использовать также для поддержки приложений и служб, напрямую не связанных с AD DS. Внутри базы данных в разделах приложений может храниться информация для поддержки имен DNS (Domain Name System) на сервере Windows Server может хранить информацию в базе данных, которая называется интегрированной зоной Active Directory. Она поддерживается в AD DS как раздел приложения и реплицируется с помощью служб репликации Active Directory.

1.2. КОМПОНЕНТЫ ИНФРАСТРУКТУРЫ ACTIVE DIRECTORY

Хранилище данных Active Directory. Как уже говорилось в предыдущем подразделе, структура AD DS хранит свои объекты идентификации в каталоге (хранилище данных) на контроллерах домена. Каталог состоит из одного файла Ntds.dit, который по умолчанию находится в папке %System-Root%\Ntds на контроллере домена. База данных состоит из нескольких разделов: схемы, конфигурации, глобального каталога и контекста именования домена, содержащего данные об объектах внутри домена (например, пользователях, группах и компьютерах).

Контроллеры домена. Так называют серверы, играющие роль AD DS — в частности, запускающие службу Центр распространения ключей Kerberos (Kerberos Key Distribution Center, KDC), которая проверяет подлинность, а также другие службы

Active Directory.

Домен. Для создания домена Active Directory необходим один или несколько контроллеров. Домен представляет собой административную единицу, внутри которой совместно используются определенные возможности и характеристики. Прежде всего, контроллеры домена реплицируют раздел хранилища данных, который помимо всего прочего содержит данные идентификации пользователей, групп и компьютеров домена. Поскольку все контроллеры домена поддерживают одно хранилище объектов идентификации, то любой такой контроллер может проверить подлинность всякого объекта идентификации в домене. Кроме того, домен является областью действия административных политик (например, политики сложности паролей и блокировки учетных записей). Такие политики, конфигурируемые в одном домене, влияют на все учетные записи в нем и не оказывают влияния на учетные записи в других доменах. Объекты в базе данных Active Directory можно изменять на любом контроллере домена, и такие изменения реплицируются на все остальные такие контроллеры. Поэтому в сетях, где не поддерживается репликация всех данных среди контроллеров домена, может потребоваться более одного домена, чтобы управлять репликацией поднаборов объектов идентификации.

Лес Это набор из одного либо нескольких доменов Active Directory. Первый установленный в лесу домен называется корневым. Лес содержит единственное описание сетевой конфигурации и один экземпляр

каталога схемы. Это единственный замкнутый экземпляр uа

Функциональный уровень Возможности домена Active Directory зависят от его функционального уровня. Этот

параметр дает возможность ввести дополнительные компоненты AD DS уровня домена либо леса. Существует несколько функциональных уровня домена (Windows 2000, Windows 2003, Windows 2008, Windows 2012, Windows 2016), а также несколько функциональных уровня леса (Microsoft Windows Server 2003, Windows Server 2008, Windows 2012, Windows 2016). При повышении функционального уровня домена либо леса становятся доступными компоненты, предоставляемые соответствующей версией системы Windows. Например, функциональному уровню системы Windows Server 2008 свойственны новые атрибуты, указывающие время последнего успешного входа пользователя, компьютер, на который он входил, а также количество неудачных

попыток после успешного входа. Следует отметить, что от функционального уровня зависит, какие версии системы Windows разрешены на контроллерах домена. При повышении функционального уровня до системы Windows Server 2008 (2012, 2016) на всех контроллерах доменов следует установить именно эту версию.

Подразделения (организационные единицы) База данных Active Directory является иерархической. Объекты в хранилище данных можно собирать в контейнеры. Одним из типов контейнеров является класс объектов Container. Открыв оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers), вы увидите заданные по умолчанию контейнеры, в частности Users, Computers и Builtin. Еще один тип контейнера — подразделение (организационная единица). Оно предоставляет не только контейнер для объектов, но и область действия управления объектами. Подразделение (Organizational Unit,OU) может хранить так называемые объекты групповой политики, которые автоматически применяются к пользователям и компьютерам в подразделении.

Сайты. При проектировании сетевой топологии распределенного предприятия приходится рассматривать сайты сети. Однако в Active Directory им придается весьма специфический смысл благодаря особому классу объектов site. Сайт (или узел) Active Directory — это объект, представляющий часть предприятия с хорошей сетевой коммуникацией. Сайт создает периметр репликации и использования служб. Контроллеры домена внутри сайта реплицируют изменения в течение нескольких секунд. Изменения между сайтами реплицируются на основе допущения, что подключения между сайтами медленные, дорогостоящие либо ненадежные по сравнению с подключениями внутри сайта. Кроме того, клиенты предпочитают использовать распределенные службы, предоставляемые серверами в своем или соседнем узле. Например, когда пользователь входит в домен, клиент системы Windows вначале пытается пройти проверку подлинности с помощью контроллера домена в своем узле. Если же там нет доступного контроллера, клиент пробует сделать это с помощью контроллера домена в другом узле.

1.3.ПОДГОТОВКА К СОЗДАНИЮ НОВОГО ЛЕСА СИСТЕМЫ WINDOWS SERVER

Перед установкой роли AD DS на сервере и повышением его ранга до контроллера домена нужно спланировать структуру Active Directory. При создании контроллера домена потребуется некоторая информация, в частности такая.

1.Имя домена и DNS-имя. Домен должен иметь уникальное DNS-имя, например UIB.com, а также короткое имя, скажем UIB (так называемое имя NetBIOS). Сетевой протокол NetBIOS использовался еще в первых версиях Microsoft Windows NT и все еще применяется некоторыми приложениями.

2.Должен ли домен поддерживать контроллеры с предыдущими версиями Windows? При создании нового леса Active Directory нужно сконфигурировать функциональный уровень. Если в домен будут включены лишь контроллеры системы Windows Server 2008 (2012, 2016), то можно установить соответствующий функциональный уровень для использования усовершенствованных компонентов этой версии Windows.

3.Детали реализации DNS для поддержки Active Directory. Структуру DNS лучше всего реализовать для доменных зон с помощью службы DNS (DNS Service) системы

Windows.

4.Конфигурация IP-контроллера домена. Для контроллеров домена требуются статические IP-адреса и маски подсети. Кроме того, в целях разрешения имен нужно сконфигурировать контроллер домена с использованием адреса DNS-сервера. В случае создания нового леса и запуска на контроллере домена DNS-службы Windows в качестве DNS-адреса можно указать собственный IP-адрес сервера. После установки DNSструктуры сервер сам может разрешать DNS-имена.

5.Пользовательское имя и пароль учетной записи в группе Администраторы (Administrators) сервера. Для учетной записи нужно назначить непустой пароль.

6.Место установки хранилища данных (включая файл Ntds.dit) и системного тома (SYSVOL). По умолчанию эти хранилища создаются в переменной %SystemRoot% (например, C:\Windows) соответственно в папках NTDS и SYSVOL. При создании контроллера домена эти хранилища можно перенаправить на другие диски.

1.4.ДОБАВЛЕНИЕ РОЛИ AD DS С ПОМОЩЬЮ ИНТЕРФЕЙСА WINDOWS

После сбора упомянутой выше предварительной информации можно приступать к добавлению роли AD DS. Это можно сделать несколькими способами:

1.Создание контроллера домена посредством интерфейса Windows,

2.Создание контроллера домена с помощью командной строки.

1.4.1 СОЗДАНИЕ КОНТРОЛЛЕРА ДОМЕНА ПОСРЕДСТВОМ ИНТЕРФЕЙСА

WINDOWS

В системе Windows Server возможна конфигурация на основе ролей с установкой только тех служб и компонентов, которые нужны для выполняемых ролей сервера. Управлять сервером на основе ролей можно с помощью новой административной консоли Диспетчер сервера (Server Manager), показанной на рис. 1.3. Диспетчер сервера объединяет информацию, инструменты и ресурсы, необходимые для поддержки ролей сервера.

Роли можно добавлять на сервер с помощью ссылки Добавить роли (Add Roles) на домашней странице диспетчера сервера либо щелкнув правой кнопкой мыши узел Роли (Roles) в дереве консоли и применив команду Добавить роли (Add Roles). Мастер добавления ролей (Add Roles Wizard) предоставит список доступных для установки ролей и выполнит шаги установки тех из них, которые были выбраны.

Создание контроллера домена

После добавления роли AD DS на сервере устанавливаются файлы, необходимые для ее выполнения, но при этом сервер еще не становится контроллером домена. Затем надо запустить Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard), который можно открыть с помощью команды Dcpromo.exe, чтобы сконфигурировать, инициализировать и запустить Active Directory.