Установка домена

Шетка ПетрMicrosoft Windows Server 2003. Практическое руководствопо настройке сети. — СПб.: Наука и Техника, 2006. — 608 с: ил.Русское издание под редакцией М.В. Финкова, О.И. БерезкинойISBN 5-94387-174-8Серия «Полное руководство»Эта книга представляет собой практическое руководство по развертыванию локальной сетии настройке сервера на основе серверной операционной системы Windows Server 2003. Рассмотреныназначение сетевых служб и их конфигурирование, управление доступом пользователей ксетевым ресурсам, подключение локальной сети к Интернету, удаленный доступ к сети и многоедругое. Уделено внимание вопросам выбора, установки и настройки операционных систем длярабочих станций. Отдельно обсуждаются методы и средства повышения эффективности управлениясетью, обеспечения ее безопасности.Книга написана простым и доступным языком, содержит большое количество пошаговыхинструкций. Новые понятия, приемы работы и сетевые технологии вводятся поэтапно, по меревозникновения конкретных практических задач, как средства для решения этих задач. На протяжениикниги простая одноранговая сеть превращается в домен Active Directory, единообразноуправляемый при помощи групповых политик, соединенный с Интернетом и предоставляющийудаленный доступ к своим ресурсам.Книга отличается своим «практичным» подходом. Предназначена для опытных пользователейи начинающих системных администраторов.Контактные телефоны издательства:(812) 567-70-25, 567-70-26(044)516-38-66Официальный сайт www.nit.com.ru9795943 871749ISBN 5-94387174-8© Перевод на русский язык, Наука и Техника, 2006© Издание на русском языке, оформление,Наука и Техника, 2006Дизайн обложки О.В. РудневойCopyright © Computer Press 2004.Mistrovsti v Microsoft Windows Server 2003 by Petr Setka. ISBN: 80-251 -0036-7. All right reserved.OOO «Наука и Техника»198097, Санкт-Петербург, ул. Маршала Говорова, 29Подписано в печать 27.11.2005. Формат 70х 100 1 /, 6.Бумага газетная. Печать офсетная. Объем 38 п. л.Тираж 5 000 экз. Заказ № 446Отпечатано с готовых диапозитивовв ОАО «Техническая книга»190005, СанктПетербург, Измайловский пр., 29

Windows Server 2003Глава З. Учим компьютер работать в сети 673.1. Что такое протокол? 703.2. Какой протокол выбрать? 713.2.1. NetBEUI 72Общее описание 72Установка протокола NetBEUI 723.2.2. TCP/IP 733.2.3. NWLink 743.3. Адресация протокола TCP/IP 75IP-адреса 75Внутренние IP-адреса 76Публичные IP-адреса 77Внутренние IP-адреса и Интернет 78Маска подсети 783.4. Установка протокола TCP/IP 79Клиент сети Microsoft 80Служба доступа к файлам и принтерам сетей Microsoft 813.5. Настройка протокола TCP/IP 813.5.1. Подготовка к настройке 81Какой диапазон адресов выбрать для адресации сети 82Какие IP-адреса назначить серверам 82Какие IP-адреса назначить принтерам и подобным им устройствам ... 82Какие IP-адреса назначить клиентским компьютерам? 82Каким будет адрес основного шлюза 82Какими будут другие параметры протокола IP 83Какой способ выделения адресов выбрать 833.5.2. Настройка протокола TCP/IP на сервере 843.5.3. Настройка протокола TCP/IP на компьютере-клиенте 863.6. Проверка связи 883.6.1. Инструменты для проверки связи по протоколу TCP/IP 88Утилита IPCONFIG 88Утилита PING 893.6.2. Сетевой адаптер и несколько протоколов 913.7. Будущее протокола TCP/IP. Протокол TCP/IP версия 6 (IPv6) 933.8. Итоги 95Глава 4. Организация рабочей группы 964.1. Учетные записи пользователей 974.1.1. Создание учетной записи 984.1.2. Настройка учетной записи 99Ограничение срока действия учетной записи 101Ограничение времени работы пользователя 1014.1.3. Входе систему 1024.2. Разделение ресурсов 1034.2.1. Общий доступ к папке 103Менее безопасный способ 103Более безопасный способ 104Сравнение двух способов 1054.2.2. Печать на сетевых принтерах 1054.2.3. Работа с другими компьютерами 1064.3. Профили пользователей 106Создание сетевой папки для помещения в нее профилей 107Конфигурирование пользовательских учетных записей 107Создание перемещаемого профиля 1084.4. Домашние папки 109

Содержание4.5. Итоги 110Глава 5. Сеть растет. Структурирование растущей сети 1115.1. Рабочая группа 1135.2. Домен 1145.3. Администрирование домена 1155.4. Итоги 116Глава 6. Для чего и как в сети преобразуются имена 1166.1. Имена компьютеров 1186.2. NetBIOS-имя компьютера 1206.3. Имя узла 1216.4. Трансляция имен .' 1226.4.1. Статическое решение 122Статическая трансляция имен NetBIOS 123Статическая трансляция имен узлов 1246.4.2. Динамическая трансляция имен 124Динамическая трансляция имен NetBIOS 125Динамическая трансляция имен узлов 1266.5. Трансляция имен в нашей сети 1276.5.1. Имена узлов 1276.5.2. Имена NetBIOS 1276.5.3. Порядок разрешения имени 129Имя узла 129Кэш DNS 130Имя NetBIOS 130Кэш NetBIOS 1316.6. Зачем использовать службу DNS во внутренней сети 1316.7. Установка службы DNS 1326.8. Настройка службы DNS 1326.8.1. Настройка DNS на сервере SRVR001 1356.8.2. Настройка DNS на рабочей станции 1366.9. Итоги 137Глава 7. Active Directory. Установка домена 1397.1. Что такое активный каталог (Active Directory) 1407.2. Контроллер домена 141Что такое контроллер домена? 141Несколько контроллеров домена? 1427.3. Если возможностей домена не хватает 1427.4. Дерево Active Directory 1437.5. Лес Active Directory 1447.6. Какую структуру может иметь дерево доменов 1457.6.1. Добавление домена к существующему дереву 1457.6.2. Организация нового дерева 1457.7. Как назвать домен? 146Выбор имени 146Какой суффикс выбрать для имени домена? 1477.8. Подготовка к установке домена 148Подготавливаем необходимые сведения для установки домена 148Служба DNS 1487.9. Установка домена Active Directory 1497.9.1. Последовательность действий при установке 1497.9.2. Проверка правильности установки контроллера домена 152

Windows Server 20037.9.3. Настройка службы DNS на контроллере домена 1547.9.4. Настройка клиентских компьютеров 155Последовательность настройки 155Проверка присутствия учетной записи компьютера в домене 1577.9.5. Настройка регистрации пользователей 1577.10. Итоги 158Глава 8. Другие сетевые службы (WINS и DHCP) 1608.1. Совместимость с предыдущими системами 1618.1.1. Компьютер под управлением Windows XP Professional •• 1628.1.2. Компьютер под управлением Windows NT 4.0 1638.2. Разрешение имен службой WINS 1648.2.1. Установка службы WINS ,1648.2.2. Настройка службы WINS 165Настройка сервера как клиента службы WINS 165Консоль WINS: просмотр содержимого базы данных 165Практический пример: устаревший компьютер в филиале(или как обойтись без установки WINS) 1678.3. Служба DHCP: раздача IP-адресов в крупной сети 1688.3.1. Общая информация 1688.3.2. Типы адресации протокола IP 169Статическая адресация 169Динамическая (автоматическая) адресация 1698.4. Установка и настройка службы DHCP 1708.4.1. Установка службы DHCP 1708.4.2. Настройка службы DHCP 171Способы перехода со статической адресации на динамическую 172Настройка сервера DHCP 173Авторизация сервера DHCP в Active Directory 1748.4.3. Перевод рабочих станций на динамическую адресацию 1778.4.4. Адресация серверов 1788.4.5. Адресация принтеров и подобных устройств 1798.5. Сбой службы DHCP : 1798.5.1. Как клиент получает IP-адрес в отсутствие сервера DHCP 180Windows 9х и Windows NT 180Windows 98 и Windows 2000 180Windows XP и Windows Server 2003 1818.5.2. Как бы это выглядело в нашей сети 1818.5.3. Страховка на случай сбоя службы DHCP 182Наша (малая) сеть 182Крупные сети 1828.6. Итоги 182Глава 9. Регистрация пользователей в домене.Управление учетными записями пользователей 1849.1. Доменная учетная запись пользователя 1859.2. Создание и настройка учетных записей 1869.2.1. Создание первой учетной записи 1869.2.2. Проверка новой записи 1889.2.3. Создание следующих учетных записей 188Создание шаблона 189Создание учетной записи по шаблону 190

СодержаниеВременная учетная запись для контрактника 1919.2.4. Учетные записи Администратор и Гость ." 191Переименование записи Администратор 192Переименование записи Гость 1929.2.5. Членство в группах 1939.2.6. Безопасность учетных записей 1939.3. Создание учетной записи из командной строки 1949.4. Куда исчезли локальные учетные записи? : .. 1949.5. Итоги 196Глава 10. Права доступа 19810.1. Права доступа к локальным ресурсам 19910.1.1. Доступ к файлам. Разрешения NTFS 200Разрешения NTFS и их проверка 200Описание отдельных прав доступа NTFS 202Особые разрешения NTFS 20310.1.2. Владелец файла 203Кто такой владелец файла и какими он обладает преимуществами?. . . 203Кто может стать владельцем 20410.1.3. Разрешения следует назначать очень аккуратно 20510.2. Доступ к сетевым ресурсам 20510.2.1. Открытие сетевого доступа к папке 20610.2.2. Взаимодействие прав доступа 20610.3. Где хранить личные документы? 20710.4. Итоги . 208Глава 11. Группы как шаблоны прав доступа 20811.1. Группы пользователей 21011.1.1. Типы групп в домене Active Directory 21111.1.2. Режим работы домена 211Описание режимов работы домена 211Изменение режима работы домена в Windows Server 2003 213Изменение режима работы домена в Windows Server 2000 21311.1.3. Глобальные группы 21411.1.4. Локальные доменные группы 21411.1.5. Универсальные группы 21511.2. Стратегии использования групп 21611.2.1. Обозначения 21611.2.2. Самая распространенная стратегия (стратегия A G DL Р) 21611.2.3. Альтернативные стратегии 218Стратегия AGP 218Стратегия A G U DL P 218Стратегия A G LP 21811.3. Управление группами 21911.3.1. Рекомендации по именованию групп 21911.3.2. Управление членством в группах 22011.3.3. Влияние изменения членства в группе на работу пользователя.Использование «пропуска» 221Создание и использование пропуска 222Закрытие доступа 223Удаление пользователя из группы 22411.4. Итоги 224

Windows Server 2003Глава 12. Создаем хранилище документов предприятия 22612.1. Создаем структуру библиотеки 22712.1.1. Технологическое решение 22812.1.2. Структура хранилища данных 229Решение для нашей сети 230Скрытые общие папки 23012.1.3. Создание структуры хранилища 231Создание и конфигурирование общих папок 231Проверка созданной папки 23212.1.4. Настройка разрешений NTFS 233Какие понадобятся группы 233Разрешения для корневой папки 235Разрешения для папок подразделений 235Применение стратегии A G DL Р 23612.1.5. Настройка сетевых разрешений 23712.2. Проверка созданной структуры 23712.3. Действующие разрешения 23812.4. Запрет шифрования данных 23912.5. Итоги 240Глава 13. Профили пользователей 23913.1. Преимущества профилей 24213.2. Структура профиля 243Что хранится в реестре 243Что хранится в папках 243Где находится профиль 24413.3. Когда у каждого пользователя свой компьютер 24513.4. Перемещаемые профили 24713.4.1. Безопасность перемещаемых профилей 24713.4.2. Проверка созданного перемещаемого профиля 24813.4.3. Применение перемещаемого профиля 249Windows XP Professional 249Windows 2000 Professional 25013.5. Использование перемещаемых профилей 25013.5.1. Правила 251Запретите регистрацию на рабочих станцияхдо запуска сетевых служб 251Избегайте использования перемещаемых профилейв неоднородной сети 251Обеспечьте доступ администраторов к профилям пользователей 252Исключите папку «Мои документы» из перемещаемого профиля 252Не шифруйте файлы в перемещаемых профилях 25213.5.2. Профиль по умолчанию 252Создание шаблона 253Копирование шаблона на сервер 253Проверка функциональности шаблона 25413.5.3. Обязательный профиль 25413.5.4. Домашние папки 256Домашние папки и их создание 256Безопасность домашней папки 25713.6. Дальнейшие настройки профиля 257Удаление профиля по завершении работы пользователя 257Запрет перемещаемых профилей 258Ограничение объёма профиля 25813.7. Итоги 25810

СодержаниеГлава 14. Принтер в сети. Настройка сетевого принтера 26014.1. Где и как установить принтер 26114.1.1. Способы подключения принтеров 26214.1.2. Установка струйного принтера для обслуживания сервера 26214.1.3. Установка лазерного принтера для обслуживания пользователей 263Резервирование адреса 263Установка принтера 26414.1.4. Настройка сервера печати 26514.1.5. Настройка принтеров 26614.1.6. Проверка наличия принтера в активном каталоге 26714.2. Как о принтере узнают пользователи 26814.3. Оптимизация поиска принтеров 26914.3.1. Методика и этапы оптимизации поиска принтеров 26914.3.2. Ограничения на поиск принтеров 27214.4. Установка принтера: другие возможности 27314.5. Что делать, если печать идет слишком медленно? 27514.5.1. Больше или меньше принтеров? 27514.5.2. Если недовольны все. Пул принтеров 27614.5.3. Если недовольна только часть пользователей.Назначение и настройка приоритетов печати 277Установка приоритетов печати на сервере 277Настройка клиентских компьютеров 27814.6. Итоги 278Глава 15. Должен ли администратор постоянно сидеть рядом с сервером? 28015.1. Учётные записи администратора 28215.1.1. Учетная запись рядового пользователя 28215.1.2. Учётная запись для текущих административных работ 28215.2. Инструменты управления сетью 28315.2.1. Установка консоли управления 28315.2.2. Совместимость инструментов управления 28415.3. Работа с инструментами управления 284Консоль ММС (Microsoft Management Console) 284Создание собственной оснастки для администрированияодного компьютера 285Создание собственной оснастки для администрированияодной службы 28615.4. Запуск приложений от имени другого пользователя 28715.5. Удалённый рабочий стол 28815.5.1. Как работает Удалённый рабочий стол 28815.5.2. Сколько человек могут одновременно работать «за» сервером? 28915.5.3. Как подключиться к удалённому рабочему столу 29015.5.4. Удалённый рабочий стол в Windows XP Professional 29215.5.5. Комбинации клавиш в сеансе удалённого рабочего стола 29215.5.6. Отключение и завершение сеанса 293Отключение 293Завершение сеанса 29415.6. Итоги : 294Глава 16. Что если сервер рухнет завтра? 29616.1. Причины аварий 297Ошибки программного обеспечения 298Сбои оборудования 29811

Windows Server 2003Ошибки пользователей 298Ошибки администраторов 298Умышленный вред 298Непреодолимая сила 29916.2. Способы предотвращения аварий 29916.2.1. Ошибки программного обеспечения 299Драйверы 299Операционные системы и приложения 30016.2.2. Сбои оборудования 300Выход из строя жесткого диска или утрата данных 300Выход из строя других устройств 301Проблемы с электропитанием 301Ошибки 302Умышленный вред 302Непреодолимая сила 30216.3. Способы устранения аварий 30216.3.1. Драйверы 302Цифровая подпись драйвера 302Откат к предыдущей версии 30316.3.2. Система не загружается 304Последняя удачная конфигурация 304Безопасный режим 305Консоль восстановления 30516.4. Архивация системы 308Что сохранять 308Архивация состояния системы 309Инструменты архивации 309Стратегии архивации 31016.5. Как архивировать? 31216.5.1. Стратегия 1 (обычная + добавочная архивация) 312Настройка обычной архивации выходного дня 312Настройка добавочной архивации в рабочие дни 313Восстановление данных 31316.5.2. Стратегия 2 (обычная + разностная архивация) 314Настройка обычной архивации выходного дня 314Настройка разностной архивации в рабочие дни 315Восстановление данных 31616.5.3. Управление назначенными заданиями архивации 31616.5.4. Восстановление Active Directory 317Восстановление Active Directory в доменес одним контроллером (неавторизованное восстановление) 317Авторизованное восстановление Active Directory 31816.6. Теневое копирование 319Теневое копирование и общие папки 320Организация теневого копирования на рабочей станции 321Применение теневого копирования 32116.7. Итоги , 322Глава 17. Групповые политики. Управление группойкомпьютеров пользователей 3241217.1. Инструменты управления компьютерами пользователей.Групповые политики 326Что такое групповая политика? 326Обзор оснастки Групповая политика 326Примеры применения объекта групповой политики 329Главные ветви групповой политики 32917.2. Иерархическая структура Active Directory 33017.3. Сокрытие ненужных файлов 332

Содержание17.3.1. Что не нужно пользователям? 33217.3.2. Как настроить групповые политики, скрывающие команды меню 333Настройка политики сокрытия 333Активация политики в отношении пользователей 33417.3.3. Сколько объектов групповой политики создавать? 335Доводы в пользу одного объекта 335Доводы в пользу нескольких объектов 33617.3.4. Администраторские привилегии и как их не потерять 336Настройка локальных администраторских привилегий 336Активация политики в отношении компьютеров 33817.4. Ограничьте пользователей в действиях, которые им для работы не нужны .... 33917.4.1. Настройка ограничений для склада 34017.4.2. Настройка ограничений для отдела маркетинга 34117.4.3. Отмена ограничений для руководства 34117.5. Обеспечьте безопасность хранения документов пользователей 34217.6. Дисковые квоты. Настройка дисковых квот 34417.7. Результирующая политика • 34517.8. Замыкание пользовательской политики 34617.9. Порядок применения групповых политик 34717.10. Итоги 349Глава 18. Устанавливаем приложения 35018.1. Какие у нас есть возможности? 35118.2. Установка с инсталляционных дисков 352Запуск приложения от имени другого пользователя 352Пользователь по ошибке удалил какой-то из файлов приложения 352Пользователь хочет добавить компоненты приложения 353В компьютере нет привода CD-ROM 35318.3. Установка по сети 35318.4. Установка с помощью других средств. Как это сделать попроще? 35318.5. Установка приложений с помощью параметров групповой политики 35418.5.1. Конфигурация компьютера или конфигурация пользователя? 354Конфигурация компьютера 355Конфигурация пользователя 35518.5.2. Примеры использования разных видов установок 35518.5.3. Добавление или публикация приложения? 356Добавление приложения 356Публикация приложения 35718.5.4. Немедленная или отложенная установка? 35718.5.5. Все приложения или только некоторые? 35818.6. Пакет MSI 35818.7. Пример установки пакета Microsoft Office 2003 35918.7.1. Стратегия установки приложений пакета Office 2003 35918.7.2. Подготовка к установке пакета Office 2003.Установка Office 2003 Resource Kit 36018.7.3. Администраторская установка пакета Office 2003 36118.7.4. Открытие доступа к папке InstallApp 36218.7.5. Трансформирующие файлы MST 362Создание трансформирующего файладля установки приложения Outlook 363Создание трансформирующего файладля установки приложений Outlook, Word и Excel 366Создание трансформирующего файладля установки приложений Outlook, Word, Excel и Access 367Создание трансформирующего файла для установкиприложения Word 36818.7.6. Объекты групповой политики 36813

Windows Server 2003Создание объекта групповой политикидля установки приложения Outlook 368Создание объекта групповой политикидля установки приложения Outlook, Word и Excel 370Создание объекта групповой политикидля установки приложения Word для склада 371Создание объекта групповой политикидля установки приложений в дирекции 372Применение созданного объекта к отделу маркетинга 373Применение созданного объекта для установки Outlook 373Проверка установок 374Удаление приложений 37518.7.7. Дополнительная информация к установке приложенийс помощью групповой политики 375Удаление инсталляционных пакетов приложений 375Актуализация приложений (например, новая библиотека DLL) 37618.8. Публикация приложений 37618.9. Модернизация с помощью принципов групповой политики 377Два варианта апгрейда 377Планирование апгрейда 377Тестирование установки 377Пилотная фаза 378Коррекция плана 378Постепенная установка 378Документация 378Используйте разум 37818.10. Итоги 379Глава 19. Приходят новые пользователи 3811419.1. Служба Удаленная установка 38319.1.1. Требования службы Удаленной установки 38319.1.2. Подготовка окружения для службы Удаленная установка 38419.2. Установка и настройка службы Удаленной установки 38519.2.1. Разрешение службы Удаленная установка 38719.3. Создание учетной записи для проведения инсталляцииоперационной системы 388Безопасность записи RIS 38819.4. Подготовка компьютеров в домене Active Directory 38819.4.1. Регистрация кодов компьютеров в домене Active Directory 38919.5. Автоматизация инсталляции 39019.5.1. Настройка автоматического запуска инсталляции 39119.5.2. Настройка автоматической инсталляции с помощью файла ответов ... 39219.5.3. Подключение файла ответов к образу удаленной инсталляции 39219.5.4. Комбинирование образов операционной системы и файлов ответов .. 39419.6. Дальнейшие возможности службы Удаленной установки 39519.6.1. Подготовка компьютера-источника 39619.6.2. Создание образа и его сохранение на сервере 39619.6.3. Открытие проинсталлированного образа 39719.7. Инсталляция образа на компьютеры клиентов 39819.7.1. Компьютеры, поддерживающие технологии РХЕ 39819.7.2. Компьютеры, не поддерживающие технологию РХЕ 39819.8. Другое «железо» . . 39919.9. Служба Удаленной установки в больших сетях 40019.9.1. Как узнать МАС-адрес 40019.9.2. Размещение сервера для удаленной инсталляции 40019.9.3. Несколько серверов удаленной инсталляции 401Авторизация сервера 401Ручная авторизация сервера удаленной инсталляции 401

Содержание19.10. Важные новшества в службе Удаленная установка в системеWindows Server 2003 по сравнению с системой Windows 2000 Server 40219.11. Итоги 403Глава 20. Устанавливаем обновление Service Pack 40420.1. Обновление SP для операционной системы 40620.1.1. Где взять обновление 40720.1.2. Языковые версии 40820.1.3. Типы установки 408Установка обновления отдельно от системы 408Установка операционной системы с интегрированным обновлением . . 408Установка с диска 409Установка по сети 410Установка при помощи продукта SMS 411Установка при помощи групповой политики 41120.2. Планирование установки 411Подготовка инсталляционной папки 412Распаковка инсталляционных файлов 412Создание объекта групповой политики 41320.3. Обновление инсталляционных файлов 41420.4. Обновление образа системы службы Удаленной установки 41520.4.1. Образ Risetup 41520.4.2. Образ Riprep 41520.5. Обновление SP для пакета Office 41520.5.1. Где взять обновление 41620.5.2. Тип обновления 416Клиентское обновление 416Администраторское обновление 416Что необходимо для инсталляции обновления 417Необходимость тестирования 417Подготовка к инсталляции обновления 41720.5.3. Применение обновления к администраторской инсталляции 41720.6. Внедрение программного обеспечения 41820.7. Поддерживайте приложения пакета Office в актуальном состоянии 41920.8. Итоги 419Глава 21. Временные подключения к сети.Использование портативных компьютеров (ноутбуков) 42121.1. Автономные файлы 42221.1.1. Портфель 42321.1.2. Что такое Автономные файлы? 42321.1.3. Включение автономного режима на рабочей станции 42521.1.4. Настройка автономного режима 425Автоматическое кэширование 425Ручное кэширование 426Синхронизация файла 42721.1.5. Настройка синхронизации с помощью групповых политик 428Методика настройки 428Полная или частичная синхронизация? 43021.1.6. Размещение автономных файлов 430Удаление автономных файлов 430Перемещение автономных файлов 43121.1.7. Шифрование автономных файлов 43121.1.8. Безопасность автономных файлов 43221.1.9. Разрешение конфликтов 43215

Windows Server 200321.1.10. Групповые политики, управляющие автономными файлами 43221.2. Особенности применения групповых политик при подключениипо медленной линии 43321.2.1. Что такое медленная линия? 43421.2.2. Как это повлияет на нашу сеть? 43521.2.3. Что произойдет с профилями пользователей? 43621.3. Настройка портативного компьютера в нашей сети 43721.4. Итоги 437Глава 22. Безопасность сервера и сети. Защита данных 43922.1. Задумаемся о безопасности 440Безопасны ли продукты Microsoft? 440От кого нужно защищаться? 442Защита данных 442Файловая система и способы защиты 44322.2. Шифрующая файловая система EFS 44322.2.1. Принципы шифрования 444Симметричное шифрование 444Асимметричное шифрование 444Комбинированное шифрование 44522.2.3. Шифрование на практике, или первая встреча с EFS 44622.2.4. Ключи и сертификаты 44622.2.5. Первый зашифрованный файл 447Методика шифрования 447Проверка существования ключей пользователя 44822.3. Общий доступ к зашифрованному файлу (только Windows XP/2003) 449Типы сертификационных служб в системе Windows 2000/2003 451Установка сертификационной службы 451Открытие доступа к зашифрованному файлу 453Настройка сертификационной службы 454Настройка групповой политики 45722.4. Защита зашифрованных файлов 45822.5. Восстановление доступа к зашифрованному файлу 46022.6. Структура зашифрованного файла 46122.7. Агент восстановления данных 462Поиск Агента восстановления 462Закрытый ключ Агента восстановления данных 462Экспорт и удаление закрытого ключа Агента восстановления данных. . 464Порядок восстановления зашифрованных данных 46522.8. Итоги 465Глава 23. Когда одного сервера недостаточно 46723.1. Подготовка к переносу файлов 46823.1.1. Производительность компьютера 46923.1.2. Перенос файлов и разрешения NTFS 470Разрешения NTFS и копирование 470Разрешения NTFS и перемещение 47023.1.3. Перемещение зашифрованных файлов 47023.1.4. Копирование и перемещение сжатых файлов 47123.1.5. Варианты перемещения 471Инструменты от сторонних производителей 472Системные средства 47223.1.6. Общие папки 47223.2. Переносим хранилище документов предприятия 47416

Содержание23.2.1. Установка и настройка второго сервера 47423.2.2. Перенесение файлов способом архивации и восстановления 474Архивация ключей реестра 475Редактирование ключей реестра 475Запрещение доступа к папке и архивация ее содержимого 476Восстановление содержимого и разрешение доступак нему на новом месте 47623.3. Перенос файлов с использованием системы DFS 477Настройка автоматической репликациимежду двумя общими папками 477Настройка новой ссылки 479Что изменится для пользователей 48023.4. Репликация библиотеки на сервер SRVR002 48123.4.1. Последовательность действийпо репликации 48123.4.2. Остановка репликации и удаление первоначальной папкииз репликации 48223.4.3. Закрытие доступа к папке на сервере SRVR001 48323.5. Дальнейшие рекомендуемые шаги 48523.6. Итоги 485Глава 24. Управление дисками 48724.1. Покупайте серверы с несколькими дисками 48824.1.1. Сколько дисков должно быть на сервере? 48924.1.2. Перенос файла подкачки 49024.1.3. Перенос базы данных и протокола транзакций Active Directory 49224.2. Нужно ли что-то делать с дисками на рабочих станциях? 49224.3. Типы дисков 49324.3.1. Обычные диски 49324.3.2. Динамические диски 49424.4. Ускорение дисковой подсистемы 494Преобразование дисков в динамические 495Как работает чередующийся том? 497Упрощение работы пользователей 497Расширение тома 498Промежуточные итоги 49924.5. Дисковые массивы, устойчивые против ошибок 49924.5.1. RAID-1, или зеркальный том 500Что защищать? 500Как работает зеркалирование 500Настройка зеркального тома 50124.5.2. RAID-5 502Для чего использовать RAID 5 503Как работает том RAID-5 503Настройка тома RAID 5 50324.6. Итоги 504Глава 25. Соединяем локальную сеть с Интернетом 50625.1. Необходимо ли дополнительное программное обеспечение? 50725.2. Типы подключения к Интернету 50825.3. Возможности безопасного подключения к Интернету 50925.4. Что из этих возможностей может обеспечить сама Windows? 50925.5. Общий доступ к Интернету 51025.5.1. Предварительная подготовка. 511Готовимся 511Правильный порядок сетевых подключений 51217

Windows Server 200325.5.2. Настройка общего доступа к Интернету 51325.5.3. Как работает общий доступ? 51425.5.4. Служба DHCP-диспетчер 51425.5.5. Служба прокси DNS 51525.5.6. Безопасность сети и доступ к ресурсам Интернета 518Доступ к внутреннему веб-серверу 519Защита внешнего интерфейса. , 52125.5.7. Итого об Общем доступе к Интернету 52225.6. Трансляция сетевых адресов 52225.6.1. Основная настройка 52325.6.2. Настройка трансляции сетевых адресов 52425.6.3. Доступ извне к ресурсам локальной сети 526Настройка доступа к двум внутренним веб-серверам 526Присвоение второго IP-адреса 527Определение пула адресов и доступность внутренних ресурсов 52725.6.4. Трансляция имен Интернета 52825.6.5. Итого о трансляции сетевых адресов 52925.7. Итоги 529Глава 26. Настраиваем удаленный доступ к сети.Если пользователям нужно работать из дома 53126.1. Не остаться ли нам, администраторам, тоже дома? 53226.2. Возможности удаленного доступа 53326.2.1. Телефонное подключение 53326.2.2. Подключение через виртуальную частную сеть (VPN) 53426.3. Настройка удаленного доступа 53626.3.1. Телефонное подключение 537Настройка сервера удаленного доступа 537Настройка компьютера пользователя 538Проверка разрешений пользователя в домене Active Directory 53926.3.2. Подключение через виртуальную частную сеть (VPN) 539Настройка сервера 540Настройка компьютера пользователя 542IP-адреса серверов DNS, WINS и прочие параметры протокола 543Удаленное подключение компьютеров, не принадлежащихк вашему домену 545Настройка подключения 545Каково правильное название домена? ; . . . . 545Безопасность удаленного доступа 545Протоколы аутентификации 546Настройка аутентификации на стороне сервера 547Настройка аутентификации со стороны клиента 547Безопасность телефонного подключения 548Другие меры безопасности удаленного подключения 549Свойства удаленного доступа 550Настройка учетных данных пользователей 551Настройка параметров удаленного доступа 551Проверка 553Для чего существуют настройки по умолчанию? 554Размещение политик удаленного доступа 55526.4. Итоги 555Глава 27. Предприятие открывает филиал 5571827.1. Нужно ли принимать на работу еще одного администратора? 55827.1.1. Служба поддержки пользователей 55927.1.2. Администраторы сети 559

Содержание27.2. Понадобится ли новому подразделению свой контроллер домена? 56027.3. Как проходит репликация доменной информации? 56127.3.1. Сайт 56127.3.2. Репликация в пределах сайта 562Топология репликации 56327.3.3. Репликация между сайтами 56427.3.4. Протоколы репликации 56427.3.5. Другие характеристики сайта 56527.4. Филиал и другие сетевые службы 56627.4.1. Служба DNS 56627.4.2. Служба DHCP 56727.4.3. Служба WINS 56827.4.4. Служба сертификации 56927.5. Промежуточные итоги 56927.6. Как все это организовать? 56927.6.1. Установка контроллера домена 570Подготовка репликации доменной базы 572Инсталляция контроллера домена из архива 572Глобальный каталог 57427.6.2. Настройка сайта Active Directory 575Создание нового сайта 575Настройка подсети 576Настройка соединения сайтов 576Перемещение контроллера домена SRVR003 в новый сайт 57727.6.3. Настройка службы DNS 577Проверка настройки DNS 577Параметры протокола IP на сервере SRVR003 577Трансляция имен Интернета 57827.6.4. Настройка службы WINS 578Настройка репликации серверов WINS 57827.6.5. Настройка службы DHCP 579Настройка сервера в филиале 579Авторизация сервера DHCP в Active Directory 580Настройка сервера DHCP в центральном офисе 580Связь компьютеров в центральном офисе 581Настройка агента передачи DHCP 58227.6.6. Настройка глобального каталога 582Настройка кэширования членства в универсальных группах 58327.7. Итоги 583Глава 28. Настройка службы электронной почты 58528.1. Как это работает? 58628.2. Установка и настройка почтовых служб 58728.2.1. Планирование службы электронной почты 58728.2.2. Установка служб электронной почты 58828.3. Настройка серверов РОРЗ и SMTP 58928.3.1. Сервер РОРЗ ; 58928.3.2. Домены РОРЗ и SMTP 590Создание домена study.com 590Почтовые ящики 59128.3.3. Сервер SMTP 59128.4. Настройка клиента и проверка связи 59728.5. Итоги 59919

Установка сервераЧто,собственно, значит «сервер»?Подготовка к установкеУстановка серверной операционнойсистемы с компакт-дискаДругие способы установкиMICROSOFT WINDOWS SER¥ER 2003Практическое руководство по настройке сети

Как человеческое тело не обходится без сердца или футбольный матч безсудьи, так и компьютерные сети не обходятся без сервера (или серверов).Сервер, таким образом, является сердцем подобной сети. Речь идет о главномкомпьютере (компьютерах), который может иметь разные функцииот управления целой сетью до хранения данных, контроля выполнениязаданий и исполнения функции печати. Чтобы сервер функционировалтак, как это от него ожидается, следует правильно установить и настроитьего операционную систему.К установке операционной системы сервера нельзя подходить как к приблизительнодвухчасовой процедуре, состоящей из жужжания CD-ROMпривода и нескольких щелчков мышью или нажатий клавиш на клавиатуре.Нужно осознать, что из всех компьютеров сети именно сервер требуетособенно долгой и тщательной установки и настройки операционнойсистемы. Залогом успешной установки является ее доскональная подготовка.Она складывается из нескольких важных шагов, которые болеедетально описаны в дальнейших главах.1.1. Что, собственно, значит «сервер»?Слово «сервер» означает не только главный компьютер, который хранитобщие данные и управляет работой сети. Сервер — это в первую очередьоперационная система, установленная на этом компьютере, а такжеразличные службы и приложения, запущенные на нем и управляющиеработой сети.22

Глава 1. Установка сервераО каком компьютере можно сказать, что он является сервером? О том,на котором установлена соответствующая операционная система? О том,у которого есть соответствующее аппаратное обеспечение? Или о том,который используется как сервер?Последний вариант и является правильным. Определение сервера оченьпросто: речь идет о компьютере, обслуживающем сеть, к которой онподключен (от слова „to serve« — обслуживать). Почти все современныеоперационные системы могут выполнять некоторые функции сервера.От аппаратной конфигурации зависит мало: сегодня вы часто можетевстретить обычные компьютеры, которые оснащены намного лучше, чемсервера (главным образом речь идет о быстродействии процессора и объемежесткого диска). От чего же тогда зависит, является ли компьютерсервером или нет? Приведем небольшой пример.Вы только что вернулись из отпуска, в течение которого наснимали множествофотографий своим цифровым фотоаппаратом. Придя на работу,вы сразу скопировали фотографии из фотоаппарата в компьютер. А посколькувы хотите своими впечатлениями поделиться с коллегами, вы создаетеобщую папку с разрешением доступа из локальной сети, в которуюпомещаете свои фотографии. В этот момент ваш компьютер становитсясервером для пользователей, обратившихся к этой папке. Кроме того, онвыполняет и роль клиента, которую мы рассмотрим в следующей главе.Такой тип сервера называют общим (файловым) сервером.Однако следует иметь в виду, что, став общим сервером, ваш компьютерполучит массу ограничений. С одной стороны, обычные операционныесистемы (не серверные), могут обеспечить доступ не более чем десятипользователям одновременно. С другой стороны, может случиться, что,пока ваши коллеги будут рассматривать ваши фотографии, ваш компьютербудет настолько перегружен, что свои обычные функции он будетвыполнять слишком медленно или не сможет выполнять вообще.Чтобы устранить подобные неудобства, для серверов были разработаныспециальные операционные системы. Они ориентируются на скорейшеепредоставление услуг в сети, при этом использование компьютера вкачестве обычной рабочей станции не подразумевается. Правда, пользовательвсе еще может работать непосредственно за этим компьютером,но графический интерфейс его будет сильно отличаться от привычногоинтерфейса рабочих станций.Поскольку в каждой сети возникает необходимость работы с базами данных,файловыми хранилищами, сетевыми принтерами и т. д., то в каждойсети должен присутствовать хотя бы один сервер. Он может совмещатьподобные операции. Если все же его оснащение или возложенные на негозадачи не позволяют этого сделать, необходимо добавить дополнительныесервера, естественно, с серверными операционными системами.23

Microsoft Windows Server 20031.2. Подготовка к установкеДля начала зададим себе несколько вопросов:• Для каких целей будет использоваться сервер?• Какую серверную операционную систему следует установить насервер?• Какой объем жесткого диска будет требоваться для работы сервера?• Как должна выглядеть физическая и логическая структура диска?• Какой тип установки лучше всего подойдет для этого сервера?Правильные ответы на эти вопросы являются залогом будущей долгойи успешной работы сервера. Некоторые вещи можно подправить уже впроцессе работы, другие обязательно установить сразу. Здесь, разумеется,не приводятся все параметры, как, например, объем памяти или скоростьи тип процессора. Много ли администраторов в небольших фирмах имеютвозможность диктовать свои требования к оборудованию сервера, когдафинансированием заведует лицо, не слишком склонное к вложениям ввычислительную технику?Поскольку далее в этой книге мы рассматриваем небольшую локальнуюсеть с количеством клиентских мест до 100, то мы назначим серверомобычный компьютер с одним жестким диском. Его быстродействия будетдостаточно для поставленных задач.Подготовка к установке состоит из досконального планирования функцийи конфигурации сервера и сбора всех данных, необходимых дляустановки. Решительно невозможно начать установку без подготовки,собирая необходимые сведения по ходу дела и выдумывая конфигурациюна скорую руку.Функции сервераСервер — это компьютер, который предлагает свои службы в сети. Какиеконкретно службы требуются, зависит от конкретной сети и от требованийпользовательского коллектива. Сервер может выполнять, к примеру,следующие функции:24• Общего сервера (файлового сервера).• Сервера базы данных.• Сервера приложений.• Терминального сервера.• Сервера печати.• Контроллера домена.• Сервера DNS.• Сервера WINS.• Сервера DHCP.

Глава 1. Установка сервера• Почтового сервера.• Веб-сервера.• Сервера FTP.• Сервера NNTP.• Сервера с опцией удаленной установки (RIS).• Сервера удаленных соединений.• Сервера управления сертификатами с сертификационными функциями• и другие.Какие-то функции должны выполняться во всех сетях, а какие-то требуютсятолько в некоторых из них. Очень важно решить, какие из функцийбудут нужны в данной сети, поскольку от этого зависят и остальные требованияк установке. Далее, необходимо знать, какие из функций можнобез тотального переконфигурирования сервера добавить и потом, а длякаких функций следует выделить отдельный компьютер.В нашей сети мы будем последовательно работать со следующими функциями:• Общий сервер (файловый сервер).• Сервер печати.• Контроллер доменов.• Сервер DNS.• Сервер DHCP.• Сервер удаленных соединений.С этими функциями может справиться и один компьютер, более того —их можно в любое время удалить и восстановить. В этом отношенииустановка не будет иметь осложнений, и более подробная информацияв данный момент не нужна.Примечание.| Если вы еще не до конца понимаете все эти термины, ничего страшного. Припланировании установки их все равно нельзя будет обойти, и более подробнонекоторые из них мы рассмотрим далее.Какую операционную системусемейства Windows Server 2003 установить?Члены семейства операционных систем Windows Server 2003 перечисленыв. таблице 1.1.25

Microsoft Windows Server 2003Обзор версий Windows Server 2003 Таблица 1.1Версия системыWindows Server 2003,Web EditionWindows Server 2003,Standard EditionWindows Server 2003,Enterprize EditionWindows Server 2003,Datacenter EditionОписаниеЭта версия предназначена для предоставления локальных служб в сети. Посколькуее разрабатывали главным образом для веб-приложений, в нее невошли некоторые важные службы, и поэтому она не предназначена для обычнойофисной сетиЭта версия предназначена для сети организации любой величины. Она обеспечиваетвсе стандартные службы и поэтому действительно является стандартнойЭта версия предназначена для крупной сети. Она поддерживает технологиюкластеризации и позволяет работать с ресурсоемкими приложениями и системамираспределенного вычисленияЭта версия предназначена для сети с высокими требованиями к безопасности,скорости и масштабируемости. Делает возможйым объединение несколькихсерверов на одном аппратном обеспеченииУ каждой версии есть минимальные системные требования к оборудованиюи ограничения по использованию ресурсов (см. таблицу 1.2).Системные требования и возможности Windows Server 2003 Таблица 1.2Версии системыWindows Server 2003, Web EditionWindows Server 2003, Standard EditionWindows Server 2003, Enterprize EditionWindows Server 2003, Datacenter EditionМинимальные системные требованияCPU от 133 МГц (рекомендуется 550 МГц), 128Мб RAM (рекомендуется 256 Мб), 1.5 Гб места надиске.Система поддерживает не более 2 Гб памяти RAM имаксимум 2 процессораCPU от 133 МГц (рекомендуется 550 МГц), 128Мб RAM (рекомендуется 256 Мб), 1.5 Гб места надиске.Система поддерживает не более 4 Гб памяти RAM имаксимум 4 процессораCPU от 133 МГц (рекомендуется 733 МГц), 128Мб RAM (рекомендуется 256 Мб), 1.5 Гб места надиске.Система поддерживает не более 32 Гб памяти RAMи максимум 8 процессоровCPU от 400 МГц (рекомендуется 733 МГц), 512 МбRAM (рекомендуется 1 Гб), 1.5 Гб места на диске.Система поддерживает не более 64 Гб памяти RAMи максимум 32 процессораДля малой или средней сети предназначена версия Windows Server 2003,Standard Edition: с одной стороны, она отвечает требованиям необходимыхслужб, а с другой, нам ни к чему версия Windows Server 2003 Enterprize Edition,поскольку мы не сможем использовать ее возможности в полном объеме.26Примечание.Подробную информацию об использовании отдельных служб в версиях системыWindows Server 2003 вы найдете на веб-странице компании Microsoft по адресуhttp://www.microsoft.com/windowsserver2003/evaluation/choosing/.

Глава 1. Установка сервераОбъем дискаОтвет на вопрос, сколько дискового пространства понадобится для выполненияфункций сервера, зависит и от того, какие именно функции он будетвыполнять, и от размера сети. Требование к объему свободного местана диске, необходимому для самой системы, уже дано разработчиком —1.5 Гб. Понадобится также место для рабочих файлов системы и дляустановки будущих обновлений Service Pack: это еще примерно 1 Гб.Естественно, какое-то место займут установленные приложения. Дажеесли мы пока не планируем установку сервера базы данных, сервераприложений или почтового сервера, следует помнить об антивирусныхпрограммах, настройках безопасности и т.д. Для этих целей и на случайдальнейшего расширения сервера нужно предусмотреть 5 Гб места.Больше всего места нужно будет оставить непосредственно для файлов,с которыми будут работать пользователи (под файловый сервер). Какизвестно, места всегда не хватает, и ограничить аппетиты пользователейнужно с помощью системных средств, введя квоты. Это решение должнобыть принято в самом начале и сразу же проведено в жизнь. Для обычнойработы на компьютере каждому пользователю можно выделить 1 Гбдискового пространства.Дальнейшие расчеты — дело простой арифметики. Если, например, мыработаем с сетью в 30 пользователей, то нам потребуется около 40 Гбместа на диске, что сегодня не представляет проблемы ни с технической,ни с финансовой стороны.Если вы собрались купить новый компьютер для использования его вкачестве сервера и ваше мнение учитывается при выборе его конфигурации,я рекомендую остановиться на такой, в которую потом можно былобы добавить жесткий диск, и не один. Таким образом вы обеспечите себевозможность в дальнейшем использовать этот компьютер и как сервербазы данных или сервер приложений.Дисковая конфигурацияМы подходим к одному из важнейших шагов. При выборе конфигурациидисков системный администратор чаще всего сталкивается с финансовымии техническими ограничениями: дисков либо мало, либо новые дискинекуда подключить. Если же от этих ограничений отвлечься, то руководствоватьсянужно несколькими простыми и понятными правилами:• Операционная система не должна размещаться на том же диске, чтои настройки безопасности.• Данные приложений (файлы, созданные пользователями) должныбыть отделены от системы и приложений. В случае приложений базы27

Microsoft Windows Server 2003данных нужно иметь дополнительный жесткий диск для протоколовтранзакций.• Для повышения надежности операционной системы и защиты данныхрекомендуется применить дисковые структуры, устойчивые к ошибкам(зеркальные массивы, массивы типа RAID-5).О разбиении дисков на логические разделы единого мнения среди системныхадминистраторов нет. Одни считают, что в целях безопасностии простоты переустановки необходимо держать операционную систему,приложения и пользовательские данные на разных логических дисках.Другие подчеркивают, что на неразделенном диске можно хранить огромныефайлы: архивы, базы данных, видеоизображение.Примечание редактора.Все же на практике лучше разделять диски на логические и отводить подпользовательские данные отдельный раздел. Таким образом можно сэкономитьна резервном копировании, архивируя только пользовательский раздел, аоперационную систему и приложения в случае какого-либо сбоя переустанавливаяВ нашем случае мы исходим из самого простого решения: берем одинфизический диск и разбиваем на три логических раздела — С:, D: и Е:.Устанавливать систему будем на диск С:.С точки зрения производительности это решение не оптимально, затооно дешево и вполне достаточно для небольшой сети. О других возможныхконфигурациях будет рассказано в главах, посвященных функциям,связанным с дисками.Тип установкиСуществуют разные типы установки операционных систем Microsoft: отклассической, хорошо известной установки с компакт-диска до автоматическойустановки или установки посредством клонирования дисков.Автоматически установить Windows Server 2003 можно на компьютер, накотором сейчас стоит Windows XP Professional (для Windows 2000 Serverнеобходима Windows Professional 2000).Однако если перед вами стоит задача установки серверной операционнойсистемы на чистый компьютер, вам не останется ничего другого, кромеобычной установки с CD-ROM. To есть в первый раз вам придетсячестно пройти весь процесс установки, чтобы подготовить возможностьавтоустановки на будущее.28

Сбор информации, необходимой для установкиГлава 1. Установка сервераВо время самой установки вы должны будете ввести сведения, которыеполезно приготовить заранее. Некоторые из этих данных значения неимеют, а другие, наоборот, очень важны, потому что от них критическизависит работа системы, а исправить их позже будет невозможно.Итак, подготовьте следующую информацию:• Имя пользователя и название организации, на которую зарегистрированпродукт.• Тип лицензирования клиентского доступа.• Код Product Key (как правило, он находится на обратной сторонеобложки CD-ROM).• Имя компьютера.• Пароль администратора.• Имя рабочей группы, в которую будет включен компьютер.На некоторых понятиях мы еще остановимся в процессе установки иразъясним их подробнее.1.3. Установка серверной операционнойсистемы с компакт-дискаЭта глава содержит подробное описание установки, включая важныедиалоговые окна и дополнительные картинки. Для успешной установкивам потребуется установочный диск CD-ROM с операционной системойWindows Server 2003, Standard Edition и «чистый» компьютер.Примечание редактора.Каждому понятно, что работать с локализованной версией операционной системыпроще и удобнее. Но локализованная версия — это исправленная версия, незастрахованная от появления новых ошибок. Поэтому правильнее и надежнеебудет сначала установить нелокализованную (английскую) версию, а сверху ужеставить пакет MUI (Multilingual User Interface) для русификации. Потом для того,чтобы все надписи отображались на русском языке, надо в Панели управленияоткрыть диалоговое окно Язык и региональные настройки и выбрать русскийязык. Далее в этой главе будет приведено пошаговое описание необходимыхдействий. А пока при описании установки английские названия команд и оконбудут дублироваться русскими.1. В настройках BIOS установите следующую последовательность загрузкис устройств:• CD-ROM.• Жесткий диск.29

Microsoft Windows Server 2003Эта настройка всегда зависит от типа BIOS, поэтому ее нельзя описатьуниверсально. Подробную информацию вы найдете в описании,прилагающемся к вашей материнской плате.2. В привод CD-ROM вставьте установочный компакт-диск с операционнойсистемой Windows Server 2003 и перезагрузите компьютер.3. Установка системы должна начаться автоматически. Если этого непроисходит, проверьте еще раз порядок загрузки в BIOS. Если же вкомпьютере уже была установлена какая-то операционная система,может случиться так, что для начала установки системе будет требоватьсянажатие любой клавиши.4. Включится текстовый режим установки и появится окно с надписьюWindows Server 2003 Setup (Установка операционной системыWindows).5. В окне Welcome To Setup (Вас приветствует программа установки)нажмите клавишу Enter.6. В окне Windows Licensing Agreement (Лицензионное соглашениеWindows) подтвердите нажатием клавиши F8 согласие с условиямилицензии.Примечание.Перед нажатием клавиши F8 вы можете углубиться в изучение договора олицензировании и, найдя в нем нечто вас не устраивающее, прервать установкунажатием клавиши Esc.307. В следующем окне нужно создать (или изменить) логическую структуружесткого диска. Нажмите клавишу С, что позволит вам создатьраздел для установки операционной системы или, если раздел ужесуществует, выберите его из списка и нажмите Enter.8. В части Create a Partition (Создать раздел объёма) отображен максимальнодоступный объем жесткого диска. Если в вашем серверетолько один диск, укажите 10240 Мб (то есть 10 Гб). Таким образом,останется место, необходимое для файлов пользователей. Если ввашем компьютере несколько жёстких дисков, можете оставить максимальныйпредложенный объём. Потом нажмите клавишу Enter.9. В списке разделов вновь созданный раздел должен быть обозначенкак раздел С:. Если это не так, назначьте ему букву С: и нажмитеклавишу Enter.10. В следующем диалоговом окне вы можете выбрать файловую систему,которую следует создать на новом разделе. Если вы не сомневаетесьв качестве поверхности диска, установите переключатель вположение Format in NTFS File System (Quick) (Отформатироватьраздел файловой системой NTFS (Быстро)) — так вы сэкономитевремя. Если у вас есть сомнения, выберите положение Format in

Глава 1. Установка сервераNTFS File System (Отформатировать раздел файловой системойNTFS). В этом случае при форматировании будет произведен физическийконтроль поверхности и поврежденные («bad») блокибудут исключены из использования. После форматирования разделаначнется копирование файлов в папку установки системы WindowsServer 2003.11. После копирования файлов будет произведена перезагрузка, и установкабудет продолжена в графическом режиме.12. В диалоговом окне Regional and Language Options (Язык и региональныестандарты) (см. рис. 1.1) выберите подходящие региональныенастройки (язык, формат дат и времени, денежные единицы) ираскладку клавиатуры и нажмите кнопку Next (Далее).13. В диалоговом окне Personalize Your Software (Ввод данных пользователя)(см. рис. 1.2) введите данные, которые вы подготовили передначалом установки, а затем нажмите кнопку Next (Далее).Примечание.Имя пользователя и название организации можно будет в любое время изменитьвмешательством в системный реестр. Эти параметры находятся в ветви HKEY_LOCAL_MACHINE\SOFTWABE\Microsoft\Windows NT\CurrentVersion. Но будьтеаккуратны, повреждение реестра может повлечь за собой выход из строя всейоперационной системы.Regional and Language OptionsYou can customize Windows fot diftefent regions and languageRegional and Language Options aliovv you to change the way numbers, datescurrencies and tile time are displayed You can a!so add suup^t fot additionallanguages, and shange your location setting.The Standards and fcemats Jetting is set to Russian, and the location is set toо change tfiese settings, click Customize.input Languages alfow jipu \Q entei texla variety of input nwthods 1 and devices.Customizedifferent languages, using •I'out delaulueHi input language and method is: Russian keyboard iayout- ' •'Го wew or changeyouf current configuiafion, click Details,.''•>} Ойэй$.„ IРис. 1.1. Диалоговоеокно Язык и региональные стандарты31

Microsoft Windows Server 2003Personalize YouiSoHwaieSetupusesthe tfilormationyouprovideaboutyourselt topersonalizeyourWindows, i-;*j Typeyour Mlnameandthenameof youcompanyororganjzatiorРис. 1.2. Диалоговое окно Ввод данныхпользователя14. В диалоговом окне Product Key (Код продукта) (см. рис. 1.3) введитекод для установки операционной системы и нажмите кнопку Next(Далее).15. В диалоговом окне Licensing Modes (Способ регистрации лицензии)установите переключатель в положение, соответствующее типу лицензирования,который вы выбрали. Если вы оставляете значениеНа сервер, задайте количество параллельных подключений, а затемнажмите на кнопку Next (Далее). Количество параллельных подключенийвыбирайте с избытком, изменить это число в дальнейшемневозможно.Примечание.Тип лицензирования На сервер делает возможным параллельное подключениезаданного числа пользовательских компьютеров. Любая попытка добавлениякомпьютеров сверх лимита будет сервером отвергаться. При настройкелицензирования На устройство максимальное число параллельных подключенийкомпьютеров задано купленной лицензией, как и при лицензировании Напользователя, но с учетом количества пользователей, а не компьютеров. Болееподробную информацию о лицензировании продукта Microsoft вы найдете наhttp://www.microsoft.cora/windowsserver2003/howtobuy/licensing.3216. В диалоговом окне Computer Name And Administrator Password(Имя компьютера и пароль администратора) введите имя компьютера(например, SRVR001) и пароль администратора (например,

Глава 1. Установка сервераРис.1.3. Ввод кода Product KeyK@l!na — будьте внимательны, пароль различает прописные истрочные буквы). Продолжите нажатием кнопки Next (Далее).Примечание.Безопасными (отвечающими требованиям сложности) считаются пароли, в которыхперемешаны заглавные и строчные буквы, цифры и знаки препинания. Обратитевнимание на то, как получился пароль в нашем примере: мы взяли слово, котороелегко запомнить («калина») и заменили в нем некоторые символы, так что егостало трудно подобрать. Вы можете воспользоваться этой методикой составленияпаролей или придумать свою.17. В диалоговом окне Date And Time Settings (Установка даты и времени)(см. рис.1.4) введите текущую дату, время и выберите нужныйчасовой пояс. Продолжите нажатием на кнопку Next (Далее).18. В диалоговом окне Network Settings (Установки сети) (см. рис 1.5)отметьте поле Custom settings (Особые настройки) и затем нажмитена кнопку Next (Далее).19. В диалоговом окне Networking Components (Настройки сети) выберитестроку Internet Protocol (TCP/IP) (Протокол сети Интернет(TCP/IP)), а затем нажмите на кнопку Properties (Свойства).20. В диалоговом окне Internet Protocol (TCP/IP) (Протокол сетиИнтернет (TCP/IP)) — Properties (Свойства) (см. рис. 1.6) введитеадрес IP 192.168.10.2 и маску подсети 255.255.255.0. Остальные свой-2 Зак. 446 33

Microsoft Windows Server 2003DateandTime SetingsSetthecorectdateandtimeforyourWindowscomputer.Рис. 1.4. Установка даты и времениNetworking SettingsInstalingnetworksoftware alowsyou toconnect toothercomputers, networks,and the InternetChoose whethei touse typicalorcustom $etogsiTypical settingse?nelwpikconnectionsusingtheCSenttorMicrosoftNetworks, Fieand Bint Sh«jns Щ Microsoft Netwotks, arct the TCFVIP trensport:protocol wkh automatic addressing-Custom settingsAllows you to menualy configute networkbg component».Рис. 1.5. Установка сети34

Глава 1. Установка сервераства не отмечайте и нажмите на кнопку ОК. Продолжите нажатиемна кнопку Next (Далее).21. В диалоговом окне Workgroup Or Computer Domain (Компьютервходит в рабочую группу или домен) оставьте исходные настройки(т.е. отмеченное поле No, this computer is not on a network, or is ona network without a domain. Make this computer a member of a group:WORKGROUP — Компьютер не подключён к сети или подключёнк сети без домена и будет членом следующей группы ГРУППА) инажмите на кнопку Next (Далее).Windows0DynamicUpdate0PreparinginstalationSetup wilcompleteinternet proiutol (ICP/IP) PropertiesYoucangetIPsetingsassignedautomatic*^ ifyournetworksupportsthiscapabiBty.Otherwise,youneed to;askyournetwt^kadministratorfortheappropriateIP setings. :• . '_

Microsoft Windows Server 2003\консоль Действие £ид Справка*• -> пз еёЩ SRVR001№ Щ ComputerШ -4+ DiskdrivesШ-Щ Display adaptersЩ j j DVD/CD-ROM drives[i; -^ Floppy disk controllers(J ••*$ Floppy disk drives$••© IDE ATA/ATAPI controllersIJ-'©. KeyboardsШ-*^ Mice and other pointing devicesВ f Monitorsffi Щ Network adaptersВ ^ Other devices Кi '- 'p, Sound Eiaster 16l|l J* Ports (COM& LPT)Ш ^ft ProcessorsIj: %f Sound, video and game controllersft•• у System devicesРис. 1.7. Список оборудования — видно,что драйвер звуковой карты не установлендете к тому, что в диалоговом окне Диспетчер устройств не появитсяни одного вопросительного или восклицательного знака, можно будетсказать, что установка успешно завершена.Как было сказано ранее, сервер может выполнять различные функции, иясно, что для выполнения каждой из них нужно произвести дополнительнуюнастройку. Продолжение настройки будет рассмотрено в следующихглавах. После настройки продукт нужно активировать. Это необходимосделать в течение 30 дней после установки, иначе операционная системаперестанет работать. Только с момента активации Windows Server 2003начнет функционировать без ограничений.Остановимся на активации подробнее.Активация системыСистема Windows Server 2003 содержит функцию, названную Активациясистемы Windows (WPA, Windows Product Activation). Она являетсяеще одним из средств, применяемых компанией Microsoft в борьбе с нарушителямиавторских прав, и препятствует установке одного и того жедистрибутива системы на разные компьютеры.При установке системы вы должны были ввести код Product Key из 25 символов.Система Windows Server 2003 сгенерирует еще один код на основехарактеристик оборудования вашего компьютера. Активация системы со-36

Глава 1. Установка серверастоит в том, что вы посылаете код, полученный соединением Product Keyи кода оборудования, в центр Microsoft Clearinghouse. Там выясняют, действительноли компания Microsoft выпустила продукт с таким Product Keyи верно ли, что эта система не была установлена (точнее, активирована)ранее. Если ответ положительный, то Microsoft Clearinghouse пришлет вамподтверждающий идентификатор из 42 символов, который для завершенияактивации нужно ввести в систему. Если подтверждающий код не введен,то по истечении срока активации продукт перестанет функционировать.Активацию можно произвести по Интернету или передать код по телефону.Регистрация по Интернету продолжается не более нескольких секунд.При активации по телефону вы должны будете сообщить код из 50символов, а затем ввести в систему подтверждающий идентификатор.Совет.Не слишком спешите с активацией продукта: сначала сконфигурируйте системуи все оборудование и погоняйте сервер хотя бы неделю, чтобы убедиться, чтоон работает правильно и никаких устройств заменять не нужно. Месячный срокактивации предоставляется именно для этой цели. Если после активации вызамените какие-то устройства, то вам придется производить активацию заново, сновым кодом оборудования.1.4. Другие способы установкиWindows Server 2003, как и ее предшественница Windows Server 2000,поддерживает несколько возможностей, и в этом параграфе мы их перечислим.Установка по сетиУстановка по сети не слишком отличается от установки с компакт-диска.Необходимо выполнить следующие подготовительные действия:• Создать сетевую папку, содержащую установочные компоненты операционнойсистемы.• На компьютере, на который вы хотите установить систему, запуститьсетевого клиента.• На жестком диске компьютера, на который будет производитьсяустановка, создать раздел объемом по крайней мере 1.5 Гб.Установка без обслуживания (по сети или с компакт-диска)Этот тип установки подробно рассмотрен в следующей главе. Вкратце,нужно подготовить текстовый файл специального формата с ответами на37

Microsoft Windows Server 2003вопросы, задаваемые инсталлятором системы, и передать его программеустановки как параметр.Преимуществом такого типа установки является существенная экономиявремени: не нужно сидеть у компьютера и ждать, когда появитсяследующее диалоговое окно. Чаще всего таким способом операционнаясистема устанавливается на клиентские компьютеры, но возможен он идля серверов.Клонирование дисковУ всех предыдущих способов установки есть один недостаток: настраиватьоперационную систему и приложения приходится на каждом компьютереотдельно. Клонирование, или дублирование, дисков это неудобствоустраняет. Вы можете установить систему и приложения на компьютероригинал,настроить их и скопировать жесткий диск бит в бит на дискдругого компьютера. Этот способ выгодно использовать для настройкибольшого количества рабочих станций.Перед дублированием диска нужно запустить на компьютере-оригиналеутилиту SYSPREP (Подготовка системы), которая выберет уникальныеидентификаторы системы (например, имя компьютера) и обеспечит ихсоздание при дальнейшем запуске.Для серверных операционных систем этот способ установки не используется.Более того, компания Microsoft не предоставляет никаких утилитдля воссоздания битовой копии диска на другом компьютере. Для этогоприходится применить утилиты от других разработчиков.Удаленная установкаЭто особый случай установки, рассмотренный в главе 19. Windows Server2003 является первой серверной системой, которую можно установитьтаким способом. Служба удаленной установки в Windows 2000 Server делалавозможной только установку операционной системы для клиентскихкомпьютеров Windows 2000 Professional.Русификация операционной системыДля того чтобы работать в привычной нам среде с русскоязычнымикомандами меню и диалоговыми окнами, необходимо установить пакетMUI (Multilingual User Interface) поддержки многоязыкового интерфейса.Запустите программу установки, обычно расположенную в папке MUI иназывающуюся muisetup.exe. После запуска появится окно с лицензионнымсоглашением (рис. 1.8).38

Windows Multilingualuser InterfacePack *iWelcome toWindowsMuMtneualUserInterfacePeck InstalationBefore instaling thispackage,we recommendthatyouclose alotheiapplications. ••.-. .. :. : . . :J. • : ;• >'.Pleasereadthefolowing:iceraeagieement.PressthePAGEDOWNkey toseethe lestoftheagreementTocontinuewithSetup,youmustaccepttheagreement.:.:SUPPLEMENTALENDUSERLICENSEAGREMENTMICROSOFTMULTI-LANGUAGEUSERINTERFACEFOBWINDOWSSERVER2003PLEASEREADTHISSUPPLEMENTALEND-USERLICENSEAGREMENT ("SUPaEMENTALEULA")CAREfULLY. BYINSTALLINGORUSINGTHESOFTWAfiETHATACCOMPANIESTHISSUPPLEMENTALEUIA.YOUAGFIEETOTHETERMSOFTHISSUPPLEMENTAL IUIAIFYOUDONOTAGREi.DONOTINSTALORUSETHE:SOfTWAREЙ£5 ег Э'^!^1!Глава 1. Установка сервераРис.1.8. Начало установки MUI. Лицензионное соглашениеНужно отметить галочкой свое согласие с условиями и нажать Continue(Продолжить). После этого отобразится окно выбора языков (рис. 1.9).Г Iroial tar»auages fa menus «id dialog»I ^elecl the languages you Want to initaB on the system, Qeat the- Default uset seitings -;;- : : - •£§tec'« tonguageloi 'M det^uD -j?ei arid r^w met всонл>;j ^ _ _ _ , ^j— tJatch the l^iguage for non-Unicode programs wfth (he default userlanguage.:. . •:•.. : .....Г" f it f J ' J < •* ^ к jРис.1.9. Выбор языков39

Microsoft Windows Server 2003Выберите из списка язык по умолчанию для всех будущих учетных записейпользователей, нажмите ОК, и установка будет произведена.Чтобы включить русскоязычный интерфейс, откройте Панель управления(Control Panel), выберите Regional and Language Options, на вкладкеLanguages выберите русский язык и нажмите ОК для применения новыхустановок. После этого закончите сеанс и зарегистрируйтесь снова. Привходе в систему обратите внимание на раскладку клавиатуры.1.5. ИтогиСервер — это компьютер, который предлагает в сети свои услуги клиентам.Количество серверов в сети не ограничено, обычно, правда, их напару порядков меньше, чем компьютеров-клиентов.Особенно важным шагом при настройке сервера является выбор правильнойоперационной системы. В большинстве случаев, учитывая возможностьдальнейшего увеличения количества компьютеров-клиентов,достаточной будет операционная система Windows Server 2003, StandardEdition. Большие сети с непростыми приложениями могут обеспечиватьсясервером с Windows Server 2003, Enterprise Edition. Для тех, ктопредоставляет Интернет-услуги или устраивает Интернет-презентации,предназначена Windows Server 2003, Web Edition.Перед установкой серверной операционной системы вначале следуетпроверить, отвечает ли компьютер минимальным требованиям аппаратногообеспечения и совместима ли операционная система с имеющимисяустройствами. Затем нужно подготовить информацию, которую запроситпрограмма установки (имя компьютера, имя пользователя и название организации,пароль администратора и т.п.), и продумать дисковую конфигурацию(количество физических дисков и их разбиение на разделы).Потом можно приступить собственно к установке. Систему можно устанавливатьпрямо с дистрибутивного компакт-диска, а можно использоватьальтернативные методы — установку по сети, автоматическую установку,возможно, установку дубликата дисков.Состояние сетиВ данный момент единственный компьютер в сети с установками — серверс именем SRVR001.40

2 Установка ОСна компьютерахклиентахЧто такое клиент?Подготовка к установкеУстановка с компакт-дискаАвтоматическая установкаоперационной системыУстановка в крупной сетиАктивация системыMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Клиентские компьютеры — это основное рабочее средство пользователейсети. В сетях их несравнимо больше, чем серверов, и от их исправностизависит спокойствие пользователей и работа всего коллектива в целом.Но их количество может быть кошмаром для администраторов, которыедолжны устанавливать и конфигурировать на них операционную системуи приложения.Если вам необходимо сконфигурировать только несколько рабочих станций,вы можете посвятить день-другой их индивидуальной настройке.Установка ОС, подобная описанной в первой главе установке сервера(то есть с компакт-диска), продолжается около часа, остальное времязаймет настройка системы и установка приложений. Если же в вашейсети несколько десятков компьютеров, вы, вероятно, заинтересуетесьдругими способами установки, по возможности автоматическими, которыезначительно сократят время вашей работы.Проще всего, когда аппаратная конфигурация всех клиентских компьютероводинакова. Во-первых, это позволяет провести установку методомклонирования дисков, то есть в кратчайшие сроки. Во-вторых, точнозная, как выглядит конфигурация компьютера конкретного пользователя,администратор всегда готов помочь ему справиться с затруднением.В этой главе мы рассмотрим разные способы установки ОС на клиентскиекомпьютеры и подробно обсудим, как эту установку проводить.42

Глава 2. Установка ОС на компьютерах-клиентах2.1. Что такое клиент?Клиент — это компьютер, который является противоположностьюсервера. Если сервер предлагает в сети свои услуги, то клиент этимиуслугами пользуется. Примером такого использования может служитьдоступ к документам, расположенным на сервере, печать на принтерах,подключенных к серверам печати или, например, запрос IP-адреса уDHCP-сервера.Клиентская роль компьютера не зависит от того, какая ОС на нем установлена.В сети организации на рабочие станции следует устанавливатьWindows XP Professional или по крайней мере Windows 2000 Professional.Компьютер-клиент может оказаться и в роли сервера: например, когда выразрешаете своим коллегам доступ к вашему диску с целью проведениясобрания или позволяете им печатать на принтере, подключенном к вашемукомпьютеру. Однако такие случаи являются скорее исключением и,если вы все же собираетесь ими воспользоваться, помните, что клиентскаяоперационная система разрешает одновременное подключение не болеечем 10 «вторичных» клиентов. Это количество нельзя увеличить иначе,чем перенеся нужное приложение на серверную платформу.2.2. Подготовка к установке2.2.1. Соответствие системным требованиямПрежде чем начинать установку операционной системы на компьютерклиент,вы должны подготовить всю информацию, которая вам потребуетсяво время установки. Необходимо также, чтобы оборудование компьютерасоответствовало нижеприведенным системным требованиям.Тип и быстродействие процессораДля установки операционной системы Windows XP Professional необходимкак минимум процессор Pentium II 233 МГц (рекомендуется 300 МГц).Windows 2000 Professional требует хотя бы процессора Pentium 133 МГц.Объем оперативной памятиСистема Windows XP Professional требует 64 Мб RAM (рекомендуется128 Мб). Система Windows 2000 Professional требует 32 Мб RAM (рекомендуется64 Мб).43

Microsoft Windows Server 2003Объем жесткого дискаДля установки системы Windows XP Professional требуется не менее 1.5Гб свободного места на жестком диске, для установки системы Windows2000 Professional — не менее 1 Гб. Кроме этого, понадобится место длядополнительных компонентов Windows и для будущих обновлений ServicePack (эти обновления содержат исправления обнаруженных ошибок идобавляют новые возможности).Совместимость устройствКакой смысл иметь новейшую видеокарту, если для нее не существуетдрайвера под установленную у вас операционную систему? Перед установкойОС следует убедиться в том, что все ваше оборудование с нейсовместимо. Список устройств, проверенных на совместимость (HCL,Hardware Compatibility List), вы найдете на http: //www.microsoft.com/hcl. В этом списке перечислены как отдельные устройства, так ицелые модели компьютеров, а для некоторых устройств можно найтитакже протестированные драйверы.Если у вас новейшая модель компьютера или какие-то устройства последнегопоколения, может случиться, что в приведенном списке вы ихне найдете. В этом нет ничего удивительного: тщательное тестированиепродолжается определенное время. В этом случае вам придется самостоятельноискать необходимый драйвер (обычно его находят на сайтепроизводителя устройства) и устанавливать его вручную.Примечание редактора.На клиентский компьютер можно рискнуть установить и непроверенный драйвер.Худшее, чем это грозит, — это неправильная или нестабильная работа устройства,что для рабочей станции не слишком критично.Вместительность дискаО минимальном необходимом свободном месте на диске речь уже шлавыше. Каков же должен быть максимальный размер диска?Обычной практикой является размещение всех пользовательских данныхна серверах. Это выгодно как с точки зрения безопасности, потому чтосерверы обычно хорошо защищены, так и с точки зрения мобильностипользователей: эти данные доступны с любого компьютера в сети. Дискклиентской рабочей станции должен вмещать только операционнуюсистему, приложения, с которыми работает пользователь, и, может быть,локальные данные. Необходимо предупредить пользователей о том, чтоза сохранность локальных данных отвечает только сам пользователь ив случае какого-либо сбоя администратор восстанавливать их не будет.44

Глава 2. Установка ОС на компьютерах-клиентахЕсли эти данные пользователю необходимы, он должен сам выполнятьих резервное копирование на съемные носители.Осталось заметить только, что разумнее всего использовать уже проверенныевременем марки и модели жестких дисков.Физическая и логическая структура дискаВ подавляющем большинстве случаев на рабочей станции для текущейработы хватает одного физического диска. Исключение составляют теслучаи, когда пользователь нуждается в высокой производительностидисковой подсистемы (например, когда компьютер используется дляобработки графики) или когда на станции организован массив RAID сцелью повышения надежности и/или быстродействия.Логическая структура диска определяет, будет ли доступен пользователютолько один раздел С: или несколько разделов. На рабочей станциивполне достаточно одного раздела. Аргумент о необходимости логическиотделить операционную систему от данных здесь не работает, потому чтоданные (папка Мои документы) хранятся на сервере. Более того, некоторыхпользователей наличие нескольких разделов просто собьет с толку.Примечание редактора.Тем не менее самой распространенной структурой жесткого диска остаются двараздела С: и D:. В разделе С: объемом 10 Гб размещаются операционная системаи стандартные приложения: Microsoft Office, архиваторы, файловые менеджеры.В раздел D:, занимающий остальной объем физического диска, устанавливаютприложения, требовательные к дисковому объему и монопольному доступу, атакже установочные файлы, драйверы и не очень важные документы. Например,программу Adobe Photoshop не рекомендуется устанавливать в раздел, гдеразмещен файл подкачки, то есть в системный раздел.2.2.2. Файловая системаВо время установки операционной системы вам будет необходимо отформатироватьжесткий диск какой-либо из файловых систем: FAT, FAT32или NTFS. Сейчас мы обсудим, чем следует руководствоваться при выборефайловой системы.Назначение компьютераЕсли на компьютере предполагается установка нескольких операционныхсистем (такая конфигурация называется multi-boot, или система с вариантамизагрузки), то для раздела с данными, доступ к которым необходимообеспечить из каждой операционной системы, следует выбрать такую45

Microsoft Windows Server 2003файловую систему, которую «понимают» они все. Сами же операционныесистемы должны быть установлены в разделы с «родными» для нихфайловыми системами. Так, MS DOS можно установить только на FAT16,но не на FAT32 или NTFS.Количество и объемы жестких дисковВместе с повышением вместимости диска ограничивается возможностьвыбора файловой системы. Например, разделы, превышающие в объеме32 Гб, нельзя форматировать ни в какой другой файловой системе, кромеNTFS. Windows XP Professional и Windows 2000 Professional умеют работатьс разделами FAT32, превышающими 32 Гб, но не умеют их создавать.Если вам все-таки нужен раздел FAT32 больший 32 Гб, загрузитесь сзагрузочного диска Windows 98 или Windows Millennium Edition и воспользуйтесьутилитой Format, находящейся на этом диске.Требования безопасностиЕдинственной файловой системой, которая способна защитить файлыили папки на жестком диске от несанкционированного доступа, являетсяNTFS. Ни одна из систем FAT такой способностью не обладает.Дополнительные требования к файловой системеЕсли вам нужны такие возможности, как дисковые квоты, сжатие илишифрование данных, символьные ссылки на папки (Junction Points), товыбирать следует только NTFS.Характеристики файловых систем, которые также могут послужить основаниемдля выбора одной из них, приведены в таблице 2.1.Ограничения файловых систем в Windows XP Professional Таблица 2.1и Windows 2000 ProfessionalNTFSFAT32FAT16Максимальныйразмер файлаМаксимальныйразмер разделаКоличество файловв разделеМаксимальноеколичество файлови подпапок в папкеТеоретически: 16экзабайт(2 64 байт) минус 1 Кб;практически: 16 терабайт(2 м байт) минус 64 КбТеоретически: 2 64кластераминус 1 кластер;практически: 2 32 кластераминус 1 кластер(256 терабайт минус 64 Кб)4 294 967 295(2 32 минус 1 файл)Не ограничено4 Гб (2 32 байт)минус 1 байтПрактически: 32 Гб4 177 92065 534 (при использованиидлинныхимен — еще меньше)4 Гб (2 32 байт)минус 1 байт4 ГбПриблизительно65 536512 (при использованиидлинныхимен — еще меньше)46

Глава 2. Установка ОС на компьютерах-клиентахИз приведенных данных следует, что, если в компьютер будет установленатолько Windows XP Professional (или Windows 2000 Professional), будетуместно отформатировать диск файловой системой NTFS.2.2.3. Необходимые сведенияПеред началом установки подготовьте следующую информацию:• Имя пользователя и название организации, на которую зарегистрированпродукт. Эти данные будут отображаться в окне программыСведения о системе. Впоследствии их можно будет изменить правкойсистемного реестра.Примечание.При установке Windows XP Professional нельзя в качестве имени пользователяуказывать имя Administrator (Администратор).• Код Product Key (его, как правило, можно найти на обратной сторонекоробки от диска CD-ROM). Если вы будете проводить установку сносителя информации, полученного по программе оптового лицензированиякорпорации Microsoft, получите этот код от поставщикапрограммных продуктов вашей организации.• Имя компьютера. Оно должно быть уникальным в пределах сети.Правильнее образовывать имена компьютеров не от имен их пользователей,а от назначения, расположения или административнойпринадлежности самих рабочих станций.• Пароль локального администратора (пользователь Administratorили Администратор). Одна из этих двух учетных записей создается впроцессе установки системы. Поскольку эта учетная запись получаетпривилегии администратора, ее пароль должен отвечать требованиямбезопасности.• Название рабочей группы, в которую будет включен компьютер.Собрав всю эту информацию, вы можете приступать к установке операционнойсистемы Windows XP Professional согласно дальнейшим инстукциям.•Примечание редактора.Как и в случае с серверной ОС, надежнее будет ставить нелокализованную(английскую) версию операционной системы, а поверх нее — пакет MUI (MultilingualUser Interface) для русификации.47

Microsoft Windows Server 20032.3. Установка с компакт-дискаЭтот параграф содержит подробную последовательность установки,включая диалоговые окна и дополнительные изображения. Для успешнойустановки вам потребуются загрузочный компакт-диск с операционнойсистемой Windows XP Professional и «чистый» компьютер.1. В системе BIOS (базовая система ввода-вывода) компьютера необходимонастроить следующую последовательность загрузки сустройств:• CD-ROM.• Жесткий диск.Эта настройка всегда зависит от типа BIOS, поэтому ее нельзя описатьуниверсально. Подробную информацию вы найдете в описании,прилагающемся к вашей материнской плате.2. В привод CD-ROM вставьте установочный компакт-диск с операционнойсистемой Windows XP Professional и перезагрузите компьютер.3. Установка системы должна начаться автоматически. Если этого непроисходит, проверьте еще раз порядок загрузки в BIOS. Если же вкомпьютере уже была установлена какая-то операционная система,может случиться так, что для начала установки системе будет требоватьсянажатие любой клавиши.4. Включится текстовый режим установки и появляется окно с надписьюWindows XP Professional Setup (Установка Windows XPProfessional).5. Когда на экране появится надпись Setup Welcome (Вас приветствуетпрограмма установки), нажмите клавишу Enter.Рис. 2.1. Диалоговое окно Установочная программа системы Windows XP Professional48

Глава 2. Установка ОС на компьютерах-клиентах6. После появления надписи Licensing Agreement (Лицензионное соглашениеоперационной системы Windows ХР) (см. рис. 2.2) подтвердитенажатием клавиши F8 согласие с условиями лицензии.END-USER LICENSE fiGREEttfcHT FOR H1CR0S0I Г SOFTUftBEW1NDOUS ХР PROFESSlONftL EM ft OH SEJWiCK PflCK 2IMPORTANT-ЯНЙР CftHEFi.ll.LV:This End-Usei* License №p*«ef$ent О'ЕОЬЙ") Is a le«jral ayrbetween you . fftt ejwndneftt «i*addcndtm to this EtfLH n^i? actte«npany the Software.yotl AGREE TO BE BOUND BV Kit iiRMS OF THISEULfi BV INSTftLUNG, COPYING, OR OTHERU1S£USING THE 8ОРТУЙШ-. IF VOU BO NOT AGREE,f)0 HOT 1Н6ТПЫ*. СОРУ- ОЙ USE 1HE SOFTUHRE;У0» JifiV RETURN IT TO VOUR I*Lflf.E OF РиНСНЙЁЕFOR ft FULL KEFONH), IF ftPPLICftBLE.1, GRANTOP LICENSE.flici*osof t gran ts you tyou conply ultli all t.et.-iClniatallotion and « ¥ou n.iy install,display and run oncofiputei 4 , such asdevice Olforkstatiщt-iyhts provided thattditienc of this EULft:ору of the Softwarorkstation, terminРис. 2.2. Лицензионное соглашение операционной системы Windows ХР7. В следующем окне нужно создать (или изменить) логическую структуружесткого диска. Нажмите клавишу С, что позволит вам создатьраздел для установки операционной системы.Рис. 2.3. Создание раздела на жестком диске во время установки49

Microsoft Windows Server 20038. В части Create a Partition (Создать раздел объёма) отображен максимальнодоступный объем жесткого диска. Для системного разделаС: отведите 10240 Мб (то есть 10 Гб). Остальное место отведите поддиск D:.Рис. 2.4. Определение размера созданного раздела на жестком диске9. В списке разделов вновь созданный раздел должен быть обозначенкак раздел С:. Если это не так, назначьте ему букву С: и нажмитеклавишу Enter.Рис. 2.5. Раздел, в который произойдет установка Windows XP Professional50

Глава 2. Установка ОС на компьютерах-клиентах10. В следующем диалоговом окне вы можете выбрать файловую систему,которую следует создать на новом разделе. Если вы не сомневаетесьв качестве поверхности диска, установите переключатель вположение Format in NTFS File System (Quick) (Отформатироватьраздел файловой системой NTFS (Быстро)) — так вы сэкономитевремя. Если у вас есть сомнения, выберите положение Format inNTFS File System (Отформатировать раздел файловой системойNTFS). В этом случае при форматировании будет произведен физическийконтроль поверхности и поврежденные («bad») блокибудут исключены из использования. После форматирования разделаначнется копирование файлов в установочную папку Windows XPProfessional.Примечание.^EE=M Е с л и вь| устанавливаете не ХР, a Windows 2000 Professional, то возможностьбыстрого форматирования будет недоступна.11. После копирования файлов будет произведена перезагрузка, и установкабудет продолжена в графическом режиме.Рис. 2.6. Графический режим установки операционной системыWindows ХР Professional51

Microsoft Windows Server 200312. В диалоговом окне Regional and Language Options (Региональные иязыковые настройки) (см. рис. 2.7) выберите подходящие региональныенастройки (язык, формат дат и времени, денежные единицы) ираскладку клавиатуры и нажмите кнопку Next (Дальше).RegionalandLanguageOptionsYoucancustomizeWindowsXPfordiferentregbnsandlanguages.RegionalandLanguageOptionsaliowyoutochangethewaynumbers,dates,curenciesandthetimearedisplayedYoucanalsoaddsupport (oradditionallanguages,andchangeyourlocationseting.TheStandardsandformatsseting is lettoEngfeh (UnitedStates),andthekcafon issettoUnitedStates :Tochangethesesetings,crickCustomize:TextInputLanguagesalowyou toentertent inmanydiferentlanguages,usingavarietyofinputmethodsanddevices,:-• •„':,•„:.••\ourdefaulttextinputlanguageandmethod is;USkeyboardlayoutToviewofchangeyoufcurentconfiguration, clickDetails., • Oetaris.Рис. 2.7. Окно региональных и языковых настроек5213. В диалоговом окне Product Key (Код продукта) (см. рис. 2.8) введитекод для установки операционной системы и нажмите кнопку Next(Дальше).14. В диалоговом окне Personalize software (Личные данные) (см. рис. 2.9)введите имя пользователя и название организации, которая купилалицензию.15. В диалоговом окне Computer Name And Administrator Password(Имя компьютера и пароль администратора) (см. рис. 2.10) введитеимя компьютера (например, РС001) и пароль администраторадлиной не меньше шести символов. Нажмите Next (Дальше) дляпродолжения.16. В диалоговом окне Date And Time Settings (Настройка даты и времени)введите текущую дату, время и выберите правильный часовойпояс. Нажмите Next (Дальше) для продолжения.17. В диалоговом окне Networking Settings (Настройка сети) отметьтеполе Custom Settings (Собственные настройки) и нажмите на кнопкуNext (Дальше).

Глава 2. Установка ОС на компьютерах-клиентахYour PioduclKeyYour PioductKey uniquely identifies youicopyofWindowsXPPleaseseeyou* LicenseAgreement At! ie ticense pioduct key. Fofn^eWoimetitJnsee : youi'pfodu«packaging. ,':: ••• : / .'." • •"• .. •Type thevolume Ic^ise PioduclKeybelowРис. 2.8. Ввод кода Product KeyPersonalize Youi SoftwareSetupuses the informationyou piovideabout yourself to peisonalize youtWindowXP software.Рис. 2.9. Окно ввода личных данных53

Microsoft Windows Server 2003Compute!Nameand AdministratorPasswordYoumustprovide anameand anAdministrate!passwordforyourcomputerSetuphassuggested aname fatyourcomputer Ifyourcomputer isonnetv*3ik,yournetworkadministratorcan telyouwhatname touseSetupcreates auseraccountcartedAdministrator.Youuse thisaccountwhenyouneed fulaccess toyourcomputer. •; ' • • 'TypeanAdmmtstratotpasswordAdministratorpassword- !•••••••ConfirmpasswordРис. 2.10. Окно ввода компьютера и пароля администратора18. В диалоговом окне Networking Components (Настройки сети) выберитестроку Internet Protocol (TCP/IP) (Протокол сети Интернет(TCP/IP)), а затем нажмите на кнопку Properties (Свойства).19. В диалоговом окне Internet Protocol (TCP/IP) (Протокол сети Интернет(TCP/IP)) — Properties (Свойства) (см. рис. 2.11) введитеIP-адрес 192.168.10.17 и маску подсети 255.255.255.0. Остальныесвойства не отмечайте и нажмите на кнопку ОК. Для продолжениянажмите Next (Дальше).Примечание.IP-адрес 192.168.10.17 мы предлагаем только в качестве примера. Почему мывыбрали именно этот адрес, вы узнаете из главы 3, где мы расскажем о протоколеTCP/IP и адресации серверов и рабочих станций.20. В диалоговом окне Workgroup Or Computer Domain (Компьютервходит в рабочую группу или домен) оставьте исходные настройки(т.е. отмеченное поле No, this computer is not on a network, or is ona network without a domain. Make this computer a member of a group:WORKGROUP — Компьютер не подключен к сети или подключенк сети без домена и будет членом следующей группы ГРУППА) инажмите на кнопку Next (Дальше).После задания этих параметров начнется установка системы. По завершенииустановки компьютер будет перезагружен.54

Глава 2. Установка ОС на компьютерах-клиентахYou can get IP setingsassigned automaticaly ifyournetworksupportsthiscspsbility. Oiheiwise,youneed toask you!network adiwistratorFortheappropriate IP setings. ;• • ;; .Г Obtain an IP address automaticallyUse the fotowre IP address::^iPatMress--Subnet mask;Default gateway:i*Use thefoSoWingDNSserveraddresses:PreferedDNS server:AlemateDNS serverРис. 2.11. Настройка протокола IPРис.2.12. Последний этап установки операционной системыWindows XP Professional55

Microsoft Windows Server 2003Установка драйверов устройствПосле первого входа в систему Windows XP Professional под учетной записьюAdministrator (Администратор) выберите в главном меню пункт MyComputer (Мой компьютер) и щелкните по нему правой кнопкой мыши.В контекстном меню выберите команду Properties (Свойства).В диалоговом окне System Properties (Свойства системы) перейдите навкладку Hardware (Оборудование) и нажмите на кнопку Device Manager(Диспетчер устройств). Появится диалоговое окно Диспетчера устройствсо списком установленного оборудования (см. рис. 2.13).i Диспетчер устройствКонсоль Действие Вид СправкаРС001^ DVD и CD-ROM дисководыIDE ДТД/АТАР1 контроллерыf видеоадаптеры^ Дисководы гибких дисков*** Дисковые устройстваФ Звуковые, видео и игровые устройстваЪ» Клавиатуры*j| Компьютер^U Контроллеры гибких дисковКонтроллеры универсальной последовательной шины U56МодемыМониторыМыши и иные указывающие устройстваПорты (СОМ и LPT)ПроцессорыСетевые платыСистемные устройстваУстройства ИК-связиХост-контроллеры шины IEEE 1391Рис. 2.13. Список установленногооборудованияЕсли некоторые устройства будут отображены с вопросительным иливосклицательным знаком, значит, в системе не было подходящего драйверак этому устройству. Нажмите по очереди на эти устройства правойкнопкой мыши и выберите команду Update Driver (Обновить драйверустройства). Запустится Мастер обновления оборудования, которомунужно предоставить правильный драйвер.После правильной установки драйвера знак вопроса около устройствадолжен исчезнуть.Русификация операционной системыДля того, чтобы работать в привычной нам среде с русскоязычнымикомандами меню и диалоговыми окнами, необходимо установить пакетMUI (Multilingual User Interface) поддержки многоязыкового интерфейса.Запустите программу установки, обычно расположенную в папке MUI и56

E U L A , " . . . ' " . . . ; ; . . ' • . ;n c l u d i n g a n y " o n l i n e " o r e l e c t r o n i c d o c u m e n t a t i o n ( " O SC o m p o n e n t s " ) a t e s u b j e c t t o t h e t e f m s a n d c o n d i t i o n s o f t h f ca g r e e m e n t u n d e r w h i c h y o u h a v e l i c e n s e d t h e a p p l i c a b l e M i c r o s o f to p e r a t i n g s y s t e m p r o d u c t d e s c r i b e d b e l o w ( e a c h a n " E n d U s e rL i c e n s e A g r e e m e n t " o r " E U L A " ] a n d t h e t e r m s a n d c o n d i t i o n s o ft h i s S u p p l e m e n t a l E U L A . B Y I N S T A L L I N G ,C O P Y I N G . D O W N L O A D I N G » A C C E S S I N G , O R O T H E R W I S E s -A c c e p t t h e L i c e n s e A g r e e m e n tkГлава 2. Установка ОС на компьютерах-клиентахWindows XP Multilingual User Interface PackWelcome to Windows XP Multilingual User InterfacePack Instalation.Before instaling this package, werecommend that you close ad otherapplications.Please read the folowing license agreement. Press thePAGEDOWNkey to See the rest of the agreement- T о continue with Setup, you mustaccept the agreement.SUPPLEMENTAL END USER LICENSE AGREEMENT FORMICROSOFT SOFTWARE (""Supplemental EULA")УMPORTANT: READ CAREFULLY - The Microsoftoperating system components accompanying this SupplementalРис. 2.14. Начало установки MUI. Лицензионное соглашениеназывающуюся muisetup.exe. После запуска появится окно с лицензионнымсоглашением.Нужно отметить галочкой свое согласие с условиями и нажать Continue (Продолжить).После этого отобразится окно выбора языков (см. рис. 2.15).Windows XP MultilingualUser interfacePack ? I Xinstall languages for menus and dialogs -•-•-Select the languages you want to install on the system Cleat thecheckboxes to remove languages.••• Default user settings • -• •Select a language for the default user and new user accounts.Match the language fb( non-Unicode programs with the default userlanguageMatcti the default shell Ul lonl with the defaultuserlanguage.OKCancelРис. 2.15. Выбор языков57

Microsoft Windows Server 2003Выберите из списка язык по умолчанию для всех будущих учетных записейпользователей, нажмите ОК, и установка будет произведена.Чтобы включить русскоязычный интерфейс, откройте Control Panel (Панельуправления), выберите Regional and Language Options, на вкладкеLanguages выберите русский язык и нажмите ОК для применения новыхустановок. После этого закончите сеанс и зарегистрируйтесь снова. Привходе в систему обратите внимание на раскладку клавиатуры.Проверка работы системыПосле установки ОС желательно убедиться в том, что она работает правильно.Это можно сделать с помощью инструмента Просмотр событий.В главном меню выберите Панель управления, откройте окно Администрированиеи запустите программу Просмотр событий. Просмотритевсе приведенные протоколы и проверьте, не содержат ли они серьезныхошибок, связанных с функционированием операционной системы.Проверка подключения к сетиВ главном меню выберите пункт Выполнить и в поле Открыть окнаЗапуск программы введите команду CMD. Появится окно команднойстроки Windows XP Professional. В командной строке введите командуPING и IP-адрес сервера, установленного в предыдущей главе (PING192.168.10.2). Если проверка пройдет успешно (вы увидите, что вашкомпьютер получает ответы от сервера), обратитесь к серверу по имени(PING SRVR001), чтобы проверить разрешение имен в сети. Этот тесттоже должен пройти успешно.Эти три простых теста нужно провести, чтобы проверить правильностьнастройки компьютера перед тем, как вы начнете устанавливать приложения.Если во время проверки выявятся какие-либо ошибки или неточности,не продолжайте дальше, пока их не устраните.2.4. Автоматическая установкаоперационной системыДопустим, предыдущая установка системы Windows XP Professional продолжаласьпримерно 45 минут. Во время установки было необходимоввести несколько важных данных, без которых она не могла бы продолжаться:например, согласие с условиями лицензии.Вы уже задумывались над тем, зачем сидеть за компьютером и ждать, есличистое время вашего взаимодействия с Мастером установки — считанные58

Глава 2. Установка ОС на компьютерах-клиентахминуты? Может быть, можно заранее записать ответы и предоставить ихМастеру установки?При установке ОС Windows XP Professional и Windows 2000 Professionalэто сделать можно. Все вводимые данные нужно записать в так называемыйфайл ответов и передать его программе установки как параметр.После этого можно отойти от компьютера и заняться чем-нибудь не менееполезным, а установка пойдет без вашего участия.Файл ответов имеет точно определенный формат. Он состоит из разделов,ключей и их параметров. Примерный файл ответов, содержащийвсе допустимые разделы, ключи и возможные параметры, находится надистрибутивном компакт-диске. Создать собственный файл ответов наоснове примерного — задача не самая простая, и корпорация Microsoftпредлагает для этой цели утилиту Диспетчер установки.Примечание редактора.К сожалению, на купленных на лотках дистрибутивах, которыми пользуются многиеиз нас, копии файла ответов есть далеко не всегда.Подготовка файла ответовФайл ответов можно подготовить на любом компьютере, не обязательнона том, где уже установлена Windows XP Professional. Действуйте вследующем порядке:1. На диске С: создайте папку DEPLOY.2. Вставьте в привод CD-ROM дистрибутивный диск с операционнойсистемой Windows XP Professional. Перейдите к папке Support \tools и откройте архив DEPLOY (точнее, DEPLOY.CAB, но вваших текущих настройках папки стандартные расширения могутоказаться скрыты). Появится его содержимое — всего 10 файлов.Примечание.Чтобы отображать все расширения, в окне Проводника выполните команду Сервис—> Свойства папки и на вкладке Вид снимите флажок Скрывать расширения длязарегистрированных типов файлов.3. Нажатием комбинации клавиш Ctrl+A выделите все 10 файлов ивыполните команду Файла -» Извлечь.4. В качестве места назначения укажите папку C:\DEPLOY, созданнуюна первом шаге.5. Нажмите кнопку Извлечь.59

Microsoft Windows Server 20036. Запустите программу С: \DEPLOY\Setupmgr. exe. Это Мастер установкиWindows, на первом шаге которого запускается Диспетчерустановки, помогающий подготовить файл ответов. Запустите Диспетчер,нажав кнопку Далее.7. В диалоговом окне Новый или существующий файл ответов установитепереключатель в положение Создать новый файл ответов инажмите Далее.8. В диалоговом окне Тип установки выберите Автоматическая установкаи нажмите Далее.9. В диалоговом окне Продукт выберите Windows XP Professional инажмите Далее.10. В диалоговом окне Взаимодействие с пользователем (рис. 2.16) выберитеПолностью автоматическая установка и нажмите Далее.Ш Диспетчер установимВзаимодействие с пользователемВыберите тип взаимодействия с пользователем.fПод члравлеиием пользователяУказать стандартные параметры в Файле ответов, пользователь сможет ихизменить. ' ; • •(* Полностью автоматическая установкаСУказать необходимые параметры в Файле ответов, пользователь несможет их изменить.СкрытыеэтапыУказать параметры для скрытых от пользователя этапов программы «станоеки.Г" Только чтениеСУказать все необходимые параметры в Файле ответов. Пользовательсможет просматривать параметры, но не сможет их изменить.Полное взаимодействие с пользователемАвтоматически будет выполняться только часть установки, выполняемая втекстовом режиме. Графическая часть установки будет выполнена внормальном режиме, требуя ввода от пользователя на всех этапа» установки.Рис. 2,16. Диалоговое окно Взаимодействие с пользователем6011. В диалоговом окне Дистрибутивный общий ресурс выберите Установитьс компакт-диска и нажмите Далее.12. Приступайте к вводу ответов. В диалоговом окне Лицензионноесоглашение отметьте поле Соглашаюсь с условиями лицензионногосоглашения и нажмите Далее. Этот ответ имитирует нажатие клавишиF8 в ходе интерактивной установки.13. В разделе Установка программного обеспечения введите имя пользователяи название организации, которая приобрела лицензию.Нажмите Далее.

Глава 2. Установка ОС на компьютерах-клиентахПримечание.Имя пользователя Администратор задавать нельзя. Система Windows XP Professionalне узнает этого имени, и автоматическая установка остановится.14. В разделе Параметры экрана задайте цветовую палитру, областьэкрана и частоту обновления монитора компьютера назначения.Внимание: для того, чтобы эта настройка работала, у Мастераустановки операционной системы Windows XP Professional долженбыть драйвер для видеоадаптера компьютера назначения. НажмитеДалее.15. В разделе Часовой пояс задайте свой часовой пояс и нажмите Далее.16. В разделе Ключ продукта Product Key введите код Product Key собратной стороны футляра дистрибутивного компакт-диска и нажмитеДалее.17. В разделе Названия компьютеров введите имя компьютера назначения(РС002) и нажмите кнопку Присвоить. Для продолжениянажмите Далее.18. В разделе Пароль администратора введите дважды пароль (4e4etk@)и включите опцию Зашифровать пароль администратора в файлеответов. Нажмите Далее.19. В разделе Сетевые компоненты установите переключатель в положениеОсобые параметры, выберите пункт Протокол сети Интернет(TCP/IP) и нажмите кнопку Свойства. Включите опцию Использоватьадрес IP и введите адрес 192.168.10.18 и маску подсети 255.2-55.255.0. Остальные значения оставьте как есть. Нажатием кнопкиОК закройте диалоговое окно Свойства протокола сети Интернет(TCP/IP). Для продолжения нажмите Далее.20. В разделе Рабочая группа или домен оставьте исходные настройкис названием Группа и нажмите Далее.21. В разделе Телефония оставьте исходные настройки и нажмите Далее.22. В разделе Язык и стандарты оставьте исходные настройки и нажмитеДалее.23. В разделе Языки выберите Cyrillic (Кириллические) и нажмитеДалее.24. В разделе Параметры обозревателя и оболочки введите параметры,соответствующие вашей рабочей среде (здесь можно задать настройкидля прокси-сервера).25. В разделе Инсталляционная папка включите опцию В папку с указаннымименем и введите имя папки Windows. Таким образом выобеспечите совместимость с ранее установленными компьютерами.26. В разделе Устанавливаемые принтеры нажмите Далее.27. В разделе Однократное выполнение нажмите Далее.28. В разделе Дополнительные команды нажмите кнопку Закончитьи в диалоговом окне Мастер установки Windows укажите путь к61

Microsoft Windows Server 2003папке, в которой будет создан файл ответов. Можно оставить путьпо умолчанию С : \DEPLOY\unattend. txt. Нажмите ОК.29. Теперь файл создан. Закройте Мастер установки нажатием крестикав правом верхнем углу окна.Откройте файл С: \DEPLOY\unattend. txt и просмотрите список сгенерированныхразделов, ключей и их параметров. Если вы найдете опечаткуили другую неточность, исправьте ее прямо в файле. Встретив опечатку,программа установки остановится и будет ожидать ввода правильногопараметра. Вместе с файлом unattend. txt будет создан также файлunattend.bat. Он не понадобится, и можете удалить его с чистой совестью.Примечание.В Windows 2000 Professional файл ответов генерируется аналогично, с той лишьразницей, что он не содержит кода Product Key, который нужно вводить вручную.Если вы хотите, чтобы установка была полностью автоматической, необходимоотредактировать файл ответов следующим образом: в раздел [UserData],содержащий имя пользователя и названия организации и компьютера, добавьтепункт ProductlD=12345-12345-12345-12345-12345(pa3yMeeTCfl, этот код — толькопример).Примечание.Полный список всех разделов, ключей и параметров вы найдете в файле Deploy.chm в разделе Ссылка.Установка с помощью файла ответовВ предыдущем разделе мы создали файл ответов, которого вполне достаточнодля полной автоматической установки Windows XP Professional наодин компьютер. Остается вопрос: как «скормить» этот файл программеустановки, если, как вы могли убедиться в ходе интерактивной установки,прерывать и возобновлять ее работу нельзя?Очевидно, что загрузочная дискета (которую в случае Windows XPProfessional нужно скачать из Интернета) здесь не поможет: она применяетсятолько для загрузки системы в том случае, если BIOS не поддерживаетзагрузку с CD-ROM. После загрузки программа-инсталляторзапускается с компакт-диска обычным способом.Для успеха задуманной операции нужно знать небольшой трюк:621. В настройках BIOS компьютера назначения укажите следующийпорядок загрузочных устройств:

Глава 2. Установка ОС на компьютерах-клиентах• CD-ROM.• Жесткий диск.• Дискета.2. Файл unattend. txt переименуйте в WINNT.SIF и запишите его напустую (не загрузочную) дискету. Можно использовать и дискету,уже содержащую файлы или папки, но тогда обязательно поместитефайл WINNT.SIF в ее корневой каталог, то есть A:\WINNT.SIF.3. Вставьте дискету в дисковод для гибких дисков, а в привод CD-ROMвставьте загрузочный диск дистрибутива Windows XP Professional иперезагрузите компьютер.При загрузке компьютера с компакт-диска программа установки «заглядывает»во флоппи-дисковод, проверяя, есть ли там дискета, а надискете — файл WINNT.SIF. Если есть, то она прочитывает этот файл ируководствуется им. Если нет, то она начинает обычную интерактивнуюустановку системы.После окончания установки выньте дискету из дисковода.2.5. Установка в крупной сетиЕсли вы внимательно следили за порядком автоматической установкиоперационной системы Windows XP Professional, то заметили, что файлответов предназначен только для одного компьютера (включает уникальныепараметры, такие как имя компьютера, код Product Key илиIP-адрес). Так возможна ли автоматическая установка на все клиентскиекомпьютеры сети?Конечно, единственным решением будет подготовить отдельный файлответов для каждой рабочей станции. Однако в крупной сети это станетбольшой проблемой и возможным источником ошибок, которые проявятсяв самый неподходящий момент — во время установки. Давайтепосмотрим на уникальные параметры подробнее.Код Product KeyЕсли вы проводите автоматическую установку «коробочных» версийоперационной системы Windows XP Professional, обязательно убедитесь,что каждый компьютер имеет уникальный код Product Key. В противномслучае не позднее чем через 30 дней после установки вы столкнетесь струдностями при активации продукта. В этом случае код Product Keyнужно принимать за уникальный параметр.Если вы получили операционную систему Windows XP Professional noодной из программ оптового лицензирования корпорации Microsoft, вы63

Microsoft Windows Server 2003должны иметь единый универсальный код Product Key. В этом случае кодпригоден для всех компьютеров и не является уникальным параметром.Имя компьютераОчевидно, что имя компьютера в сети — это всегда уникальный параметр.При автоматической установке нужно тщательно следить за тем, чтобыимена компьютеров не совпали.IP-адресКак и имя, IP-адрес компьютера должен быть уникален в пределах сети.Исключение составляет случай, когда компьютеры уже во время установкиполучают IP-адрес от сервера DHCP.Прочие параметрыЕсть и другие параметры, которые могут отличаться у разных компьютеров.Например, IP-адреса серверов DNS, настройки прокси-сервера дляприложения Internet Explorer, настройки разрешения экрана, цветовойпалитры или горизонтальной частоты обновления монитора и другие. Кназначению этих параметров в файле ответов тоже нужно отнестись совсем вниманием.Как можно предусмотреть все это при автоматической установке? Ответомявляется файл UDF (Uniqueness Database File).UDF — файл уникальных параметровВнимание! Этот способ нельзя использовать при автоматической установкес дистрибутивного компакт-диска. Он годится только для установкипо сети или вообще там, где можно запустить программу-инсталлятор изкомандной строки, передав ей параметры.641. Создайте в сети отдельную папку для установочных файлов системыWindows XP Professional. В эту папку поместите содержимое папки1386 с дистрибутивного компакт-диска. Компьютеры с такой папкойназываются дистрибутивными серверами.2. Загрузите компьютер назначения с загрузочной дискеты MS DOS.3. Создайте на компьютере назначения раздел размером не менее 1 Гби отформатируйте его.4. Запустите на компьютере назначения сетевой клиент для MS DOS иподключитесь к сетевой дистрибутивной папке с помощью командыnet use.

Глава 2. Установка ОС на компьютерах-клиентахПримечание.Сетевой клиент для MS DOS можно найти на дистрибутивном компакт-диске ссистемой Windows NT 4.0 Server.Теперь можно запустить программу установки с двумя параметрами.Первый — это имя файла ответов, содержащего параметры, одинаковыедля всех компьютеров сети, а второй (необязательный) — имя файлабазы данных UDF.Файл UDF имеет такую же структуру, как и файл ответов, но содержитдополнительный раздел [UniquelDs] с уникальными идентификаторамикомпьютеров, в котором перечислены только те параметры, которые длякаждого компьютера отличаются от стандартного набора.Вот пример файла UDF для двух компьютеров: РС003 и РС004. Ониотличаются, естественно, именами и IP-адресами, но РС003 кроме тогоимеет другую частоту горизонтальной развертки монитора (70Hz) и другуюглубину цвета (32 байта).[UniquelDs]РСО03=UserData,Display,params.MS_TCPIP.AdapterlPC004=UserData,params.MS_TCPIP.Adapterl[PC003:UserData]CoinputerName=PC003[PC003:Display]Vrefresh=70BitsPerPel=32[PC003:params.MS_TCPIP.Adapterl]IPAddress=192.168.10.19[PC004:UserData]ComputerName=PC004[PC004:params.MS_TCPIP.Adapterl]IPAddress=192.168.10.20Использовать файл UDF очень просто. В случае установки компьютераРС003 используется вся информация, приведенная в файле ответов, заисключением той, которая для компьютера РСООЗ определена в файлеUDF (или если параметры, приведенные в файле UDF, имеют приоритетпо отношению к параметрам в файле ответов).Пусть файл ответов имеет имя unattend. txt, а файл UDF — имяunattend.udf, и оба они расположены на дискете. Тогда синтаксискоманды запуска установочной программы WINNT.EXE со всеми параметрамидля компьютера РСООЗ будет следующим:WINNT.EXE /u:a:\ unattend.txt / udf:рсООЗ,а:\ unattend.udf3 Зак. 446 65

Microsoft Windows Server 2003При установке компьютера РС004 синтаксис будет очень похожий:WINNT.EXE /и:а:\ unattend.txt / udf:рс004,а:\unattend.udfТаким образом, для установки, например, 100 компьютеров вам понадобитсятолько два текстовых файла: один с ответами, второй — с исключениямидля отдельных компьютеров. При автоматической установке скомпакт-диска вам потребовалось бы 100 файлов ответов.У внимательного читателя мог возникнуть вопрос: если при установкепо сети необходимо сначала загрузить компьютер с загрузочной дискетыMS-DOS, потом создать раздел размером хотя бы в 1 Гб (разумеется; сфайловой системой FAT) и только потом начинать установку, то не окажетсяли после установки, что жесткий диск будет разбит на два разделаС: (1 Гб FAT) и D: (все оставшееся пространство на диске, NTFS)?Как уже сказано в этой главе, на рабочей станции желательно было быиметь единственный раздел С:, занимающий весь жесткий диск и отформатированныйв файловой системе NTFS. Чтобы получить в итогеустановки такой результат, нужно добавить в раздел [Unattended]файла ответов две строки:FileSystem=ConvertNTFS, ExtendOEMPartition=lПервая из них конвертирует раздел, созданный DOS, в файловую системуNTFS, вторая расширяет этот раздел на весь физический диск.2.6. Активация системы«Коробочную» версию клиентской операционной системы Windows XPProfessional после установки необходимо активировать. Активация состоитв проверке того факта, что код продукта (Product Key) данногодистрибутива не использовался на большем количестве компьютеров,чем указано в лицензии.Если Windows XP Professional устанавливается по программе оптовоголицензирования, например Open License или Select License, то активациине требуется: в этом случае для всех рабочих станций организациидействителен единый код Product Key.Систему можно активировать через Интернет (что намного быстрее и проще)или по телефону. Если вы хотите провести автоматическую активациюуже во время установки системы, нужно не забывать о следующем:661. Во время установки система должна иметь доступ к Интернету. Еслидля доступа в Интернет вы используете прокси-сервер, необходимо

Глава 2. Установка ОС на компьютерах-клиентахуказать его в файле ответов. Для этого в разделстрокиHTTP_Proxy_Server = http://proxyserver:portProxy_Enable = 1Proxy„Override = local,[Proxy] добавьтегде proxyserver — это имя компьютера, выполняющего рольпрокси-сервера, a port — это номер порта.2. Файл ответов должен содержать запись, которая обеспечивает автоматическуюактивацию системы: в раздел [Unattended] добавьтестрокуAutoActive = Yes3. Файл ответов должен содержать ключ UnattendSwitch: в раздел[Unattended] добавьте строкуUnattendedSwitch = YesПримечание.Заказ автоматической активации не гарантирует того, что активация действительнопроизойдет. Помешать этому могут, например, проблемы, возникшие приподключении к Интернету, или неправильная настройка сети.2.7. ИтогиКлиентом в сети является компьютер, пользующийся услугами серверов.Последовательность установки операционной системы на компьютерыклиентыочень похожа на последовательность установки ОС на серверы,описанную в предыдущей главе. Благодаря тому, что у компьютеров-клиентовможно предполагать почти одинаковые конфигурации, можно свыгодой использовать автоматическую установку, а там, где это возможно,установку с помощью клонирования дисков.Если вы хотите использовать автоматическую установку с компакт-диска,дайте файлу ответов имя WINNT.SIF и поместите его в корневой каталогдискеты, которая во время загрузки с компакт-диска должна находитьсяв дисководе для гибких дисков.При автоматической установке ОС на несколько компьютеров по сетиуместно использовать файл уникальных параметров UDF. Так вы избежитенеобходимости создавать для каждого компьютера собственныйфайл ответов. Единственный файл UDF содержит те ключи и параметры,которые для каждого отдельного компьютера отличаются от стандарт-67

Microsoft Windows Server 2003ных, указанных в файле ответов. Во время установки на этот компьютеруникальные ключи имеют приоритет перед стандартными.До истечения 30 дней после установки операционной системы нужно провестиактивацию продукта (в случае установки продукта с «коробочной»версии). В противном случае вы не сможете использовать систему.Состояние сетиТеперь в сети установлены все компьютеры-клиенты, и с помощью утилитыPING проверена связь между ними и сервером.68

Учим компьютерработать в сетиЧто такое протокол?Какой протокол выбрать?Адресация, установкаи настройка протокола TCP/IPПроверка связиБудущее протокола TCP/IP.Протокол TCP/IP версия 6 (IPv6)MICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

При покупке нового компьютера уже автоматически предполагается,что будет необходимо подключение к локальной сети. Это предположениеимеет, конечно, свое обоснование — нужно иметь доступ к даннымв сети, идет ли речь о папках с документами фирмы, изображениямиили другой важной информацией или, например, о печати на сетевыхпринтерах. В наши дни устройства, предназначенные для коммуникации,уже относятся к обязательному оборудованию нового компьютера. Этокасается и переносных компьютеров (ноутбуков).Такое устройство — сетевой адаптер — необходимо для работы компьютерав сети, но самого по себе его недостаточно.. Адаптер обеспечиваеттолько физическое подключение компьютера к сети и передачу электрическихсигналов. Помимо этого необходимо программное обеспечение,которое будет управлять этим устройством и обеспечивать передачу данныхпо коммуникационному протоколу. Это программное обеспечениеявляется частью операционной системы.3.1. Что такое протокол?Если на улице к вам обратится турист, говорящий на совершенно незнакомомвам языке, вы наверняка сначала удивитесь, а потом, возможно,вытянете из себя пару слов или жестов, которые для него будут означать,что вы не понимаете его языка и поэтому не сможете ему помочь. Чтобыэта коммуникация прошла успешно, вы должны были бы, во-первых, пониматьего, а во-вторых, уметь выражаться на его языке так, чтобы онпонял вас.70

Глава 3. Учим компьютер работать в сетиКоммуникация компьютеров происходит точно так же. Язык, которыйкомпьютеры используют для общения друг с другом, называется коммуникационнымпротоколом, или просто протоколом. Если два компьютерадолжны что-то сообщить друг другу и понять друг друга, нужно, чтобыони использовали один и тот же протокол. Таким образом, протоколявляется еще одной незаменимой частью для успешной коммуникациив сети.За время, в течение которого развиваются компьютеры и сети, появилосьмножество коммуникационных протоколов. Некоторые компаниивключили в свои операционные системы собственные протоколы, другиеиспользовали так называемый открытый протокол. В операционныесистемы Windows с самого начала было встроено несколько протоколов.Не каждый из них, однако, пригоден для любых условий: для конкретныхсетей могут существовать свои ограничения. Первый вопрос при развертываниисети — какой протокол выгоднее всего в ней использовать. Припоиске ответа на этот вопрос необходимо учесть следующие моменты:• Насколько сложна топология сети?• Сколько компьютеров будет работать в сети?• Будет ли сеть подключена к Интернету?• Какие операционные системы будут использоваться в сети?3.2. Какой протокол выбрать?В сетевые операционные системы Windows XP Professional и WindowsServer 2003 встроено несколько протоколов. Они весьма различны междусобой (иначе не было бы смысла включать их все), и не каждый из нихможно использовать для одних и тех же целей. Проще говоря, каждыйих них подходит для конкретного типа сети.С первого взгляда может показаться, что самым разумным решением вслучае, если вы не уверены, какой протокол лучше подойдет для конкретнойсети, будет установить все протоколы и в соответствии с мнением«компьютеру видней» возложить правильный выбор протокола и всюответственность за связь на компьютер. Но это не выход из положения.Такое решение породит лишние проблемы при устранении трудностей вслучае, когда коммуникация в сети не проходила так, как полагается. Оперегрузке сети мы даже не говорим.Прежде чем вы начнете использовать какой-либо протокол, нужно всехорошо обдумать и спланировать. Далее мы подробнее рассмотрим некоторыепротоколы операционных систем, начиная с Windows 2000.71

Microsoft Windows Server 20033.2.1. NetBEUIОбщее описаниеПротокол NetBEUI (NetBIOS Extended User Interface) является оченьпростым протоколом, который корпорация Microsoft включила в своюпервую сетевую операционную систему в 1993 году. В то время существовалоне так много компьютерных сетей, и речь всегда шла о локальнойсети LAN (Local Area Network). Установка протокола очень быстрая, афункционирование сети стабильно.Огромным преимуществом использования протокола NetBEUI являетсявозможность использовать его без всякой настройки. Это означает, чтопосле его установки компьютеры сразу же могут начать общение друг сдругом — никаких параметров изменять не придется. На заре появлениясети это было оптимальным вариантом, так как сеть была тогда совершенноновой технологией и никто не знал, как с ней нужно работать.Более того, протокол NetBEUI устанавливался вместе с Windows какпервоначальный протокол, и не было необходимости устанавливать егоотдельно.Последовательность установки протокола NetBEUI в системе WindowsХР Professional изменилась по сравнению с предыдущими системами.Вы уже не найдете протокол на «обычном» месте вместе с остальными(рис. 3.1). Поводом к этому послужило изменение типичной сетевойсреды: протокол NetBEUI теперь используется редко, значит, нет смыслаоставлять его в системе. Он находится на установочном компакт-дискеCD-ROM системы Windows XP Professional.Установка протокола NetBEUIПоследовательность его установки в системе Windows XP Professionalследующая:1. Вставьте в привод установочный компакт-диск с операционной системойWindows XP Professional и перейдите к папке E:\VAULEADD\MSFT\NET\NETBEUI (буквой Е: здесь обозначен привод CD ROM,который в вашем компьютере может называться по-другому).2. Скопируйте файл NBF.SYS в папку %SYSTEMROOT%:\SYSTEM32\DRIVERS, а файл NETNBF.INF — в папку%SYSTEMROOT%\INF.3. Откройте окно Подключение к локальной сети — свойства и нажмитекнопку Установить. Теперь среди предлагаемых для установкипротоколов будет пункт Протокол NetBEUI.72

Глава 3. Учим компьютер работать в сетиВыбор сетевого протопопаВыберите сетевой протокол, которой требуется установить, инажмите кнопку ОК. При наличии установочного дискадляэтогокомпоненте, нажмите кнопку'Установить с диска".Сетевой протоколул/Арр1вТа!к ProtocolЩ1 Microsof! TCP/IP version Б%xf Network Monitor DriverSjNWLink IFWSFX/NelBIOS Compatible Transport Protocol t>^ Reliable Multicast ProtocolДрайвер имеет цифровую подпись, '' установить с д к«. 5.- - ванин драйверов • •...,.I.SC~;J : ! Отмена [Рис. 3.1. Протокол NetBEUI среди предложенных протоколовдля установки отсутствуетПримечание.Если расширения файлов не отображены либо вы не видите папки INF в папкеWINDOWS, откройте окно Мой компьютер и в меню Сервис выберите пунктСвойства папки. На вкладке Вид снимите флажок Скрывать расширения длязарегистрированных типов файлов и установите флажок Показывать скрытыефайлы и папки.Существенным недостатком протокола NetBEUI, с современной точкизрения, является то, что он не поддерживает маршрутизацию. Это значит,что в крупной сети (порядка сотни компьютеров) или в сети, объединяющейнесколько подсетей, протокол NetBEUI использовать невозможно.Еще более очевидным неудобством отсутствия маршрутизации являетсяневозможность присоединить сеть, основанную на протоколе NetBEUI,к Интернету. Если вы колеблетесь в выборе протокола, то по этим двумпричинам лучше отказаться от использования NetBEUI. Его недостаткив наше время значительно перевешивают его достоинства.3.2.2. TCP/IPПротокол ТСРДР был создан в 1970 году для пробной сети американскогоминистерства обороны ARPANET, которая позже разрослась до известногосегодня Интернета. Операционные системы UNIX использовалипротокол ТСРДР с самого начала. Роль ТСРДР как основного протоколасети Интернет до сих пор является неоспоримым доказательством егонадежности и функциональности. Другим его преимуществом являетсяналичие версий для любых компьютерных платформ.73

Microsoft Windows Server 2003Операционные системы Windows, начиная с Windows 2000, уже используютпротокол TCP/IP как базовый. Это значительно ускоряет установкуновой операционной системы, так как после завершения установки компьютерсразу, без перезагрузки, готов к работе в сети. Однако в отличиеот протокола NetBEUI протокол TCP/IP нужно сконфигурировать. Этоможно сделать уже во время установки системы или в любое другое время.На практике чаще используется второй вариант, то есть настройка послеустановки: во время установки не всегда известны конкретные параметрысети организации, тем более внешним специалистам, которые обычноустановку и выполняют.Правильная конфигурация требует знания адресации протокола IP,устройства подсетей, других служб в сети, которые работают вместе спротоколом TCP/IP, например инструментов для устранения неполадок.Речь идет об очень большой теме, которая бы заняла целую книгу (итаких книг написано уже много). Это означает, что конфигурированиепротокола TCP/IP для конкретной сети должен провести специалист,в котором вы уверены и знаете, что он ничего не забудет и все сделаетправильно. Более подробные сведения о конфигурировании сети вынайдете дальше в этой главе.Неоспоримым преимуществом протокола TCP/IP является его маршрутизируемость.На практике это означает, что с его помощью вы можетеобратиться к любой удаленной сети (при условии, что с ней существуетфизическое соединение). Сеть, основанная на протоколе TCP/IP, можетрасти без ограничений. Достаточным доказательством этому утверждениюслужит существование сети Интернет.Очень часто о TCP/IP говорят как о едином протоколе. На самом делеTCP/IP — это целый стек протоколов, состоящий из нескольких уровней.Для повседневной работы администратора необязательно знать этиподробности. В качестве примера протоколов, которые являются частьюстека TCP/IP (с некоторыми из них вы уже встречались), можно назватьICMP, IGMP, IP, TCP, HTTP, FTP, SMTP, SNMP, POP3, IMAP4 илиNNTP. Протокол TCP/IP — это, безусловно, феномен сегодняшнего днясреди сетевых протоколов, и можно рекомендовать только лишь его. Дажепри развертывании малой сети уместно с самого начала использоватьTCP/IP, чтобы обеспечить возможность дальнейшего роста (на которыйдолжна рассчитывать каждая организация).3.2.3. NWLinkКогда корпорация Novell выпустила свою операционную систему NovellNetWare, она готовила ее для коммуникации в сети при помощи собственногопротокола IPX/SPX (Internetwork Packet Exchange/Sequenced Packet74

Глава 3. Учим компьютер работать в сетиExchange). Она выпустила его только для своей системы, никогда не оглашалаего подробности, и он навсегда остался только ее собственностью.При появлении сетевых операционных систем Windows корпорацияMicrosoft сделала акцент на совместной работе своих сетевых клиентовс системой NetWare корпорации Novell. Изначально обе корпорацииусловились, что клиента для доступа к серверам NetWare, который станетчастью Windows, будет создавать корпорация Novell. Позже передкорпорацией Microsoft встала проблема: как организовать коммуникациюсобственных клиентов, работающих по протоколам NetBEUI или ТСРДР,с ресурсами NetWare с протоколом IPX/SPX? Следствием этого сталасобственная реализация протокола IPX/SPX, которую в системах Windows2000 и последующих корпорация Microsoft назвала NWLink.Новые версии системы Novell NetWare уже содержат протокол ТСРДР. Вэтом случае отпадает необходимость устанавливать протокол NWLink, чтозначительно упрощает ситуацию и, как правило, делает ее прозрачнее.Ответ на вопрос, какой протокол выбрать, таким образом, кажется однозначным.Если вы используете систему Windows и при этом хотите иметьнадежную сеть, стабильный выход в Интернет и минимум временных ифинансовых затрат на устранение неполадок, выбирайте только протоколTCP/IP. Ваша сеть будет быстрой, легко масштабируемой, основаннойна стабильных и проверенных технологиях и готовой к подключению кИнтернету. Каким способом протокол TCP/IP конфигурируется, какиеинструменты нужны для настройки и как устранять неполадки, — обэтом речь пойдет далее.з.з. Адресация протокола TCP/IPДаже если вы, установив протокол ТСРДР, оставите его в «первобытном»состоянии, есть вероятность, что ваши серверы и клиенты все-таки смогутобщаться между собой. Однако рассчитывать на авось не стоит, темболее в сети масштаба предприятия: настраивать протокол ТСРДР всеравно придется.Для небольшой сети, объединяющей десяток-другой компьютеров, в настройкеТСРДР нет ничего сложного. Каждому компьютеру должен бытьприсвоен уникальный IP-адрес, маска подсети и в случае необходимостидругие конфигурационные параметры, которые описаны далее.IP-адресаЧтобы компьютер мог общаться в сети по протоколу ТСРДР, ему долженбыть присвоен IP-адрес, действительный в данной сети или подсе-75

Microsoft Windows Server 2003ти. IP-адрес — это 32-разрядное число, представленное в виде четырехвосьмибитовых чисел (так называемые октеты), разделенных точками.Примеры IP-адресов:• 1.2.3.4• 102.13.16.237• 216.254.1.18Назначение IP-адреса должно подчиняться следующим основным правилам:1. Компьютеру нельзя присвоить первый адрес в данной сети (адрес,заканчивающийся на число 0). Такие адреса зарезервированы дляобозначения всей сети.2. Компьютеру нельзя присвоить последний адрес в данной сети(адрес, заканчивающийся на число 255). Такие адреса служат дляшироковещательных передач (broadcasting) — обращения ко всемкомпьютерам в сети.3. Каждый из октетов — это число в диапазоне от 0 до 255: восемьюбитами можно записать только 256 различных чисел.4. IP-адрес каждого компьютера должен быть уникален в пределахсети. Если присвоить новому компьютеру уже существующий в сетиадрес, то возникнет конфликт адресов. Операционная система сообщито конфликте, показав окно предупреждения, и оба компьютеране будут допущены к работе в сети до исправления ситуации.Как видно из этих правил, очень легко подсчитать, для скольких компьютеровнайдется место в одной сети, работающей по протоколу TCP/IP.Теоретически IP-адреса могут быть любыми в диапазоне от 0.0.0.0 до255.255.255.255, что составляет 2 32 — 2 = 4 294 967 294.На практике, однако, существуют еще некоторые ограничения, в результатекоторых предельное количество компьютеров в сети оказываетсядаже меньше. Так найдутся ли для вашей сети свободные адреса илинужно поверить скептикам, утверждающим, что диапазон IP-адресовуже почти исчерпан? Оказывается, верно и то, и другое: действительнодиапазон адресов близок к исчерпанию, но для вашей сети адреса всегданайдутся.Внутренние IP-адресаО том, чтобы в распоряжении локальных сетей было достаточно IPадресов,задумались задолго до того, как была установлена первая сетьпод управлением ОС Windows 2000. Поскольку внутренние сети никакне связаны друг с другом, для адресации компьютеров в них можно использоватьодин и тот же диапазон IP-адресов.76

Глава 3. Учим компьютер работать в сетиДля локальных сетей, в зависимости от их размера, организацией IANA(Internet Assigned Numbers Authority), отвечающей за присвоениеIP-адресов в Интернете, выделены следующие диапазоны адресов:• 10.0.0.0 — 10.255.255.255• 172.16.0.0 — 172.31.255.255• 192.168.0.0 — 192.168.255.255Этих адресов вполне достаточно для организации сети, объединяющейнесколько тысяч компьютеров. О любом адресе в такой сети можно спочти стопроцентной уверенностью утверждать, что он используетсяеще где-то. Однако беспокоиться о возможном конфликте адресов незачем:адреса из зарезервированных диапазонов действительны только впределах локальной сети и ни с какой посторонней сетью не связаны.Даже если вы собираетесь впоследствии подключить свою локальнуюсеть к Интернету, конфликта все равно не возникнет: об этом позаботятсятехнологии, известные как прокси-сервер или трансляция сетевыхадресов (Network Address Translation, NAT). Эти технологии скрываютлокальную сеть от внешнего мира, позволяя тем не менее сообщаться сИнтернетом всем тем локальным компьютерам, которым это разрешиладминистратор.Так как подавляющее большинство локальных сетей — малые, то естьобъединяющие всего несколько десятков компьютеров, чаще всего для ихадресации выбирают третий из зарезервированных диапазонов. Он предлагает256 подсетей, каждая из которых может содержать не более 254компьютеров (напоминаю, что первый и последний адреса из диапазонадля адресации отдельного компьютера использовать нельзя) — итого65024 компьютера.Малую сеть можно логически разбить на подсети (например, относящиесяк разным подразделениям) произвольным образом. Для этого служитмаска сети. Например, подсеть 192.168.10.0/24 объединяет компьютеры садресами от 192.168.10.1 до 192.168.10.254.Публичные IP-адресаОчень упрощенно можно сказать, что публичными называются все теIP-адреса, которые не зарезервированы для локальных сетей. Это адреса,не относящиеся к сетям, рассмотренным в предыдущем пункте. Примертаких адресов — 111.112.113.114 или 170.180.190.200. Конечно, не каждыйпубличный адрес кем-то используется: многие компании, получив в своераспоряжение несколько IP-адресов, потом используют не все из них.Однако из того, что конкретный адрес не занят сейчас, отнюдь не следует,что завтра или через час он так и останется свободным.77

Microsoft Windows Server 2003Как видите, публичных адресов намного больше, чем внутренних. Разумеется,так и должно быть: всемирная сеть Интернет включает большекомпьютеров, чем любая локальная сеть.Примечание.Когда вы подключаете свою локальную сеть к Интернету, свои публичныеадреса вы уже не можете выбирать так же произвольно, как адреса локальныхкомпьютеров. Вы должны получить их у своего провайдера, предоставляющегодоступ в Интернет.Внутренние IP-адреса и ИнтернетКак уже было сказано выше, локальную сеть, использующую внутренниеадреса, к Интернету подключить можно. Благодаря таким, например,технологиям, как трансляция сетевых адресов (NAT), адреса локальныхкомпьютеров скрыты от внешнего мира. Более того, Интернет-маршрутизаторыне умеют работать с адресами, зарезервированными для внутреннегоиспользования: если бы они получили пакет, направленный натакой адрес (например, ответ с веб-сервера корпорации Microsoft), тоотбросили бы его без предупреждения, даже не попытавшись доставитьпо назначению.Кто-нибудь бы мог сейчас задать простой вопрос: если адреса внутреннейсети не видны извне, то не все ли равно, как их выбирать? Что мешаетиспользовать в локальной сети адреса из публичных диапазонов?Ответ тоже прост. Если вы не собираетесь подключать локальную сетьк Интернету, то можете назначить внутренним компьютерам любыеадреса.Если же собираетесь, то обязательно выбирайте адреса из диапазонов,зарезервированных для локальных сетей. В противном случае, хоть вашасеть и будет работать надежно, вы не получите доступа к Интернет-серверам,адреса которых совпадают с теми, которые вы выбрали для локальныхкомпьютеров. А что если это окажутся очень важные серверы?Маска подсетиМаска подсети — это 32-разрядное число, которое подобно IP-адресуделится на 4 октета по 8 битов. Ее роль в IP-адресации очень велика, таккак именно маска определяет, находятся ли компьютеры в одной подсетитак, что они могут общаться напрямую, или же их коммуникация должнапроходить через маршрутизатор.Приведем простой пример. Для сетей класса С (к этому классу относятсялокальные сети, в первом октете адреса которых стоит число 192) маска78

Глава 3. Учим компьютер работать в сетиподсети по умолчанию равна 255.255.255.0. Записав ее в двоичной системе,получим 11111111.11111111.11111111.00000000. Теперь запишем IP-адреси маску друг под другом:11000000.10101000.00001010.00000001 — IP-адрес (192.168.10.1)11111111.11111111.11111111.00000000 — маска подсети (255.255.255.0)Та часть IP-адреса, которой соответствуют единицы маски, распознаетсякак адрес подсети, а те двоичные разряды, которым соответствуют нулимаски, — как адрес узла (компьютера) внутри подсети. Узлы одной подсети(192.168.10.2,192.168.10.3 и т.д.) «видят» друг друга непосредственно, адля коммуникации между узлами разных подсетей (например, 192.168.10.1и 192.168.11.1) необходим маршрутизатор.В пункте 3.3.2 мы выбрали для сети адрес 192.168.10.0/24. Что означаетэта запись?Маска подсети — это такое число, в двоичной записи которого все единицыпредшествуют всем нулям, что естественно: в IP-адресе разряды, отведенныепод адрес подсети, предшествуют разрядам, отведенным под адресузла. Такие числа однозначно определяются количеством единиц в них.Подсчитайте единицы в числе 11111111.11111111.11111111.00000000 —их 24. Выражение /24 — это запись той же самой маски подсети 255.25-5.255.0 в нотации CIDR (Classless InterDomain Routing).Примечание.Последний октет маски подсети не обязан быть нулевым. Можно логически разбитьодну сеть на несколько, «позаимствовав» несколько разрядов, обычно отводимых подадрес узла, и использовав их для адресации подсетей. Так, маска 255.255.255.192,последний октет которой в двоичной записи выглядит как 11000000, позволяетсоздать четыре сети с 62 (64-2, напоминаю, что первый и последний адреса в подсетизарезервированы для специальных целей) узлами в каждой.В более крупных сетях вы можете встретить маску 255.255.0.0 и даже255.0.0.0. Рассмотрение этих случаев выходит за рамки нашей книги.3.4. Установка протокола TCP/IPПротокол TCP/IP в операционных системах Windows 2000 и последующихустанавливается автоматически в ходе установки системы. При типичнойустановке TCP/IP является единственным установленным протоколом(рис. 3.2).79

Microsoft Windows Server 2003Сам протокол лишь обеспечивает возможность коммуникации междукомпьютерами. Для нормальной работы пользователя в системе должныбыть установлены еще и другие службы и клиенты.Клиент сети MicrosoftКлиент сети Microsoft — это сетевой компонент, позволяющий компьютеруиспользовать возможности, предоставляемые сетью под управлениемоперационных систем Microsoft. Если этот компонент не установлен, топользователь клиентского компьютера не может подключиться к общимпапкам, печатать на сетевых принтерах и т.п. Такая связь с точки зренияпользователя совершенно бесполезна.Как говорит название, этот компонент предназначен только для работыв сети Microsoft. Если вы хотите использовать сетевые возможностиоперационной системы Novell NetWare, то необходимо кроме протоколаNWLink устанавливать и клиента системы NetWare.Клиента сети Microsoft не нужно конфигурировать. Единственным конфигурационнымпунктом, который появляется после нажатия кнопки Свойства,является Служба удаленного вызова процедур (Remote ProcedureCall). По умолчанию в Windows XP Professional эту функцию выполняетЛокатор системы Windows, что соответствует нашим задачам.• " • ' " • ' • " • •' •"; Обшив I проверка подлинности JПодключение чер^э:Щ:••.'••Intel 21140-Based PCI Fast Ethernet Adapter (Generic}• : растроить.. .Дтме'«!нные компоненты ИСПОЯЬЗ;ЙОТСЯЭТИМ подключением:D J§ Network Load BalancingЙ ^§Fi!e and Pnntet Sharing foi Microsoft NetworksSB V" Internet Protocol (TCP/IP)Установить,., j Удалить Г Свойства^""Описание ~—~~У",——'• :i Позволяет данному ^c№rtпыoт8й^ получать доетдп кI рвсдосам в сети Mtaosoft.Г" Дри подключении вывести значок в обласга даедомяешй' Закрыть | ОТМЙМЗ ' 1Рис. 3.2. Диалоговое окно свойств подключенияк локальной сети в Windows XP Professional80

Глава 3. Учим компьютер работать в сетиВыбор сетевого клиентаМВыберите сетевой клиент, который требуется установить, и нажмите;кнопку ОК. При наличии устaMdeweioro диска длязтого компонента,нзжмитфкнолк^ "Установить с диска". .- ...'.:..,Сетевой клиент/t Service for WДрайвер имеет цифровой подпись.Установить сдиск-э...Рис.3.3. Установка клиента сети NetWareСлужба доступа к файлам и принтерам сетей MicrosoftЭта сетевая служба в некотором смысле противоположна Клиенту для сетейMicrosoft. Ее назначение в том, чтобы разделяемые папки и принтерытого компьютера, на котором работает эта служба, были в распоряженииудаленных пользователей (других компьютеров в сети). Полностью ситуациюможно описать так: Клиент сети Microsoft на локальном компьютереобщается со Службой доступа к файлам и принтерам сетей Microsoft наудаленном компьютере и наоборот.Служба доступа к файлам и принтерам сетей Microsoft в операционнойсистеме Windows XP Professional настройке не подлежит.Для полноценной работы в сети компьютера с Windows XP Professionalнеобходимы все три вышеназванных компонента: протокол сети Интернет(TCP/IP), Клиент для сетей Microsoft, Служба доступа к файлам ипринтерам сетей Microsoft.3.5. Настройка протокола TCP/IP3.5.1. Подготовка к настройкеК настройке протокола TCP/IP следует тщательно подготовиться. Необходиморешить следующие вопросы:• Какой диапазон адресов выбрать для адресации сети?• Какие IP-адреса назначить серверам?• Какие IP-адреса назначить принтерам и подобным им устройствам?• Какие IP-адреса назначить клиентским компьютерам?81

Microsoft Windows Server 2003• Каким будет адрес основного шлюза?• Какими будут другие параметры протокола IP (серверы DNS, WINS,имя домена и т.п.)?• Какой способ выделения адресов выбрать?Какой диапазон адресов выбрать для адресации сетиОтвет на этот вопрос уже был дан выше. Для адресации сети с несколькимидесятками компьютеров мы выбрали диапазон 192.168.10.0/24. Вэтой сети можно адресовать до 254 устройств, и все они должны иметьмаску подсети 255.255.255.0.И Примечание.Если вы предполагаете, что скоро (скажем, в течение года) количество устройствв сети значительно увеличится, то разумно будет с самого начала выбратьболее широкий диапазон адресов, который позволял бы подключить больше 254устройств.Какие IP-адреса назначить серверамОпределенный диапазон адресов нужно зарезервировать для использованияисключительно серверами. Длина этого диапазона зависит от количествасерверов — имеющихся сейчас и предполагаемых в дальнейшем.В нашей сети пока есть единственный сервер, и даже с учетом будущегороста сети их не будет больше десяти. Для серверов мы выделим IP-адресас 192.168.10.2 до 192.168.10.11.Какие IP-адреса назначить принтерам и подобным им устройствамВ сети нашего размера разумно выделить для принтеров и другого сетевогооборудования пять адресов. Мы зарезервируем за ними адреса от192.168.10.12 до 192.168.10.16.Какие IP-адреса назначить клиентским компьютерам?Все оставшиеся адреса — от 192.168.10.17 по 192.168.10.254 — будут розданыклиентским компьютерам. Таким образом, в нашей сети не можетбыть больше 238 компьютеров.Каким будет адрес основного шлюзаОсновной шлюз, или маршрутизатор — это устройство, соединяющеелокальную сеть (подсеть) со внешним миром. На это устройство все узлы82

Глава 3. Учим компьютер работать в сетиданной подсети отправляют пакеты, предназначенные для узла в другойподсети или в Интернете.Поскольку наша сеть пока будет сама по себе, то есть не мы не подключаемее ни к Интернету, ни к другой локальной сети, в основном шлюзенет необходимости. Однако на будущее нужно зарезервировать за нимIP-адрес. Обычной практикой является назначение шлюзу первого адресав данной сети — в нашем случае это адрес 192.168.10.1.Какими будут другие параметры протокола IPВ этом месте следует собрать воедино другие конфигурационные параметрыпротокола IP. К ним относятся IP-адреса сервера (или серверов)DNS, сервера (или серверов) WINS, тип узла компьютера, имя доменаи т.д. В следующих главах мы рассмотрим каждый из этих параметровподробнее.Какой способ выделения адресов выбратьНаш диапазон IP-адресов дает возможность адресовать до 254 сетевыхустройств. Адрес 192.168.10.0 означает всю сеть, и его нельзя использоватьдля адресации отдельных устройств. Адрес 192.168.10.255 служит дляпередачи широковещательных (broadcast) сообщений, то есть сообщений,предназначенных для каждого устройства в сети. Это стандартная установкапротокола TCP/IP в системе Windows, которую нет необходимостиконфигурировать дальше. После того, как мы выделили IP-адреса длясерверов, принтеров и других устройств, у нас в распоряжении осталось238 адресов для клиентских компьютеров. Теперь нужно решить, будемли мы назначать адреса клиентским компьютерам вручную или автоматическипо протоколу DHCP. Оба способа имеют как свои преимущества,так и недостатки, а иногда автоматическое выделение адресов вообщеневозможно. В этой главе описана настройка протокола TCP/IP вручную,но это не значит, что такое решение оптимально. Оно всего лишьпроще и пригоднее для объяснения основ настройки сети. Сведения обавтоматическом выделении адресов вы найдете в 8 главе.Влиять на выбор IP-адресов могут и другие факторы. Необходимо хорошопродумать все особенности вашей сетевой среды и тщательно подготовитьсяк настройке протокола TCP/IP. В дальнейшем смена адресацииможет быть для пользователей и администраторов весьма долгим и труднымпроцессом.83

Microsoft Windows Server 20033.5.2. Настройка протокола TCP/IP на сервереСервер присутствует в сети для того, чтобы предоставлять услуги другимкомпьютерам. Это может быть файловый сервер (то есть сервер, на которомв разделяемых папках хранятся документы предприятия), серверприложений (например, если на нем установлена база данных), веб-сервер(сервер, на котором установлены веб-службы: WWW, FTP, новостнойпротокол NNTP и т.п.), почтовый сервер (сервер, предназначенныйдля приема или передачи электрсщной почты и управления почтовымиящиками) или, например, сервер печати, то есть компьютер, которыйобрабатывает задания на печать и отсылает их локальным принтерам.Кроме перечисленных услуг пользователям, сервер может обслуживатьи саму сетевую инфраструктуру (службы DHPS, DNS, WINS или сертификациидокументов).Чтобы компьютеры-клиенты могли обращаться к серверу с запросомуслуг, они должны знать его IP-адрес или имя, которое где-то в пределахсети связано с IP-адресом таким же образом, как в телефонном справочникеназвание предприятия связано с его телефонным номером. ЭтотIP-адрес должен быть постоянным, потому что его изменение могло бынарушить связь между компьютерами пользователей и сервером. А еслисервер сам предоставляет услуги DHCP или DNS, то такому серверу постоянныйадрес тем более необходим.Назначать серверам IP-адреса и другие конфигурационные параметрывсегда следует вручную. Тогда вы будете уверены, что IP-адрес ни в коемслучае не изменится, и сможете быстро найти адрес по серверу и серверпо адресу. Это необходимо для устранения неполадок в сети. Однимсловом, хороший администратор должен знать адреса своих серверовнаизусть.Чтобы настроить параметры протокола TCP/IP на сервере, выполнитеследующие действия:1. В меню Пуск выберите Панель управления —»Сетевые подключения—> Подключение по локальной сети.2. В появившемся диалоговом окне состояния на вкладке Общие нажмитекнопку Свойства. Отобразится диалоговое окно Подключениепо локальной сети — свойства.3. В списке компонентов, используемых этим подключением, выберитепункт Протокол Интернета (TCP/IP) и нажмите кнопкуСвойства.4. В диалоговом окне Свойства: протокол Интернета (TCP/IP) (рис.3.4)установите переключатель в положение Использовать следующийIP-адрес и в поле IP-адрес введите значение 192.168.10.2.5. В поле Маска подсети введите значение 255.255.255.0.84

;Глава 3. Учим компьютер работать в сетиСвойства: Internet Protocol (TCP, IP)"'ji'M• Общие • • " - • •:'•••'•' '' : -Параметры IP могут назначаться автоматически, если сетьподдерживает эту возможность.* В противне*! случае параметры. IP можно получить у сетввет ад!*шистратгч1а, . . .1С" Цопучить IP-адрес автомзтичеосн. (~4* ЦСШПЬЗ№ . •-.'! - "• ; ~• г '|Р-адресг '• " -• j 1У2 .163 . ю . 2'"Г-Йаскаподсети:j 255 . 255 . 255 . 0. . •'-•(* Идю/ьзоеать следующие адреса D^Б-cepвбpoe: -Ап11териативиый DWS-серввр:^! j 192 , 168 .10. 2OK •. j .-.,•Отщ>на-Рис. 3.4. Диалог настройки протокола TCP/IP на сервере6. В нижней части окна свойств установите переключатель в положениеИспользовать следующие адреса серверов DNS и в поле ПредпочитаемыйDNS-сервер введите значение 192.168.10.2 (наш сервер будетслужить сервером DNS сам себе). Затем нажмите кнопку Дополнительно.Более подробно о настройке службы DNS будет сказано в 6главе.Примечание.Если вы неправильно укажете адрес сервера DNS, то не будет работать домен и упользователей могут возникнуть проблемы с регистрацией.7. На вкладке DNS убедитесь в том, что установлены переключательДописывать основной DNS-суффикс и суффикс подключения ифлажки Дописывать родительские суффиксы осн. DNS-суффиксаи Зарегистрировать адреса этого подключения в DNS. НажмитеОК.8. Нажатием на кнопку ОК закройте диалоговое окно свойств протоколаТСРДР.9. Включите флажок При подключении вывести значок в областиуведомлений и нажмите кнопку Закрыть.10. Нажатием на кнопку Закрыть закройте диалоговое окно состоянияподключения по локальной сети. В углу панели задач появится значоктолько что настроенного вами подключения.85

Microsoft Windows Server 2003Примечание.Если вы включите переключатель Использовать следующие адреса серверовDNS, но не укажете ни одного адреса, то в ОС Windows 2000 Server будетавтоматически введен адрес 127.0.0.1. Это адрес локального интерфейса (loopback),через который общаются между собой процессы, работающие на одномкомпьютере. Если сервер является в то же время сервером DNS, то клиент DNSбудет нормально работать, обращаясь по этому адресу. Любопытно, что адрес127.0.0.1 нельзя ввести вручную.3.5.3. Настройка протокола TCP/IPна компьютере-клиентеКлиентские компьютеры подключаются к сети для того, чтобы пользоватьсяуслугами различных сетевых служб. Чтобы они могли взаимодействоватьпо протоколу ТСРДР, этот протокол нужно правильно настроить.Вообще говоря, не слишком важно, чтобы два клиента могли общатьсянепосредственно (в самом деле, какими данными им обмениваться — развечто файлами МРЗ?) Намного важнее возможность коммуникациимежду клиентом и сервером. Клиенту нужно взаимодействовать также сконтроллером домена, который обеспечивает регистрацию пользователя;с сервером DNS, который сопоставляет запрошенным именам IP-адреса;с файловым сервером, на котором хранятся документы предприятия;с сервером печати, на который отсылаются задания, и так далее. Приправильно настроенном протоколе ТСРДР любой компьютер в сети можетобщаться с любым другим, если администратор не вводил никакихограничений.Клиентскому компьютеру совсем не обязательно иметь постоянный IPадрес,поэтому его можно настраивать не только вручную, но и автоматически.Подробнее об автоматическом выделении адреса мы поговоримв следующих главах, потому что оно требует еще некоторых настроек насервере. Сейчас же мы посмотрим, как производится ручная настройка.Чтобы настроить параметры протокола ТСРДР на сервере, выполнитеследующие действия:861. В меню Пуск выберите Панель управления —•> Сетевые подключения—> Подключение по локальной сети.2. В появившемся диалоговом окне состояния на вкладке Общие нажмитекнопку Свойства. Отобразится диалоговое окно Подключениепо локальной сети — свойства.3. В списке компонентов, используемых этим подключением, выберитепункт Протокол Интернета (TCP/IP) и нажмите кнопку Свойства.4. В диалоговом окне Свойства: протокол Интернета (TCP/IP) (рис.3.5) установите переключатель в положение Использовать следую-

Глава 3. Учим компьютер работать в сетищий IP-адрес и в поле IP-адрес введите адрес из диапазона, отведенногонами для клиентских компьютеров — 192.168.10.17.5. В поле Маска подсети введите значение 255.255.255.0.6. В нижней части окна свойств установите переключатель в положениеИспользовать следующие адреса серверов DNS и в поле ПредпочитаемыйDNS-сервер введите значение 192.168.10.2 (для всех клиентовсервером DNS будет служить сервер, настройка которого рассматриваласьв предыдущем пункте). Нажмите кнопку Дополнительно.Примечание.Если вы неправильно укажете адрес сервера DNS, то не будет работать домен и упользователей могут возникнуть проблемы с регистрацией.7. На вкладке DNS убедитесь в том, что установлены переключательДописывать основной DNS-суффикс и суффикс подключения ифлажки Дописывать родительские суффиксы осн. DNS-суффикса иЗарегистрировать адреса этого подключения в DNS. Нажмите ОК.8. Нажатием на кнопку ОК закройте диалоговое окно свойств протоколаТСРДР.9. Включите флажок При подключении вывести значок в областиуведомлений и нажмите кнопку Закрыть.10. Нажатием на кнопку Закрыть закройте диалоговое окно состоянияподключения по локальной сети. В углу панели задач появится значоктолько что настроенного вами подключения.Свинства: Протокол Интернета (TCP/IP)Общие 1Параметры IP могут назначаться автоматически, если сетьподдерживает эту возможность. 8 противном случае параметрыIP можно получить у сетевого администратора.Q Получить IP-адрес автоматически••• Использовать следующий IP-адрес:| IP-адрес: ["]эГ.168776 '"']?"]'•• Маска подсети: [255.255.255. О ]: Основной шлюз: ..

Microsoft Windows Server 2003Последующие клиентские компьютеры настраивайте точно так же, толькона шаге 4 задавайте адрес из клиентского диапазона, отличный от ужевведенных: 192.168.10.18, 192.168.10.19 и т.д.3.6. Проверка связиПосле установки и настройки протокола TCP/IP обязательно нужнопроверить, успешно ли компьютер подключился к сети. При этом высможете выявить и устранить неполадки до того, как они проявятся входе повседневной работы. Отсутствие или ошибки связи по протоколуТСРДР могут быть обусловлены множеством причин. Чаще всего это неправильнаяустановка протокола, физическое прерывание связи междукомпьютерами в сети, неправильное задание IP-адреса или отсутствиесовместимости между протоколом и сетевым адаптером.Далее мы рассмотрим, как можно выявить и устранить эти неисправности.3.6.1. Инструменты для проверки связипо протоколу TCP/IPОперационные системы Windows, начиная с Windows 2000, содержат целыйряд утилит, служащих для настройки и отладки связи по протоколуTCP/IP. В этом пункте мы рассмотрим две наиболее употребительныеиз них.Утилита IPCONFIGУтилита IPCONFIG, появившаяся в Windows NT, позволяет просмотретьтекущие настройки протокола IP и установленных на данном компьютересетевых адаптеров. Рассмотрим самый распространенный способ ееприменения.Представьте себе ситуацию, что компьютер не может связаться с сервером.Если другие компьютеры работают с сервером нормально, то вполнелогично искать причину не на сервере, а в самом компьютере, который неподдерживает связь. Прежде всего нас интересует, правильно ли указанIP-адрес этого компьютера.88• Введите в командной строке команду ipconfig (окно командной строкиможно открыть, выбрав в главном меню команду Выполнить и введякоманду cmd). Вы увидите базовые параметры конфигурации узла:IP-адрес, маску подсети и адрес основного шлюза.

Глава 3. Учим компьютер работать в сети• Если вы введете команду ipconfig с ключом /all, то будет выведенаполная информация о настройках протокола ТСРЯР.Вы должны увидеть тот IP-адрес, который указывали при настройке клиентскогокомпьютера (от 192.168.10.17 до 192.168.10.254), и маску подсети255.255.255.0. Если отобразятся другие значения, исправьте настройкитак, как указано в п.3.5.3. Маска 0.0.0.0 говорит о том, что указанныйвами IP-адрес уже используется другим узлом в этой же сети — возникконфликт адресов.Примечание.Посредством утилиты IPCONFIG можно только просматривать информацию об IPадресе,маске подсети и других параметрах, но не изменять ее.Утилита PINGДля проверки соединения между двумя узлами служит утилита PING,тоже давно входящая в состав ОС Windows. Эта утилита посылает науказанный узел пакеты эхо-запроса протокола ICMP и считает полученныеот него пакеты эхо-ответа, чтобы проверить, доступен ли этотузел вообще и надежна ли связь (какова доля пакетов, потерявшихся подороге). Последовательно тестируя соединения с каждым узлом, можнообнаружить место, в котором связь оборвалась.При получении эхо-ответа утилита PING выводит следующее сообщение:Ответ от 192.168.10.17: число байт=32 время [...]Время в миллисекундах — это промежуток времени между посылкойзапроса и получением ответа. Чем больше это время, тем «дальше» расположеннымможно считать узел.Команда ping может дать и отрицательный ответ:• Превышен интервал ожидания для запроса: эхо-ответ от узла неполучен в течение заданного времени ожидания. Причиной можетбыть неправильная работа компьютера, от которого ожидается ответ(возможно, он просто выключен или отключен от сети). Можетслучиться также, что где-то на пути связи между двумя компьютерамизаблокирован протокол ICMP.• Заданный узел недоступен: невозможно отправить эхо-запрос науказанный узел: путь к нему неизвестен. Причина этого — ошибкамаршрутизации. Скорее всего вы не указали IP-адрес основного шлюза,через который пакеты из локальной сети уходят во внешний мир,но может быть и ошибка в таблице маршрутизации на тестируемомкомпьютере или на самом шлюзе. Просмотреть таблицу маршрути-89

Microsoft Windows Server 2003зации можно по команде route print. Команда route без аргументоввыводит краткую справку об использовании утилиты ROUTE.По умолчанию команда ping делает 4 попытки послать пакет размером32 байта. Оба значения можно изменить при помощи соответствующихключей: команда ping без аргументов выводит краткую справку о допустимыхключах и их назначении.Последовательность диагностики сети должна быть такой:1. В командной строке введите команду ping 127.0.0.1. Эта команда проверитработоспособность локального интерфейса (см. примечание кп.3.5.2). Локальный интерфейс не имеет никакого отношения к физическимсетевым адаптерам: это «виртуальный адаптер», служащийтолько для проверки стека протоколов TCP/IP. Если вы получите ответот локального интерфейса, значит, по крайней мере в локальнойсистеме все в порядке. Если вы ответа не получите (Статистика Pingсообщает «100% потерь»), то проблема однозначно в неправильнойустановке протокола TCP/IP. Но поскольку этот протокол устанавливаетсявместе с операционной системой, то можно сказать, чтопроблема в неправильной установке операционной системы.2. В командной строке введите команду ping 192.168.10.17 (IP-адрестого компьютера, который вы сейчас проверяете). Это следующийшаг «самопроверки»: после того, как вы выяснили, что с установкойпротокола TCP/IP все в порядке, нужно прозондировать собствен-1 394 соединение -сво*Общие : Дополнительно'.Подключение через:I Щ$ Сетевой адаптер 1394Настроить...Компоненты, используемые этим подключением:I Ы1 На Клиент для сетэй Microsoft\ Ш ^Службадоступа к файлам и принтерам сетей Micro...i ffi V° Драйвер сетевого монитораj • Т-Протокол Интернета (TCP/IP)Установить...О При подключении вывести значок в области уведомлений [Рис.3. б. Протокол TCP/IP не привязан к сетевому адаптеру90

Глава 3. Учим компьютер работать в сетиный сетевой адаптер. Если не отвечает эта команда, то проблема внем. Причин ошибки может быть две.Первая — сам адаптер: неаккуратно вставлен, неисправен или не установленынужные драйвера. Эта причина встречается чаще всего.Вторая причина — протокол TCP/IP не привязан к данному сетевомуадаптеру (рис.3.6). Обычно это происходит, когда на вашемкомпьютере установлено несколько сетевых карт и вы забыли настроитьTCP/IP на некоторых из них.3. Теперь проверьте связь с соседним компьютером, заведомо подключеннымк сети, или сервером: ping 192.168.10.2. Если ответа нет, в товремя как все остальные компьютеры сети соединяются с серверомнормально, то причина — физический разрыв соединения междутестируемым компьютером и сетью (ближайшим хабом): сетевойкабель неисправен или выпал из разъема; может быть также неисправенпорт хаба.Если проверка показала, что ваш компьютер успешно подключен к сети,вы можете проверить, работает ли служба разрешения имен узлов в IPадреса.Выполните команду ping с именем компьютера вместо IP-адреса:ping SRVR001. Если вы не получите ответа, значит, неправильно работаетслужба DNS, сопоставляющая имена компьютеров IP-адресам. Эта службабудет подробнее рассмотрена в дальнейших главах, а пока достаточнотого, что работает сама сеть.3.6.2. Сетевой адаптер и несколько протоколовЕсли на компьютере установлено несколько протоколов (неважно, покакой причине — исторически ли так сложилось, администратор ли экспериментировал),или, иными словами, если компьютер умеет говоритьна нескольких языках, то это создает избыточную нагрузку на сеть.Для оптимальной загрузки сети и надежной работы сетевых служб рекомендуетсяиспользовать только самые необходимые протоколы. В абсолютномбольшинстве случаев достаточно одного протокола TCP/IP.Рассмотрим, как происходит коммуникация двух компьютеров, на одномиз которых установлены два протокола — TCP/IP и NWLink. В нашейсети мы еще не устанавливали протокол NWLink, но для примера будемсчитать, что это уже сделано.Когда в ОС Windows 2000 и выше устанавливается новый протокол, тоон автоматически привязывается ко всем имеющимся на компьютере сетевымадаптерам. На каждом адаптере эти привязки образуют иерархию,или порядок. Порядок привязки определяет очередность выполненияпротоколов: если с одной сетевой картой связано несколько протоколов,то при попытке установить соединение с удаленным узлом операционная91

Microsoft Windows Server 2003система сначала обратится к нему по первому протоколу, если соединениене удастся — по следующему, и так далее.Просмотреть порядок привязки можно следующим способом:1. В меню Пуск выберите Панель управления. Щелкните правой кнопкоймыши по пункту Сетевые подключения и в контекстном менювыберите команду Открыть.2. В окне папки Сетевые подключения выберите из меню команду Дополнительно—> Дополнительные параметры и в появившемся окнеоткрыть вкладку Адаптеры и привязки (рис. 3.7).Дополнительные параметрыАдаптеры и ПС*1ЕРЗКИ I Порвпок служб доступа |л приведены в порядке, который используетсяботе сетевых, служб,.:"; . ."••.'••-• •Акпсчения:^*, [Подключения удаленного доступа)JJПривязка для Псдкгкхо-ate по локально.! OST>I:ICnpcfia доступа к Файлам и принтерам сетей Microsoft ^ ГЙ Г NWLink IFxVsFWNetBIOS Compatible Transport Prot >0 "У" Протокол Интернета (TCP/IP) j, IЩЙ ГКлиент для сетей MicrosoftNWLink IPX/SPX/NetBIOS Compatible Transport Рил'%ЫOKОтменаРис.3.7. Привязки протоколов к сетевым адаптерамНа рисунке видно, что первым в иерархии привязок стоит протоколNWLink. Если на соседнем компьютере, с которым мы пытаемся установитьсоединение, тоже установлен NWLink, то первая попытка связи окажетсяуспешной и эти два узла будут общаться друг с другом по протоколуNWLink, а со всеми остальными узлами сети — по TCP/IP. Если же навтором компьютере стоит только ТСРДР, то одна и та же информация будетпослана дважды: сначала по протоколу NWLink — неудачно, потом поТСРДР — успешно. Вот так сеть и засоряется ненужной информацией.92

Глава 3. Учим компьютер работать в сетиЧто же делать, если условия требуют поддерживать протокол NWLink —например, ради одного-единственного узла, понимающего только этотпротокол? Можно изменить порядок привязки: поставить TCP/IP первым.Тогда лишние пакеты будут отправляться в сеть только при попыткахсоединиться с этим единственным узлом.Чтобы изменить очередность выполнения протокола, в диалоговом окнеДополнительные параметры (рис. 3.7) выберите нужный протокол инажатием на кнопку со стрелкой в правой части диалогового окна передвиньтеего вверх или вниз.Если вы полагаете, что ваша сеть еще слишком мала для того, чтобыучитывать такие тонкости, взвесьте ситуацию еще раз. Если вы присмотритеськ работе сети, то заметите, что в каждый момент времениинформацию может передавать только один узел. Если несколько узловпопытаются связаться друг с другом одновременно, то в сети Ethernetвозникнет конфликт, будет разрешен в пользу одного из них, а остальнымпридется повторить попытку через некоторое время. При избыточнойустановке нескольких протоколов даже в малой сети может происходитьизрядное количество сбоев, потому что по ней путешествует в несколькораз больше пакетов, чем нужно и чем было бы при наличии единственногопротокола.3.7. Будущее протокола TCP/IP.Протокол TCP/IP версия 6 (IPv6)Всемирная сеть Интернет постоянно растет, и уже довольно давно высказываютсяопасения, что свободные IP-адреса скоро кончатся. Наступаетвремя, когда этой проблемой придется заняться вплотную. Одно из последнихпредложенных решений — новая версия протокола IP — IPv6.Протокол IP был разработан в 1981 году и с тех пор ни разу не менялся.Но среда, в которой он работает, изменилась до неузнаваемости. Разработчикипротокола IP не рассчитывали на следующие требования,предъявляемые современными сетями:• В связи с экспоненциальным ростом количества узлов нужен значительнобольший диапазон возможных IP-адресов. Сейчас узлы локальныхсетей выходят в Интернет через очень небольшое количествошлюзов с публичными адресами, используя методы вроде NAT. А вболее крупных локальных сетях скоро перестанет хватать адресов извнутреннего диапазона.• Маршрутизаторам, обеспечивающим доступность любого узла в сети,необходимо уметь работать с большими таблицами маршрутизации.93

Microsoft Windows Server 2003Главным маршрутизаторам Интернета сейчас приходится обрабатыватьтаблицы, содержащие более 85000 записей.• Простота настройки. Хотя сейчас протокол IP можно настраивать каквручную, так и автоматически при помощи протокола DHCP, великапотребность в дальнейшем упрощении этой процедуры.• Обеспечение безопасности на уровне протокола IP. Передача конфиденциальныхданных требует гарантии их защиты. Для этой целиуже разработан стандарт — протокол IPSec — однако он абсолютноне обязателен для работы сети и устанавливается по желанию.Усовершенствованный протокол IPv6 отвечает этим требованиям. Средисамых важных особенностей следует отметить длину адреса (она составляет128 битов — в 4 раза больше, чем у нынешнего протокола IPv4, чтомногократно увеличивает диапазон возможных адресов), автоматическуюнастройку IP-адреса при помощи сервера DHCP или без него, встроенныйпротокол IPSec и гибкую масштабируемую структуру маршрутизации.Протокол IPv6 несовместим с IPv4. Чтобы подключить к Интернету сеть,работающую по протоколу IPv6, нужно использовать механизм, преобразующийпакеты IPv6 в пакеты протокола IPv4, то есть шлюз такой сетиобязан поддерживать оба протокола.Протокол IPv6 входит в состав Windows XP и ОС семейства Windows 2003.Способы его установки в различных системах различны. Если в WindowsServer 2003 его можно установить так же, как любой другой протокол(рис. 3.8), то в ОС Windows XP для установки IPv6 необходимо ввестиipv6 install в командной строке.Описание протокола IPv6 — тема, которой бы хватило на отдельную книгу,поэтому рассмотрение его подробностей выходит далеко за пределыэтой главы. Вам не нужно устанавливать IPv6 прямо сейчас, потому что~~. Выберите сетевой протокол, который требуется установить, и(£ нажмите кнопку 0К, Приналичииуетэновочногодискэаляэтбгокомпонента, нажмите кнопку "Установить сдиска".Сетаеой протокол.УAppleTdk Protocolшвштвжшяяя ;,.;'^NetworkMonitorDrivetSjfNWLinkIPX/SPX/NetBIOSCompeteTransportProtocol9ReliableMulticastProtocol |J . Драйвер имеет цифров^лодп»,. : установить с диска,, |Сведения о поцписьаании праймом ' • • '94Рис. 3.8. Установка протокола IPv6 в системе Windows Server 2003

Глава 3. Учим компьютер работать в сетимы пока не собираемся с ним работать. Когда-нибудь этот протокол можетвам пригодиться, а пока достаточно знать, что ОС семейств Windows XPи Windows Server 2003 его поддерживают.3.8. ИтогиВ этой главе вы выбрали протокол для своей локальной сети и настроилипротокол TCP/IP на сервере и рабочих станциях. Сначала вы выбралидиапазон IP-адресов (подсеть) 192.168.10.0/24, потом подготовились к назначениюадресов всем сетевым устройствам и, наконец, произвели самунастройку. Настройка протокола TCP/IP во всех примерах проведенавручную. Далее вы проверили работу сети с помощью утилиты PING.Вы узнали об инструментах, позволяющих выявить и устранить неполадкив работе сети.Если в сети присутствует узел с операционной системой Novell NetWare,то вы знаете, как установить и настроить протокол NWLink и соответствующийклиент. Вы узнали, как просмотреть и изменить порядокпривязки протоколов к сетевым картам, если узлы вашей сети должныподдерживать несколько протоколов.Если в будущем вам придется переходить на протокол TCP/IP версии6, то вы узнали, что в ОС семейств Windows XP и Windows Server 2003это не представляет сложности и вам известен порядок установки этогопротокола.Состояние сетиСостояние сети в этой главе не изменилось.95

4 Организациярабочей группыУчетные записи пользователейРазделение ресурсовПрофили пользователейДомашние папкиMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

После успешной установки мы имеем в распоряжении один сервер и несколькорабочих станций. В ходе чтения этой книги мы разворачиваеммалую сеть, которая до конца книги еще претерпит изрядное количествоизменений. Целью этих изменений будет, с одной стороны, приспособлениек конкретным потребностям и возможностям предприятия, а с другойстороны — удовлетворение потребностей пользователей.В этой главе речь пойдет о том, как обеспечить работу пользователейв сети, то есть о том, чтобы на рабочих станциях мог бы работать ещекто-то кроме администратора.4.1. Учетные записи пользователейЧтобы пользователь вообще мог начать работу за рабочей станцией, емудолжна быть разрешена регистрация на ней. Кроме того, нужно, чтобыкаждому пользователю была обеспечена хотя бы небольшая степеньсвободы, то есть чтобы каждый из них мог отрегулировать свое рабочеепространство в соответствии с собственными потребностями, не нарушаяпри этом общих принципов предприятия.Важно также, чтобы он обладал исключительным правом доступа к своимдокументам. Исходя из этого, не следует разрешать всем пользователямрегистрироваться под одной и той же учетной записью и тем более нестоит предоставлять им права пользователя «Администратор». То естьдля каждого пользователя нужно создать собственную учетную запись.4 Зак. 446 97

Microsoft Windows Server 20034.1.1. Создание учетной записиУчетные записи пользователей, созданные на рабочей станции, хранятся влокальной базе данных SAM (Security Accounts Manager). Они позволяютзарегистрироваться только на том компьютере, на котором находится этабаза. Если пользователю нужно работать за другим компьютером, необходимосоздать для него учетную запись и там. Значит, если четыремвашим пользователям требуется возможность работать за любым из четырехкомпьютеров, то всего придется создать 16 учетных записей — по4 на каждом компьютере.1. Зарегистрируйтесь на одной из рабочих станций под именем Администратор.2. Выберите в главном меню Панель управления —> Администрирование—> Управление компьютером. Если вы переключили главное менюна классический вид, то папку Панель управления вы найдете вгруппе Настройка, а элемент Администрирование — под иконкойПроизводительность и обслуживание.3. В окне консоли Управление компьютером, в левой части, раскройтеобъект Локальные пользователи и группы, а затем щелкните правойкнопкой мыши по появившейся в правой части окна иконке Пользователи.В контекстном меню выберите пункт Новый пользователь.4. В поле Пользователь (рис. 4.1) введите регистрационное имя (тоимя, которое пользователь будет вводить при входе в систему).j Новы» пользовательПоль-зое-этель• lanvasрщПолное имя'

Глава 4. Организация рабочей группыПримечание редактора.В регистрационных именах лучше обойтись без букв кириллицы, посколькумногие программы при установке требуют сведений о пользователе, а далеко невсе производители ПО включают поддержку кириллицы. Например, программаMathlab7 просто отказывается работать на таком компьютере, у которого именапользователей записаны кириллицей.5. В поле Полное имя введите фамилию и имя пользователя. В полеОписание вы можете как-то охарактеризовать этого пользователя (например,указать должность). Эти поля необязательны, информация вних нужна только для справки, и ее можно вводить кириллицей.Ш Совет.Имеет смысл фамилию указывать перед именем: тогда у вас будет возможностьсортировать учетные записи по фамилиям.6. В поля Пароль и Подтверждение пароля введите пароль, с которымпользователь сможет зарегистрироваться на этом компьютере. Послетого, как вы сообщите пароль новому пользователю, этот парольбудут знать два человека: он сам и администратор, то есть вы. Чтобыизбавить пользователей от этого неудобства, установите флажокПотребовать смену пароля при следующем входе в систему: теперьпользователь сможет указать пароль, который будет знать только онсам. Более того, он должен это сделать: пока он не сменит пароль,ему не будет разрешено начать сеанс работы.Примечание.Обязательно объясните своим коллегам, что для обеспечения достойной степениконфиденциальности пароль должен быть «сильным», т.е. состоять из разумногоколичества заглавных и строчных букв, цифр и специальных знаков. Покажитенаглядно, как составлять такой пароль, на примере первичного пароля, которыйсоздадите сами и сообщите новому пользователю.7. Нажмите кнопку Создать и закройте окно Новый пользователь нажатиемна кнопку Закрыть.4.1.2. Настройка учетной записиСоздание учетной записи — только первый шаг. Теперь нужно указатьее дальнейшие свойства. Эта процедура называется настройкой.1. В окне консоли Управление компьютером откройте папку Пользователии щелкните по новой записи правой кнопкой мыши. Вконтекстном меню выберите команду Свойства.99

Microsoft Windows Server 20032. На вкладке Членство в группах убедитесь, что новый пользовательпринадлежит к группе «Пользователи». Это локальная группа безопасности,членам которой разрешен доступ к ресурсам данногокомпьютера.Диалоговое окно свойств позволяет настроить еще только те свойстваучетной записи, которые имеют отношение к профилю (вкладка Профиль).Для изменения остальных свойств Windows XP Professional непредоставляет графического интерфейса.Просмотреть и изменить свойства учетной записи можно по команде netuser, которую нужно ввести в командной строке (набрав cmd в диалоговомокне Выполнить в меню Пуск). Команда net user без аргументов выведетсписок всех локальных учетных записей на этом компьютере. Команда nethelp user выведет краткую справку об использовании команды net user исвойствах учетной записи, которые можно настроить с ее помощью.Если вы хотите просмотреть все свойства только что созданной записи,следует ввести в командной строке команду:net user anvasВывод команды выглядит примерно следующим образом:Имя пользователяИмя и фамилияКомментарийКомментарий пользователяКод страныУчетная запись активнаУчетная запись просроченаПоследний пароль заданДействие пароля завершаетсяПароль допускает изменениеТребуется парольПользователь может изменить парольРазрешенные рабочие станцииСценарий входаКонфигурация пользователяОсновной каталогAnvasВасильев АндрейНачальник отдела продаж000 (Стандартный системный)ДаНикогда4.3.2005 1.45 РМНикогда4.3.2005 1.45 РМДаДаВсе100

Глава 4. Организация рабочей группыПоследний входРазрешенные часы входаЧленство в локальных группахЧленство в глобальных группахНикогдаВсе*Пользователи*ОтсутствуетОграничение срока действия учетной записиЕсли созданная учетная запись принадлежит временному работнику, то выможете задать дату, после которой эта запись станет недействительна:net user anvas /expires:30.09.2005При этом срок действия учетной записи закончится с началом суток 30сентября 2005 года. Дату нужно вводить в кратком формате так, как этоуказано на вкладке Региональные параметры окна Язык и региональныестандарты.Ограничение времени работы пользователяЕсли предполагается, что новый пользователь будет работать за компьютеромс 9 до 17 по рабочим дням и нет причин, по которым ему нужнобыло бы предоставить доступ к компьютеру вне этого времени, то выможете указать время, в течение которого регистрация под данной учетнойзаписью возможна:net user anvas /times:Monday-Friday,9-17Команда net user anvas отобразит сделанные вами изменения следующимобразом:Разрешенные часы входаПонедельник 9.0 0 AM-5.00 РМВторник 9.00 АМ-5.00 РМСреда 9.00 АМ-5.00 РМЧетверг 9.00 АМ-5.00 РМПятница 9.00 АМ-5.00 РМЕсли пользователь попробует войти в систему вне указанного времени,то он увидит предупреждающее сообщение, а регистрация выполненане будет.Чтобы снять ограничения времени входа для этого пользователя, введитекоманду:net user anvas/times:all101

Microsoft Windows Server 20034.1.3. Вход в системуКогда вы включаете компьютер с установленной на нем операционнойсистемой Windows XP Professional, вы видите экран входа в систему,на котором каждая локальная учетная запись представлена значком ирегистрационным именем. Чтобы зарегистрироваться в системе, нужнощелкнуть по значку и ввести пароль. Запустится процесс регистрации, поокончании которого перед пользователем появится его рабочий стол.Такое положение дел представляет некоторый риск с точки зрения безопасности.Каждый, кто включит компьютер, увидит чужие учетныезаписи и, если ему повезет, сможет подобрать пароль и причинить неприятностизаконным пользователям. Скрыть регистрационные именаможно следующим образом:1. Зарегистрируйтесь под именем Администратор.2. Выберите в главном меню Панель управления —> Учетные записипользователей. Если вы переключили главное меню на классическийвид, то папку Панель управления вы найдете в группе Настройка.3. В диалоговом окне Учетные записи пользователей щелкните поссылке Изменение входа пользователей в систему. Снимите флажокИспользовать страницу приветствия и нажмите кнопку Применениепараметров.4. Выполните команду Пуск —» Выполнить и в поле ввода введите командуsecpol.msc. Откроется окно консоли Локальные параметрыбезопасности.5. Разверните группу Локальные политики и выберите пункт Параметрыбезопасности.6. В правой части окна консоли щелкните по пункту Интерактивныйвход в систему: не отображать последнего имени пользователя. Впоявившемся окне свойств поставьте переключатель в положениевключен и нажмите ОК.После этого экран приветствия вы больше не увидите. Вместо него будетотображаться стандартное окно входа, знакомое вам по предыдущимоперационным системам семейства Windows NT.Еще больше повысить безопасность входа в систему вы можете, заставивпользователя перед регистрацией нажимать комбинацию клавишCtrl+Alt+Del. Для этого на консоли Локальные параметры безопасностиотключите режим Интерактивный вход в систему: не требовать нажатияCTRL+ALT+DEL. Таким образом вы помешаете «работе» троянских коней,имитирующих диалог входа в систему с целью перехватить вводимыепользователем имя и пароль: если окно входа принадлежало постороннейпрограмме, то нажатие Ctrl+Alt+Del вызовет перезагрузку и управлениеперейдет к настоящей операционной системе.102

4.2. Разделение ресурсовГлава 4. Организация рабочей группы4.2.1. Общий доступ к папкеВойдя в систему, пользователь может запускать приложения, но не имеетправа изменять параметры системы, если он не член группы «Администраторы».С момента создания локальной учетной записи пользователи могут использоватьресурсы отдельного компьютера практически без ограничений.Но для полноценной работы этого недостаточно: рано или поздноим понадобится обмениваться документами с коллегами, работающими задругими компьютерами. Пользоваться дискетами или другими съемныминосителями нецелесообразно, ведь у нас есть локальная сеть. Проще обеспечитьдоступ к общим папкам на сервере, в которые пользователь можетпоместить документы, предназначенные для коллег. Настроить разделениепапки можно двумя способами, которые мы сейчас рассмотрим.Менее безопасный способМенее безопасный способ выглядит следующим образом:1. Зарегистрируйтесь на сервере SRVR001 под именем Администратор.2. На диске D: создайте папку ABCD, а в ней — текстовый документ.Щелкните по значку папки правой кнбпкой мыши и в контекстномменю выберите пункт Общий доступ и безопасность.3. На вкладке Доступ (рис.4.2) установите флажок Открыть общий доступк этой папке и в поле Общий ресурс введите имя, под которымэта папка будет известна в сети. Можете оставить имя ABCD.4. Нажмите кнопку Разрешения. Убедитесь, что для группы пользователей«Все» («Everyone») установлен флажок доступа Чтение/Разрешить.5. Закройте окно разрешений и в окне свойств разделяемой папкиперейдите на вкладку Безопасность.6. Нажмите кнопку Добавить и в появившемся окне выбора пользователейи групп, которым назначаются разрешения, введите «Everyone»(группа «Все»). Это должно быть имя существующей группы, поэтомуего нужно набирать без опечаток: нажмите кнопку Проверитьимена. Если вы не хотите вводить имя группы вручную, нажмитекнопку Дополнительно, чтобы выбрать его из списка. Добавив группу«Все», нажмите ОК. Закройте окно свойств папки ABCD.7. Вызовите окно консоли Управление компьютером, в дереве консолиоткройте объект Локальные пользователи и группы —> Пользователи.В свойствах учетной записи «Гость» («Guest») снимите флажокОтключить учетную запись.103

Microsoft Windows Server 2003Разрешения для ProfilesЛ *iРазрешений для общегоМожно сделать эт*ввшей саи.ат-ш-"Открыть общий д>_ГиктоилипольетикfОтменить общий дост|-•(* Опфыгьр^щийfttwiyfОбщий ресурс JpiofMes0_писание: |Предельное число пользе• ; Г не болеДля выбора правил доступо сети нажл»1 для Evwyone •Полный доступИзменениеЧтениеДобавить..'УдалитьРазреимгь ЗапретитьвваПаРИС. 4.2. Свойства папки — назначение общего доступаЧтобы ПОДКЛЮЧИТЬСЯ к разделенной папке с клиентского компьютера,зарегистрируйтесь на нем как обычный пользователь, выполните командуПуск -> Выполнить и в поле Открыть введите путь к общей папке:\\SRVR001\ABCD (если вы дали папке сетевое имя, то вместо ABCDнаберите, естественно, его).Более безопасный способБолее безопасный способ реализуется следующей последовательностьюдействий:1041. Зарегистрируйтесь на сервере SRVR001 под именем Администратор.2. Вызовите окно консоли Управление компьютером, откройте пунктЛокальные пользователи и группы -> Пользователи. В меню Действиевыберите команду Новый пользователь и создайте учетнуюзапись, полностью идентичную (включая пароль) локальной учетнойзаписи того пользователя, которому вы хотите предоставить доступк разделенной папке. Снимите флажок Потребовать смену пароляпри следующем входе в систему.3. На диске D: создайте папку BCDE, а в ней — текстовый документ.Щелкните по значку папки правой кнопкой мыши и в контекстномменю выберите пункт Общий доступ и безопасность.4. На вкладке Доступ установите флажок Открыть общий доступ кэтой папке и в поле Общий ресурс введите имя, под которым этапапка будет известна в сети. Можете оставить имя BCDE.

Глава 4. Организация рабочей группы5. Перейдите на вкладку Безопасность. Удалите из списка разрешенийгруппу «Все» («Everyone»). Вместо нее добавьте того пользователя,которому вы открываете доступ: нажмите кнопку Добавить и впоявившемся окне введите его регистрационное имя. Можете выбратьего из списка, нажав кнопку Дополнительно. Нажмите ОК изакройте окно свойств папки BCDE.Сравнение двух способовКак обычно, за все нужно платить. Первый способ намного проще, когдатребуется открыть доступ к папке не одному пользователю, а несколькимдесяткам. Однако цена этой простоты — меньшая безопасность сетевойсреды. Придется разрешить учетную запись «Гость» («Guest»), котораяне требует ввода пароля, не только на всех рабочих станциях, но и насервере, *и под ней сможет зарегистрироваться кто угодно. Еще одно неудобствосостоит в том, что все пользователи имеют одинаковый уровеньдоступа к папке (в нашем примере — только чтение), и их права невозможнодифференцировать.Второй способ значительно безопаснее. Он основан на автоматическомсопоставлении регистрационных имен на удаленном компьютере и натом, который открывает доступ к ресурсу.Если учетные записи (имя и пароль) совпадают, то доступ будет разрешен.Недостаток этого способа состоит в необходимости заводить локальныеучетные записи для каждого пользователя, которому требуется открытьдоступ к папке. С другой стороны, уровень доступа (запись, только чтениеи т.д.) можно регулировать для каждого пользователя по отдельности.Примечание.При использовании автоматического сопоставления учетных записей необходимоподдерживать их в одинаковом состоянии на всех компьютерах, на которыхпользователь имеет право регистрироваться. То есть если пользователь сменитпароль на одном компьютере, то он должен проделать это же и на всех остальных.В противном случае автоматическое сопоставление перестанет работать.4.2.2. Печать на сетевых принтерахДля печати на сетевых принтерах (то есть принтерах, подключенных ксерверу печати, а не к локальному компьютеру) действуют те же правила,что и для доступа к сетевым папкам. Открыть доступ к принтеруможно теми же самыми двумя способами, причем первый из них можнорекомендовать только в среде, где не требуется практически никакихгарантий безопасности.105

Microsoft Windows Server 20034.2.3. Работа с другими компьютерами.Если пользователь собирается работать за другим компьютером, то безусловнонеобходимо, чтобы на этом компьютере для него была созданаучетная запись. Сколько рабочих станций должно быть ему доступно,столько понадобится и учетных записей. Но тогда неразрешимым остаетсявопрос синхронизации смены пароля.Дисциплинированный пользователь не только заводит себе «сильный»пароль, но и меняет его время от времени. Но сменить его он можеттолько на том компьютере, за которым в данный момент работает. Приэтом перестанет работать автоматическое сопоставление учетной записис учетными записями на других компьютерах, и разделяемые ресурсы,расположенные на них, перестанут быть этому пользователю доступны.Следовательно, ему придется обойти все компьютеры и сменить парольна каждом, потратив на это немало времени.4.3. Профили пользователейПри первой регистрации пользователя на компьютере для него создаетсялокальный пользовательский профиль, то есть группа настроек, определяющихрабочую среду этого пользователя. Он включает помимо прочегоследующие настройки:• Данные приложений. Данные, сохраняемые отдельными приложениями,их настройки, журналы и временные файлы. Какая информациябудет тут помещена, решают разработчики приложений.• Рабочий стол. Все значки, размещенные на рабочем столе, то есть то,что пользователь видит перед собой.• Избранное. Ссылки на любимые веб-страницы.• Документы. Содержимое папок «Мои Документы» и «Недавние Документы».• Главное меню. Содержимое группы «Все программы» в меню«Пуск».Если вы создадите в компьютере учетные записи и не сконфигурируетеих, то при первом входе пользователя на локальном диске в папке%systemroot%\Documents and Settings\%username% автоматическисоздастся профиль. Все изменения, вносимые в профиль, фиксируютсяна локальном диске. Если пользователь зарегистрируется на другом компьютеречерез локальную учетную запись на нем, то таким же образомсоздастся новый профиль. Если пользователю нужна одинаковая рабочаясреда на всех компьютерах, то ему придется вручную настраивать ее накаждом.106

Глава 4. Организация рабочей группыДля облегчения миграции пользователей Windows XP Professionalпредоставляет возможность создания так называемого перемещаемогопрофиля. Такой профиль, однажды настроенный, будет действителен налюбом компьютере, на котором зарегистрируется пользователь. При этомотпадает необходимость согласовывать локальные профили. Перемещаемыйпрофиль должен быть доступен с любого компьютера при каждойрегистрации, поэтому его следует разместить на постоянно работающемсервере.Работа с перемещаемыми профилями и возникающие при этом проблемыподробно описаны в главе 13.В нашей сетевой среде настройка перемещаемых профилей состоит изследующих шагов:1. Создание на постоянно доступном сервере разделяемой папки, вкоторую будут помещены профили.2. Конфигурирование пользовательских учетных записей.3. Создание перемещаемого профиля.Создание сетевой папки для помещения в нее профилей1. Зарегистрируйтесь на сервере SRVR001 как Администратор.2. На диске D: создайте папку Profiles (Профили). Откройте к нейобщий доступ и дайте группе «Все» («Everyone») разрешение NTFS«Полный доступ» (рис.4.2, вкладка Безопасность в окне свойствпапки Profiles).Конфигурирование пользовательских учетных записейУчетная запись пользователя, которому требуется перемещаемый профиль,должна присутствовать на каждом компьютере, за которым онсобирается работать. Эту учетную запись нужно настроить следующимобразом:1. В окне консоли Управление компьютером раскройте объект Локальныепользователи и группы Пользователи.2. Для каждого пользователя в свойствах учетной записи укажите в полеПрофиль путь к сетевой папке: \\SRVR001\profiles\%username%.Закройте окно свойств учетной записи нажатием кнопки ОК.Примечание.Вместо системной переменной %username% можно указать и конкретноерегистрационное имя пользователя. Переменную выгоднее использовать тогда,когда вы настраиваете несколько учетных записей сразу при помощи командногосценария.107

Microsoft Windows Server 2003Создание перемещаемого профиляДля создания перемещаемого профиля нужно выполнить следующуюпоследовательность действий:1. Зарегистрируйтесь на рабочей станции с операционной системойWindows XP Professional как Администратор.2. Заведите временную учетную запись (с ограниченным сроком действия).Она понадобится для создания локального профиля — шаблонадля новых пользователей.3. Перерегистрируйтесь под только что созданной учетной записью.При первом входе в систему будет автоматически создан локальныйпрофиль. Настройте его в соответствии с вашими требованиями (можете,например, добавить ярлыки на рабочий стол, установить сетевыепринтеры или настроить главное меню) и завершите сеанс работы.4. Снова зарегистрируйтесь как Администратор. В главном меню щелкнитеправой кнопкой мыши по иконке Мой компьютер и выберитеиз контекстного меню команду Свойства.5. На вкладке Дополнительно нажмите кнопку Параметры в областиПрофили пользователей. Выберите из списка профиль временнойучетной записи и нажмите кнопку Копировать.6. В поле Копировать профиль на введите полный путь к профилютого пользователя, для которого вы настраиваете перемещение, насервере: \\SRVRO01\Profiles\anvas.7. В области Разрешить использование нажмите кнопку Изменить ивведите регистрационное имя того пользователя, для которого настраиваетепрофиль: anvas.8. Нажмите ОК. Операционная система Windows XP Professional создаств папке \\SRVR001\Prof iles подпапку anvas и предоставит полныйдоступ к ней пользователю anvas и группе «Администраторы».Перемещаемый профиль для уже существующего пользователя создаетсятак же, только в качестве шаблона следует использовать существующийлокальный профиль этого пользователя.Если вы хотите создать перемещаемый профиль для уже существующегопользователя, вам нужно будет совершить те же действия с той, однако,разницей, что вам не надо создавать временного пользователя и его профиль,а просто достаточно просто копировать актуальные учетные данныепользователя с компьютера, на котором пользователь работает.Дальнейшие сведения о профилях вы найдете в 13 главе.108Примечание.В сетевой среде, работающей исключительно под ОС Windows 2000, использованиеперемещаемых профилей не рекомендуется.

4.4. Домашние папкиГлава 4. Организация рабочей группыВы можете посчитать, что для вашей сетевой среды применение перемещаемыхпрофилей слишком сложно и непрактично. Более экономнымрешением было бы организовать для пользователей доступ к папке с ихдокументами с любой рабочей станции.Папка, по умолчанию предназначенная для документов пользователя,называется его домашней папкой. У пользователя с локальным профилемэто папка Мои документы, расположенная на локальном диске и доступнаяс другой рабочей станции только тогда, когда включена эта. Чтобыдокументы пользователя были доступны в любое время с любого компьютерасети, нужно хранить их на сервере. Это выгодно еще и потому,что резервное копирование данных на сервере происходит регулярно, ана рабочей станции это зависит от дисциплины пользователя.В сети, где клиентские компьютеры работают под управлением WindowsХР Professional, организовать домашнюю папку пользователя на сервереможно следующим образом:1. На всех рабочих станциях и на сервере заведите пользовательские учетныезаписи с одним и тем же регистрационным именем и паролем.2. На сервере SRVR001 создайте на диске С: папку Documents. Откройтеобщий доступ к этой папке и дайте группе «Все» («Everyone»)разрешение Изменение (Modify).3. На каждом компьютере измените учетную запись так, чтобы онауказывала на дочернюю папку Documents в качестве домашнейпапки: откройте окно свойств учетной записи, перейдите на вкладкуПрофиль, в области Домашняя папка поставьте переключатель в положениеПодключить, выберите букву диска (рекомендуем оставитьZ:) и в поле На введите полный путь к личной подпапке пользователяв общей папке Documents ; \\SRVR001\Documents\%username%.По нажатии кнопок ОК или Применить в папке Documents на серверебудет создана подпапка с именем, совпадающим с регистрационнымименем пользователя. Доступ к ней пока настраивать не нужно.Теперь, зарегистрировавшись на любом компьютере сети, пользовательполучит в распоряжение диск Z: и выбор, где ему сохранять важныедокументы: на Z: или, как обычно, в локальной папке Мои документы.Если вы считаете, что предоставлять такой выбор нежелательно, потомучто его наличие только собьет пользователя с толку, то можно вручнуюперенаправить папку Мои документы в домашнюю папку (диск Z:). Откройтеокно свойств папки Мои документы, перейдите на вкладку Папканазначения и в поле Папка укажите путь к домашней папке: Z:.Недостатком этого простого решения является то, что все пользователиполучают доступ к домашним папкам друг друга. Если это не входит в109

Microsoft Windows Server 2003ваши намерения, то для домашних папок нужно соответствующим образомнастроить разрешения NTFS:1. Откройте окно свойств папки %username% (домашней папки конкретногопользователя на сервере).2. Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.Снимите флажок Наследовать от родительского объекта,нажмите кнопку Копировать, а затем ОК.3. Из списка пользователей и групп, для которых определены правадоступа к домашней подпапке, удалите группу SRVR001\Users идобавьте вместо нее конкретного пользователя. Назначьте ему разрешениеИзменение (Modify).4. Закройте окно свойств папки нажатием кнопки ОК.Теперь можно убедиться в том, что ни один обычный пользователь неимеет доступа к домашней папке другого и тем самым пользователиполучили безопасный и мобильный в пределах сети доступ к своим документам.4.5. ИтогиЧтобы пользователь мог зарегистрироваться на компьютере, входящем врабочую группу, он должен иметь на этом компьютере учетную запись.Основные свойства локальной учетной записи можно настроить черезграфический интерфейс. Для настройки остальных свойств (например,времени действия учетной записи или часов разрешенного доступа)служит команда net user.Самый безопасный способ входа пользователей в систему — через нажатиекомбинации клавиш Ctrl+Alt+Del. Если этот способ не настроен,а используется, например, экран приветствия, то посторонний видитрегистрационные имена всех законных пользователей и может, подобравпароль, зарегистрироваться под именем одного из них.Чтобы обеспечить нескольким пользователям совместный доступ к документам,нужно создать на постоянно работающем сервере разделяемую(общую) папку. Права доступа к ней можно настроить двумя способами.Первый, менее трудоемкий и менее безопасный, — разблокировать гостевуюучетную запись («Guest») и открыть доступ всем. Второй —• предоставитьдоступ каждому пользователю индивидуально. Точно так жеорганизуется совместный доступ к сетевым принтерам.При первой регистрации пользователя на рабочей станции создаетсяего профиль, то есть совокупность настроек его личного рабочего пространства,изолированных от настроек других пользователей. В профиль110

Глава 4. Организация рабочей группывходит домашняя папка пользователя, предназначенная для размещенияего личных документов. Если локальный жесткий диск в компьютере отформатированфайловой системой NTFS, то профиль создается с такимиразрешениями NTFS, что доступ к нему разрешен только владельцу иАдминистратору. Такой профиль называется локальным.Если пользователю нужно работать за разными компьютерами, то можносделать так, чтобы на них всех использовался один и тот же профиль.Такой профиль называется перемещаемым, и его настройка была описанавыше. Домашняя папка, входящая в состав профиля, при использованииперемещаемых профилей становится доступна пользователю с любогокомпьютера. В небольшой сети настройка перемещаемых профилей можетоказаться излишне трудоемкой и можно ограничиться локальнымипрофилями, разместив на сервере только домашнюю папку. Эта домашняяпапка будет доступна пользователю с рабочей станции как новый диск, ион сможет выбирать, где хранить свои данные: на нем или в папке Моидокументы.Состояние сетиМодель сети, развернутая к настоящему моменту, называется рабочейгруппой. У каждого пользователя есть локальная учетная запись на тойрабочей станции, за которой он обычно работает. Полную настройкуучетной записи мы выполнили при помощи команды net user. Еслипользователю требуется работать за несколькими компьютерами, то накаждом из них созданы одинаковые учетные записи (использование гостевойучетной записи не рекомендуется с точки зрения безопасности).Для размещения документов пользователей мы выбрали одну из следующихмоделей:• Перемещаемый профиль.• Локальный профиль и сетевая домашняя папка.Поскольку администрирование перемещаемых профилей — процессдостаточно трудоемкий и в среде рабочей группы не окупающийся, мырекомендуем использовать вторую модель. На сервере к этому моментумогут существовать разделяемые папки Profiles и Documents.111

Сеть растет.Структурированиерастущей сетиРабочая группаДоменАдминистрирование доменаMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

К этому моменту у нас есть небольшая учебная сеть. На компьютере, которыйбудет исполнять роль сервера, установлена операционная системаWindows Server 2003, а на нескольких рабочих станциях — Windows XPProfessional. Пользователи имеют локальные учетные записи на каждомкомпьютере и с каждого из них имеют доступ к своим данным, хранящимсяна сервере: домашней папке или даже целому профилю.На этом все, что попроще, закончилось. Теперь начинаются трудности.Сеть такой структуры совершенно невозможно поддерживать при увеличениичисла пользователей. Кроме того, администрирование такой сетитребует глубокого знания конкретных нужд пользователей.Возможности администраторов весьма различны. Один может эффективноуправлять только такой сетевой средой, в которой работает десятокдругойкомпьютеров, для другого не проблема и сотня. Подходы к управлениюсетью у них разные, и мало в чем они друг с другом согласятся.Однако с ростом сети рано или поздно наступит момент, когда оба онискажут, что так дальше уже нельзя.В этой главе мы рассмотрим и сравним различные возможности структурированиярастущей сети.5.1. Рабочая группаВ ходе установки системы вы оставили в диалоговом окне Рабочая группаили домен компьютера значение по умолчанию: рабочую группу с именемWORKGROUP (ГРУППА).Рабочую группу, называемую также сетью peer-to-peer или одноранговойсетью равноправных пользователей, отличают следующие основныехарактеристики.113

Microsoft Windows Server 2003• Рабочая группа — это простое и дешевое решение задачи объединенияв сеть небольшого количества пользователей.• В сети типа «рабочая группа» все узлы равноправны и находятся наодном и том же уровне. Узлы не имеют возможности эффективносотрудничать, и не существует простого способа их единообразноадминистрировать.• Каждый пользователь должен иметь учетную запись на каждом изкомпьютеров, за которыми ему нужно работать.• Учетные записи пользователей хранятся на локальном компьютерев базе данных системы безопасности (SAM, Security Account Manager).• Чтобы работать с ресурсами удаленного компьютера, пользовательдолжен иметь на нем учетную запись с тем же регистрационнымименем и паролем, что на локальном компьютере. В противном случаепри каждом обращении к сетевому ресурсу ему придется занововводить имя и пароль.• Если пользователь захочет сменить пароль, он должен будет сделатьэто на всех узлах, где у него имеется учетная запись. Если он этогоне сделает, он потеряет прямой доступ к разделяемым ресурсам, расположеннымна других узлах.• Любые настройки безопасности, выполненные с консоли Локальныепараметры безопасности, действительны только на локальном компьютере.Рабочая группа — это структура, предназначенная для малых сетей (додесятка компьютеров), когда пользователи объединяются для того, чтобыиметь доступ к сетевым ресурсам, таким как разделяемые папки или сетевыепринтеры.Может показаться, что такая структура скорее бесполезна,чем выгодна, но у нее есть определенные преимущества. Рабочую группулегко администрировать, и справиться с ней может администратор минимальнойквалификации.А для крупной и развивающейся сети придется найти модель получше.От этой модели требуется удобство управления пользовательскими учетнымиданными и другими характеристиками сети и масштабируемость,то есть независимость принципов ее работы от количества узлов в сети.Такой моделью является домен.5.2. ДоменДомен можно рассматривать как логическую группу объектов сети. Подобъектами понимаются компьютеры, учетные записи, группы пользователейи т. д.Как можно охарактеризовать домен по сравнению с рабочей группой?114

Глава 5. Сеть растет. Структурирование растущей сети• Узлы в домене иерархически упорядочены. На верху иерархии находитсякомпьютер, на котором размещена доменная база данных, т.н. контроллер домена.• Пользователь имеет лишь одну, т.н. «доменную», учетную запись, подкоторой он может регистрироваться на любом компьютере, входящемв домен.• Учетная запись пользователя находится в базе данных домена. Базойданных домена управляет контроллер домена. Если компьютеров,выполняющих функции контроллера домена, несколько, то они времяот времени синхронизируют свои доменные базы данных — на тотслучай, если какой-нибудь из них выйдет из строя или если в сетимного пользователей и один контроллер домена не справился бы стаким количеством.• Доступ к ресурсам других компьютеров в домене управляется доменнойучетной записью пользователя. Локальные учетные данныев домене не нужны.• Если пользователь меняет пароль, то изменяется его доменная учетнаязапись. С новым паролем он может регистрироваться на любомкомпьютере домена.• Безопасность можно настроить для всего домена сразу при помощигрупповых политик.Доменная модель — единственный разумный выбор для сетей среднегои большого размеров. Она предоставляет возможности для более эффективногоуправления, обеспечивает большую безопасность окружения и врезультате снижает расходы на вычислительную технику.5.3. Администрирование доменаПо сравнению с рабочей группой управление доменом на первый взглядвыглядит гораздо сложнее, но оно предоставляет и больше возможностей.Само собой, нельзя сразу стать полноценным администратором домена,потому что каждую из его функций нужно хорошо понять и научиться еюпользоваться. Чтобы эффективно администрировать домен, вам потребуетсяи хорошая теоретическая подготовка, и практические навыки. Надозаметить, что в литературе об этом иногда можно встретить ошибки, такчто способность администрирования сети приходит еще и с опытом.Если вы будете знать возможности доменной среды, уметь настраивать ииспользовать ее, ваша работа станет намного проще и эффективнее.На практике довольно часто встречается ситуация, когда администраторыдомена не знают как следует свойств и функций доменной среды или неумеют их применить и покупают новое программное обеспечение или115

Microsoft Windows Server 2003даже новое оборудование для решения тех задач, для которых и предназначеныфункции домена. Таким образом не только тратятся лишниесредства, но и администраторы добавляют себе хлопот по обслуживаниюустановленных приложений, что тоже увеличивает расходы на управлениесетью.5.4. ИтогиДомен представляет собой единую область сети, которой можно эффективноуправлять, несмотря на изменение условий работы, рост числаузлов и ввод новых технологий. Простым показателем того, насколькохорошо работает домен, станет реакция администраторов на увеличениеколичества сетевых объектов (пользователей, рабочих станций и т.п.).Администраторы, уверенно управляющие доменом, не должны боятьсяроста локальной сети: они заранее знают, что нужно сделать. Если жеадминистратора пугает рост окружения, значит, он не обладает достаточнымзапасом знаний или запустил управление сетью.Оставшаяся часть книги посвящена рассказу о том, что нужно сделатьдля эффективного управления всеми главными функциями домена, ипрактическому применению этих функций.Состояние сетиВ этой главе состояние сети не изменилось.116

Для чего и как всети преобразуюсяИМюнаИмена компьютеровNetBIOS-имя компьютераИмя узлаТрансляция именТрансляция имен в нашей сетиЗачем использовать службу DNSво внутренней сетиустановка служоы UNoНастройка службы DNSMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Для начала приведем пример. Если вы хотите кому-то позвонить, то,вероятно, вы ищете телефонный номер в записной книжке. А если у васнет этой записи? Скорее всего, вы попросите кого-нибудь дать вам этотномер и, получив его, зафиксируете в телефонной книжке.Эти действия мы выполняем автоматически, не задумываясь о том, чтосейчас мы занимались именно трансляцией имен. Обычно люди помнятимена других людей лучше, чем числа, а для телефонной связи нужночисло. Электронные и бумажные записные книжки служат как раз длятого, чтобы сопоставить имени телефонный номер.Компьютерная сеть в этом отношении очень похожа на сеть телефонную.Компьютеры, как и телефоны, сообщаются друг с другом посредствомномеров (у компьютеров это IP-адреса), пользователи же, наоборот, болеесклонны использовать имена. Чтобы люди и устройства нашли общийязык, между ними и компьютерами должна работать служба-посредник.Она называется службой трансляции имен.6.1. Имена компьютеровВо второй главе вы устанавливали операционную систему на несколькорабочих станций. Каждый компьютер получил в ходе установки собственноеимя (РС001, РС002, в случае сервера — SRVR001). Сколькоимен может быть у компьютера? Ответ прост. У каждого компьютерадва имени. Вот оба имени компьютера РС001:1181 имя — РС0012 имя — РС001

Глава 6. Для чего и как в сети преобразуются именаС одной стороны, наличие у компьютера двух вроде бы одинаковых именвыглядит несколько странным. Однако они служат совершенно различнымцелям.Компьютер (или другое устройство) является узлом сети, и первое изназванных имен — это имя узла (рис. 6.1).Второе из названных имен — так называемое имя интерфейса NetBIOS(Network Basic Input/Output System) (см. рис. 6.2). NetBIOS — это программныйинтерфейс для приложений типа клиент-сервер.Изменение имени компьютераМожно изменить имя и принадлежность к домену илирабочей группе этого компьютера. Изменения могутповлиять на доступ и сетевым ресурсам.Имя компьютера:Полное имя компьютера:РС001.Является членомО домена:© рабочей группы;(WORKGROUPРис. 6.1. В поле Имя компьютера вписано имя узлаDNS-суффикс и NetBIOS-имя компьютер*Основной ONS-суФФикс этого компьютера0 Сменить основной DNS -суффикс при смене членства в доменеNetBIOS-имя компьютера: ..jpcooi | •• '" . .Это имя используется для взаимодействия со старыми компьютбрамни службами.Рис. 6.2. NetBIOS-имя компьютера119

Microsoft Windows Server 20036.2. NetBIOS-имя компьютераNetBIOS-имя — это идентификатор, который используют службы, работающиена данном компьютере по протоколу NetBIOS. Он служит дляоднозначной идентификации узла в сети NetBIOS. Длина этого именисоставляет 16 байтов, где первые 15 — обычные печатные символы, ашестнадцатый байт идентифицирует службу, запущенную на компьютере(табл. 6.1).Примеры имен NetBIOS Таблица 6.1Имя NetBIOSSRVR001SRVR001SRVR00116-й байт002001СлужбаWorkstationServerMessengerИмена NetBIOS не образуют иерархии, то есть к ним нельзя дописать никакихсуффиксов. Этим ограничена область их применения: имя NetBIOSдолжно быть уникальным в пределах сети. Если бы в основу Интернетабыл положен протокол NetBIOS, то во всем мире мог бы быть толькоодин компьютер с именем WWW.Из этого следуют отличительные свойства NetBIOS-имен:• Имена NetBIOS нужны для служб, использующих интерфейсNetBIOS. Службы, встроенные в операционные системы Windows 2000и Windows XP Professional, не используют этого интерфейса, однако,если в сети есть компьютеры с предыдущими версиями операционныхсистем Windows, то в пределах сети должна работать служба трансляцииимен NetBIOS.• Имя NetBIOS не обязано совпадать с именем узла.• Имя NetBIOS должно быть уникальным в пределах сети.Если на одном компьютере запущено несколько служб, то в сети он будетизвестен под несколькими именами NetBIOS. Вывести список локальныхимен NetBIOS можно, введя в командной строке команду командыnbtstat -n:С:\>nbtstat -nПодключение по локальной сети:Адрес IP узла [168.192.10.17] Код области: [ ]120

Глава 6. Для чего и как в сети преобразуются именаЛокальная таблица NetBIOS-именИмяРС001WORKGROUPРС001РС001WORKGROUPWORKGROUP.. MSBROWSE_ТипУникальныйГруппаУникальныйУникальныйГруппаУникальныйГруппаСостояниеЗарегистрированЗарегистрированЗарегистрированЗарегистрированЗарегистрированЗарегистрированЗарегистрирован6.3. Имя узлаИмя узла однозначно идентифицирует компьютер или устройство. Поэтому имени узел можно найти в Интернете, потому что имена узловобразуют иерархическую систему. Полное доменное имя (FQDN, FullQualified Domain Name), уникальное в пределах Интернета, образуетсясоединением имени узла и так называемого суффикса DNS (рис.6.3). Этозначит, что несколько узлов в сети могут иметь одно и то же имя, еслиони отличаются суффиксом DNS.Например, полное доменное имя нашего сервера SRVR0 01 . study .local состоит из двух частей: SRVR001 — имя узла, a study . local —суффикс. Где-нибудь в Интернете может встретиться имя SRVR0 01 .another-domain . com, отличающееся от нашего только суффиксом.Изменение имени компьютереМожно изменить имя и принадлежность к домену илирабочей группе этого компьютера. Изменения MOTIJTповлиять ма доступ к. сетевым ресурсам•1мя компьютера:РСОО1Толное имя компьютера:РСОО1.Допо /iHPfre льно...Является членом ;0 доменаjstudy.loca(О рабочей группы:Рис. 6.3. Имя узла, имя домена и полное доменное имя121

Microsoft Windows Server 2003Вероятность встретить в Интернете имя узла SRVR001 не так уж велика.Но если вы вместо него дадите компьютеру имя WWW, то, пожалуй,вероятность встретить «тезку» резко возрастет.Имя узла задается при установке операционной системы. Суффикс добавляетсялибо автоматически при установке, если компьютер являетсячленом домена, либо указывается вручную потом.Имена узлов отличаются следующими свойствами:• Имя узла служит для идентификации компьютера или другого устройствав сети, работающей по протоколу TCP/IP.• Имя узла не обязано совпадать с именем интерфейса NetBIOS.• Максимальная длина имени узла — 63 символа.• Один узел может быть известен в сети под несколькими именами.На компьютере с операционной системой Windows XP Professional(Windows 2000 Professional) имя узла можно вывести с помощью утилитыкомандной строки HOSTNAME:С:\hostnamepcOOlОперационная система Windows 2000 и более новые используют поумолчанию имя узла, поэтому может показаться, что не стоит забиватьсебе голову еще и именами NetBIOS. Однако сети, где не найдется хотябы одного компьютера с Windows предыдущей версии, встречаются покаредко. Поэтому в целях совместимости не стоит забывать об именахNetBIOS и их трансляции.6.4. Трансляция именНаша сеть основана на протоколе TCP/IP, поэтому для ее работы необходимоуметь преобразовывать, или разрешать, в IP-адреса как именаузлов, так и NetBIOS-имена. В этом параграфе мы рассмотрим, а затемпопробуем осуществить различные способы разрешения имен.6.4.1. Статическое решениеСтатический способ преобразования имен похож на печатный телефонныйсправочник, в котором каждому человеку сопоставлен его телефонныйномер. Чтобы все работало, этот справочник должен быть всегдадоступен любому, кому понадобится позвонить.Далее ответим на наиболее часто задаваемые вопросы по статическомуспособу преобразования имен:122

Глава 6. Для чего и как в сети преобразуются имена• Как это работает в сети? Каждый компьютер, который должен установитьсвязь с другим по имени, полученному от пользователя илиприложения, должен иметь доступ к таблице, в которой прописаныэто имя и соответствующий ему IP-адрес.• Каковы недостатки статического решения? Недостаток этого решениявиден сразу: если IP-адрес в таблице написан с ошибкой, то связьне будет установлена. Такие ситуации могут возникать часто: сменаIP-адреса в сетях с протоколом ТСРДР — обычное дело. Подумайте,при каком размере сети вы перестанете справляться с поддержаниемтаблиц преобразования имен в рабочем состоянии.• Каковы преимущества статического решения? Естественно, статическоерешение имеет и свои преимущества. Главное из них заключаетсяв том, что, придерживаясь его, вы избавляетесь от необходимостиустанавливать, настраивать и поддерживать сетевые службы, которыерешали бы задачу трансляции имен другим способом.• Где статическое решение выгоднее других?• В малой сети, работающей по протоколу ТСРДР.• В сети, где нет возможности настроить другие службы трансляцииимен.• На отдельном компьютере, который подключается к сети удаленнои должен взаимодействовать только с несколькими ееузлами.Статическая трансляция имен NetBIOSДля преобразования имен NetBIOS в ОС Windows служит файл LMHOSTS.Для того, чтобы этот файл участвовал в процессе трансляции имен,должны быть выполнены следующие условия:• Он должен иметь имя LMHOSTS (без расширения).• Он должен находиться в папке %systemroot%\system32\drivers\etc.• Он должен содержать необходимые строки.• В окне настройки TCP/IP, на вкладке WINS, должен быть установленфлажок Включить просмотр LMHOSTS (рис. 6.4).Файл LMHOSTS — это текстовый файл примерно следующего содержания:192.168.10.2 SRVR001192.168.10.17 РС001192.168.10.18 РС001Каждая строка этого файла сопоставляет IP-адресу единственное имяNetBIOS.123

Microsoft Windows Server 2003Дополнительные параметры TCP/if'Параметры IP j! DNS j WINS j Параметры!• WINS-адреса, в порядке использования.Использование просмотра LMHDSTS влияет ма все подключения,использующие TCP/IP.0 Включить просмотр LMHOSTS | Импорт LMHOSTS.,.Параметры NetBIOS(*) По умолчанию:Использовать параметры NetBIOS, полученные сDHCP-сервера. Если используется статический IP-адрес,или DHCP-сервер не указывает параметры NetBIOS, товключить NetBIOS по TCP/IP.О Включить NetBIOS через TCP/IPО Отключить NetBIOS через TCP/IPРис. 6.4. Включение просмотра LMHOSTSСтатическая трансляция имен узловДля преобразования имен узлов в ОС Windows служит файл HOSTS. Длятого, чтобы этот файл участвовал в процессе трансляции имен, должныбыть выполнены следующие условия:• Он должен иметь имя HOSTS (без расширения).• Он должен находиться в папке %systemroot%\system32\drivers\etc.• Он должен содержать необходимые строки.Файл HOSTS — это текстовый файл примерно следующего содержания:192.168.10.2 SRVR001 SRVR0 01.ourcompany.com SRVR.study.local192.168.10.16 РС001 PC001.ourcompany.com192.168.10.17 РС002 PC002.ourcompany.com РС002.study.localРазницу между файлами HOSTS и LMHOSTS видно с первого взгляда.Каждая строка файла HOSTS может сопоставлять единственному IPадресунесколько имен узлов либо полных доменных имен.6.4.2. Динамическая трансляция именПусть на предприятии есть список нужных телефонов. Есть два способасделать его доступным для всех сотрудников. Первый — раздать копии, отпечатанныена бумаге, или разослать их по электронной почте. Второй —124

Глава 6. Для чего и как в сети преобразуются именаразместить этот список на сервере и открыть всем доступ на просмотр(например, через Интернет).Выгодность второго способа становится очевидной, когда в списке что-томеняется: достаточно исправить список один раз, чтобы все пользователиувидели новую информацию. Первый способ намного более трудоемок,поскольку он требует повторной рассылки исправленного списка и контроляза тем, чтобы пользователи его получили и приняли к сведению.Вы уже, вероятно, заметили, что первый способ приведен как аналогия статическогорешения, о котором только что шла речь. Второй же способ —база данных, к которой имеют доступ все, кому она требуется, — аналогичендинамическому решению, которое мы рассмотрим сейчас.Динамическая трансляция имен NetBIOSИмена NetBIOS и соответствующие им IP-адреса хранятся в базе данныхслужбы WINS (Windows Internet Name Service). База данных WINS должнабыть размещена на сервере WINS, а сервер WINS можно установитькак компонент операционной системы Windows Server 2003 или Windows2000 Server. Это значит, что в сети должен быть хотя бы один компьютерс серверной операционной системой, иначе динамическое решение использоватьневозможно.Далее ответим на общие вопросы по динамической трансляции именNetBIOS:• Как имена и IP-адреса попадают в базу WINS? Каждый компьютер,являющийся клиентом WINS (то есть имеющий доступ к серверуWINS по его IP-адресу) при включении регистрирует на этом серверевсе свои имена NetBIOS. После регистрации они и IP-адрес зарегистрировавшегоих узла становятся доступны для любого узла сети.• Что делать, если компьютер не может зарегистрировать свои NetBIOSимена?В распоряжении администратора есть возможность занести вбазу IP-адрес и соответствующие ему NetBIOS-имена вручную, создавтаким образом статический список, который нельзя удалить иначе, чемвручную. Не забывайте контролировать правильность статическогосписка, а в случае изменений своевременно вносить в него поправки.• Как поддерживать базу в актуальном состоянии? При выключенииклиент WINS посылает серверу WINS запрос на освобождение списка.При следующем включении компьютер заново регистрирует свои именаNetBIOS с тем IP-адресом, который у него окажется на этот момент.• Что произойдет, сеанс работы компьютера завершится аварийно и запросна освобождение списка не будет послан или сервер WINS в этотмомент окажется недоступен? Ничего страшного. Если у сервера WINSесть база активных имен NetBIOS и пришел запрос на регистрацию125

Microsoft Windows Server 2003тех же имен, он проверит соответствующий им IP-адрес с помощьюутилиты PING. Если текущий список еще действителен (IP-адрес неизменился), то запрос на перерегистрацию клиента будет отклонен.Как уже было сказано, система Windows 2000 и более новые работаютпреимущественно с именами узлов.Динамическая трансляция имен узловИмена узлов и соответствующие им IP-адреса хранятся в базе данныхслужбы DNS (Domain Name System). Служба DNS управляет иерархическиорганизованным пространством имен и хранит информацию втак называемых зонах. Организовать хранение зон DNS можно разнымиспособами: поместить их как файлы на сервер, где запущена служба DNS,или включить в доменную базу данных. Важно помнить, что каждой зонесоответствует один файл (в том случае, если зоны хранятся как файлы).Службу DNS можно установить как компонент операционной системыWindows 2000 Server или Windows Server 2003.Далее ответим на общие вопросы по динамической трансляции именузлов на основе базы DNS:• Как имена узлов и IP-адреса попадают в базу DNS? Компьютеры сОС Windows XP Professional или Windows 2000 Professional способныавтоматически зарегистрировать свое имя узла и IP-адрес в базе данныхслужбы DNS. После регистрации эти данные становятся доступнывсем узлам сети.• Что делать, если компьютер не может зарегистрировать свое имяузла? В таком случае есть две возможности:• Внести соответствующую запись (или несколько записей, если у компьютеранесколько IP-адресов) в базу данных DNS вручную.• Если для раздачи IP-адресов в сети служит сервер DHCP (входящийв состав ОС Windows Server 2003 и Windows 2000 Server), можно настроитьего так, чтобы он проводил эту регистрацию за клиентов.Эта возможность особенно полезна, если в сети работают клиентскиекомпьютеры с ОС Windows 95, 98, NT 4.0 и т.п.• Как поддерживать базу в актуальном состоянии? Клиентские компьютерыне посылают при выключении никакого запроса на освобождениесвоей записи. Об ее удалении сервер DNS должен позаботитьсясам. Эта функция бывает настроена не всегда, но даже так — ничегострашного нет. При включении клиент регистрируется с новым IPадресом,и в зоне появляются две записи: с одним именем узла, но сразными IP-адресами. Трансляции имен это не повредит.Поскольку операционные системы семейства Windows 2000 и более новыеработают с именами узлов, стоит подумать о том, чтобы установитьслужбу DNS для их трансляции.126

Глава 6. Для чего и как в сети преобразуются имена6.5. Трансляция имен в нашей сетиУстанавливая серверную ОС, мы не установили ни сервера WINS, ниDNS. Поэтому единственными параметрами протокола TCP/IP, которыемы настраивали на рабочих станциях, был IP-адрес и маска подсети. Мыне указывали IP-адресов служб WINS и DNS. Посмотрим, как при такихусловиях транслируются имена.6.5.1. Имена узловПреобразование имен узлов лучше всего можно продемонстрироватьпомощью утилиты PING.1. Зарегистрируйтесь на РС001 как Администратор.2. Введите команду ping srvrOOl. Вы увидите что-то вроде этого:C:\>ping srvrOOlОбмен пакетами с srvrOOl [192.168.10.2] по 32 байт:Ответ от 192.168.10.2: байты=32 время=2мс TTL=128Ответ от 192.168.10.2: байты=32 время

Microsoft Windows Server 20032. Выполните команду Пуск —» Выполнить и в поле Открыть укажитеUNC-путь к серверу: WSRVR001. Вы увидите окно со значками разделяемыхресурсов на сервере SRVR001 (рис. 6.5).3. Зарегистрируйтесь на SRVR001 как Администратор.4. Выполните команду Пуск -» Выполнить и в поле Открыть укажитеUNC-путь к компьютеру РС001: WPC001. Если появится диалоговоеокно с запросом пароля для гостевой учетной записи («Guest») накомпьютере РС001, то запустите на РС001 Проводник Windows ив меню Сервис выберите пункт Свойства папки. Затем на вкладкеВид снимите флажок Использовать простой общий доступ к файлам(рекомендуется). Вы должны увидеть окно со значками разделяемыхресурсов на РС001 (рис. 6.6).Что происходит? Мы не устанавливали ни службу WINS, ни DNS, нередактировали файлов HOSTS и LMHOSTS ни на одном из компьютеров,однако они прекрасно находят друг друга в сети по именам. Чтобыпонять этот процесс, нужно знать последовательность действий компьютерапо разрешению имен. Если в сети работает сервер WINS, а налокальном компьютере настроен просмотр LMHOSTS, то который изспособов трансляции имен будет применен в первую очередь? Тот же3 bJ Пе^хоя !Сетевые за№Ч*ЛЩД Добавить новый элемент всетевое окружение

Глава 6. Для чего и как в сети преобразуются именаJ2 Пере у слДобавить новый элемент всетевое окружениеОтобразить сетевыеподключенияУстановить домашнюю илималую сетьОтобразить компьютерырабочей группыГ^мнтерыифаксыД(*уп&е мест**jjfa WORKGROUPt£ Мой компьютерQ Мои документыjr%} Общие документы^ Принтеры и факсыРис. 6.6. Разделяемые ресурсы на рабочей станции РС001вопрос можно задать и о сервере DNS и файле HOSTS. Знание порядкаразрешения имен даст вам возможность в самых сложных сетях выбратьнаиболее простое решение, не говоря уже о необходимости этого знаниядля устранения неполадок с трансляцией имен.6.5.3. Порядок разрешения имениИмя узлаКогда вы, сидя за компьютером РС001, отдали команду ping srvrOOl,произошло следующее:1. Компьютер спросил сам у себя, не является ли SRVR001 его именем.Понятно, что ответ был отрицательным, и поэтому он перешел кследующему шагу.2. Компьютер открыл свой кэш DNS и проверил, нет ли там записио том, какому IP-адресу соответствует имя SRVR001. Если его ненашлось, то он перешел к следующему шагу.3. Компьютер попытался послать запрос на разрешение имени серверуDNS. Нашему компьютеру РС001 посылать запрос некуда, потомучто он не знает IP-адреса сервера DNS. На этом преобразованиеимени узла заканчивается.На каком же этапе наш РС001 сумел сопоставить имени SRVR001 адрес192.168.10.2 и какова в этом процессе роль рассмотренного в предыдущем5 Зак. 446 129

Microsoft Windows Server 2003параграфе файла HOSTS? С ответом на первый вопрос мы пока подождем,а ответ на второй таков. Если файл HOSTS содержит записи с именамиузлов и соответствующими им IP-адресами устройств, то эти записи сразупосле сохранения файла HOSTS на локальном диске добавляются в локальныйкэш DNS. В этом случае компьютер получает ответ на шаге 2.Кэш DNSКэш DNS является компонентом операционных систем Windows, начинаяс Windows 2000. Это промежуточная память, служащая для того, чтобыне загружать сервер DNS частыми запросами на разрешение одинаковыхимен, а преобразовывать их локально. Для работы с кэшем DNS предназначеныследующие команды:• ipconfig /displaydns выводит содержимое кэша;• ipconfig /flushdns очищает кэш и заново прочитывает файл HOSTS.Эту команду следует использовать в том случае, если у какого-то узлаизменился IP-адрес и содержимое кэша таким образом перестало соответствоватьдействительности.Имя NetBIOSКогда вы, сидя за сервером SRVR001, вводили команду Пуск -» Выполнить,Открыть \\PC001, произошло следующее:1. Компьютер проверил, не является ли WPC001 UNC-путем к немусамому. Не является, поэтому он перешел к следующему шагу.2. Компьютер поискал соответствие UNC-пути WPC001 в своем кэшеNetBIOS. Если соответствия не нашлось, он перешел к следующемушагу.3. Компьютер попытался отправить запрос на разрешение имениРС001 первому из WINS-серверов, IP-адреса которых прописаны внастройках протокола ТСРДР. Если таких адресов не указано илисервер WINS не может найти соответствие запрошенному имени, токомпьютер перешел к следующему шагу.4. Компьютер посылает широковещательный запрос, существует лив локальной сети такое NetBIOS-имя. Широковещательный запросне подлежит маршрутизации через выходной шлюз, поэтому, еслизапрошенного имени в локальной сети нет, а есть оно, например,во внешней сети, то последовал следующий шаг.5. Последней попыткой найти NetBIOS-имя является просмотр файлаLMHOSTS.Итак, файл LMHOSTS просматривается в последнюю очередь. Но к отдельнымзаписям в этом файле можно дописать ключевое слово #PRE,которое заставляет операционную систему при каждом обновлении кэша130

Глава 6. Для чего и как в сети преобразуются именаNetBIOS загружать эти записи в кэш, после чего эти имена разрешаютсяуже на втором шаге.Файл LMHOSTS всегда анализируется последовательно, поэтому имеетсмысл наиболее часто вызываемые имена размещать в его первых строках.Кэш NetBIOSКэш NetBIOS — традиционный компонент Windows, он присутствуети в версиях более ранних, чем Windows 2000. Для работы с ним служатследующие команды:• nbtstat -с — вывод имен удаленных компьютеров из локального кэша(например, здесь отобразятся записи файла LMHOSTS, снабженныеключевым словом #PRE;• nbtstat -г — вывод имен удаленных компьютеров, разрешенных припомощи службы WINS или широковещательного запроса.А теперь — ответ на вопрос, как же было разрешено имя SRVR001, ненайденное в файле HOSTS. В продуктах компании Microsoft поиск имениузла не заканчивается при невозможности обратиться к серверу DNS.Вместо этого операционная система продолжает поиск так, как если бызапрошенное имя было именем NetBIOS, то есть в нашем случае онанашла его по широковещательному запросу в подсети 192.168.10.0/24.Понятно, что если бы запрашиваемое имя было длиннее 15 символов, топрименить этот способ было бы невозможно, и его IP-адрес не был бынайден. Если бы сервер SRVR001 находился в другой подсети, то поиск поимени NetBIOS был бы возможен, но дал бы отрицательный результат.6.6. Зачем использовать службу DNSво внутренней сетиТолько что мы рассмотрели случай, когда имя узла успешно разрешаетсяспособом, предназначенным для разрешения NetBIOS-имен. Очевидно,что процедура, специально предназначенная для разрешения имен узлов,сработала бы быстрее.Клиентские компьютеры с Windows 2000 и Windows XP используют в доменес серверной операционной системой Windows Server 2000 или болееновой (то есть в домене с Active Directory) исключительно службу DNS.Кроме разрешения имен, сервер DNS выполняет еще одну очень важнуюроль — обеспечивает информацию о местонахождении служб в сети.Речь идет о следующем. Чтобы зарегистрироваться на рабочей станциис Windows XP Professional, вы включите компьютер, дождетесь экрана131

Microsoft Windows Server 2003приветствия, введете свои регистрационные данные (имя и пароль доменнойучетной записи). Теперь рабочая станция должна найти контроллердомена, то есть тот компьютер, на котором хранятся доменные учетныезаписи и который и предоставляет вам доступ к работе. Как, однако,клиент будет его искать? Может быть, адрес контроллера хранится наклиентском компьютере статически?Нет, это не так. Если бы информация об имени домена хранилась в системекомпьютера-клиента, была бы возможна следующая ситуация: вывключаете компьютер после отпуска, а в сети произошли перемены —появился новый контроллер домена, а старый, соответственно, былудален. Естественно, новый контроллер по старым статическим даннымнайден бы не был и вам не удалось бы зарегистрироваться.На самом деле клиентские ОС Windows 2000 и Windows XP, работая вдомене, обслуживаемом соответствующей им серверной ОС, обращаютсяза информацией о контроллере домена к службе DNS.6.7. Установка службы DNSСлужбу DNS можно устанавливать только как компонент сервернойоперационной системы. Ее установка осуществляется по следующемусценарию:1. Зарегистрируйтесь на сервере SRVR001 как Администратор.2. Выполните команду Пуск -» Панель управления —> Установка иудаление программ. Выберите действие Установка компонентовWindows.3. В появившемся окне Мастер компонентов Windows выберите Сетевыеслужбы и нажмите на кнопку Состав.4. В появившемся окне Сетевые службы установите флажок DomainName Server (DNS) и нажмите ОК (рис. 6.8).5. Нажатием на кнопку Далее запустите установку службы DNS. Онане требует перезагрузки системы.6.8. Настройка службы DNSТеперь нужно настроить службу DNS. Пространство доменных имен(информация о соответствии имен узлов IP-адресам) организовано иерархическив так называемые зоны. Понятие зоны должно быть уже знакомовам по работе в Интернете. Иногда вместо слова «зона» говорят «домен»,но это не совсем точно: зона может включать пространство несколькихдоменов. Далее мы будем использовать исключительно термин «зона».132

Глава 6. Для чего и как в сети преобразуются именаКомпоненты WindowsВы можете добавить или удалить компоненты Windows.Чтобы добавить или адалигь компонент, чстаноеоте или снимите флажок.Затененный Флажок означает частичка» установку компонента. Выяснить его ••:состав позволяет кнопка "Состав".£омпоменты; ... • .. '• . • ••.-.•.elwofk File and Pfint Services 0,0МБ , .)Remote Installation Setvices2,0 МБRftmntft Sfnrarv» . . . • 3 RMR. ZlОписание. Contains a vaiiety of ipectafoed, network-rotated setvices and protocols.\ Требуется на диске:: Свободно на диске:;3,6 МБ3312,9 МБРис. б. 7. Установка компонентов WindowsОтметьте все устанавливаемые комооненты. Затененный фяажок означаетчастичную установку компонента. Выяснить его состав позволяет одноименнаяк н о п к - з • • ; • ' • ••-'"• ::/ '•• •• - •':Networking5«vtces :* состае':•D ^Dynamic Host Configuratkjn Protocol (DHCP)[J JH Internet Authentication ServiceDSRPC over HTTP ProxyD ^Simple TCP/IP ServicesО ^Windows Internet Name Service fv/INS)0.0 МБ:0.0 МБ '0.0 МБ |0.0 МБ09МБОписание. Sets up a DNS server thai answers query and update requests tor DNS'•. • • names.ШT рейуется на диске;• Свободно на диске:Рис. 6.8. Установка сетевых служб Windows Server 2003Локальная сеть образует одну зону. Нужно выбрать для нее название.Если в ваши намерения не входит «публикация» имен узлов вашей сети вИнтернете, то название зоны можете выбирать произвольно. Если же онадолжна служить для разрешения имен ваших узлов по запросам извне,то нужно получить имя зоны у организации, уполномоченной выдаватьдоменные имена. Имена второго уровня (уровня страны) выдает национальныйкоординатор, уполномоченный международной организациейInterNIC — в России это RU-CENTER (www.nic.ru), а именами следующихуровней распоряжаются владельцы соответствующих зон.Поскольку мы создаем зону исключительно для обслуживания локальнойсети, назовем ее study.local. Порядок действий по созданию зоны таков:133

Microsoft Windows Server 20031. Выполните команду Пуск -> Панель управления -» Администрированиеи выберите DNS. Откроется окно консоли с именем сервераSRVR001.2. В левой части окна разверните объект сервера, щелкните правойкнопкой мыши по пункту Зоны прямого просмотра и выберите изконтекстного меню Новая зона. Запустится Мастер создания зоны.На первом шаге нажмите кнопку Далее.3. В диалоговом окне Тип зоны установите флажок Основная зона инажмите Далее.4. В поле Имя зоны введите study. local. Нажмите Далее.5. В диалоговом окне Файл зоны установите флажок Создать новыйфайл и введите имя файла: study. local. dns. Нажмите Далее.6. В окне Динамическое обновление установите флажок Разрешитьлюбые динамические обновления и нажмите Далее.7. Завершите установку нажатием кнопки Готово.Примечание.Пусть вас не смущает предупреждение о небезопасности обновлений данных зоны.Во внутренней сети на него можно не обращать внимания. Более того, в дальнейшихглавах мы примем дополнительные меры безопасности.Последним шагом настройки DNS является инструктирование всехимеющихся в сети компьютеров использовать сервер DNS и только чтосозданную зону. На всех компьютерах пропишите адрес сервера DNS впараметрах протокола ТСРДР и точно так же создайте зону study . local.Благодаря тому, что мы разрешили динамическое обновление зоны, всеостальное компьютеры проделают без нашего участия.Динамическое обновлМожно разрешить этой DNS-зоне принимать безопасные или небезопасныединамические обновления или запретить их.Динамические обновления позволяют DNS-клиентам регистрироваться идинамически обновлять свои записи ресурсов на ONS-cepeepe при их изменении.Выберите нужный тип динамического обновления:Эта возможность доступна только для зон, интегрированных с Active Director у.'•' >. *[ i I I 1H I . .• , ,•-,,•.Динамические обновления йогут выполняться любым клиентом,/л Этот вариант опасен, поскольку обновления могут быть получены от•~ Ḻ > источников, не заслуживающих доверия. • . .=-.-.С Запретить динамические обновленияДинамические обновления загмсей ресурсов не принимаются этой зоной.Необходимо выполнить обновления вручную, •Рис. 6.9. Разрешение динамическихобновлений зоны134

Глава 6. Для чего и как в сети преобразуются имена6.8.1. Настройка DNS на сервере SRVR001Настройка DNS на сервере состоит из следующих шагов:1. В главном меню выберите Панель управления —> Сетевые подключения,а затем правой кнопкой мыши щелкните по пункту Подключениепо локальной сети.2. Из контекстного меню выберите Свойства.3. В окне свойств подключения к локальной сети выберите пунктПротокол сети Интернет TCP/IP и нажмите на кнопку Свойства.Откроется окно свойств протокола ТСРДР.4. В поле Предпочитаемый сервер DNS введите IP-адрес сервераSRVR001 — 192.168.10.2. SRVR001 будет сам себе и сервером, иклиентом DNS.5. Последовательным нажатием на кнопку ОК закройте все окна.6. В меню Пуск нажмите правой кнопкой мыши на меню Мой компьютери выберите пункт Свойства.7. В диалоговом окне Свойства системы откройте вкладку Имя компьютераи нажмите кнопку Изменить.8. В диалоговом окне смены имени компьютера нажмите кнопку Дополнительно.9. В диалоговом окне DNS-суффикс и NetBIOS-имя компьютера введитев поле Предпочитаемый DNS-суффикс имя зоны study. local.Нажатием OK закройте окно.10. Вы увидите в диалоговом окне Смена имени компьютера в полеПолное имя компьютера srvrOOl. study . local — имя, состоящееиз имени узла и суффикса DNS. Это имя должно быть уникальнымв пределах сети. Диалоговое окно закройте нажатием ОК.После этого необходимо перезагрузить компьютер.11. После перезагрузки компьютера снова откройте консоль DNS ив левой части окна выберите зону study, local. В правой частиокна обратите внимание на созданный объект А (хост) сервераSRVR001._. dntiiignit - [DN5\SRVR001\3oHbi прямого iipucMorpa'.sludy.local], &онсоль Действие §JIA С^но ^правка• •• © ЕЕ I ** й 1 В 1Щ, fijOfliВ- Щ 5RVR001R"U Зоны прямого просмотраЙ3"£3 Зоны обратного просмотраЙ {JH Просмотр событийI (jj События DNSЩ\ (как папка верхнего уровня) Начальная запись зоны ... [1], srvrOOl.study.local., h..(как папка верхнего уровня) Сервер имен (NS) srvrOOi .study.local.•'••• •..•.'••' . . . • .. •••-••••,•.• ••:. . ...:•.. .- : ::••"••:!;„; •••. -.-. ..Рис.6.10. Вновь созданная зона study. local135

Microsoft Windows Server 20036.8.2. Настройка DNS на рабочей станцииДля настройки DNS на рабочей станции необходимо проделать следующиедействия:1. Зарегистрируйтесь на компьютере РС001 как Администратор.2. В главном меню выберите Панель управления -н> Сетевые подключения,а затем правой кнопкой мыши щелкните по пункту Подключениепо локальной сети.3. Из контекстного меню выберите Свойства.4. В окне Подключение по локальной сети — свойства выберите Протоколсети Интернет, нажмите на кнопку Свойства.5. В поле Предпочитаемый DNS-сервер введите адрес сервераSRVR001 — 192.168.10.2. Затем нажмите ОК. Диалоговое окносвойств подключения закройте нажатием кнопки Закрыть.6. Далее действуйте так же, как на сервере (пункты с 6 по 10). Длятого, чтобы изменения вступили в силу, надо будет перезагрузитькомпьютер. Закройте оба окна и перезагрузите компьютер.Перезагрузив компьютер РС001, откройте на сервере SRVR001 окноконсоли DNS и отобразите содержание зоны, study. local. Как видите,здесь появился еще один узел — РС001 с соответствующим ему IP-адресом.Если он пока не отображен, хотя все сделали правильно, подождитееще минуту. Очевидно, в компьютере еще не начали работать сетевыеслужбы.Примечание.Система Windows XP Professional устроена так, что она делает возможным входпользователей еще до активации сетевых служб. Для большинства пользователейэто очень важно, потому что регистрация происходит намного быстрее, чем встарых операционных системах. В нашей сети, однако, с этим не все в порядке.Мы вернемся к этой проблеме позже.В консоли DNS щелкните по записи Start of Authority (Начало полномочий)и посмотрите данные в поле Серийный номер. Сейчас там стоит 3.Это число, которое имеет первоначальным значением 1 и увеличиваетсяна 1 при каждом изменении. Пока прошло 2 изменения, и оно равно 3.Это число вы можете изменять, однако в нашей сети это не будет иметьникакого эффекта: редактирование его имеет смысл в сетях с несколькимисерверами DNS.С:\>ping pcOOlОбмен пакетами с pcOOl.local.study [192.168.10.17] по 32 байт:Ответ от 192.168.10.2: байты=32 время=2мс TTL=128Ответ от 192.168.10.2: байты=32 время

Глава 6. Для чего и как в сети преобразуются именаОтвет от 192.168.10.2: байты=32 время

Microsoft Windows Server 2003своего узла, для более ранних версий это должен делать сервер DHCP —компонент ОС Windows Server 2000/2003.Служба DNS устанавливается как компонент серверной операционнойсистемы и не требует перезагрузки компьютера. Потом нужно настроитьодну или несколько зон, которые сервер DNS будет обслуживать, то естьсопоставлять именам узлов в этих зонах IP-адреса. Компьютер, на которомработает сервер DNS, должен быть клиентом DNS сам для себя.Настройка службы DNS очень проста, особенно по сравнению с ОСWindows NT 4.0.Состояние сетиВ нашей сети установлена служба DNS, сервер и рабочие станции настроенытак, чтобы пользоваться ею. У клиентских компьютеров появилсяпервичный суффикс DNS, который указывает, в какой именно зоне искатьзапись при разрешении имени узла.138

A c t i v e D i r e c t o r y .Установка доменаЧто такое активный каталог(Active Directory)Контроллер доменаЕсли возможностей доменане хватаетДерево Active DirectoryЛес Active DirectoryКакую структуру можетиметь дерево доменовКак назвать домен?Подготовка к установкеи установка домена Active DirectoryMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сета

В пятой главе мы бегло сравнили сетевые модели рабочей группы идомена и пришли к выводу, что модель домена уместно выбирать длясредних и больших сетей, в которых управление учетными даннымипользователей средствами рабочей группы было бы бесконечно долгими утомительным процессом.Кроме более простого управления учетными записями модель доменапредлагает еще и другие функции для управления различными объектами,встречающимися в сетях. Она дает администратору возможностьавтоматически устанавливать операционные системы и приложения наклиентских компьютерах, задавать единый уровень безопасности, регулироватьправа и привилегии каждого конкретного пользователя и делатьвсе это, не вставая со своего рабочего места.О том, чем является домен и как его установить, пойдет речь в этойглаве.7.1. Что такое активный каталог(Active Directory)Собственно, домен — это база данных, содержащая сведения о всех объектах,имеющих значение для функционирования сети: регистрационныеданные пользователей и групп, учетные записи компьютеров, принтерови других сетевых устройств.Таким образом, домен можно представить как логическую группу сетевыхобъектов. Для абсолютного большинства объектов их физическое рас-140

Глава 7. Active Directory. Установка доменаположение безразлично, а для некоторых объектов атрибут расположениявообще не имеет смысла.Домен, или доменная база данных, — это не только собрание объектов(каталог). Эта база данных может также отвечать на вопросы (например,в каком отделе работает пользователь Андрей Васильев), выполняя темсамым роль сервера каталога. В операционной системе Windows Server2003 так же, как и в Windows 2000 Server, сервер каталога называетсяActive Directory, или активным каталогом.Active Directory (AD) — это иерархически организованное хранилище,которое предоставляет удобный доступ к сведениям о различных объектахсети, помогая пользователям и приложениям найти эти объекты. К томуже он проверяет, есть ли у пользователя, запросившего информацию,право на ее получение. Список пользовательских прав также находитсяв базе данных Active Directory.7.2. Контроллер доменаЧто такое контроллер домена?Компьютер, на котором работает сервер каталога, называется контроллеромдомена; иными словами, контроллер домена — это компьютер,на котором размещена вся база данных Active Directory. Все запросы кактивному каталогу и вообще все запросы, касающиеся доступа к информации,хранящейся в домене, обрабатывает именно этот компьютер.Роль управления доменом — настолько важная в сети функция, что отнее напрямую зависит работа сети. Поэтому и доступ к контроллерамдомена (DC, Domain Controller) разрешается с большей осторожностью,чем к остальным, а сами эти компьютеры имеют большую степень безопасности(как с точки зрения сетевого доступа, так и чисто физически)и оснащаются самым надежным оборудованием. В крупных сетяхони никогда не выполняют дополнительных серверных функций (небывают серверами печати, приложений, файловыми серверами и т.п.).Реализация доменной модели сети начинается с установки контроллерадомена.Поскольку никакое оборудование не обладает стопроцентной гарантией,может случиться, что через некоторое время контроллер домена выйдетиз строя. Что произойдет тогда? Очевидно, что база данных Active Directoryперестанет быть доступна, а это значит, что пользователи не смогутзарегистрироваться ни на одном из компьютеров домена. К таким неприятностямнужно готовиться еще на этапе планирования сети, и решениембудет организация нескольких контроллеров домена.141

Microsoft Windows Server 2003Несколько контроллеров домена?Учетная запись пользователя должна обеспечивать его работу во всемпространстве домена. Если в домене несколько контроллеров, то егоучетные записи хранятся на нескольких компьютерах. Не возникнет лимежду ними противоречия?Нет. При установке второго контроллера домена не создается новойбазы данных Active Directory, вместо этого на него копируется, илиреплицируется, существующая база данных. Таким образом, каждыйконтроллер домена хранит одни и те же данные, включая учетные записипользователей. Теперь, если один из контроллеров домена выйдет изстроя, клиенты автоматически переключатся на другой, и это нискольконе помешает их работе.7.3. Если возможностей домена не хватаетНазвание этого параграфа отнюдь не намекает на то, что существует болееэффективная, чем домен, сетевая модель. Такой модели нет. Но к некоторымсетям предъявляются требования, которым не может удовлетворитьодин домен. Дело даже не в том, что максимальное количество объектовв активном каталоге ограничено: в ограничение в несколько миллионовобъектов не вписаться трудно. Это ведь не домен операционной системыWindows NT 4.0, в котором могло находиться не более сорока тысячобъектов. Домен Windows Server 2003 можно считать практически безразмерным.Но обстоятельства, при которых уместной или неизбежной будет организацияеще одного домена, существуют. Вот несколько примеров:142• Административное решение. Технических причин в этом случае нет,но требование руководства предприятия выполнять нужно.• Разные требования к безопасности в разных подразделениях. Например,если руководство требует, чтобы у пользователей из отделаразработки пароль был не короче 10 символов, а у всех остальных —не короче 8 символов, то эти требования в пределах одного доменавыполнить невозможно. Придется выделять разработчиков во второйдомен.• Разные подразделения должны быть представлены в Интернете подразными именами. Один домен не может иметь нескольких имен.• Перегрузка линий связи. Когда в домене создается новый объект(например, учетная запись пользователя), то он реплицируется навсе контроллеры домена. Если на предприятии два подразделения,связанные между собой медленной и ненадежной линией, то не стоитзагружать эту линию еще и копированием содержимого активного

Глава 7. Active Directory. Установка доменакаталога: здесь уместно выделить эти подразделения в отдельныедомены.На практике можно встретить окружение, в распоряжении которого имеетсянесколько доменов. Речь идет о заграничных отделениях компанийили об очень больших предприятиях. Однако если ваше предприятиене соответствует какой-либо из вышеописанных ситуаций, то вам будетхватать и одного домена.7.4. Дерево Active DirectoryЕсли в вашей организации несколько доменов, у вас есть две возможностиих логической организации. Первая из них называется деревомдоменов. Она характеризуется тем, что домены, входящие в дерево, образуютединое пространство имен (рис.7.1). Это значит, что имена объектовдолжны быть уникальными в пределах всего дерева. Достигаетсяэта уникальность тем, что полное имя подчиненного домена (europe.microsoft .com) складывается из его собственного имени (europe) иимени вышестоящего домена (microsoft .com). Имя домена высшегоуровня (корневого домена) входит в имена всех поддоменов.На количество доменов, образующих дерево, ограничений нет.Домены могут быть связаны друг с другом доверительными отношениями.Доверительные отношения означают следующее: пользователь, имеющийучетную запись в домене-доверенном, автоматически получает доступ кразделяемым ресурсам домена-доверителя. Отношение доверия транзитивно:если домен А доверяет домену В, а домен В доверяет домену С,то домен А доверяет домену С.• один пес• одно дерево• два доменаeurope. microsoft.comРис. 7.1. Пример дерева Active Directory143

Microsoft Windows Server 2003При создании нескольких доменов в одном дереве Active Directory автоматическиустанавливаются междоменные двунаправленные доверительныеотношения.Новый домен, организуемый в рамках дерева, автоматически вступает вдоверительные отношения со старыми, причем эти отношения двунаправленные:если домен А доверяет домену В, то домен В доверяет доменуА. Таким образом, пользователь может, зарегистрировавшись только водном домене, получить доступ ко всем ресурсам всех доменов дерева.7.5. Лес Active DirectoryДругая модель логической организации доменов — лес.Начнем с примера. Пусть компания Study, имеющая свой доменstudy, local, приобрела компанию Instrument, также имеющую свойдомен instrument. ru. В ходе слияния фирм требуется объединить дваимеющихся домена в одну структуру для удобства управления ими, ноимена всех сетевых объектов желательно сохранить: этого требуют, например,используемые в компаниях приложения. Сохранить имена, объединивдомены в дерево, невозможно: у них нет общего корня. Решениембудет создание леса, то есть набора из одного или нескольких деревьев,не образующих единого пространства имен.Все деревья леса связаны двусторонними транзитивными доверительнымиотношениями.Главное различие между деревом доменов и лесом заключается в том, чтовсе домены, входящие в дерево, должны иметь общий корневой домен,а для доменов, образующих лес, это необязательно. Нужно добавить,что подобно тому, как количество доменов в дереве не ограничено, неограничено и количество деревьев в лесу.• один пес• два дерева• два доменаinstrumentruРис. 7.2. Лес Active Directory с двумя деревьями144

Глава 7. Active Directory- Установка домена7.6. Какую структуру может иметьдерево доменовЕсли вы устанавливаете единственный домен, то для создания дереваничего дополнительно организовывать не нужно: корневым доменомдерева Active Directory становится тот домен, который вы устанавливаетепервым. Получается лес из одного дерева, содержащего один домен. Интереснееситуация, когда предприятию требуется несколько доменов.7.6.1. Добавление домена к существующему деревуДопустим, вам нужно установить сеть в московском филиале петербургскогопредприятия. На головном предприятии уже существует доменActive Directory, и новый домен должен либо быть подчинен ему, либостать корнем нового дерева. Второе решение неоправданно, посколькуво вновь устанавливаемом домене еще нет сетевых имен, которые требовалосьбы сохранить. Поэтому выбирайте первое решение, в результатекоторого сеть получит структуру, приведенную на рис. 7.3.один лесодно дереводва доменаmsk.zavod. localРис. 7.3. Дерево с добавленным доменом7.6.2. Организация нового дереваДопустим, руководство нашего предприятия заранее знает, что ему понадобитсянесколько доменов для нескольких филиалов. С точки зренияуправления, возможно, более удобной будет такая структура сети, прикоторой компьютеры московского подразделения будут членами доменаmsk. zavod. local, компьютеры петербургского подразделения — членамидомена spb. zavod. local, а при расширении предприятия доменыновых филиалов подключались бы на том же самом уровне.145

Microsoft Windows Server 2003один лесодно деревотри доменаspb.zavod.localmsk.zavod.localРис. 7.4. Вновь организованное деревоТогда понадобится еще один домен, который будет служить корневымдля доменов подразделений — zavod. local. Структура сети будет выглядетьтак, как на рис. 7.4.7.7. Как назвать домен?Выбор имениПо сравнению с Windows NT правила именования доменов Active Directoryизменились: теперь имена доменов Active Directory выглядят так же,как имена доменов Интернета. Если домен Windows NT мог называтьсяcompany, то имя домена Active Directory должно иметь хотя бы одинсуффикс: company . corn или company . local.Само по себе имя company — это имя NetBIOS, в то время, какcompany . com — это имя DNS. Начиная с Windows 2000, имена DNSстали основным средством именования узлов сети; более ранние версииОС Windows пользуются преимущественно NetBIOS-именами. В целяхобратной совместимости нужно было узаконить оба варианта именидомена, и в Active Directory так и сделано: клиентским компьютерампод управлением Windows NT 4.0 Workstation домен будет известен какcompany, а клиентам под управлением Windows XP Professional — подименем company.com.Если вы решили устанавливать домен Active Directory в системе Windows2000 Server, нужно прежде всего тщательно выбрать для него имя, ведьпотом его невозможно будет поменять. Имя корневого домена служит«электронной визитной карточкой» предприятия. Оно входит составнойчастью в имена других доменов того же дерева. При его выборе необхо-146

Глава 7. Active Directory. Установка доменадимо учитывать задачи предприятия, известность имени пользователям,представленность его в Интернете и способ управления зоной DNS Интернет-доменаКакой суффикс выбрать для имени домена?Как уже сказано, суффикс является необходимой составной частью именидомена. Поскольку домены Active Directory именуются так же, как доменыИнтернета, то возникают две возможности:• Суффикс, совпадающий с именем Интернет-домена верхнего уровня(com, org, ru, ua). Если у предприятия уже есть зарегистрированноедоменное имя company.com, то оно может использовать суффикс comи для домена Active Directory. Если предприятие пока в Интернете непредставлено, то впоследствии оно сможет использовать для представительстваготовое имя домена AD — при условии, что не возникнетконфликта с чужим ранее зарегистрированным доменным именем.• Суффикс, который нельзя использовать в Интернете. Если предприятиене собирается регистрировать свой домен AD как Интернет-домен,то в качестве суффикса можно использовать что угодно, например,local.У каждого варианта есть свои плюсы и минусы. Все зависит от того, что вконкретном случае будет выгодно предприятию. Обычно администраторыруководствуются правилом: если предприятие имеет или планирует завестиИнтернет-представительство (company. com), то имя внутреннегодомена должно быть другим, таким, которое невозможно использовать вИнтернете (company . local). Дело в том, что предприятие само управляетзоной DNS своего Интернет-домена, и такое решение позволяетотделить управление этой зоной от управления зоной DNS для нужддомена Active Directory.Поскольку наше учебное предприятие Study определенно намереновпоследствии выйти в Интернет, для его внутренней сети мы и выбралисуффикс local.Если мы будем устанавливать домен в системе Windows 2000 Server,нужно отнестись к выбору имени очень внимательно, поскольку потомизменить его будет невозможно. В Windows Server 2003 же имя доменаActive Directory изменить можно. Для этого служит утилита Domain RenameTool, которая находится на установочном компакт-диске; ее такжеможно скачать с сайта компании Microsoft.147

Microsoft Windows Server 20037.8. Подготовка к установке доменаПодготавливаем необходимые сведения для установки доменаВ этой главе мы установим корневой домен Active Directory. К его установкенужно подготовиться так же тщательно, как и к любой другойустановке, собрав всю необходимую информацию.• Операционная система. Функцию контроллера домена может выполнятьлюбой компьютер с серверной операционной системой — внашем случае это любая система из семейства Windows Server 2003.• Необходимые полномочия. Для установки первичного контроллерадомена нужно зарегистрироваться на нем как локальный Администратор.• Имя домена DNS. Именам доменов посвящен предыдущий параграф.Для нашего домена мы выбрали имя DNS study.local.• NetBIOS-имя домена. Это имя предназначено для клиентских операционныхсистем более ранних версий, чем Windows 2000, которые используютпреимущественно NetBIOS-имена. Установочная программапо умолчанию предлагает в качестве NetBIOS-имени первую частьимени DNS (в нашем случае study) — мы рекомендуем согласиться.• Размещение важных файлов домена. В ходе установки нужно будетуказать, где будет храниться база данных Active Directory, журналтранзакций и папка SYSVOL. Базу данных и журнал транзакцийвсегда можно переместить, папку же SYSVOL — никогда.• Совместимость с ранними версиями Windows. Если серверами сетибудут только компьютеры под управлением Windows 2000 Server илиОС семейства Windows Server 2003, заботиться о совместимости ненужно. Клиентских компьютеров эта рекомендация не касается.• Пароль для восстановления службы каталогов. Если в будущем вампонадобится восстановить домен Active Directory, загрузите контроллердомена в режиме обновления и зарегистрируйтесь на нем какадминистратор, введя пароль, заданный при установке домена.• Сетевые компоненты. Сервер, который возьмет на себя управлениедоменом, должен иметь правильно сконфигурированные сетевыепротоколы, и его сетевое подключение должно быть активно (сетевойадаптер должен быть присоединен к сети).Служба DNSСервер каталогов Active Directory тесно связан со службой DNS. Собственноговоря, без нее он работать не будет. Он использует эту службудля поиска информации в сети точно так же, как и клиентские компьютеры.Сервер DNS — еще один важный компонент для правильногофункционирования домена Active Directory.148

Глава 7. Active Directory. Установка доменаВ нашей сети мы уже установили сервер DNS и создали зону DNS подименем, соответствующим задуманному имени домена Active Directorystudy. local. Исходя из того, что служба DNS — неотделимая составнаячасть домена Active Directory, мастер установки домена производитее поиск и, если она еще не установлен, предлагает ее автоматическуюустановку и настройку.Согласиться с этим можно тогда, когда компьютер, на который устанавливаетсяконтроллер управления доменом, одновременно будет служитьи сервером DNS. Если же в сети несколько серверов, то рекомендуетсяосвободить контроллер домена от других серверных служб. В этом случаесервер DNS должен быть установлен и настроен заранее.7.9. Установка домена Active Directory7.9.1. Последовательность действий при установкеДля установки домена Active Directory выполните следующую последовательностьдействий:1. Зарегистрируйтесь на сервере SRVR001 как Администратор. В команднойстроке (Пуск -» Выполнить, в поле Открыть введя cmd)введите команду dcpromo. Она запустит Мастер установки службыActive Directory. Нажмите кнопку Далее.2. Прочитайте сведения, приведенные в диалоговом окне Совместимостьс операционными системами, и нажмите кнопку Далее.3. В диалоговом окне Тип контроллера домена оставьте переключательв положении Контроллер домена в новом домене и нажмите кнопкуДалее.4. В диалоговом окне Создать новый домен оставьте переключатель вположении Новый домен в новом лесу и нажмите кнопку Далее.5. В диалоговом окне Новое имя домена введите в поле ПолноеDNS-имя нового домена study. local и нажмите кнопку Далее.6. В диалоговом окне NetBIOS-имя домена оставьте имя по умолчаниюSTUDY и продолжите нажатием кнопки Далее.7. В диалоговом окне Папки базы данных и журналов оставьтепредложенный путь C:\WINDOWS\NTDS для базы данных иC:\WINDOWS\NTDS для журнала. Затем нажмите Далее.Примечание.С точки зрения оптимизации работы контроллера домена выгоднее было быпоместить файлы базы данных и журнала на разные физические диски, но мысчитаем, что у нас всего один жесткий диск.149

Microsoft Windows Server 2003Мастер установки Active DirectoryТип контроллера доменаУкажите роль, на которую предназначается этот сервер.Преобразовать этот сервер е контроллер для нового домена или в добавочныйконтроллер для существующего домена?**" ^9*!*ТЙ? л л tr р домена в новом домене^i:Используется для создания нового дочернего домена, нового доменного -• • ;дерева или нового леса. Этот сервер станет первым контроллером в новом/домене. • '• ' •' . . •.•; " . • ,• • • ; •^Добавочный контроллер домена в существующем доменеПри атом будут удалены все локальные учетные записи на этом сервере.Все криптографические ключи будут удалены, ик следует экспортировать:перед продолжением .Все зашифрованные данные, такие; как EFS-шифрованные Файлы ипочтовые сообщения, следует расшифровать перед продолжением,иначе они будут потерты.:Рис. 7.5. Созданиенового домена ActiveDirectoryовки Active DirectoryСоздать новый доменВыберите, какой тип домена надо создать.Рис. 7.6. Создание новоголеса Active DirectoryСоздать;f;. ;iecyj ' . . . •Выберитеэтот вариант, если это первый домен в кашей организации или: если вы хотите, чтобы новый домен был совершенно независим от' имеющегося леса доменных деревьев.: : • •. .Новый дочерний домен в с^дествующем.доменном дереееВыберите этот вариант, если новьй домен должен быть дочерним длясуществующего домена. Например, можно создать домен с именемheadquarters, example, microsoft com как дочерний домен по отношению кдомену e«ainpie. micrusofl com ;• • •Ново§ доменное дерево в суивстеующем яесд: ; ;Выберите этот вариант, если новый домен не должен быть дочерним длясуществующих доменов. При этом будет, создано wece доменное дерево!Мастер установки AcNve DirectoryПапки базы данных и журналовУкажите папки, содержащие базу данных и файлы журналов службыкаталогов Active Directory.Для достижения лучшей производительности и возможности восстановленияразмещайте базу данных и журнал на разных дисках.Укажите, где будет разг^ещэтъсябаззданных Active Directory.Папка расположения БД:Укажите, где будет размещаться журнал Active Directory.П j».4 располо«виия л.уркьлз{CAWINDOWS\NTDS ~Рис. 7.7. Размещениебазы данных доменаActive Directory и журналатранзакций150

Глава 7. Active Directory. Установка домена, В диалоговом окне Общий доступ к системному тому оставьте предложенныйпуть C:\WINDOWS\SYSVOL и нажмите Далее.Примечание.Папку SYSVOL нельзя переместить в дальнейшем. Необходимо, однако, обеспечить,чтобы на диске, на который должна быть осуществлена установка, было достаточноместа. Как мы потом увидим, эта папка содержит объекты групповых политик, из-закоторых она занимает много места, и если на диске места недостаточно, то этовызовет проблемы с функциональностью домена.Общий доступ к системному томуУкажите папку, к которой устанавливается общий доступ как ксистемному тому.Папка SYSVOL содержит серверную копию общин Файлов домена. Содержимоелапки SYSVOI реплицируется на see контроллеры домена.Пзпка 5У5У01_должна находиться на томе NTFS.Введите размещение папки SYSVQLРазмещение папки:L4ili№S.V»VffliTl< Назад | Далее > j ртменаРис. 7.8. Размещение системного тома SYSVOL9. Теперь сервер произведет поиск зоны DNS по имени, соответствующемузаданному имени домена. Если зона будет найдена, отобразитсяуведомление об успешно проведенной диагностике. Если нет —система предложит ее автоматическую установку и конфигурирование.Прочитав информацию, нажмите кнопку Далее.10. В диалоговом окне Разрешения отметьте пункт Разрешения, совместимыетолько с Windows 2000 или Server Windows Server 2003, азатем нажмите кнопку Далее.11. В диалоговом окне Пароль администратора для режима восстановлениязадайте в поле Пароль режима восстановления и в полеПодтверждение пароля пароль, который вы используете при восстановлениибазы данных Active Directory. Затем нажмите кнопкуДалее.151

• • • . . ; . , ; . • "Microsoft Windows Server 2003Общий доступ к системному томуУкажите папку, к которой устанавливается общий доступ как ксистемному тому.Папка SYSVOL содержит серверную копию общин файлов домена. Содержимоепапки SYSVOL реплицируется на вса контроллеры дог-инаПапка SYSVOL должна находиться «а томе NTFS.:.•:••:.• Введите размещение папки 5YSV0L. • • .Размещение папкн:. .Цмшвтяммаавиаи:Рис. 7.9. Результаты поиска зоны DNS study, localПримечание.Не используйте в качестве пароля восстановления обычный пароль администратора.Пароль администратора домена должен периодически меняться, в то время какпароль для режима восстановления всегда остается неизменным. На практике выможете столкнуться с тем, что после двух лет работы нужно будет восстановитьдомен Active Directory, но никто не вспомнит пароль, предназначенный именнодля этого случая. Поэтому хорошо было бы записать этот пароль и поместить вкакое-нибудь безопасное место.Если вы будете устанавливать дополнительный контроллер домена,выберите для него другой пароль восстановления и тоже где-нибудьзапишите.12. В диалоговом окне Итоговый результат проверьте исправностьнастройки всех параметров домена Active Directory. В случае выявлениякаких-либо ошибок нажатием на кнопку Назад вернитеськ диалоговому окну и исправьте необходимые параметры. Потомнажатием кнопки Далее запустите дальнейший процесс установкиконтроллера домена.13. По окончании работы Мастера установки службы Active Directoryнужно перезагрузить компьютер.7.9.2. Проверка правильности установкиконтроллера доменаСервер SRVROOl сейчас также управляет и доменом Active Directorystudy, local. После установки каждого контроллера домена следуетпровести контроль качества установки:152

Глава 7. Active Directory. Установка домена1. Зарегистрируйтесь на SRVR001 как Администратор (только администратортеперь обладает всеми правами доступа в домене study .local).2. Запустите Проводник и убедитесь, что существует папкаC:\WINDOWS\NTDS с файлами NTDS.DIT (база данных ActiveDirectory) и EDB.LOG (файл журнала транзакций). Далее убедитесьв существовании папки C:\WINDOWS\SYSVOL.3. В меню Пуск перейдите в раздел Администрирование и убедитесь,что там добавились инструменты для управления доменом: консолиActive Directory — пользователи и компьютеры, Active Directory —сети и сервисы и Active Directory — домены и доверие. Затем откройтеокно консоли Просмотр событий и убедитесь, что там добавилисьпункты Служба каталогов и Служба репликации файлов. Выберитепункт Служба репликации файлов и найдите событие 13516. Тамсообщается, что контроллер домена выполняет свои функции (см.рис. 7.10).4. Откройте консоль DNS и убедитесь, что в зоне study. local былисозданы поддомены _msdcs, _sites, _tcp, _udp, Domain-DnsZones и ForestDnsZones. Первые четыре поддомена оченьважны для функционирования домена Active Directory. Они включаютв себя т.н. списки SRV (Размещение сервиса — Service location),на основании которых все компьютеры с системами Windows2000/ХР/2003 ориентируются в сети при поиске важных сервисов.Событие 1Дата: ИИИЯИЩИ Источнис NtFisВремя 1:46'21Категория: ОтсутствуетТип:'.. Уведомление KoaflDf 13516Лолйэовггтель; НЛПKoMnbjstep: SRVR001± JОписание:!'Служба репликации файлов больше не препятствует компьютеру jSRVB0O1 стать контроллером домена. Систе^даый том былуспешно инициализирован й служба NetLogon бы па чеедомленэгм, что системный том подготовлен и к нему может быть:открыт общий доступ как. к общему рее$эеу SYSVGL. ; :!веднте команду "net $hafe" чтобы проверить наличие общегоресурса SYSVDL • ' • • i. 1 .^: ...Дополнигельные сведения можно найти в центре справки и .-Рис. 7.10. Событие 13516 в журнале службы репликации файлов153

Microsoft Windows Server 20035. В командной строке введите команду net share. Отобразятся разделяемыепапки компьютера, в том числе и папка с сетевым именемNETLOGON, которое сопоставлено папке C:\WINDOWS\SYSVOL\study.local\SCRIPTS.Примечание.Папка NETLOGON имеет большое значение для ОС версий предшествующихWindows 2000. Она содержит, например, сценарии, запускаемые при регистрациипользователя. В системах Windows 2000/XP/2003 сценарии входа используютсянесколько иным способом и размещены в другой папке.7.9.3. Настройка службы DNS на контроллере доменаСервис DNS сейчас включает только зону study .local. Это первичнаязона, в которой разрешено динамическое обновление (рис. 7.11).Разрешение динамического обновления — не вполне безопасная с точкизрения защиты сети вещь. Теоретически может случиться, что некийпользователь переименует свой компьютер в SRVR001 и перезагрузитего. При динамическом обновлении зоны запись, соответствующая имениSRVR001, будет переписана, сопоставив этому имени IP-адрес клиентstudy.iocal- свойстваСерверы имейОбщиеСостояние: РаботаетWINS :. | Передачи зонНачальная запись зоны (5ОА)! ПаузаТип: ::• ОсновнаяИмя &ай ла зон. | study'.'local, dri':Динамическое обновдение;{Небезопасные и безопасные/j\, Разрешение небезопасных динамических обновлений опасно,поскольку обновления могут быть, получены от источников не;. ! . : " ; '.• заслуживающих доверия, . •Для настройки параметров нажмите "Очистка",Рис. 7.11. Свойства зоны study.iocal154

Глава 7. Active Directory. Установка доменаского компьютера. После этого все запросы, адресованные серверу, будетполучать этот клиент и домен перестанет функционировать.Нужно так обезопасить зону, чтобы подобная ситуация была полностьюисключена или по крайней мере максимально снизить ее вероятность.До сих пор вы выполняли все административные действия как локальныйАдминистратор, но здесь самое время сказать, что управлять серверомDNS может и обычный пользователь, если он является членом группыDnsAdmins. Возможность распределить администраторскую нагрузкуполезна в крупных сетях с децентрализованным управлением.1. Зарегистрируйтесь на SRVR001 и откройте консоль DNS.2. Разверните дерево Зоны прямого просмотра, правой кнопкой мышищелкните по зоне study. local и из контекстного меню выберитепункт Свойства.3. На вкладке Общие нажмите кнопку Изменить, а затем установитефлажок На все DNS-серверы в лесу study.local Active Directory (ондоступен только если сервер DNS также управляет доменом). Нажмитекнопку ОК и в следующем диалоговом окне — кнопку Да.4. Из списка Динамические обновления выберите Только безопасныеи нажмите ОК.5. Запустите Проводник и убедитесь, что в папке C:\WINDO\VS\SYSTEM32YDNS не существует файла study.local.dns. Информацияфайла study.local.dns после изменения типа зоны стала составнойчастью базы данных домена Active Directory, а файл был перемещенв папку BACKUP.7.9.4. Настройка клиентских компьютеровПоследовательность настройкиВсе рабочие станции нужно включить во вновь созданный домен. Действуйтесогласно следующим инструкциям:1. Зарегистрируйтесь на РС001 как Администратор.2. В меню Пуск правой кнопкой мыши щелкните по пункту Мой компьютери из контекстного меню выберите Свойства.3. На вкладке Имя компьютера нажмите кнопку Изменить. Установитепереключатель Является членом в положение домена и введите имяstudy.local. Затем нажмите кнопку ОК.4. В диалоговом окне изменения имени компьютера задайте имя Administratorи пароль и нажмите на кнопку ОК. В домене будет созданаучетная запись компьютера РС001, а на экране отобразится окно снадписью Добро пожаловать в домен study.local.155

Microsoft Windows Server 20035. Последовательным нажатием на все кнопки OK и Да проведитеперезагрузку компьютера.Если учетную запись компьютера в домене создать не удалось, то проблема,скорее всего, в неправильной настройке службы DNS. Попытайтесьисправить настройку следующим образом:1. В главном меню щелкните правой кнопкой мыши по пункту Мойкомпьютер и из контекстного меню выберите Свойства. На вкладкеИмя компьютера в поле Полное имя должно отобразиться имяpcOOl. study. local. Если суффикса study. local нет, то откройтедиалог DNS-суффикса нажатием кнопок Изменить и Дополнительно.Впишите этот суффикс в поле Основной DNS-суффикс этого компьютераи перезагрузитесь.2. После перезагрузки выберите в главном меню Панель управления—> Сетевые подключения, затем правой кнопкой мыши щелкнитепо иконке Подключение по локальной сети и из контекстного менювыберите пункт Свойства.3. Выберите Протокол сети Интернет (TCP/IP) и нажмите кнопкуСвойства.4. В разделе свойств протокола TCP/IP нажмите на кнопку Дополнительно,а затем перейдите на вкладку DNS. Проверьте, правильно лизадан IP-адрес сервера DNS (192.168.10.2) и установлен ли флажокДописывать родительские суффиксы осн. DNS-суффикса (рис. 7.12).Дополнительные параметры TCP/IPПараметры IP i °NSiWINS | Параметры]Адреса DNS-серверов, в порядке использования:Следующие три параметра применяются для всей подключений,использующих TCP/IP. Для разрешения неизвестных имен:(•) Дописывать основной DNS-СУФФИКС и суффикс подключения[21 Дописывать родительские суФФиксы осн DNS-счФФиксаО Дописывать следующие DNS-СУФФИКСЫ (по порядку):JtlDNS-суффикс подключения: ! |0 Зарегистрировать адреса этого подключения в DNSО Использовать DNS-суФФикс подключения при регистрации в DNSРис.7.12. Правильная настройка параметров DNS156

Глава 7. Active Directory. Установка доменаЕсли нет, то поставьте. Закройте диалоговое окно последовательнымнажатием кнопок ОК.5. Запустите режим командной строки и введите команду ping study.local.Если вы получили ответ, значит, подключение к сети и передачапакетов в порядке, а служба DNS работает нормально.6. Если даже после этого компьютер не подключается к домену, убедитесьв нормальной работе контроллера домена, проверьте в том численастройку протокола ТСРДР так, как это описано в третьей главе.Проверка присутствия учетной записи компьютера в доменеДанная проверка осуществляется следующим образом:1. Зарегистрируйтесь на SRVR001 как Администратор.2. В меню Пуск выберите Администрирование —» Active Directory —пользователи и компьютеры.3. В левой части открывшегося окна щелкните по контейнеру Компьютеры.В правой части появится список учетных записей имеющихсякомпьютеров.4. В левой части окна щелкните по контейнеру Контроллеры домена,а в правой части проверьте наличие учетной записи управляющегодоменом компьютера SRVR001.Примечание.В целях безопасности учетные записи контроллеров домена в базе данных ActiveDirectory собраны в отдельную организационную единицу. Не перемещайте ихоттуда.7.9.5. Настройка регистрации пользователейОперационные системы Windows XP и серверное семейство Windows Server2003 запускаются быстрее, чем их предшественники Windows Server2000. Дело не в том, что изменилось ядро системы, вследствие чего онастала быстрее загружаться. Просто по умолчанию система выводит окнорегистрации пользователя, не дожидаясь запуска сетевых служб. Длявладельцев домашних компьютеров, не подключенных к локальной сети,это удобно, но в домене передача регистрационных данных пользователяиз-за этого замедляется. Отключить этот режим (что рекомендуется)можно следующим образом:1. Зарегистрируйтесь на SRVR001 как Администратор.2. В меню Пуск выберите Администрирование -» Active Directory —пользователи и компьютеры.157

Microsoft Windows Server 2003I'JitiGroup Policy Object tditor| консоль. Действие |ид ^правкаj!1^f Политика Default Domain Policy [stfci i3i конфигурация компьютера Щ Always use classic logon! нЭ СЗ Конфигурация программ ;\ Щ- LLJ Конфигурация Windows В^if Do not process the legacy run list1B-i_J Административные шаблс!•jl Do not process the run once list' Щ (!::'l WlTldOWS С0ГПР0Пв^5 :ЕЬС] SystemЩ Don't display the Getting Started welcome screen at logon| : Ш User ProfMesШIthese programs at user logoni I-CJ Scriptsi;

Глава 7. Active Directory. Установка доменаИногда для организации локальной сети предприятия одного домена нехватает. Чаще всего это касается предприятий с несколькими филиаламиили недавно слившихся компаний. В их доменной структуре может присутствоватьнесколько доменов, организованных по модели дерева илилеса Active Directory.Дерево Active Directory содержит один или несколько доменов, образующихединое пространство имен. Имена доменов в дереве организованыиерархически, а управление ими — нет: администратор вышестоящегодомена не получает автоматически прав на администрирование нижестоящего.Единственным привилегированным доменом является тот, которыйбыл установлен первым, все остальные домены в дереве равноправны.При слиянии двух компаний, имеющих домены, может понадобитьсясохранить их имена. В этом случае для общей сети следует применитьмодель леса, в котором два имеющихся домена образуют два независимыхдерева.При установке корневого домена следует тщательно продумать его имя,потому что оно войдет составной частью в имена всех нижестоящих доменов.Установка домена требует службы DNS. Если в сети работает эта служба,то в зоне, имя которой совпадает с именем домена, появятся новые записиSRV, определяющие расположение отдельных доменных служб. Еслизоны с таким именем не существует или если в сети вообще нет службыDNS, Мастер установки домена предложит ее установить и настроить.При этом служба DNS будет установлена на контроллере домена.Установка домена значительно меняет сетевую среду: последующие измененияв домене отразятся на всех узлах сети.Состояние сетиВ этой главе в нашей сети произошло одно из наиболее важных изменений.Модель рабочей группы мы сменили на домен Active Directory.Компьютер SRVR001 стал контроллером домена, а все клиентскиекомпьютеры — членами домена. В заключение мы настроили политику,запрещающую регистрацию пользователей в домене до того, как будутзапущены сетевые службы (в ОС Windows 2000 ничего настраивать ненужно, там эта политика применяется по умолчанию).159

Другие сетевыеслужбы(WINS и DHCP)Совместимость с предыдущимисистемамиРазрешение имен службой WINSСлужба DHCP: раздача IP-адресовв крупной сетиУстановка и настройкаслужбы DHCPСбой службы DHCPMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Каждый разумный администратор сети стремится как можно болееэффективно выполнять свою работу, то есть решать как можно большезадач, затрачивая как можно меньше усилий. Логично было бы предположить,что чем однороднее система, которой вы управляете, тем меньшеу вас работы. Примером из уже рассмотренной области является разрешениеимен объектов сети.В то время как системы Windows 2000 Professional и более поздние обращаютсяк сетевым устройствам по именам узлов и для разрешенияэтих имен в IP-адреса используют службу DNS, более ранние версииWindows (например, Windows 9x, NT 4.0) работают с NetBIOS-именамии разрешают их посредством других служб. Смешанные системы, то естьсистемы, в которых функционируют и Windows 2000-2003, и ОС предшествующихверсий, встречаются довольно часто, поэтому администраторобязан уметь настраивать соответствующие службы.Другой пример — IP-адресация сетевых устройств. Когда их количество ввашей сети превысит некоторый уровень, удобно будет назначать устройствамIP-адреса не вручную, а автоматически при помощи определеннойсетевой службы.В этой главе мы рассмотрим настройку службы WINS, предназначеннойдля разрешения NetBIOS-имен, и службы DHCP, автоматически раздающейадреса и настраивающей протокол IP для различных сетевыхустройств (компьютеров, принтеров и т.п.).8.1. Совместимостьс предыдущими системамиПоскольку мы уже установили службу DNS и домен Active Directory,мы можем на конкретном примере показать различия между системамиWindows XP Professional и Windows NT 4.0 Workstation.6 Зак 446 161

Microsoft Windows Server 2003В 6 главе мы упомянули о процессе поиска контроллера домена ActiveDirectory. Рассмотрим этот процесс немного подробнее, благодаря чемуиспользование домена Active Directory станет понятнее.8.1.1. Компьютер под управлениемWindows XP ProfessionalДля регистрации пользователя в домене операционная система WindowsXP Professional обращается к службе DNS следующим образом:1. После того как пользователь введет свои регистрационные данные,вызывается служба регистрации в сети (Netlogon), которой клиентскийкомпьютер передает все параметры, необходимые при поискеконтроллеров домена: собственный IP-адрес, первичный суффиксDNS и другие.2. Служба Netlogon, в свою очередь, запрашивает у службы DNS записьтипа SRV в формате _ldap._tcp.dc_msdcs .название_домена, внашем случае на _ldap. _tcp. dc . _msdcs . study. local (рис. 8.1).3. На рис. 8.1 в поле Узел этой службы указан компьютер srvOOl.study.local — это DNS-имя контроллера домена. Чтобы клиент могобратиться к нему по IP-адресу, служба Netlogon должна послатьследующий запрос — разыскать соответствующую запись типа А(рис. 8.2).Jdap - свойстваРазмещение службы {SRV • Seivice Location} j—]d162Рис. 8.1. Запись типа SRVв зоне study.local

Глава 8. Другие сетевые службы (WINS и DHCP)gmt - [.Console Reot\DN5\5RVRU01\3

Microsoft Windows Server 20033. Если в сети работает служба WINS, Windows NT Locator запрашиваетзапись контроллера домена у нее. Если служба WINS недоступна,Windows NT Locator посылает в сеть широковещательный запрос ив качестве последнего средства просматривает файл LMHOSTS.4. Найденная запись передается службе Netlogon, которая проводитдальнейшие действия.Отсюда становится ясно, что, если в сети есть хотя бы один узел с операционнойсистемой более ранней версии, чем Windows 2000 Professional,необходимо дополнительно к службе DNS установить службу WINS.Только после этого вы будете уверены, что все процессы в сети происходятправильно.У вас может возникнуть вопрос: почему служба WINS так необходима,если контроллер домена можно найти и по широковещательному запросу?Дело в том, что такие запросы не проходят через маршрутизатор. Если контроллердомена находится в головном офисе, а клиентский компьютер —в подсети подразделения, связанной с головным офисом через шлюз, топо широковещательному запросу контроллер домена найден не будет.8.2. Разрешение имен службой WINSПоскольку на практике можно достаточно часто встретить пример, когдав сетях, кроме системы Windows XP Professional или Windows 2000Professional встречаются операционные системы Windows 9x или WindowsNT 4.0, рекомендуется устанавливать в подобной сети службу WINS.Служба WINS устанавливается как компонент серверных операционныхсистем, а на компьютерах-клиентах нужно настроить параметры подключения.8.2.1. Установка службы WINSДля установки службы WINS на сервере проделайте следующее:1641. Зарегистрируйтесь на сервере SRVR001 как Администратор. В главномменю выберите Панель управления -* Установка или удалениепрограмм.2. В левой части открывшегося окна Установка или удаление программвыберите пункт Установка компонентов Windows.3. В окне Мастера компонентов Windows выберите Сетевые службы(Networking Services), а затем нажмите кнопку Состав.4. Установите флажок Служба Windows Internet Name Service (WINS)(Windows Internet Name Service (WINS)) и затем поочередно нажмитекнопки OK и Далее.

Глава 8. Другие сетевые службы (WINS и DHCP)5. В ходе установки службы WINS вы должны вставить установочныйкомпакт-диск операционной системы Windows Server 2003. Установкузакончите нажатием на кнопку Готово.8.2.2. Настройка службы WINSВместе с сервером WINS устанавливается также консоль под названиемWINS для управления этим сервером. Пока что в сети существует единственныйсервер WINS и он не требует после установки никакой настройки.Однако мы можем просто посмотреть, как происходит управлениеданными, которые расположены в базе данных WINS.Настройка сервера как клиента службы WINSНастройка сервера как клиента службы WINS состоит из следующихэтапов:1. Вызовите окно свойств Подключение по локальной сети и откройтесвойства Протокол сети Интернет (ТСР\1Р).2. В диалоговом окне Протокол сети Интернет (ТСР\1Р) — свойстванажмите кнопку Дополнительно и затем на вкладке WINS нажмитена кнопку Добавить.3. Введите IP-адрес сервера SRVR001 (192.168.10.2) и нажатием накнопку Добавить добавьте его. Закройте диалоговое окно нажатиемна клавишу ОК.4. Закройте все диалоговые окна.С этого момента сервер SRVR001 стал сам для себя клиентом службыWINS. Теперь он может как искать в базе данных WINS NetBIOS-имена, таки регистрировать в ней свои записи. Сейчас мы просмотрим эти записи.Консоль WINS: просмотр содержимого базы данныхПросмотр содержимого базы данных WINS осуществляется с помощьюсоответствующей консоли:1. В главном меню выберите Администрирование -» WINS. Появитсяконсоль WINS.2. В левой части окна консоли щелкните по пункту Состояние сервера.Если все выполнено правильно, то в столбце Состояние в правойчасти окна должно появиться значение отвечает (рис. 8.3).3. Далее в левой части окна разверните ветвь сервера (SRVR001) ищелкните по папке Активные регистрации.4. Щелкните правой кнопкой мыши на строке Активные регистрациив левой части окна и из контекстного меню выберите команду Отобразитьзаписи.165

Microsoft Windows Server 2003-iOlxlКонсоль 4 e( " ! - гвие 8ид Справкаi WINS;:| Состояние сервера 11-9 5RVR00I [192,168.10.2][ Состояние сервераg)SRVR001 [192.168.10.2]j Последнее обновление I24.03.2005 4:11:Рис.8.3. Консоль управления сервером WINS5. В диалоговом окне Отобразить записи можно задать фильтр, указывающий,какие именно записи требуется показать. Мы хотимотобразить все записи, поэтому нажмите кнопку Найти.Примечание.На вкладке Сопоставление записей можно задать фильтрацию записей поназваниям. Здесь можно использовать подстановочные знаки (например,*). Навкладке Владельцы записи можно выбрать записи в зависимости от того, накаком сервере WINS они зарегистрированы, а на вкладке Типы записей можнозадать выбор записей только определенного типа (Рабочая группа, Контроллердомена, Файловый сервер и т.п.).Обратите внимание на записи типа [ICh] Контроллер домена на рис. 8.4.Это и есть та запись, которую при регистрации пользователя разыскиваетслужба Windows NT Locator.\ Консоль Действие |ид Справка> р - и- п п, i if•Ч| W1N5!- Щ Состояние сервераВ-• Ц) SRVROD1 [192.168.10.2]4 f41fW?l?MSI!W!*l:ii3 Партнеры репликации| Активные регистрации Отфильтрованные записи: / - Найденные записи: 7%-_MSBROWSE_-STUDYipSRVROOl5TUDY[Olh] Другой[1Вг|]Основнойоб,..[OOh] Рабочая ста...[20h] Файл-сервер[OOh] Workgroup[ICh] Контроллер ...1,!Р-адрес192.168.10.2192.168.10.2192.168.10.2192.168.10.2192.168.10.2192.168.10.2[lEh] Обычное имя... 192.168.10.2L£.££Iffiffi' K ?АктивноАктивноАктивноАктивноАктивноАктивноАктивно1 Стат..Рис. 8.4.166

Глава 8. Другие сетевые службы (WINS и DHCP)Сейчас база данных WINS содержит семь записей, которые зарегистрировалсервер SRVR001 сразу после того, как вы установили службуWINS.Чтобы компьютер мог запросить службу WINS о необходимой информации,он должен быть клиентом WINS. Однако ни один из наших компьютеровэтому условию не удовлетворяет, поскольку в однородных сетях ссистемами Windows 2000 и более поздними служба WINS не требуется.В тот момент, когда компьютер становится клиентом службы WINS, онрегистрирует свои записи в базе данных, а в дальнейшем перерегистрируетих при каждом включении. Служба WINS разрешает NetBIOS-именадинамически и не требует задавать никаких данных вручную.В заключение хочу напомнить, что служба WINS нужна только тогда,когда в сети есть узел под управлением ОС Windows версии более ранней,чем Windows 2000. В противном случае эта служба будет обременять сетьбез всякой пользы.Практический пример: устаревший компьютер в филиале(или как обойтись без установки WINS)Рассмотрим пример, когда можно обойтись без установки службы WINS.Пусть у некоторой компании есть офис, все компьютеры в котором работаютпод управлением Windows XP, и склад, где стоит единственныйкомпьютер-клиент с системой Windows NT 4.0 Workstation. Все серверыпод Windows Server 2003 стоят в офисе. Склад присоединен к сети линиейсо скоростью 56 Кб.С точки зрения топологии такая сеть выглядит как две подсети, междукоторыми работает маршрутизатор.Что происходит при попытке регистрации в домене пользователя сосклада? Служба Windows NT Locator ищет NetBIOS-имя контроллерадомена. Сервера WINS в сети нет, широковещательный запрос не проходитчерез маршрутизатор, поэтому Windows NT Locator прибегает кпоследнему средству — просмотру файла LMHOSTS. Если этого файлана клиентском компьютере нет, то поиск домена завершается неудачнои регистрации не происходит.Существуют два решения этой задачи.РЕШЕНИЕ А. Установить службу WINS на одном из серверов офиса исконфигурировать все компьютеры сети, включая компьютер на складе,как клиентов WINS. Работать это будет, но складской компьютер будетзанимать линию регистрацией в службе WINS своих NetBIOS-имен каждыйраз при включении и WINS-запросами в течение дня. Очевидно, чтолинии 56 Кб для одного компьютера будет достаточно, но если на складе167

Microsoft Windows Server 2003стоят десятки компьютеров, то могут возникнуть проблемы. Ведь линиясвязи между подсетями протянута ради работы коммерческих приложений,которую лишняя нагрузка может нарушить.Недостатком этого решения является также то, что в сети будет работатьдополнительная служба, настройка и поддержание которой — это работа,требующая дополнительной оплаты.РЕШЕНИЕ Б. Складскому компьютеру нужно связываться не со всемикомпьютерами в офисе, а только с серверами и, может быть, с некоторымиклиентами. Эти сервера и клиенты можно прописать в файле%systemroot%\system32\drivers\etc\LMHOSTS, который будет выглядетьпримерно так:192.168.10.2 SRVR001#PRE #DOM:STUDY192.168.10.17 РС001192.168.10.18 PC002После этого складской компьютер сможет найти сервер SRVR001, управляющийдоменом с NetBIOS-именем STUDY (запись с ключевым словом#DOM), то есть пользователь со склада сможет зарегистрироваться в домене.После регистрации этот компьютер сможет обмениваться даннымитолько с сервером и рабочими станциями РС001 и РС002.Сравнение стоимости и трудоемкости этих двух решений предоставляювам самим.8.3. Служба DHCP:раздача IP-адресов в крупной сети8.3.1. Общая информацияСеть любого предприятия рано или поздно разрастается. Это случается поразным причинам. К ним относятся как рост компании и необходимостьрасширять штат (новые клиентские места и наращивание мощи обслуживающихсеть серверов), так и неосведомленность администратора оправильной настройке служб и приложений сети и как следствие использованиебольшего количества серверов, чем это необходимо. Цель этогои последующих параграфов данной главы — научить администратора небояться роста сети и показать, как настроить протокол IP на большомколичестве узлов.Первый вопрос, касающийся сети (конфигурация параметров протоколаТСР\1Р) решается во время установки любого компьютера. В системахWindows 2000 и более поздних во время установки необходимо выбрать168

Глава 8. Другие сетевые службы (WINS и DHCP)стандартную настройку или же задать конкретные службы, протоколы иих настройки (собственные настройки).8.3.2. Типы адресации протокола IPЕсли вы выбираете при установке сетевых компонентов стандартныйвариант, то установятся основные три сетевых компонента — Служба доступак файлам и принтерам сетей Microsoft, Клиент для сетей Microsoftи Протокол Интернета (ТСР\1Р), для которого будет выбран динамическийтип адресации. Если вы хотите поменять какие-то настройки (в томчисле и конфигурацию IP-адреса), это придется делать вручную.Статическая адресацияНазначение адресов вручную, или статически, применяется в небольшихсетях. При наличии десятка узлов оно выгодно тем, что регистрация в сетипроисходит быстрее и администратор имеет возможность отслеживатьработу компьютеров по их IP-адресам. На вопрос, с какого количестваузлов оно перестает быть выгодным, не существует однозначного ответа.Все зависит от квалификации администратора и физического расположениякомпьютеров: чем больше в сети физически удаленных узлов,тем больше времени потребуется на то, чтобы обойти их все и вручнуюназначить или сменить IP-адреса.Имейте в виду, что в ОС Windows 2000 и Windows NT 4.0 изменение сетевыхкомпонент может производить только администратор компьютера.В Windows ХР Professional и Windows Server 2003 такими полномочиямиобладают и члены группы Network Configuration Operators.Динамическая (автоматическая) адресацияЕсли вы настроили новый, скажем, вторичный сервер DNS, то вам придетсяпрописать его IP-адрес в настройках протокола ТСРДР на всех узлахсети. При статической адресации вас ждет масса работы: придется подходитьк каждому компьютеру, сгонять пользователя, регистрироватьсякак локальный администратор и менять параметры протокола TCP/IP,стараясь не допустить опечатки. Большинству администраторов, особеннокрупных сетей, этот путь не подходит: выгоднее все сделать автоматически,охватив все узлы за один раз.Чтобы автоматическая настройка параметров протокола IP работала, всети должен работать сервер DHCP (Dynamic Host Configuration Protocol).DHCP называют и службой, и протоколом, и оба названия верны.169

Microsoft Windows Server 20038.4. Установка и настройка службы DHCPСервер DHCP слушает запросы клиентов на автоматическую настройкупротокола IP и отвечает на них предложением набора конфигурационныхпараметров. Клиентский запрос может быть либо требованием полнойнастройки, либо просьбой о разрешении продолжать использовать имеющуюсяконфигурацию.Получение клиентом IP-адреса от сервера DHCP называется арендойадреса. Сервер DHCP имеет в своем распоряжении некоторый диапазонIP-адресов (его называют пулом IP-адресов), которые он может предоставлятьв аренду. При выключении клиентский компьютер возвращаетарендованный адрес обратно серверу, и этот адрес снова становитсяразрешен к выдаче.Если в сети работает служба DHCP, то администратор не рискует ошибитьсяпри настройке протокола IP на отдельных компьютерах или случайноназначить им одинаковые IP-адреса.Чтобы перевести сеть с ручной адресации на динамическую, нужно нетолько установить и настроить сервер DHCP, но и изменить способ адресациипротокола IP на всех узлах сети.8.4.1. Установка службы DHCPСлужба DHCP устанавливается как компонент серверной операционнойсистемы Windows Server 2003. Ее можно установить как на отдельномсервере, так и на одном из уже имеющихся. В нашей небольшой сетииспользование нескольких серверов пока нецелесообразно, и мы будемустанавливать DHCP все на том же SRVR001.1. Зарегистрируйтесь на сервере SRVR001 как Администратор. В главномменю выберите Панель управления —> Установка или удалениепрограмм.2. В левой части открывшегося окна Установка или удаление программвыберите пункт Установка компонентов Windows.3. В окне Мастера компонентов Windows выберите Сетевые службы(Networking Services), а затем нажмите кнопку Состав.4. Из списка сетевых служб выберите Протокол динамической конфигурациихоста (Dynamic Host Configuration Protocol DHCP) инажмите кнопку ОК.5. Нажмите кнопку Далее и подождите установки службы DHCP. Вамможет понадобиться вставить установочный компакт-диск с операционнойсистемой Windows Server 2003.6. Нажатием клавиши Готово закончите установку.170

Глава 8. Другие сетевые службы (WINS и DHCP)После установки службы DHCP в группе команд Администрированиеменю Пуск появится пункт DHCP, щелчок по которому вызывает консольуправления DHCP. Если все установлено правильно, то в левой частиокна консоли должен быть указан сервер srvrOOl. study . local вместесо своим IP-адресом. Развернув ветвь этого сервера, в правой части окнав столбце Состояние вы увидите значение Не авторизован (рис. 8.5). Этозначит, что служба DHCP успешно установлена, тем не менее ни одинIP-адрес выдать она еще не готова. Поэтому необходимо заняться еедальнейшей настройкой.Консоль Действие Вид СправкаjDHCPВ g) srvrOOl.study.local [192.168.10 Содеруииое DHCP4i& Параметры сервераf+)srvrOOl.study.local [192.168.10.2]He авторизованI ИРис. 8.5. Консоль управления сервером DHCP8.4.2. Настройка службы DHCPДля настройки службы DHCP необходимо указать как общие, одинаковыедля всех узлов, параметры сети (маску подсети, адреса основного шлюза,серверов DNS и WINS и т.п.), так и диапазон адресов, предоставляемыхв аренду. Назначение пула адресов следует продумать особенно тщательно.Мы договорились, что в нашей сети адреса от 192.168.10. 2 до192.168.10.16 предназначены для статической адресации серверов идругого оборудования, а остаток — с 192.168.10.17 до 192.168.10.254 —для компьютеров-клиентов. Что произойдет, если выделить пул от192.168.10.17 до 192.168.10.254? У нас уже есть компьютер с адресом192.168.10.17. Сервер DHCP способен определить, не занят ли уже адрес,который он собирается предоставить в аренду, но для этого компьютер171

Microsoft Windows Server 2003с этим адресом должен быть в данный момент включен и присоединен ксети. Если наш РС001 сейчас выключен, то после его включения в сетиокажется два узла с одинаковыми адресами и возникнет конфликт.Способы перехода со статической адресации на динамическуюРЕШЕНИЕ 1. Изменение IP-адресации можно оставить на вечернеевремя или выходные дни, когда конфликт IP-адресов не помешает работени одного пользователя сети, а затем провести всю настройку сразуследующим образом:1. Настройте сервер DHCP, назначив пул IP-адресов 192.168.10.17 до192.168.10.254.2. Активируйте пул и авторизируйте сервер DHCP в домене ActiveDirectory (эти понятия будут объяснены позже).3. Смените тип адресации протокола IP на всех рабочих станциях.По мере подключения к сети рабочих станций с динамической адресациейсервер DHCP раздает им IP-адреса в порядке возрастания. Еслипервоначальный статический адрес вновь подключаемого компьютерасовпадет с одним из уже выданных, возникнет конфликт, но в отсутствиепользователей это не страшно. По завершении третьего шага конфликтыадресов исчезнут.Это решение удобно для небольших сетей, где все узлы физически расположенынедалеко друг от друга.РЕШЕНИЕ 2. Есть способ перевести сеть на динамическую адресацию ив том случае, когда общесетевой выходной устроить невозможно. Чтобыпровести изменение адресации в рабочее время, причем не доводя доконфликта IP-адресов, нужно проделать следующее:1. Настройте сервер DHCP, назначив пул IP-адресов с 192.168.10.x до192.168.10.254, где х — первый незанятый IP-адрес в сети.2. Активируйте пул и авторизируйте сервер DHCP в домене ActiveDirectory.3. Смените тип адресации протокола IP на всех рабочих станциях, последовательнорасширяя пул в направлении меньших IP-адресов.Когда очередной узел переключается на динамическую адресацию, серверDHCP выдает ему первый свободный адрес из пула. Теперь его бывшийстатический адрес свободен и его можно добавить в пул.При этом подходе следует принять во внимание следующие моменты:172• Для третьего шага узлы сети нужно разбить на блоки смежных IPадресови перенастраивать компьютеры в порядке убывания статическогоадреса. То есть если первым свободным адресом является

Глава 8. Другие сетевые службы (WINS и DHCP)192.168.10.84, то нужно сменить тип адресации у узла 192.168.10.83,затем у 192.168.10.82 и так далее до 192.168.10.79, после чего расширитьпул вниз до 192.168.10.79.• Размер блока нужно выбирать с учетом того, что в момент непосредственноперед расширением пула группа из N компьютеров занимает2*N адресов (N действующих динамических и N бывших, невозвращенных в пул). Чем крупнее сеть, тем меньшими должны бытьблоки.Вариантом второго способа является использование дополнительных возможностейсервера DHCP — например, зарезервированного диапазонаадресов.РЕШЕНИЕ 3. Самый радикальный подход к смене типа адресации —это переход на другую подсеть. Сервер DHCP будет выдавать новыеадреса из диапазона, например, 192.168.11.0/24, и конфликта со старымиадресами не возникнет.В нашей сети мы воспользуемся вторым способом.Настройка сервера DHCPЧтобы настроить сервер DHCP, вам нужно проделать следующую последовательностьдействий:1. Запустите консоль управления DHCP.2. В левой части окна консоли щелкните правой кнопкой мыши посерверу srvrOOl. study . local и из контекстного меню выберитекоманду Создать область. По этой команде запустится Мастер созданияобласти. Нажмите Далее.3. В диалоговом окне Имя области введите название области (например,«Main office») и ее описание («Рабочие станции главногоофиса»). Нажмите Далее.4. В диалоговом окне Диапазон IP-адресов введите в поле НачальныйIP-адрес первый незанятый адрес в вашей подсети (например,192.168.10.26), а в поле Конечный IP-адрес — значение 192.168.10.254.Поля маски будут заполнены по умолчанию текущей маской сети (внашем случае 24\255.255.255.0). Нажмите Далее.5. В диалоговом окне Добавление исключений оставьте все значенияпустыми и нажмите Далее.6. В диалоговом окне Срок действия аренды адреса оставьте значениепо умолчанию и нажмите Далее.7. В диалоговом окне Настройка параметров DHCP выберите Да, настроитьэти параметры сейчас и нажмите Далее.8. В диалоговом окне Маршрутизатор (основной шлюз) не вводитеничего, а нажмите Далее.173

Microsoft Windows Server 20039. В диалоговом окне Имя домена и DNS-серверы оставьте поле Родительскийдомен пустым, а в поле IP-адрес введите адрес 192.168.10.2.Затем нажмите кнопку Добавить и продолжите нажатием кнопкиДалее.10. В диалоговом окне WINS-серверы, если вы установили сервер WINSна SRVR001, введите в поле IP-адрес адрес 192.168.10.2 и нажмитекнопку Добавить. Нажмите Далее.11. В диалоговом окне Активировать область отметьте поле Нет, яактивирую эту область позже и нажмите Далее12. Завершите работу мастера нажатием на кнопку Готово.Проверьте, правильно ли вы задали параметры области, по консолиDHCP (рис. 8.6):• В списке Пул адресов вы должны увидеть введенный диапазон IPадресов(192.168.10.26 до 192.168.10.254).• В списках Арендованные адреса и Резервирование не должно бытьни одного значения.• В списке Параметры области должно быть три параметра: 006 DNSсерверы,044 WINS\NBNS-cepeepbi и 046 Тип узла WINS\NBT.| Коншпь Действие Вид Справка 1 : ::a£>DHCptf!- Xb srvr001.study.local[192'168.10.2]B-CJ Область [192.168.10,0] Main office1 !--§J) Пул адресовI |--{а(Э Арендованные адреса; ;-QH РезервированиеГМраметры областиИмя параметра4^006 DNS-серверы$>044 WINS/NBNS-серверы^046 Тип узла WINS/NBTJ ВендорОбычноеОбычноеОбычноеj Значение192.168.10.2192,168.10,20x8: -,; i КлассНетНетНет"~ilg| Параметры сервераI ..>]Рис.8.6. Параметры области сервера DHCPЕсли все в порядке, можно провести активацию области. Щелкнитеправой кнопкой мыши по области «Main office» в левой части окна консолии из контекстного меню выберите команду Активировать. Послеее выполнения из метки области исчезнет красная стрелка, отмечающаянеактивные области.Авторизация сервера DHCP в Active DirectoryНесмотря на то, что все уже настроено, наш сервер DHCP еще не готовобслуживать клиентов. Сначала необходимо авторизовать его в доменеActive Directory.174

Глава 8. Другие сетевые службы (WINS и DHCP)В сети может одновременно работать несколько серверов DHCP. Еслиони настроены так, чтобы выдавать адреса из одного и того же диапазона,то в сети быстро возникнет хаос: сервер DHCP учитывает толькоте IP-адреса, которые выдал сам, и предоставляет клиентам уже занятыедругими адреса. Обычно администраторы создают эту аварийную ситуациюне умышленно, а в ходе экспериментов по улучшению обслуживаниясети. Для настройки и запуска сервера DHCP достаточно полномочийадминистратора конкретного сервера.Служба каталога Active Directory имеет возможность воспрепятствоватьзапуску «лишних», непредусмотренных серверов DHCP. Эта возможностьи называется авторизацией: работать в сети будет разрешено только темсерверам DHCP, которые явно авторизованы администратором предприятия.Технически авторизация — это создание записи в базе данныхактивного каталога. Каждый сервер DHCP при попытке запуска проверяетналичие этой записи: если она есть, сервер запускается и начинаетраздавать IP-адреса; если она отсутствует, значит, сконфигурированнаядля этого сервера область адресов уже активна, и он не запускается.Если сеть предприятия организована в единственный домен, то для проведенияавторизации вам хватит полномочий, предоставляемых членствомв группе администраторов домена (Domain Admins). Если доменов несколько,то вы должны быть членом группы администраторов предприятия(Enterprise Admins).Порядок авторизации сервера DHCP в домене Active Directory состоитиз следующих этапов:1. Зарегистрируйтесь на сервере SRVR001 как член группы EnterpriseAdmins (наша учетная запись Администратор входит в эту группу)и запустите консоль DHCP.2. В левой части окна консоли щелкните правой кнопкой мыши поsrvrOOl. study . local и из контекстного меню выберите командуАвторизовать (рис. 8.7).После обновления изображения в окне консоли DHCP красная стрелкау значка сервера должна превратиться в зеленую.Примечание.Если вы хотите определить, какие серверы DHCP уже авторизованы, щелкнитеправой кнопкой мыши по значку DHCP в левой части консоли и выберите изконтекстного меню команду Управлять авторизованными серверами. Впоявившемся диалоговом окне вы увидите список всех авторизованных серверови сможете добавить к нему новый сервер DHCP или удалить имеющийся.К сожалению, гарантированно защититься от появления в сети несанкционированногоDHCP-сервера невозможно. Способ авторизации будетработать только тогда, когда:175

Microsoft Windows Server 2003. Цомсояь Действие ' " Вид йтрзека«"• !L s / L? й Й .j i^*§>DHCP | 5rvfOOl,study.tocaJ|192,163.10.23•Отобразить y-Qj область^.IM.IO.OUстатистику... .!ХЭ П У Л адресовСоздать область,..j \г$& Арендованные адресСоздать Панель управления —> Администрирование —> Просмотр событий)появится сообщение об ошибке с кодом 1046. Успешная авторизациясервера также отражается в системном журнале — как уведомление скодом 1044.176

Глава 8. Другие сетевые службы (WINS и DHCP)8.4.3. Перевод рабочих станцийна динамическую адресациюВ пункте 8.4.2 мы условились, что первый незанятый IP-адрес в нашейсети — это 192.168.10.26. Значит, последним клиентским компьютером, накотором мы настроили протокол IP, был РС009 со статическим адресом192.168.10.25. С него и нужно начинать перенастройку.1. Зарегистрируйтесь на РС009 как локальный администратор и всвойствах протокола ТСРДР смените адресацию протокола IP наавтоматическую (рис. 8.8).Свойства: Протокол Интернета (TCP/IP)Общие [ Альтернативная конфигурацияПараметры IP могут назначаться автоматически, если сетьподдерживает эту возможность. В противном случае параметрыIP можно получить у сетевого администратора.(*) Получить IP-адрес автоматически/'О Исгюльзовать следующий !Р>адрес:ф Получить адрес DNS-сервера автоматически' О Использовать следующие адреса DNS серверов:Рис. 8.8. Назначение автоматического получения IP-адреса2. Откройте окно командной строки и командой ipconfig /all проверьте,получил ли компьютер РС009 новый IP-адрес от сервера DHCP.Ответ команды должен выглядеть примерно так:С:\ Documents and Settings\Administrator.STUDY> ipconfigНастройка протокола IP для WindowsИмя компьютера : pc0 09Основной DNS-суффикс : study.localТип узла : неизвестныйIP-маршрутизация включена : нетWINS-прокси включен : нетПорядок просмотра суффиксов DNS : study.localПодключение по локальной сети — Ethernet адаптер:DNS-суффикс этого подключения : study.local/all177

Microsoft Windows Server 2003Описание : AMD PCNET Family PC Ethernet AdapterФизический адрес : DC-50-56-40-00-33Dhcp включен : даАвтонастройка включена : даIP-адрес : 192.168.10.26Маска подсети : 255.255.255.0Основной шлюзDHCP-сервер : 192.168.10.2DNS-серверы : 192.168.10.2Аренда получена : 8 октября 2005 16:44:15Аренда истекает : 16 октября 2005 16:44:15Если вы видите IP-адрес, равный 0.0.0.0, значит, компьютер РС009еще не установил контакта с сервером DHCP. Нужно подтолкнутьего вручную командой ipconfig /renew.3. Зарегистрируйтесь на сервере SRVR001 как Администратор и откройтеконсоль управления DHCP.4. В левой части окна консоли разверните ветвь сервераsrvrOOl. study . local и затем пункт Арендованные адреса. Вправой части окна вы должны увидеть IP-адрес, выданный компьютерурс009.study.local. .5. Теперь нужно расширить вниз активную область адресов, включивв нее освобожденный компьютером РС009 адрес 192.168.10.25.Щелкните на области «Main office» правой кнопкой мыши и изконтекстного меню выберите команду Свойства. В поле НачальныйIP-адрес введите 192.168.10.25 и нажмите ОК.Повторите шаги 1 — 5 для всех рабочих станций сети в порядке убываниястатических IP-адресов. Как уже сказано в п.8.4.2, вы можете расширятьпул адресов не каждый раз после перенастройки одного клиентскогокомпьютера, а через несколько обладателей подряд идущих статическихадресов.8.4.4. Адресация серверовВвиду той роли, которую в сети играют серверы, им нужно назначатьстатические адреса. Хотя протокол DHCP разрабатывался так, чтобы повозможности выдавать одному и тому же клиенту один и тот же адрес,рассчитывать на это нельзя. Если адрес сервера внезапно меняется, то всети могут возникнуть проблемы.У серверов нашей сети с самого начала адреса были назначены вручную,и менять здесь ничего не требуется. Нужно проследить только за тем,чтобы не включать в пул адресов, отдаваемых в аренду, IP-адреса, предназначенныедля серверов.178

Глава 8. Другие сетевые службы (WINS и DHCP)8.4.5. Адресация принтеров и подобных устройствСетевыми называются те устройства, которые подключены непосредственнок локальной сети, а не к какому-либо отдельному компьютеру черезUSB или параллельный порт. Типичные представители таких устройств —сетевые принтеры. Для таких устройств выгодно иметь постоянный адрес,как у серверов, но в то же время назначать этот адрес централизованно,как рабочим станциям. Сервер DHCP может совместить эти требованияс помощью механизма резервирования IP-адресов.К принтерам мы еще вернемся в 14 главе, но резервирование адресоврассмотрим сейчас. Цель резервирования состоит в том, чтобы гарантировать,что определенный клиент DHCP (устройство или обычныйкомпьютер) всегда и при любых обстоятельствах будет получать в арендуодин и тот же IP-адрес. Технически резервирование — это привязкаопределенного IP-адреса к физическому адресу сетевого интерфейсаклиента (МАС-адрес, Media Access Control).Чтобы зарезервировать IP-адрес 192.168.10.16 за принтером с МАС-адресом00-00-12-сс-Ь9-а0, выполните следующие действия:1. Зарегистрируйтесь на сервере SRVR001 как Администратор и откройтеконсоль управления DHCP.2. В левой части окна консоли разверните ветвь сервера srvrOOl.study . local, затем область «Main office», затем щелкните по значкуРезервирование правой кнопкой мыши.3. Выберите из контекстного меню команду Новое резервирование. Впоявившемся диалоговом окне введите название и краткое описаниерезервирования, в поле IP-адрес введите 192.168.10.16, а в полеМАС-адрес — строку «000012ссЬ9а0». В области поддерживаемыхтипов оставьте предложенное значение «Оба» и нажмите кнопкуДобавить.Теперь, если вы развернете значок Арендованные адреса, среди выданныхв аренду адресов будут перечислены и зарезервированные. Несмотряна то, что мы зарезервировали адрес, не входящий в пул, по запросу отклиента, однозначно идентифицируемого своим МАС-адресом, этот IPадресбудет ему предоставлен.8.5. Сбой службы DHCPКак и любая другая служба, DHCP может выйти из строя, и администраторунужно подготовиться к этому событию так, чтобы минимизироватьвозможный ущерб сети. Вы уже знаете, что работающего запасного179

Microsoft Windows Server 2003DHCP-сервера с таким же пулом адресов в сети быть не может. В этомпараграфе мы рассмотрим, какие средства защиты от сбоев реализованыв протоколе DHCP вместо этого.8.5.1. Как клиент получает IP-адресв отсутствие сервера DHCPКлиентский компьютер, настроенный на автоматическое получениеадреса, сразу после включения посылает широковещательный запрос«кто я?». Если какой-нибудь сервер DHCP отзовется на этот запрос, токлиент принимает от него IP-адрес и начинает нормальную работу в сети.Если ни один сервер DHCP не отозвался, то клиент делает еще несколькопопыток через определенные интервалы времени, а потом назначаетсебе адрес сам. Каким образом он это сделает, зависит от конкретнойоперационной системы.Windows 9x и Windows NTКомпьютер с операционной системой, более ранней, чем Windows 2000(исключая Windows 98 SE и Windows ME), не получив отклика от сервераDHCP, остается без IP-адреса. Если вы введете в командной строке командуipconfig, то увидите IP-адрес 0.0.0.0. В результате этот компьютерработать в сети по протоколу TCP/IP не сможет.Windows 98 и Windows 2000ОС семейства Windows 2000, а также системы Windows 98 SE и WindowsME, в случае недоступности сервера DHCP прибегают к средству APIPA(Automatic Private IP Addressing). APIPA представляет собой механизм,обеспечивающий клиентам небольших сетей возможность автоматическогоприсвоения адресов из подсети 169.254.0.0/16.Компьютер просто случайным образом выбирает адрес из диапазона169.254.х.х и устанавливает маску 255.255.0.0. В этом диапазоне доступно65534 адреса, поэтому риск того, что два компьютера выберут два одинаковыхадреса, минимален. Чтобы полностью исключить риск конфликта,клиент, выбрав адрес, посылает широковещательный запрос, выясняя,не занят ли уже этот адрес. Клиент повторяет попытки присвоить себеадрес до тех пор, пока не наткнется на свободный.Компьютер, получивший адрес с помощью APIPA, имеет возможностьсвязываться с другими компьютерами в пределах своей физическойподсети.180

Глава 8. Другие сетевые службы (WINS и DHCP)Windows XP и Windows Server 2003В операционных системах клиентского семейства Windows XP и серверногоWindows Server 2003 процедура самоприсвоения адреса была ещеболее усовершенствована. Если при настройке протокола TCP/IP выбраноавтоматическое получение адреса, то в диалоге свойств протокола TCP/IPпоявляется дополнительная вкладка Альтернативная конфигурация.На этой вкладке, установив переключатель в положение Настроенныепользователем, можно указать параметры протокола IP так же, как при статическойнастройке. Другое положение этого переключателя — APIPA —указывает компьютеру в отсутствие DHCP-сервера поступать так же, каккомпьютеры под управлением Windows 2000.8.5.2. Как бы это выглядело в нашей сетиЕсли бы в нашей сети вышла из строя служба DHCP, рабочие станциипод управлением Windows XP Professional назначили бы себе IP-адресаиз подсети 169.254.0.0/16. Остальные устройства, не поддерживающиемеханизм APIPA (например, принтеры), оказались бы без IP-адреса ибыли бы недоступны по сети. Сервер SRVR001 настроен на статическуюадресацию, поэтому сбой сервера DHCP его, казалось бы, не касается.Но он использует маску подсети 255.255.255.0, а клиенты назначили бысебе маску 255.255.0.0, оказавшись тем самым в другой подсети. Как онибудут разрешать имена?В главе 6 вы узнали, что при невозможности найти узел сети по именипри помощи службы DNS (она установлена на сервере SRVR001, которыйеще нужно найти) ОС Windows продолжает поиск по имени NetBIOS,посылая широковещательный запрос. Такой запрос может принести ответтолько в пределах подсети, то есть клиенты смогут найти друг друга,но не сервер.Значит ли это, что механизм APIPA не слишком полезен, раз он не можетвосстановить главную функцию обычной сети — коммуникацию клиентовс сервером? Нет, не значит. Он очень полезен в сетях равноправных узлов(peer-to-peer), где ни один узел не настроен на статическую адресацию.Если, например, вы устанавливаете небольшую сеть, состоящую из четырехкомпьютеров под управлением Windows XP Professional, то можетепри установке операционной системы оставить конфигурацию протоколаIP по умолчанию, то есть настроенной на автоматическое получение адреса,а сервер DHCP вообще не устанавливать. Тогда компьютеры-клиентысами назначат себе IP-адреса и, оказавшись в одной и той же подсети,будут спокойно общаться по ним.181

Microsoft Windows Server 2003А альтернативная конфигурация протокола TCP/IP — это решение длявладельцев ноутбука, которым нужно подключаться к разным сетям, причемодна из них использует сервер DHCP, а другая нет. Если настроитьноутбук на автоматическое получение адреса, а статические параметрыпротокола TCP/IP прописать на вкладке Альтернативная конфигурация,то такой ноутбук сможет без перенастройки работать в обеих сетях.8.5.3. Страховка на случай сбоя службы DHCPНаша (малая) сетьДля быстрого восстановления функциональности сети в случае сбоясервера DHCP в первую очередь необходимо иметь в распоряжениизапасной сервер. Для многих предприятий это очень ограничивающийфактор, поэтому они вынуждены обходиться без страховки. Обойдемся имы, поскольку устанавливать дополнительный сервер мы не планируем.Крупные сетиЕсли в сети предприятия несколько серверов, то на одном из них можноустановить дополнительный сервер DHCP, разбив пул арендуемыхадресов на две области (корпорация Microsoft рекомендует разбивать вотношении 80/20).Для нашей сети это означало бы, что первый сервер DHCP выдает адресаиз диапазона 192.168.10.17 — 192.168.10.207, а второй — от 192.168.10.208до 192.168.10.254. Большая область отводится для штатного режима работысети, меньшая — для аварийного. 20-процентный запас считаетсядостаточным, потому что на момент сбоя многие компьютеры будутиметь уже выданный IP-адрес. Резервирование нужно настроить на обоихсерверах.8.6. ИтогиВ однородной сети, объединяющей только компьютеры под управлениемWindows 2000/XP/2003, разрешение имен выполняет служба DNS. Если нанекоторых узлах сети стоят операционные системы более ранних версий,использующие имена NetBIOS, то понадобится установить дополнительнуюслужбу для разрешения этих имен.Системным решением является в таком случае установка и настройкаслужбы WINS. В некоторых случаях (например, несколько старых ком-182

Глава 8. Другие сетевые службы (WINS и DHCP)пьютеров в удаленном подразделении) может оказаться достаточно настроитьфайлы LMHOSTS.Настройку протокола IP существенно облегчает служба (протокол)DHCP. Эта служба является компонентом ОС Windows Server 2003 иWindows 2000 Server и обеспечивает автоматическую адресацию всехустройств, работающих по протоколу IP.Чтобы сервер DHCP начал обслуживать клиентов, он должен пройтиавторизацию в домене Active Directory. В общем случае для авторизациисервера нужны полномочия члены группы администраторов предприятия(Enterprise Admins), но иногда достаточно прав члена группы администраторовдомена (Domain Admins).В тех сетях, где некоторым узлам адреса назначаются вручную, приустановке службы DHCP нужно действовать осторожно. Служба DHCPне способна определить, какие адреса уже используются в сети, если ихвыдавала не она, поэтому пул арендуемых адресов следует настраиватьтак, чтобы исключить выдачу адреса, совпадающего с одним из статических.Клиент службы DHCP в составе ОС Windows 2000/XP имеет возможностьработать в аварийном режиме, в отсутствие сервера DHCP. Онсамостоятельно назначает своему компьютеру адрес, случайно выбираяего из подсети 169.254.0.0/16. В результате клиентские компьютеры могутобщаться между собой, но не со статически адресованными серверами.ОС Windows XP Professional, в отличие от Windows 2000, предоставляетвозможность двойной настройки протокола IP: при выборе автоматическогополучения адреса на вкладке Альтернативная конфигурация можноуказать статический набор параметров, который вступает в силу тогда,когда сервер DHCP в сети не обнаружен.В крупных сетях рекомендуется иметь несколько серверов DHCP, разделивмежду ними пул адресов в пропорции 80\20.Состояние сетиВ нашей сети появились службы WINS и DHCP, установленные на сервереSRVR001. Сервер DHCP авторизован в домене Active Directory ислужит для автоматического назначения IP-адресов рабочим станциям.Рабочие станции стали также клиентами службы WINS.183

Регистрацияпользователейв домене.Управлениеучетными записямипользователейДоменная учетная записьпользователяСоздание и настройкаучетных записейСоздание учетной записиизкомандной строкиКуда исчезли локальныеучетные записи?MICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

К этому моменту наша сеть организована в домен. На сервере, которыйявляется контроллером домена, установлены и настроены службы, необходимыедля работы сети. Целью этой системы с точки зрения администратораявляется как можно более простое управление, а с точки зренияпредприятия — как можно больше удобств для работы пользователя.Поскольку мы уже построили стабильную и работающую схему, можно«запускать» пользователей. Каждому пользователю мы создадим и настроимучетную запись, которая понадобится для работы в сети. В то жевремя познакомимся с инструментами, которые служат для управленияпользователями в домене, посмотрим и на основные механизмы безопасностиучетных записей пользователей.9.1. Доменная учетная запись пользователяЕсли пользователь хочет работать в сети, он должен зарегистрироватьсяна одном из узлов. Для этого необходимо наличие активной учетной записии знание пользователем своих регистрационных данных — имении пароля. Учетная запись служит также для регулирования полномочийпользователя — прав доступа к тем или другим ресурсам и возможностивыполнять те или другие действия.С учетными записями пользователей необходимо обращаться очень осторожно,потому что это одна из лазеек, через которые злоумышленникможет проникнуть в сеть. Категорически не рекомендуется создаватьобщую запись для поочередной работы группы пользователей. Учетнаязапись, как зубная щетка, у каждого должна быть своя.185

Microsoft Windows Server 2003В домене с операционными системами Windows можно работать с двумятипами учетных записей: локальными и доменными. Разницу междуними, а также принципы работы с локальными учетными записями мыразобрали в 4 главе. В этой главе мы подробно рассмотрим управлениедоменными учетными записями.9.2. Создание и настройка учетных записейЕсли вы представите себе сеть с несколькими сотнями пользователей иподумаете, что вам придется создавать несколько сотен учетных записей,то ваше настроение может слегка испортиться. Правда, обычно учетныезаписи добавляются постепенно, по мере развития системы. Но даже еслиперед вами стоит задача добавить всего десяток новых учетных записей,не стоит торопиться.Процесс создания одной записи может занять как несколько минут, таки несколько секунд. И если вам впоследствии потребуется ежедневносоздавать несколько десятков новых записей, нужно продумать подходк их созданию уже сейчас.Учетные записи можно создавать разными способами — и с помощьюграфического интерфейса, и запуском командного сценария, которыйбудет считывать информацию из заранее подготовленного файла и записыватьее прямо в базу данных домена Active Directory. В каждой извозможностей есть как положительные, так и отрицательные стороны.Мы постараемся использовать лучшие из них.д.2.1. Создание первой учетной записиДо сих пор мы работали под учетной записью Администратор. Это встроеннаяучетная запись, которая доступна сразу после установки домена.Эта запись предоставляет огромные полномочия, поэтому использоватьее для повседневной работы небезопасно. Сейчас мы создадим другуюучетную запись, под которой и будем регистрироваться для обычнойработы, а эту оставим только для некоторых административных задач,которые нельзя решить другим способом.1861. Зарегистрируйтесь на сервере SRVR001 как Администратор.2. Запустите консоль Active Directory — пользователи и компьютеры.3. Щелкните правой кнопкой мыши по значку Пользователи (Users)и из контекстного меню выберите Создать -» Пользователь.4. В диалоговом окне Новый объект — Пользователь введите в качествеимени и фамилии «Первый Пользователь» (рис. 9.1).

Глава 9. Регистрация пользователей в доменеый объект - ПопыоватедьхWjj' Создать в: slucly.locai.'Usersфамилия:ПервыйПользовательПервый ПользовательИнициалы:г ~Льщ экша по/ьзоеегеля:."- :'•:'"' '.: .'•••"..'':•Used!|@studv.loc JАмя вхсда пользователя (прад-Windows 20Q0J:Рис. 9.1. Создание доменной учетной записи5. В поле Имя входа пользователя введите, например, userl. Рекомендуетсяизбегать использования в регистрационном именисимволов кириллицы, поскольку не на каждом компьютере можнопереключиться на русскую раскладку в ходе регистрации. Это жерегистрационное имя будет автоматически введено и в поле Имявхода пользователя (пред-Windows 2000). Данное значение можноизменить вручную, но обычно это не рекомендуется, так как пользователюпридется запоминать лишнее имя. Нажмите Далее.6. В поле Пароль и Подтверждение введите пароль, который будетприменен при первой регистрации при помощи созданной записи.Настройка безопасности по умолчанию в домене с системой WindowsServer 2003 довольно строгая: длина пароля должна быть не менее7 символов, а пароль обязан быть сложным, то есть содержать символыне менее трех разновидностей из следующих: заглавная буква,строчная буква, цифра, специальный знак.7. Оставьте установленным флажок Требовать смену пароля при следующемвходе в систему. Это приведет к тому,_ что пароль будетзнать только сам пользователь, а вы как администратор снимете ссебя ответственность за доступ к чужим секретам. Остальные переключателитоже оставьте в положении по умолчанию и нажмитеДалее.8. Отобразится общая информация о новом пользователе. После еепроверки нажмите кнопку Готово. Только сейчас учетная записьбудет создана.9. Вызовите окно свойств вновь созданной записи и просмотрите всевкладки (особенно вкладки Адрес, Учетная запись, Профиль, Телефоны,Организация), чтобы получить представление о других сведениях,187

Microsoft Windows Server 2003которые входят в учетную информацию пользователя. Эти сведениянужны для поиска пользователя в системе, поэтому имеет смысл задаватьих сразу же и постоянно поддерживать их актуальность.9.2.2. Проверка новой записиПосле создания новой записи попытайтесь зарегистрироваться с помощьюэтой записи на какой-нибудь рабочей станции. До того, как выувидите рабочий стол, вам придется сменить пароль. Успешное изменениепароля будет подтверждено сообщением на экране и новый пароль в тотже момент станет активным.Завершите сеанс на рабочей станции и попробуйте зарегистрироватьсяпод новой учетной записью на сервере SRVR001. Вы увидите сообщение«Локальная политика этой системы не дает возможности интерактивнойрегистрации». Дело в том, что вы создали запись с полномочиями рядовогопользователя домена, который не должен работать за контроллеромдомена и иметь возможность что-либо менять в его настройках. Политикабезопасности дает возможность зарегистрироваться на контроллере доменатолько некоторым группам пользователей.9.2.3. Создание следующих учетных записейВы уже, должно быть, заметили, что только некоторые атрибуты учетнойзаписи индивидуальны для каждого пользователя (например, телефонныйномер или имя), другие же повторяются (например, у всех пользователейиз отдела рекламы в поле Отдел на вкладке Организация будет стоять«Рекламный»). Это наводит на мысль о создании учетных записей пошаблону.Наше учебное предприятие Study имеет следующую структуру: три директора,пять сотрудников в торговом отделе, три сотрудника в отделемаркетинга, три сотрудника на складе и один системный администратор.Время от времени на предприятии работает контрактник, которым можетбыть каждый раз другое лицо, но работу он выполняет примерно однуи ту же. Склад работает круглосуточно, остальные отделы — с 8 до 16часов. Регистрационные имена сотрудников будут состоять из названияотдела и порядкового номера работника: Managerl, Store3 и т.д.Заготовим четыре шаблона — по одному для каждого отдела с количествомработников больше одного. Чтобы шаблоны были с первоговзгляда узнаваемы в окне консоли Пользователи и компьютеры службыActive Directory, стоит назвать их именами отделов (_Shop, _Marketing,„Warehouse и „Managers). Знак подчеркивания добавлен для того,чтобы в алфавитном списке имена шаблонов стояли первыми.188

Глава 9. Регистрация пользователей в доменеСоздание шаблонаПоследовательность действий по созданию шаблона состоит из следующихэтапов:1. Зарегистрируйтесь на сервере SRVR001 как Администратор и запуститеконсоль Active Directory — пользователи и компьютеры.Удалите пробную запись «Первый пользователь».2. Щелкните правой кнопкой мыши по значку Пользователи (Users)и из контекстного меню выберите Создать —» Пользователь.3. В диалоговом окне Новый объект — Пользователь введите в качествеимени «_Shop» (торговый отдел), а поле фамилии оставьтепустым.4. В поле Имя входа пользователя введите shop и нажмите кнопкуДалее.5. В поле Пароль и Подтверждение введите сложный пароль (не менее8 символов, состоящий из заглавных и строчных букв, цифр илиспециальных знаков), оставьте установленным флажок Требоватьсмену пароля при следующем входе в систему и продолжите нажатиемкнопки Далее.6. Проверьте введенные сведения и создайте запись нажатием кнопкиГотово.7. Вызовите окно свойств вновь созданной записи и заполните все необходимыеполя на вкладках Адрес и Организация.8. На вкладке Учетная запись нажмите кнопку Время входа и оставьтесиним период между 8 и 16 часами. Нажатием кнопки ОК закройтедиалоговое окно свойств.9. Щелкните по созданной записи правой кнопкой мыши и из контекстногоменю выберите команду Отключить учетную запись. Теперьпод ней не сможет зарегистрироваться никто, даже зная пароль.Л Active Directory Users and ComputersКонсольДействиеП2ОкноЩ Active Directory - пользователи и ксL_J Сохраненные запросыВ Щ study .localS О Buifcinli) Cj Computers\+h(&\ Domain Controllersi'fj- CJ ForeignSecurityPrincipalsL,ШШ'ПользовательПользовательПользовательПользовательГруппа безопа...Группа безопа...ПользовательГруппа безопа...Built-in account for adrnini..Группа администраторе..DNS-клиенты, которым ,.,Built-in account for guest..Group for the Help and 5u,.Рис. 9.2. Шаблоны — отключенные учетные записи189

Microsoft Windows Server 2003Таким же образом создайте шаблоны _Marketing, _Store и_Managers для отдела маркетинга, склада и дирекции. В шаблоне длясклада установите круглосуточное время входа (п.8).Теперь окно консоли Active Directory — пользователи и компьютерывыглядит так, как на рис. 9.2.Создание учетной записи по шаблонуСоздание учетной записи по шаблону производится следующим образом:1. Щелкните по шаблону (_Shop) правой кнопкой мыши и из контекстногоменю выберите команду Копировать. Появится диалогсоздания новой учетной записи.2. Введите регистрационное имя shopl, а в качестве имени и фамилиипользователя в этой книге мы будем использовать тоже shopl. Нажмитекнопку Далее.3. Задайте пароль для первого входа пользователя в систему, оставьтеустановленным флажок Требовать смену пароля при следующемвходе в систему и снимите флажок Отключить учетную запись.ШЖШ1 |Примечание.Никогда не используйте пароль, сходный с регистрационным именем. С точкизрения безопасности рекомендуется придумать пароль длиной не менее 10символов и вручить его пользователю вместе с регистрационным именем взапечатанном конверте. Если вы создаете учетные записи заранее, то в течениенескольких дней до передачи пользователям конвертов с регистрационнымиданными целесообразно держать учетные записи отключенными.Регистрационное имя пользователя должно устанавливаться внутреннимпредписанием компании так, чтобы в сети существовало единообразие.С расчетом на будущее развитие сети можно, например, определить, чторегистрационное имя пользователя будет содержать первые три буквыего имени, две буквы фамилии и двузначный порядковый номер.Примечание редактора.Также можно рекомендовать использовать комбинацию из фамилии и инициалов,что-то вроде vasiljev_ap. Латинские символы дают широкие возможностидля интерпретации русских букв и одну и ту же фамилию можно записать поразному.Создав запись по шаблону, откройте окно ее свойств и внесите необходимыеизменения на вкладки Адрес и Организация. Одновременно про-190

Глава 9. Регистрация пользователей в доменеверьте, что разрешенное время регистрации соответствуетрасписанию сотрудника.служебномуВременная учетная запись для контрактникаДля этой записи не нужно шаблона, поскольку она всего одна. Ранее мыс вами договаривались, что на нашем предприятии время от времениработает один контрактник. И хотя их может быть и несколько (одинсменяет другого), но единовременно на предприятии работает толькоодин. А поскольку одновременно на предприятии может работать толькоодин контрактник, то для них всех достаточно одной учетной записи ишаблон для нее не нужен.А как же правило о недопустимости общей учетной записи для группыработников? А так: для каждого очередного контрактника меняйтепароль. Щелкните по учетной записи правой кнопкой мыши и из контекстногоменю выберите команду Смена пароля. Введите и подтвердитепервоначальный пароль и установите флажок Требовать смену пароляпри следующем входе в систему.Поскольку контрактник работает на предприятии временно, на вкладкеУчетная запись установите срок окончания действия учетной записи, поистечении которого она окажется отключенной.Примечание.В целях безопасности отключать учетную запись рекомендуется и при уходесотрудника в очередной отпуск.В различных операционных системах семейства Windows 2000 названия некоторыхкоманд могут различаться.9.2.4. Учетные записи Администратор и ГостьКаждый пользователь, который хотя бы немного разбирается в операционныхсистемах семейства Windows NT, знает, что стандартно онисодержат встроенные учетные записи Администратор и Гость. Для входапод этими учетными записями необходимо узнать пароль, а регистрационноеимя уже известно.Под гостевой учетной записью много вреда причинить нельзя, потому чтоэта запись сильно ограничена в правах, но под именем Администратордомена пользователь имеет право делать в домене все, что хочет. Возможностьрегистрации постороннего под этими именами необходимопредотвратить. Решение заключается в том, чтобы переименовать учетнуюзапись Администратор, а запись Гость вообще отключить.191

Microsoft Windows Server 2003Гостевую учетную запись рекомендуется использовать только в такихсистемах, которые не требуют почти никакой безопасности данных.Переименование записи АдминистраторПридумайте имя, которое трудно угадать (что-нибудь вроде 4ndr3 j).Далее поступайте следующим образом:1. В консоли Active Directory — Пользователи и компьютеры раскройтепапку Пользователи (Users) и затем в правом окне правой кнопкоймыши щелкните по записи Администратор.2. Из контекстного меню выберите команду Переименовать и введитеновое имя. Если появится предупреждение о необходимости выйтииз системы, а затем снова войти, продолжите нажатием на кнопкуДа. Отобразится диалоговое окно Переименовать пользователя, вкотором в поле Имя и фамилия будет отображено заданное имя.Заполните остальные поля так, как показано на рис. 9.3.Переименование записи ГостьНесмотря на то, что эта запись в большинстве систем отключена, несомненно,стоит переименовать и ее. Действуйте так же, как при переименованиизаписи Администратор. В этой книге мы выбрали в качественового имени ghO$t.Для переименования этих двух записей в ОС Windows Server 2003 иWindows 2000 Server предусмотрены более эффективные возможности.Сейчас мы переименовали только доменные учетные записи Администратори Гость, а их локальные тезки, существующие на каждом компьютереПереименование пользователя, :Паяное имя; . J4ndr3jЦмя"3>«и«.Андрей. (Василь»•;. Ёьводимое имя: !Андрей Васильев'•'. Имя s^ofte пояьадэвйггеля: .-Имя вхада пользователя (npeft-Wirafows 20Ш);zi,ЦнчгмчиГ~~| Отмена |Рис. 9.3. Переименование записи Администратор192

Глава 9. Регистрация пользователей в доменесети, остались без изменения. Переименовывать их вручную слишкомдолго. Другие возможности мы рассмотрим в главе 22, посвященной безопасностисервера и сети.9.2.5. Членство в группахКаждая вновь созданная учетная запись по умолчанию становится членомгруппы Domain Users. На каждой рабочей станции члены этой группыодновременно являются членами локальной группы Users, то есть получаютобычные права доступа к ресурсам этого компьютера.С членством в группе Domain Users манипулировать незачем. Можетпонадобиться разве что включение некоторых ее членов в другие группы.Дальнейшие сведения о работе с группами вы найдете в 11 главе.9.2.6. Безопасность учетных записейУчетная запись защищена своим паролем. Но чем может помочь пароль,даже самый длинный и сложный, если его разгласить или перехватить вовремя передачи по сети? Чтобы предотвратить злоупотребления такогорода, администратор должен заставить пользователей регулярно менятьсвои пароли.Однако длинные пароли тоже не совсем бесполезны. Если пользователюпридет в голову задать пароль, состоящий из двух символов, тотакой пароль можно быстро подобрать простым перебором. Поэтомуадминистратору следует требовать от пользователей придумывать себедлинные пароли (рекомендуется не короче 8 символов). Чтобы исключитьиспользование в качестве пароля дат, номеров телефонов, имен исловарных слов, нужно требовать, чтобы пароль был сложным, то естьсодержал заглавные буквы вперемешку со строчными, цифрами и знакамипрепинания. Такие пароли угадать или подобрать для злоумышленниканамного труднее.Среди других требований безопасности можно перечислить запрет повторноиспользовать пароль, который пользователь уже когда-то выбирал,или предписание не менять пароль в течение нескольких дней.Все эти требования администратор может предъявить автоматически,настроив соответствующим образом политику безопасности. Дальнейшиесведения о принципах безопасности паролей вы найдете в 22 главе.7 Зак 446 193

Microsoft Windows Server 20039.3. Создание учетной записииз командной строкиОС Windows Server 2003 предоставляет еще один способ создания доменнойучетной записи: команду dsadd user. При этом создание учетнойзаписи с регистрационным именем petrov в контейнере Users доменаstudy. local и предписанием сменить пароль после первого входа будетвыглядеть следующим образом:dsadd user DN=petrov, CN=Users, DC=study, DC=local,-upn petrov@study.local -mustchpwd YesСозданная таким образом учетная запись по умолчанию отключена, чтос точки зрения безопасности системы является нормой. Пароля у неепока нет.Примечание.Утилита DSADD умеет создавать в активном каталоге и объекты других типов.Чтобы получить справку о ее возможностях, введите в командной строке dsadd /?.Чтобы узнать подробнее о создании при помощи этой утилиты учетных записейпользователей, введите dsadd user/?.9.4. Куда исчезли локальныеучетные записи?Если клиентский компьютер является членом домена, на нем можно зарегистрироватьсялибо под доменной учетной записью, либо под локальной.Вторая возможность в доменах обычно не применяется, потому чтосоздание локальных учетных записей для большого числа пользователейслишком трудоемко. Однако локальная учетная запись может понадобитьсядля решения какой-нибудь нестандартной задачи.Чтобы зарегистрироваться на рабочей станции по локальной учетнойзаписи, нужно в диалоге регистрации выбрать из выпадающего спискаВойти в опцию Имя компьютера (локальный компьютер). Вы зарегистрируетесьтолько на локальном компьютере, не входя в домен.Рассмотрим сервер SRVR001. Здесь в списке Войти в присутствует толькоодна опция — STUDY (название домена). Это значит, что в компьютереSRVR001 нет ни одной локальной записи и для входа необходимо использоватьтолько доменную учетную запись.194

Глава 9. Регистрация пользователей в доменеДля контроллеров домена под управлением Windows 2000 и WindowsServer 2003 это нормальное явление. Как только рядовой сервер повышаетсяв роли до контроллера домена, все локальные учетные записипользователей и групп, существовавшие на нем, отключаются. Исключениемявляется только первый контроллер домена, у которого все локальныеучетные записи преобразуются в доменные. Пока сервер служитконтроллером домена, на нем невозможно создать новые локальныеучетные записи.Подтверждение вышесказанного мы можем увидеть непосредственно напримере:1. Зарегистрируйтесь на SRVR001 как администратор (не Администратор:вы уже переименовали эту учетную запись).2. Откройте консоль Администрирование —> Управление компьютером.3. Хорошо рассмотрите левую часть окна консоли. Вы не увидитезначка Локальные пользователи и группы, который присутствуетна этом месте у рядовых серверов.ШПримечание.На контроллере домена под управлением ОС Windows 2000 папка Локальныепользователи и группы присутствует, но отмечена красным крестиком, так чтооткрыть ее невозможно.Положение, когда на контроллере домена нет даже локальной группы,является новым по сравнению с контроллером домена Windows NT 4.0.Одно исключение все же существует в контроллере домена системыWindows Server 2000 или более поздних. Речь идет о локальной записипользователя Администратор, при помощи которого на сервере можнозарегистрироваться только в режиме обновления службы каталога. Парольэтой учетной записи задается в ходе повышения роли сервера доконтроллера домена, и его необходимо надежно хранить.Чтобы сменить этот пароль впоследствии, на контроллере домена подуправлением Windows 2000 поступайте следующим образом:1. Перезагрузите сервер, во время загрузки нажмите клавишу F8 и выберитережим восстановления службы каталогов (Directory ServicesRestore Mode). Этим вы обеспечите то, что служба Active Directoryне запустится.2. Зарегистрируйтесь под учетной записью Администратор. Нажмитекомбинацию клавиш Ctrl+Alt+Del и затем нажмите кнопку Изменитьпароль.3. Введите действующий и новый пароль.4. Перезагрузите сервер.195

Microsoft Windows Server 2003На контроллере домена под управлением Windows Server 2003 вы можетеизменить пароль для записи Администратор для восстановления службыкаталогов еще проще:1. Зарегистрируйтесь как администратор домена и откройте окно команднойстроки.2. Введите команду ntdsutil.3. Введите команду reset dsrm password.4. После ответа «Создать новый пароль администратора для режимавосстановления службы каталогов:» введите команду reset passwordon server «имя сервера».5. После ответа «Введите пароль для записи администратора режимавосстановления службы каталогов:» введите и подтвердите новыйпароль.Если подтверждение пароля прошло успешно, появится сообщение: «Парольуспешно установлен». Перезагружать сервер не нужно.Пароль для режима восстановления службы каталогов можно изменить и наудаленном контроллере домена, если тот работает под управлением WindowsServer 2003. Для этого служит команда reset password on server work.study.com.Удаленный сервер при этом должен работать в нормальном режиме (а не врежиме восстановления службы каталогов)Если вы забыли пароль локального администратора контроллера домена,то не сможете восстановить службу каталога. Пароль можно восстановить,если в домене больше одного контроллера. Поступайте следующимобразом:1. Зарегистрируйтесь на том контроллере, пароль для восстановлениякоторого утерян, как администратор домена и откройте окно команднойстроки.2. Введите команду dcpromo и понизьте роль с контроллера домена дорядового сервера. После этого потребуется перезагрузить компьютер.3. Снова зарегистрируйтесь и введите ту же команду dcpromo, чтобыснова установить контроллер домена. В ходе установки введитепароль для восстановления службы каталогов, который на сей раззапомните надежно.9.5. ИТОГИДля каждого пользователя домена заводится собственная доменнаяучетная запись. Под ней можно регистрироваться на любом компьютередомена за исключением контроллеров домена.196

Глава 9. Регистрация пользователей в доменеСоздание нескольких учетных записей можно облегчить, создавая ихна основе заранее заготовленного шаблона. Следует устанавливать длясоздаваемых учетных записей длинные и сложные пароли и требоватьсмены пароля пользователем при первом входе.У каждого пользователя должна быть индивидуальная учетная запись.Общую учетную запись можно использовать как исключение, для временныхработников предприятия. Для временных учетных записей необходимонастроить срок действия, по истечении которого запись будетавтоматически отключена.Если вам нужно создать сразу много записей, в домене Active Directoryсистемы Windows Server 2003 вы можете использовать утилиту команднойстроки DSADD. Эта команда предназначена для управления не толькопользовательскими учетными записями, но и объектами других типов.В целях безопасности домена рекомендуется переименовывать стандартныеучетные записи Администратор и Гость, затрудняя тем самым задачузлоумышленника по подбору регистрационных данных.Учетная запись дает возможность пользователям входить и работать всистеме домена, администраторам — возможность управлять работойпользователей и их правами в домене.Состояние сетиВ сети появились доменные учетные записи для всех сотрудников компанииStudy, созданные на основе шаблонов подразделений. Учетные записиАдминистратор и Гость переименованы в целях безопасности.197

Права доступаПрава доступа к локальным ресурсамДоступ к сетевым ресурсамГде хранить личные документы?MICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Операционные системы Windows 2000/XP/2003 — это системы, предназначенныедля установки в сетях, требующих надежности, быстроты иособенно безопасности. Организации, использующие эти системы, хотятобладать всей информацией и контролировать положение: кто имеетправо входить в их сеть, с какими данными он может работать и какойуровень доступа к данным он имеет.Обычно это не значит, что каждый пользователь, который способенподключиться к сети организации, автоматически имеет доступ ко всемданным. И внутри организации необходимо различать права доступа ииметь о нем представление.Чтобы пользователь мог подключиться к сети, ему требуется знать регистрационноеимя и пароль учетной записи. Потом, чтобы иметь доступк документам, которые представляют интерес для него, ему необходимонечто большее — право доступа к файлам. Эта глава является введениемв типы прав доступа и способы работы с ними.10.1. Права доступа к локальным ресурсамУчетная запись пользователя имеет две функции. Первая, которую мыуже разобрали в достаточной степени, это возможность зарегистрироватьсяна локальном компьютере или в домене. Другой, не менее важной,функцией является возможность регулировать уровень прав доступа кобъектам в сети. Такими объектами могут быть принтер, файл, папка,учетная запись и т.д.199

Microsoft Windows Server 2003Если вы хотите иметь доступ к объектам типа файл или папка, эти объектыдолжны быть расположены на разделе, отформатированном файловойсистемой NTFS.Управление доступом к ресурсам очень важно для безопасности сети.Достаточно незначительной ошибки, опечатки или просто незнания, иважный документ сможет прочесть каждый пользователь, в худшем случаевы выясните, что его кто-то удалил. В такой ситуации необходимоиметь настроенный и функционирующий аудит, чтобы вы могли затемвычислить пользователя, который произвел эту операцию.Дальнейшие сведения об аудите вы найдете в главе 22, посвященной безопасностисервера и сети.ю.1.1. Доступ к файлам. Разрешения NTFSРазрешения NTFS и их проверкаРазрешения NTFS служат для регулирования прав доступа к объектамв разделах, форматированных в системе NTFS. Эти разрешения имеютсмысл только в тех операционных системах, которые имеют возможностьсоздавать эту файловую систему.Разрешения NTFS можно задать на уровне папки или отдельных файлов.В ОС Windows разрешения по умолчанию наследуются от родительскойпапки, то есть разрешения, установленные для папки, действуют и на содержащиесяв ней файлы. Проверить это можно следующим образом:1. Зарегистрируйтесь на РС001 как администратор домена.2. Воспользуйтесь Проводником и в разделе С: создайте папку с названием«Договоры». В ней создайте два текстовых файла: dogovorl. txtи dogovor2 . txt (файлы могут быть пустыми).3. Щелкните правой кнопкой мыши по папке «Договоры» и из контекстногоменю выберите команду Свойства.4. В диалоговом окне свойств перейдите на вкладку Безопасность.5. В верхней части окна отметьте группу USERS (PC001\Users) и нажмитекнопку Удалить. Появится сообщение, что эту группу удалитьнельзя, так как разрешения унаследованы от родительской папки.6. Нажмите кнопку Дополнительно.7. В диалоговом окне Дополнительные параметры безопасности снимитефлажок Наследовать от родительского объекта, после этогонажмите кнопку Удалить и закройте это окно нажатием кнопкиОК.200

Глава 10. Права доступа8. Отобразится сообщение, что вы отказали всем пользователям в доступек объекту Договоры с вопросом, хотите ли вы продолжить.Ответьте Да.9. Теперь разрешим доступ к папке «Договоры» группе локальныхадминистраторов и одному из рядовых пользователей — Shopl.Локальные администраторы должны иметь полный доступ ко всемресурсам данного компьютера на тот случай, если он будет отключенот домена. При нормальной работе в домене управлять доступом клокальным ресурсам имеет право член группы администраторов домена,которая всегда входит в группу локальных администраторов.Нажмите кнопку Добавить. Отобразится диалоговое окно Выборапользователя или группы. Если в поле В следующем месте отображеноназвание DNS домена (study. local), нажмите на кнопкуРазмещение и выберите размещение РС001.10. В поле Введите имена выбираемых объектов укажите группуAdministrators и нажмите кнопку Проверить имена. Если все правильно,введенный текст должен измениться на имя PC001\Administrators.Затем нажмите кнопку ОК.11. На вкладке Безопасность в области Разрешения для группы локальныхадминистраторов установите флажок Разрешить/Полныйдоступ.12. Снова нажмите кнопку Добавить и в окне выбора пользователейизмените Размещение на домен study, local, а в поле Введитеимена выбираемых объектов укажите имя Shopl. Нажмите кнопкуПроверить имена.13. Нажмите ОК и рассмотрите разрешения, выданные рядовому пользователюпо умолчанию. В столбце Разрешить установите флажокЗапись и нажмите кнопку ОК.Разрешения, предоставленные пользователю Shopl на папку «Договоры»,действительны и для ее дочерних объектов. Чтобы убедиться в этом, закройтеокно свойств папки и вызовите окно свойств файла dogovor2 . txt.Удалить разрешения на этот файл вам не удастся, пока вы не сниметефлажок Наследовать от родительского объекта.Теперь нужно проверить назначенные права доступа. ПользовательShopl имеет следующие права доступа к папке и к файлам: Чтение,Чтение и выполнение и Запись. Теперь пользователь способен открытьфайл, просмотреть его содержание, при необходимости добавить измененияи добавить файл:1. Зарегистрируйтесь на РС001 как пользователь shopl.2. Перейдите в папку «Договоры» и откройте файл dogovorl.txt.Запишите в него что-нибудь и сохраните файл.201

Microsoft Windows Server 20033. Теперь попробуйте удалить файл dogovor2 . txt. Эта попытка будетбезуспешной, так как у вас нет разрешения на удаление. Поэтомуотобразится сообщение об ошибке.Описание отдельных прав доступа NTFSМы кратко познакомились с основными разрешениями NTFS и с понятиемнаследования разрешений, которое в ОС Windows включенопо умолчанию. Следующая таблица приводит значение отдельных правдоступа NTFS.Стандартные разрешения NTFS для файлов и папок Таблица 10.1РазрешениеЧтениеЧтение ивыполнениеПросмотрсодержимогопапкиЗаписьИзменениеПолный доступОсобыеразрешенияДопускаемые действияРазрешается чтение файла и просмотр его свойств: именивладельца, разрешений и атрибутов. Для папки разрешаетсяпросмотр вложенных файлов и подпапокТо же, что «Чтение», плюс возможность запуска, если файлисполняемый. Для папки разрешается доступ к файлам вподпапках, даже если нет доступа к самой папкеРазрешается просмотр списка файлов и подпапокРазрешается перезапись файла и изменение его атрибутов.Для папки разрешается добавление файлов и подпапок,а также изменение атрибутов папкиРазрешается все, что предусмотрено разрешениями«Запись» и «Чтение и выполнение» плюс удалениефайла или папкиРазрешается все, в том числе возможность становиться владельцемфайла или папки и заново назначать разрешенияЗадает набор специальных (нестандартных) разрешенийПримечаниеДоступно тольков свойствах папкиПользователю Shopl мы присвоили права доступа «Чтение», «Чтение иВыполнение», «Просмотр содержимого папки» и «Запись». При открытиипапки использовалось право доступа «Просмотр содержимого папки»,при открытии файла — «Чтение» и при сохранении — «Запись».Право доступа «Запись» дает возможность создавать новые файлы. Проверьтеэто следующим образом: в папке «Договоры» создайте новыйтекстовый файл. Если вы попытаетесь изменить его название, отобразитсясообщение об ошибке, означающее, что у вас недостаточно прав(разрешения «Изменить» у вас нет). Именем файла останется «Новыйтекстовый документ», присвоенное ему по умолчанию.202

Глава 10. Права доступаОсобые разрешения NTFSЧто обозначает, например, разрешение «Чтение»? Достаточно ли этогоразрешения для того, чтобы отобразить свойства файла и посмотреть,например, дату его создания и последних изменений? Какие права доступанеобходимы для просмотра списка разрешений?Если вы хотите знать ответы на эти вопросы, нужно посмотреть так называемыеособые разрешения NTFS. Все стандартные разрешения, в томчисле «Чтение», представляют собой совокупности особых разрешений.Чтобы увидеть эти разрешения, поступайте следующим образом:1. Зарегистрируйтесь на РС001 как администратор.2. Откройте окно свойств файла dogovorl. txt и выберите вкладкуБезопасность. На ней отображены стандартные разрешения. Чтобыувидеть нестандартные, в верхней части окна выберите пользователяили группу, а затем нажмите кнопку Дополнительно.Вы видите, что разрешение «Чтение» предполагает такие особые разрешения,как «Чтение атрибутов», дающее возможность просматриватьсвойства файла, и «Чтение разрешений», позволяющее просматриватьсписок разрешений данного файла.Иногда наличие этих разрешений нежелательно: например, может возникнутьнеобходимость запретить пользователю просматривать вкладкуБезопасность в окне свойств файла. В таком случае вы можете установитьфлажок Запретить для соответствующего особого разрешения.ю.1.2. Владелец файлаКто такой владелец файла и какими он обладает преимуществами?Начнем с примера. Зарегистрируйтесь на РС001 как пользователь shoplи попытайтесь переименовать файл «Новый текстовый документ», которыйвы создали в предыдущем параграфе. Вам это не удастся, потому чторазрешения «Изменение» у вас нет.Теперь откройте окно свойств этого файла и перейдите на вкладкуБезопасность. Выберите пользователя Shopl, в поле Разрешения установитефлажок Разрешить/Изменить и нажмите ОК. После этого повторитепопытку переименовать файл: на этот раз она должна оказатьсяуспешной.Попробуйте проделать то же самое с файлом dogovorl. txt, созданнымот имени администратора. Оказывается, у вас недостаточно прав для измененияразрешений этого файла.203

Microsoft Windows Server 2003Дело в том, что среди всех субъектов доступа к файлам и папкам на файловойсистеме NTFS есть один особый — владелец файла. По умолчаниюим становится тот, кто создал файл. Владелец имеет право делать сосвоим файлом все, что хочет, в том числе изменять разрешения на негодля себя и для других пользователей. Возможно даже отказать в доступек своему файлу членам группы администраторов.Надолго ли можно уберечь таким образом свой файл от любопытстваадминистратора? Нет, только до тех пор, пока администратор не «присвоит»его, назначив владельцем себя. Это делается так:1. Под именем администратора откройте окно свойств файла, которыйраньше назывался «Новый текстовый документ», и перейдите навкладку Безопасность.2. Нажмите кнопку Дополнительно и в окне Дополнительные параметрыбезопасности перейдите на вкладку Владелец. В поле Текущийвладелец вы увидите имя пользователя shopl.3. В поле Изменить владельца на выберите свою учетную запись илигруппу Администраторы и нажмите кнопку ОК два раза.4. На вкладке Безопасность добавьте к списку пользователей и групп,для которых установлены разрешения, группу администраторов иустановите для нее разрешение «Полный доступ». У пользователяShopl полный доступ отберите и оставьте, например, только «Чтение».Кто может стать владельцемКак мы только что показали, право собственности на файл предоставляетнеограниченные права доступа к нему. С точки зрения администраторадомена очень важно знать, кто может стать владельцем файла и какоедля этого потребуется право доступа.• Первоначально владельцем файла становится пользователь, создавшийэтот файл.• Впоследствии владельцем может стать тот, кто получил право собственности.Право стать владельцем файла по умолчанию принадлежит:• тем, у кого на этот файл есть стандартное разрешение «Полныйдоступ» или специальное разрешение «Стать владельцем»;• членам группы администраторов.Примечание.Разрешение становиться владельцем файлов настраивается в политикахбезопасности локального компьютера или домена.204

Глава 10. Права доступаВ ОС Windows XP Professional и более ранних нельзя назначить владельцемфайла не себя, а другого пользователя: можно только предоставитьему разрешение стать владельцем. В Windows Server 2003 право собственностипередать другому можно.Ю.1.З. Разрешения следует назначатьочень аккуратноПравильное понимание настройки разрешений, особенно в связи с явлениемнаследования, требует некоторого времени обучения и особеннопрактики. Приведем пример, который покажет, что не все так просто,как кажется на первый взгляд.Верните пользователю Shopl разрешение «Полный доступ» на папку«Договоры» и запретите ему доступ к файлу dogovorl. txt (сняв предварительнофлажок Наследовать от родительского объекта в диалогеДополнительные параметры безопасности свойств этого файла).Зарегистрируйтесь на РС001 под именем shopl и откройте папку «Договоры».Вы не сможете ни прочитать файл dogovorl. txt, ни изменить егоразрешения, добавив себе прав. Зато вы сможете удалить этот файл.Возможно, для вас это удивительно, потому что до сих пор вы предполагали,что разрешения на уровне файла имеют приоритет над разрешениямина родительскую папку. Но это не так. Перерегистрируйтеськак администратор и просмотрите специальные разрешения на папку«Договоры» пользователя Shopl. Вы видите, что разрешение «Удалениеподпапок и файлов» у него есть.Именно поэтому стоит семь раз отмерить, прежде чем один раз отрезать.Следует тщательно проверить задуманную конфигурацию разрешений дотого, как вы введете ее в систему.10.2. Доступ к сетевым ресурсамЕсли пользователю нужен доступ к файлам в папках на удаленном компьютере,эти папки должны быть разделяемыми. Доступ к разделяемойпапке можно ограничить. Если папка, к которой предоставлен доступ посети, расположена на файловой системе NTFS, то она и ее содержимоезащищены еще и разрешениями NTFS. В этом параграфе мы рассмотрим,как взаимодействуют права доступа по сети с разрешениями NTFS.205

Microsoft Windows Server 200310.2.1. Открытие сетевого доступа к папкеЧтобы превратить локальную папку в сетевой ресурс, первым деломнужно сделать ее разделяемой, то есть открыть доступ к ней по сети. ВОС Windows 2000 и новее сделать это имеет право член группы администраторов,а в домене — член группы операторов сервера.Сделать локальную папку разделяемой можно либо средствами ПроводникаWindows, либо из консоли Администрирование —> Управлениекомпьютером (объект Общие папки). Только вторым из этих способовможно сделать общей удаленную папку.На вкладке Доступ в диалоговом окне свойств папки, которую вы хотитесделать общей, есть кнопка Разрешения. Она служит для того, чтобыограничить доступ к разделяемой папке для отдельных пользователейили групп. По умолчанию в ОС Windows Server 2003 группе «Все»предоставляется право «Только чтение», а в Windows 2000/XP — «Полныйдоступ». Это значит, в Windows 2000/XP настройку по умолчаниюоставлять небезопасно.ю.2.2. Взаимодействие прав доступаЕсли общая папка находится в разделе с файловой системой NTFS, длянее установлены собственные разрешения. Если пользователь обращаетсяк этой папке локально (сидя за тем же компьютером, на диске которогоона расположена), то для него действуют только эти разрешения.Если он обращается к папке по сети, то разрешения NTFS взаимодействуютс разрешениями на доступ к общему ресурсу так, как показанов таблице 10.2 (в этом примере пользователь Shopl не входит в группуадминистраторов).Результат взаимодействия прав доступа для пользователя Shop 1Таблица 10.2Разрешения NTFSShopl — «Чтение»Shopl — «Полный доступ»Shopl — «Чтение», «Запись»Shopl — «Чтение»Shopl — «Полный доступ»Право доступа к общей папке«Все» — «Чтение»Администраторы — «Полный доступ»«Все» — «Чтение»«Все» — «Полный доступ»«Все» — «Чтение»Результат«Чтение»нет доступа«Чтение»«Чтение»«Чтение»206

Глава 10. Права доступаИз последнего примера видно, что пользователь Shopl сможет воспользоватьсясвоим разрешением NTFS на полный доступ к папке, только еслизарегистрируется непосредственно на сервере, на жестком диске которогорасположена эта папка. По сети он получит доступ только на чтение.Практическое применение разрешений NTFS и прав доступа к общимресурсам мы покажем в главе 12.ю.з. Где хранить личные документы?С точки зрения каждого пользователя, именно личные документы должныиметь наивысшую степень безопасности. Поэтому обычно пользовательхочет, чтобы к его документам не имел доступа никто, включая администраторов.Этого можно добиться правильной настройкой разрешений, но традиционнорядовой пользователь не имеет права манипулировать разрешениями,за исключением тех файлов и папок, для которых он являетсявладельцем. Поэтому пользователям приходится полагаться на администратора,а администраторы, в свою очередь, должны хорошо знать всевозможности, которые они могут предложить пользователям.Не говоря уже о безопасности данных в смысле их регулярного резервногокопирования, самым надежным местом для хранения личных документов вОС Windows 2000/ХР является папка «Мои документы» (%system-drive%\Documents and Setting\%username%). Она составляет часть профиляпользователя, и операционная система клиентского компьютера самазаботится о том, чтобы разрешать доступ к данным в этой папке толькоданному пользователю. Посторонним запрещен доступ как к чужомупрофилю, так и ко всем его подпапкам.Клиентская операционная система устанавливает разрешение «Полныйдоступ» для того пользователя, которому принадлежит профиль, группылокальных администраторов и группы SYSTEM (встроенная системнаягруппа). Пользователь имеет возможность запретить доступ администраторам,но мало кто пользуется этой возможностью. Во-первых, пользователио ней обычно не знают, а во-вторых, администратор всегда можетвернуть себе право доступа.Настоятельно рекомендуется хранить личные документы только в папке«Мои документы». Если к некоторым документам должны иметь доступнесколько сотрудников, то для таких файлов следует создать отдельнуюсетевую папку, настроив права доступа к ней вручную.207

Microsoft Windows Server 200310.4. ИТОГИВ разделах, отформатированных файловой системой NTFS, можно ограничитьдоступ к файлам и папкам для отдельных пользователей или групппри помощи разрешений NTFS.Существует пять стандартных разрешений NTFS для файлов и шесть дляпапок (шестое — разрешение «Просмотр содержимого папки»). Каждоестандартное разрешение складывается из нескольких специальных разрешений.Неограниченное право доступа к файлу (папке) имеет его владелец.Первоначально владельцем становится пользователь, который создалданный файл. Он имеет возможность изменять разрешения на этот файлдля себя и для других. Новым владельцем файла может стать либо тотпользователь, которому предыдущий владелец предоставил такое разрешение,либо член группы локальных администраторов. В ОС WindowsServer 2003 владелец может передать право собственности на файл другомупользователю.По умолчанию разрешения наследуются от родительской папки. Если выхотите изменить разрешения на файл, то первым делом нужно отменитьнаследование для этого файла.Права доступа к сетевой папке определяются как разрешениями NTFS наэту папку, так и разрешениями, установленными при открытии доступа кданной папке по сети. В результате пользователь получает наименьшее изэтих разрешений. Если права, предоставленные ему файловой системойNTFS, больше, то воспользоваться ими он сможет только тогда, когда зарегистрируетсяна том компьютере, на котором физически расположенасетевая папка.Самым надежным местом для хранения личных документов пользователяявляется папка «Мои документы», входящая в его профиль. С точкизрения администратора домена такое размещение оптимально, потомучто все папки «Мои документы» можно разместить на сервере, что обеспечиткак доступ к ним с любой рабочей станции, так и регулярноерезервное копирование.Состояние сетиВ этой главе состояние нашей сети никак не изменилось. Для изученияразрешений NTFS были созданы временные папки и файлы, которыетеперь вы можете удалить.208

1 Группы как шаблоныправ доступаГруппы пользователейСтратегии использования группУправление группамиMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

В предыдущей главе мы изучили разрешения NTFS и взаимодействие их справами общего доступа к сетевым объектам. Мы научились настраиватьразрешения для отдельных пользователей.Однако в сети, где сотни пользователей работают с тысячами папок, настраиватьразрешения отдельно для каждого — задача, превышающаячеловеческие возможности. Не следует ждать, пока рост сети поставитперед вами эту проблему. Системным решением будет с самого началанастраивать не индивидуальный доступ к ресурсам, а групповой.11.1. Группы пользователейПользователей, потребности которых в ресурсах сети примерно одинаковы,естественно объединять в группы. Например, обычно сотрудникамодного подразделения требуются для работы одни и те же папки,принтеры и одинаково ограниченный (или неограниченный) доступ кИнтернету.В этом случае доступ к ресурсам нужно предоставить не отдельнымпользователям, а доменным группам. Преимущества этого решениявидны с первого взгляда. Например, если в отдел продаж принят новыйсотрудник, то для того, чтобы одним движением руки предоставить емудоступ к ресурсам отдела продаж, разбросанным по всей сети, достаточновключить его учетную запись в соответствующую группу.В домене существует несколько видов групп, различающихся по областидействия — глобальные, локальные, доменные, универсальные. Областьдействия определяется здесь тем, действительна ли группа в одном доменеили в нескольких. Локальные группы действительны только на одномкомпьютере и в домене используются редко, потому что ими нельзяуправлять централизованно.210

Глава 11. Группы как шаблоны прав доступа11.1.1. Типы групп в домене Active DirectoryВ домене Active Directory можно встретить следующие типы групп:• Группы безопасности. Это те группы, для которых можно назначатьправа и разрешения. Права определяют, какая деятельностьразрешается в домене члену подобной группы (пользователю иликомпьютеру), а разрешения определяют, к каким объектам в сетиони будут иметь доступ. Группы безопасности можно использоватьи для рассылки e-mail сообщений многим пользователям. Сообщениеотсылается лишь один раз, но при этом его получают все членыгруппы. Для этого, впрочем, в сети должен быть установлен продуктMicrosoft Exchange Server 2003. В этом случае группы безопасностиведут себя так же, как группы распространения.• Группы распространения. Эти группы предназначены только длярассылки пользователям сообщений электронной почты. Для них неопределяются права доступа к сетевым объектам.Примечание.Группы безопасности имеют все свойства групп распространения, но не наоборот.Тогда зачем вообще нужны группы распространения? Дело в том, что некоторыеприложения могут работают только с ними, а не с группами безопасности.11.1.2. Режим работы доменаОписание режимов работы доменаВ качестве начала разъяснений в данной области приведём краткий пример.1. Зарегистрируйтесь на SRVR001 как Администратор.2. Запустите консоль Active Directory — пользователи и компьютерыи в папке Users попытайтесь создать новую группу. Появится диалоговоеокно, изображённое на рис. 11.1.3. Обратите внимание, что переключатель Область действия группынельзя установить в положение Универсальная.Это зависит от режима работы домена. Существует три режима работыдомена Active Directory в системе Windows Server 2003. Режим определяет,какие операционные системы можно установить на контроллерах домена,и в соответствии с этим ограничиваются и некоторые возможности.Типы операционных систем и возможные в них группы пользователейотражает таблица 11.1.211

Microsoft Windows Server 2003Новый объект - ГруппаСоздать в:study.loca!/ •IИмя группы (пред-Windows 2000):Г Область действия гругаты'! С {ЗЕЖЗЛЬНЗЯ Й доменеТип группы ' "& Группа безопасностиf* Группа саспространенияРис.11.1. Создание новой группыРежимы работы домена. Таблица 11.1Windows 2000 mixed(смешанный)Windows 2000 native(основной)Windows Server2003Возможные операционныесистемы на контроллерахдоменаWindows NT 4.0 Server,Windows 2000,Windows Server 2003Windows 2000,Windows Server 2003Windows Server 2003Возможные типы группГлобальные, локальныедоменныеГлобальные,локальные доменные,универсальныеГлобальные,локальные доменные,универсальныеОбъяснение приведённых ограничений в целом логично. Поскольку врежиме Windows 2000 mixed, например, могут работать и контроллерыдомена с системой Windows NT 4.0 Server, в которых ещё не было понятияуниверсальной группы, этот тип групп использовать нельзя. Естественно,в данном режиме домена это не единственное ограничение.Домен Active Directory с системой Windows Server 2003 по умолчаниюустанавливается в режиме Windows 2000 mixed. Это означает, что вслучае необходимости можно добавить контроллеры домена с системойWindows NT 4.0.Уровень работы домена можно в любое время повысить, но вернуть обратнобудет невозможно. Поэтому не следует менять режим без особыхоснований.212

Глава 11. Группы как шаблоны прав доступаИзменение режима работы домена в Windows Server 2003Изменение режима работы домена в Windows Server 2003 производитсяследующим образом:1. Зарегистрируйтесь на SRVR001 как Администратор.2. Запустите консоль Active Directory — пользователи и компьютеры.3. Щелкните правой кнопкой мыши по домену study. local и изконтекстного меню выберите команду Изменение режима работыдомена. Откроется диалоговое окно (рис. 11.2).Изменение режима работы домена в Windows Server 2000Изменение режима работы домена в Windows Server 2000 состоит изследующих этапов:1. Зарегистрируйтесь на контроллере домена как Администратор.2. Запустите консоль Active Directory — пользователи и компьютеры.3. Щелкните правой кнопкой мыши по домену и из контекстного менювыберите команду Изменение режима работы домена. В диалоговомокне свойств будет отображён уровень. Если текущий режим — смешанный,то с помощью кнопки Изменить вы можете переключитьдомен в основной режим.Разница в свойствах различных групп проявляется в сети с несколькимидоменами. Поскольку никогда не известно заранее, не расширится лиоднодоменная сеть, включив в себя ещё несколько доменов, следует хорошоразобраться в этих свойствах.Изменение режима работы доменаИмя домена'• Текущий режим работы домена:Windows 2000 (смешанный режим)Выберите режим работы домена;[Windows 2000 (основной режим)^• Ч '.'•'• • . . • : --'\ ' '"• Щ" • '• '• Z& Режим работы домена не может быть преобразован в ИСХОДНЫЙ режим, после- : его изменения. Для голучениядополнительных сведений о режимах работы.доменанажмитек*юпку'"Отравка". --. \.\ :.'"•'•• I Изменить I Отмена I Справка 1Рис.11.2. Изменение режима работы домена213

Microsoft Windows Server 200311.1.3. Глобальные группыГлобальная группа может содержать учётные записи пользователей, компьютеровили групп, созданные в том же домене, на котором была созданаи эта. Глобальным группам, хоть это и не рекомендуется в большинствеслучаев, можно разрешать доступ и наделять правами в каком угоднодомене в Active Directory (отсюда и её название — «глобальная»).Свойства глобальных групп можно обобщить в следующих пунктах:• Членство. В домене со смешанным режимом работы глобальная группаможет содержать учётные записи пользователей и учётные записикомпьютеров того же домена, что и она сама. В домене с режимомWindows 2000 native или Windows Server 2003 глобальная группа можетсодержать не только учётные записи пользователей и компьютеров, нои записи глобальных групп, опять же размещённых на том же самомдомене.• Группа может быть членом. В домене со смешанным режимом работыона может быть членом только локальных доменных групп. В доменес режимом Windows 2000 native или Windows Server 2003 она можетбыть членом локальных доменных и универсальных групп любогодомена Active Directory и членом глобальных групп любого домена(не обязательно домена Active Directory).• Область видимости группы. Глобальная группа «видна» в собственномдомене и во всех его доверенных доменах. Доверенными являются, вчастности, другие домены одного и того же леса Active Directory.• Права доступа. Глобальной группе могут быть назначены права доступав любом домене Active Directory.• Применение глобальных групп. Ввиду того, что глобальные группывидимы из любого домена Active Directory, их не используют дляпредоставления доступа к ресурсам своего домена. Их главной задачейявляется группировка в сети пользователей с похожими требованиями(печать на одном принтере, доступ к одним и тем же папкам и т.д.).11.1.4. Локальные доменные группыЛокальная доменная группа может содержать глобальные группы, универсальныегруппы, пользовательские учётные записи и записи компьютеровс любого домена Active Directory и другие локальные доменные группыродного домена. Главным назначением локальных групп является предоставлениедоступа к ресурсам собственного домена.214• Членство. В домене с режимом работы Windows 2000 mixed локальнаядоменная группа может содержать учётные записи пользователей иглобальных групп с любого домена. При этом на рядовых серверахлокальных доменных групп быть не может. В домене с режимом

Глава 11. Группы как шаблоны прав доступаWindows 2000 native или Windows Server 2003 локальная доменнаягруппа может содержать учётные записи пользователей, глобальныегруппы и универсальные группы с любого домена Active Directory илокальные доменные группы с того же домена.• Группа может быть членом. В домене с режимом работы Windows2000 mixed локальная доменная группа не может быть членом какойлибодругой группы, а с режимом Windows 2000 native или WindowsServer 2003 она может быть членом локальных доменных групп тогоже домена.• Область видимости группы. Локальная доменная группа видна тольков домене, в котором она была создана (отсюда название «локальная»).• Права доступа. Локальной доменной группе могут быть назначеныправа доступа только в том домене, в котором она была создана.• Применение локальных доменных групп. Локальные доменные группыпредназначены для предоставления доступа к ресурсам того домена,в котором они были созданы.11.1.5. Универсальные группыУниверсальные группы могут содержать учётные записи пользователей,компьютеров или групп из любого домена Active Directory. Универсальнымгруппам безопасности можно разрешать доступ к ресурсам любогодомена Active Directory. Свойства универсальных групп можно охарактеризоватьв следующих пунктах:• Членство. В домене с режимом работы Windows 2000 mixed нельзясоздавать универсальные группы. В домене с режимом работыWindows 2000 native или Windows Server 2003 универсальная группаможет содержать учётные записи пользователей, компьютеров, глобальныегруппы или универсальные группы с любого домена ActiveDirectory.• Группа может быть членом. В домене с режимом Windows 2000 nativeили Windows Server 2003 данная группа может быть членом локальныхдоменных групп и универсальных групп любого домена.• Область видимости группы. Универсальная группа видна из любогодомена Active Directory.• Права доступа. Универсальной группе могут быть назначены правадоступа в любом домене Active Directory.• Применение универсальных групп. Универсальные группы предназначеныдля объединения глобальных групп и облегчения доступа к объектамнескольких доменов Active Directory. Учитывая сравнительную простотунашей сети, в универсальных группах нет необходимости, поэтому покачто нет необходимости и повышать режим работы домена.215

Microsoft Windows Server 200311.2. Стратегии использования группНаверное, от всех этих перечислений, какая группа может входить в составдругой группы и каковы возможные варианты доступа к объектамдоменов, у вас в голове некоторый туман. Непонимание этого можетпривести ко всё возрастающему хаосу в домене.Поэтому неплохо ознакомится со следующими стратегиями использованиягрупп. Эти стратегии разработаны для того, чтобы по возможностиоблегчить работу администраторов, и чтобы при этом вся конфигурацияполучилась как можно более простой и понятной.11.2.1. ОбозначенияДля единообразия будем следовать обозначениям объектов, принятым ванглоязычной литературе:• А учётные записи пользователей (user Accounts).• G глобальные группы (Global groups).• DL локальные доменные группы (Domain Local groups).• U универсальные группы (Universal groups).• Р право доступа (Permission).11.2.2. Самая распространенная стратегия(стратегия A G DL P)Эту стратегию можно обозначить как A G DL Р. Это означает, что учётныезаписи пользователей являются членами глобальной группы, а длялокальной доменной группы настроены права доступа к ресурсу (например,к папке с файлами). Чтобы пользователи получили доступ к этомуресурсу, остаётся сделать только одно — включить глобальную группу влокальную доменную группу.Весь этот процесс можно проще изобразить следующим образом:А -> G -» DL

Глава 11. Группы как шаблоны прав доступа4. Настройка разрешений на доступ к папке «Договоры» для этойлокальной группы.5. Включение глобальной группы в локальную доменную группу.Может показаться, что проще было бы провести конфигурацию иначе,например, что локальная доменная группа в этой структуре не нужна.Рассмотрим три наиболее частых заблуждения.МНЕНИЕ 1: ГРУППЫ НЕ НУЖНЫ, СЛЕДУЕТ ПРЯМО РАЗРЕШИТЬДОСТУП ПОЛЬЗОВАТЕЛЯМ ЧЕРЕЗ ИХ УЧЕТНЫЕ ЗАПИСИ. Какбыло сказано ранее, эту стратегию можно использовать только в оченьнебольших сетях, конфигурацию которых администратор постояннодержит в уме. Как только сеть достигнет определённой величины, этостанет невозможно.МНЕНИЕ 2: ЛОКАЛЬНАЯ ДОМЕННАЯ ГРУППА ЛИШНЯЯ, СЛЕ-ДУЕТ ДАТЬ РАЗРЕШЕНИЕ НА ДОСТУП СРАЗУ ГЛОБАЛЬНОЙГРУППЕ. Речь идёт о возможности выбросить группу DL. Эту стратегиюможно использовать только в небольших сетях, где заранее известно, чтоновых доменов Active Directory не появится.Посмотрим, чем грозит такая стратегия, когда появляется новый домен.Пусть предприятие Study открыло филиал и создало для него ещё один домен(например, eu. study, local). Также, как и в домене study . local,в домене eu . study . local будут находиться учётные записи продавцов,которым нужен доступ к папке «Договоры». Если объединить их в глобальнуюгруппу и предоставить доступ ей, то на вкладке Безопасностьв свойствах папки «Договоры» появится второй субъект доступа — этаглобальная группа. Еще один домен — еще один субъект доступа и такдалее, до полного хаоса и неуправляемости.МНЕНИЕ 3: У МЕНЯ ВСЕГО ОДИН ПОЛЬЗОВАТЕЛЬ, КОТОРОМУНУЖНО РАЗРЕШИТЬ ДОСТУП К КОНКРЕТНОЙ ПАПКЕ. СОЗ-ДАВАТЬ РАДИ ЭТОГО ЕЩЁ ДВЕ ГРУППЫ НЕ ИМЕЕТ СМЫСЛА.Действительно, настроить разрешения для единственного пользователязначительно быстрее. Но что если пользователь с такими требованиямине останется единственным? Второго и третьего добавить вручную ещеможно, но рано или поздно придется перестраивать всю схему безопасностиданного ресурса, стараясь при этом не помешать работе уже существующихпользователей. Нет, если с самого начала поступать правильно,то потом работы будет существенно меньше.217

Microsoft Windows Server 200311.2.3. Альтернативные стратегииСтратегия AGPЭта стратегия соответствует приведённому выше мнению 2. СтратегиюА -» G

Глава 11. Группы как шаблоны прав доступаСлабые места этого решения в современном домене Active Directoryочевидны. Локальными группами нельзя управлять централизованно.Чем больше таких групп, тем ближе сеть к хаосу. Другой недостаток локальныхгрупп — невозможность получить через членство в них доступк ресурсам на удаленном компьютере.Если бы, например, у вас на одном компьютере была бы локальная группас разрешением на доступ к папке «Договоры», а на другом компьютеренаходились бы остальные папки торгового отдела, вам пришлось бы создатьещё одну локальную группу (на втором компьютере) и настроитьразрешения для нее. По сравнению со стратегией A G DL Р, где вам ненужно создавать ещё одну дополнительную группу, здесь необходимовыполнить больший объём работ.11.3. Управление группамиПредположим, что далее мы в нашей сети будем руководствоватьсястратегией А —» G —» DL

Microsoft Windows Server 2003условия могут казаться невыполнимыми, можно составлять названиягрупп согласно следующим правилам:• Используйте английский язык.• В качестве первой буквы названия используйте букву, указывающуюна тип группы (G, D или U). Тип группы можно увидеть в настройкеActive Directory — пользователи и компьютеры, и всё-таки лучшебудет обозначить его ещё и в имени группы.• В названии глобальной группы приведите название подразделения,для которого вы эту группу создаёте. Например, Shop, Marketing,Store, Managers и т.д..• В названии локальной доменной группы приведите назначение группы,по возможности — разрешения на доступ. Поскольку локальныедоменные группы используются для настройки прав доступа к различнымресурсам, следует отразить это в названии группы.В качестве примера названия локальной доменной группы, которая будетдавать доступ к печати на принтере, можнЪ привести название D Printers.Примером названия глобальной группы для контрактников будет G Temporary,а локальной доменной группы, дающей' группе администраторовполный доступ к какой-либо папке, — D Admins Full Control.11.3.2. Управление членством в группахНовая учётная запись пользователя автоматически помещается в группуDomain Users. Это группа по умолчанию, и в сетях, где не используетсядругих операционных систем, кроме Windows, менять ее не нужно. Прииспользовании других операционных систем руководствуйтесь рекомендациямипроизводителей этих операционных систем. Мы же считаем,что у нас однородная сетевая среда, включающая только компьютеры сWindows. Из группы по умолчанию пользователя удалить нельзя.Примечание.Новая учётная запись компьютера автоматически помещается в группу DomainComputers.Учётная запись как пользователя, так и компьютера, может быть членомлюбой группы, поскольку группы не подразделяются в зависимости оттипа содержащихся в них записей (см., например, системные группыEveryone и Authenticated Users).По умолчанию членство в доменных группах имеет право изменять толькочлен группы администраторов домена. Это привилегированная группа снаибольшими полномочиями в своем домене. Если доменное простран-220

Глава 11. Группы как шаблоны прав доступаство растёт и достигает нескольких сотен пользователей, скорее всего, ктому моменту администраторы сети уже будут иметь достаточно опыта иуправление принадлежностью к группе будут рассматривать как обычноедело, которое мог бы выполнить и кто-нибудь менее опытный.Домен Active Directory даёт возможность свалить эту работу на кого-нибудьдругого. Имеет смысл заранее спланировать управление группамии уже при создании домена распределить обязанности по управлениючленством между пользователями.Чтобы передать полномочия по управлению членством в группе одномуиз состоящих в ней пользователей, выполните следующие действия:1. Зарегистрируйтесь на SRVR001 как администратор и запуститеконсоль Active Directory — пользователи и компьютеры. Вызовитеокно свойств любой доменной группы и перейдите на вкладкуУправляется.Нажав на кнопку Изменить, вы можете ввести или выбрать имяпользователя (но не группы), который будет отвечать за эту группу.После этого в свойствах группы появится указание на того, ктоявляется ее администратором, но у этого пользователя всё ещё нетнеобходимых полномочий.2. Для того чтобы дать пользователю эти полномочия, установитефлажок Менеджер может изменять членство в группе.3. Нажав на кнопку ОК, закройте окно свойств группы.11.3.3. Влияние изменения членства в группе наработу пользователя. Использование «пропуска»Пользователь может получать разрешение на доступ к ресурсам илипрямо (через учётную запись), или через членство в группе. Первыйспособ не является универсальным решением, и администраторам рекомендуетсяприменять его только в исключительных случаях. Наделениеполномочиями групп ведёт к облегчению всего процесса управления ик упрощению системы сети.Пусть у нас имеется глобальная группа для торгового отдела с именемG Shop, а в сети сейчас работает пользователь shopl — член этой группы.Пока он работает, мы создаем для торгового отдела новую папку ипредоставляем к ней доступ на чтение и запись группе G Shop.Примечание.Речь идёт о неоптимальной стратегии А —> G

Microsoft Windows Server 2003Создав общую папку, мы объявляем торговому отделу о том, что доступк ней открыт. Пользователь Shopl немедленно пытается открыть этупапку и терпит неудачу.Что произошло, ведь shopl входит в группу, имеющую нужное разрешение?Для ответа на этот вопрос рассмотрим подробнее, как именнопроисходит проверка полномочий пользователя при попытке доступа кресурсу.Создание и использование пропускаПри регистрации пользователя в домене для него на основании данныхиз учетной записи создастся «пропуск» (security access token). Этовнутренняя структура операционной системы, которая формируется вследующем порядке:1. Контроллер домена, который проводит регистрацию, записываетпервую часть пропуска: регистрационное имя пользователя и егоидентификационный код (SID).2. Потом в пропуск записывается список групп, членом которыхявляется данный пользователь. Список глобальных и локальныхгрупп, членом которых является данный пользователь, добавляетконтроллер домена, список универсальных групп добавляет серверглобального каталога.3. Третью часть пропуска составляет список разрешений данной учётнойзаписи в домене (примером такого разрешения является правоизменить системное время). Этот список предоставляет контроллердомена.Примечание.Если домен Active Directory под управлением Windows 2000 работает в основном(native) режиме, то для создания пропуска необходим сервер глобального каталога.Если этого сервера нет, то пропуск не будет создан и пользователь не сможетзарегистрироваться. Исключением является случай, когда пользователь ранееработал на этом же компьютере: тогда информация для пропуска будет взята изкэша (если регистрация в домене через кэш не запрещена).Каждый ресурс в системе имеет свой дескриптор безопасности — «турникет»,которому пользователь должен предъявить свой пропуск прикаждой попытке доступа к ресурсу. Если пропуск соответствует, то доступбудет разрешен.Теперь вернемся к пользователю shopl. Пытаясь открыть вновь созданнуюпапку, он предъявил свой пропуск. Этот пропуск был сформирован,222

Глава 11. Группы как шаблоны прав доступакогда он зарегистрировался в сети, то есть до того, как мы дали его групперазрешение на доступ к папке. Поэтому ему и отказано в доступе.Теперь, чтобы получить свой законный доступ, пользователь должензавершить сеанс работы и зарегистрироваться заново. Перезагружатькомпьютер при этом не нужно.Если бы вы предоставили доступ к новой папке не группе, а непосредственнопользователю (по учетной записи), то он получил бы доступсразу же, без перерегистрации, поскольку учетная запись присутствуетв пропуске всегда. В другую сторону это тоже работает: если вы лишаетедоступа к ресурсу конкретного пользователя, то он лишается егосразу. Кстати, это практически единственный случай, когда управлятьразрешениями уместно именно через учетную запись, а не через членствов группе.Если вы хотите закрыть доступ пользователю, являющемуся членомгруппы, которой дано разрешение на доступ к какой-либо общей папке,у вас есть два пути:• Закрытие доступа.• Удаление пользователя из группы.Обе возможности имеют свои плюсы и минусы, которые мы сейчас рассмотрим.Закрытие доступаЗапрет некоторой возможности доступа (например, записи) не эквивалентенотсутствию соответствующего разрешения. Если разрешение этойвозможности отсутствует (не указано явно), то его значение наследуетсяот родительской папки. А при явно указанном запрете разрешения родительскойпапки не играют роли. Таким образом, пользователь имеетразрешение на доступ к ресурсу только в том случае, если доступ емуразрешён и при этом не запрещён.На вкладке Безопасность в окне свойств папки или файла в поле Разрешенияесть столбец Запретить. Чтобы запретить доступ пользователюShopl, не меняя прав его группы, добавьте этого пользователя в списокуправления доступом и поставьте флажок в клетке Полный доступ/Запретить.Все разновидности доступа к ресурсу будут для него мгновеннозакрыты.Преимуществом этого способа является его мгновенное действие, причембез всякой помощи со стороны пользователя, а недостатком — некотороеусложнение схемы разрешений в системе.223

Microsoft Windows Server 2003Удаление пользователя из группыЭтот способ вы можете применять в том случае, если нужно закрытьпользователю доступ ко всем ресурсам, на которые он имеет право какчлен группы. Если некоторые ресурсы ему еще нужны, создайте группу,дающую доступ только к ним, и переместите пользователя в нее.Пусть, например, группа сотрудников торгового отдела (G Shop) черезчленство в локальной доменной группе XXX получает доступ к папке сдоговорами, а через членство в локальной доменной группе УУУ — кпечати на принтере, и пусть некоего сотрудника уволили. Необходимонемедленно закрыть ему доступ к договорам, но оставить доступ кпринтеру, чтобы он смог распечатать результаты своей работы. Если выудалите его из группы G Shop, то после перерегистрации он потеряетдоступ и к папке с договорами, и к сетевому принтеру.11.4. ИтогиПрава доступа к ресурсам следует настраивать не для отдельных пользователей,а для целых групп, иначе сетевая среда постепенно окажетсябезнадежно запутанной.В домене существует две разновидности групп: группы безопасности игруппы распространения. Для групп безопасности можно настраиватьправа доступа, а группы распространения предназначены только длярассылки сообщений электронной почты.Группы безопасности подразделяются в соответствии с областью ихвидимости. Назначением глобальных групп является группировка пользователейсо сходными требованиями к ресурсам. Локальные доменныегруппы предназначены для настройки прав доступа к сетевым ресурсам.Универсальные группы применяются в крупных сетях с целью облегченияуправления доступом.Список членов глобальных и локальных доменных групп хранится наконтроллерах домена, в котором созданы эти группы, а членство в универсальныхгруппах хранится на всех серверах глобального каталога лесаActive Directory. Группы могут входить в группы такого же или другоготипа, эта возможность зависит от режима работы домена.При разрешении доступа следует придерживаться рекомендованных стратегий,поскольку только так можно сохранить ясность в сети независимоот её величины. Наиболее часто применяется стратегияА -> G -> DL

Глава 11. Группы как шаблоны прав доступаПо умолчанию управлять членством в группах имеют право администраторыдомена и члены группы Account Operators. Однако можно создатьАдминистратора группы, который будет отвечать за её деятельность ипроизводить изменения по мере необходимости.При попытке доступа к некоторому ресурсу операционная система проверяет«пропуск» пользователя, формируемый в ходе регистрации его вдомене на основе учетной записи, списка групп, членом которых являетсяэта учетная запись, и доменных разрешений. Если пользователь входитв несколько десятков групп, может случиться, что процесс регистрациинесколько затормозится. Поэтому следует тщательно планировать членствов группах и использовать тот факт, что группы могут быть членамидругих групп.Если вы хотите срочно закрыть доступ пользователя к некоторому ресурсу,то проще всего это сделать, запретив доступ для конкретной учетнойзаписи.Чтобы предоставить новому пользователю набор прав, которым уже обладаютдругие, просто включите его учетную запись в соответствующуюгруппу. Никогда не разрешайте пользователям доступ к тем ресурсам,которые не нужны им для работы, и ведите точный учет выданных разрешений.Состояние сетиНа протяжении этой главы в нашей сети никаких изменений не произошло.В учебных целях вы создали несколько групп, которые теперьможете удалить.8 Зак. 446 225

2 Создаем хранилищедокументовпредприятияСоздаем структуру библиотекиПроверка созданной структурыДействующие разрешенияЗапрет шифрования данныхMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Каждая организация развивается, и одним из аспектов развития являетсянакопление документов. Встает вопрос об их централизованном хранении.Разумеется, было бы удобно хранить все важные документы в электронномвиде. Место, где мы будем хранить документы в электронном виде,назовем хранилищем данных.Способы хранения документов могут быть разнообразными, и это касаетсяне только места их хранения, но и формата данных и инструментовпоиска и просмотра документов. Часто документы хранятся в обычнойбазе данных. Другие распространенные способы хранения — общедоступныепапки системы Microsoft Exchange Server или применение технологииMicrosoft SharePoint Portal ServerХранилище документов, подобно самому предприятию, будет развиваться.В начале своей деятельности далеко не каждая организация можетпозволить себе вкладывать деньги в новейшие технологии обработкидокументов, поэтому малые фирмы обычно начинают с обыкновенныхразделяемых папок на сервере. В этой главе мы рассмотрим оптимальнуюреализацию этого простейшего способа хранения документов.При работе с документами всегда важно помнить о том, что ценностьсодержащейся в них информации может быть очень высока. Поэтомудокументы нужно хорошо «спрятать», обеспечив доступ к ним толькотем сотрудникам, которым это необходимо, а также защитить информациюот хищения и потери при сбоях программного и аппаратногообеспечения.12.1. Создаем структуру библиотекиОчень важно заранее продумать структуру хранилища данных. Онадолжна удовлетворять следующим требованиям:• Простота. Хранилище данных должно быть простым в использованиии легко поддаваться администрированию.227

Microsoft Windows Server 2003• Прозрачность. Принцип систематизации данных должен быть понятенкак администратору, так и пользователю. Важно, чтобы пользовательмог с первого взгляда определить, где и в какой части хранилища находитсяинформация того или иного типа.• Безопасность. В любой момент может возникнуть необходимость защититьнекоторую часть хранилища дополнительными мерами безопасности.• Иерархическая структура. Чтобы обеспечить возможность дальнейшегорасширения с сохранением наглядности, данные должны бытьорганизованы иерархически.• Масштабируемость. Хранилище должно легко поддаваться увеличениюв связи с ростом объема хранящихся документов, географическимрасширением предприятия или увеличением разнообразия видов егодеятельности.• Удобство резервного копирования. Хотя архивирование входит в понятиебезопасности, всё же следует вынести его отдельным пунктом.При планировании хранилища необходимо оценить, насколько простобудет архивировать и восстанавливать как хранилище целиком, так иотдельные его части.Помните, что хранилище документов предназначено для того, чтобы облегчитьработу пользователей, а не затруднить ее, поэтому планируйтеструктуру данных, исходя из их производственных потребностей.Вспомним организационную структуру нашего учебного предприятияStudy. В нем работают три руководителя, пять сотрудников в торговом отделе,три сотрудника в отделе маркетинга, трое на складе и один администраторсети. Иногда к этим работникам добавляется один временный.Часы работы предприятия с понедельника по пятницу с 8.00 до 16.00, асклад открыт круглосуточно.12.1.1. Технологическое решениеПоскольку наше предприятие пока не может купить современное программноеобеспечение для обработки документов, выберем простейшеерешение — хранение файлов в разделяемых папках — и посмотрим,удовлетворяет ли оно вышеприведенным требованиям.228• Простота. Для администратора нет ничего проще создания папки,а пользователи могут обращаться к этим папкам по сети, указываяUNC-путь \\server\folder\subfolder.• Прозрачность. Названия папок отражают их принадлежность к отделуи тип хранимых документов.• Безопасность. Разместив папки на файловой системе NTFS, мы можемограничить доступ к ним средствами разрешений NTFS.

Глава 12. Создаем хранилище документов предприятия• Иерархическая структура. В папке, например, торгового отделасоздадим подпапки «Шаблоны документов», «Договоры», «Счета» ит.п. Можно так настроить разрешения, чтобы новые уровни иерархиимогли создавать сами пользователи из данного отдела.• Масштабируемость. Количество папок в разделе, отформатированномфайловой системой NTFS, ограничено, но настолько большим числом,что для нашего предприятия это ограничение несущественно.• Удобство резервного копирования. Резервное копирование файловойсистемы — стандартная задача, решаемая стандартными системнымисредствами. Архивирование как всей файловой системы, так и отдельныхее частей можно выполнять автоматически.Оказывается, даже простейшее решение удовлетворяет всем нашим требованиям.Следующим важным шагом будет создание масштабируемойструктуры.12.1.2. Структура хранилища данныхПри планировании иерархической структуры очень важно решить, покакому принципу подразделять данные на верхнем уровне иерархии.Возможны следующие варианты:• По назначению документов. При этом папки верхнего уровня называлисьбы «Договоры», «Счета-фактуры», «Накладные», «Протоколыправления» и т.п., а подпапки каждой из этих папок назывались бы поименам отделов. Преимуществом такого решения является очевидностьразделения документов на категории, а серьезным недостатком —трудность разграничения доступа.• По географическому расположению. В предприятии с несколькимифилиалами папки верхнего уровня могли бы называться «Санкт-Петербург», «Выборг», «Москва». Преимущество — простотаориентирования сотрудников в структуре предприятия, а недостаток— сложность управления хранилищем. Кроме того, если сетьправильно выстроена, пользователи не смогут сразу распознать, вкаком из отделов они сейчас работают. Всё выглядело бы одинаковос любого места.• По организационной структуре. При этом папки верхнего уровня именовалисьбы по названиям подразделений. Преимущество — неограниченнаямасштабируемость, удобство для пользователей и возможностьразграничить доступ стандартными средствами операционнойсистемы, а недостаток — сложность реструктуризации при измененииструктуры предприятия.Рекомендуется привлечь к разработке будущей структуры хранилищаруководителей подразделений, но последнее слово должно остаться за229

Microsoft Windows Server 2003администратором сети, потому что именно ему придется эту структурустроить, поддерживать и расширять.Решение для нашей сетиДля учебного предприятия Study выберем структуру данных, копирующуюструктуру организационную. Таким образом, на верхнем уровнебудет шесть папок:• «Дирекция».• «Продажи».• «Маркетинг».• «Склад».• «IT».• «Прочие».Администратору придется шесть раз выполнить действия по открытиюсетевого доступа к папке и шесть раз настроить разрешения, а пользователи,введя в окне Пуск -> Выполнить путь WSRVR0 01, увидят шестьобщих папок.Более экономным решением было бы разместить эти шесть папок не напервом уровне иерархии, а на втором, создав их как подпапки, например,папки «Library». Имя этой объемлющей папки должно иметь смысл дляадминистратора, а пользователи будут знать ее только под сетевым именем(«Библиотека»), которое может отличаться от локального. Теперь, введяпут/ \ \SRVR001, пользователь увидит одну общую папку, а не шесть./Скрытые общие папкиКогда пользователь вводит путь WSRVR001, он видит все общие папки,расположенные на сервере. Может случиться так, что некоторые из нихвы завели для обмена данными с коллегами-администраторами, а рядовымпользователям знать о них не следует. Например, это папка с музыкой илифильмами. Вы, конечно, можете спрятать ее под именем AdminTools и настроитьразрешения так, чтобы открыть ее было невозможно, но рано илипоздно аудитор предприятия попросит вас предъявить ее содержимое.Чтобы надежно спрятать такую сетевую папку, нужно сделать ее скрытой.Скрытые папки отличаются от обычных разделяемых папок тем, чтоувидеть их можно, только зная точное сетевое имя. По команде Пуск —>Выполнить Wserver э т и папки не отображаются. ,Сетевое имя скрытой папки должно заканчиваться знаком $. То естьколлега-администратор, введя полный путь \\SRVR0 01\Music$ (безразличия заглавных и строчных букв), увидит вашу папку, а аудитор неузнает о ее существовании.230

Глава 12. Создаем хранилище документов предприятия12.1.3. Создание структуры хранилищаСоздание и конфигурирование общих папокВыполните следующую последовательность действий:1. Зарегистрируйтесь на SRVR001 как администратор.2. Запустите консоль Пуск —> Администрирование —» Управлениекомпьютером. Разверните ветвь Служебные программы —> Общиересурсы (рис. 12.1). В правой части окна консоли вы увидите имеющиесяобщие папки.3. Правой кнопкой мыши щелкните по папке Общие ресурсы и из контекстногоменю выберите команду Новый общий ресурс. ЗапуститсяМастер создания общих ресурсов.4. Нажмите на кнопку Далее и в поле Путь к папке задайте путьС: \Library. После нажатия на кнопку Далее появится сообщениеоб отсутствии заданной папки с запросом на ее создание. Нажатиемна кнопку Да подтвердите ее создание.5. В окне Имя, описание и параметры оставьте значения по умолчанию(рис. 12.2) и нажмите Далее.6. В окне Разрешения установите значение У всех пользователей доступтолько для чтения и нажмите на кнопку Готово. В ОС WindowsServer 2003 это значение установлено по умолчанию, а в Windows2000/ХР по умолчанию всем предоставляется полный доступ к новойобщей папке.*| Консоль Действие> -• (ВПЗ Qф:ноСправкая| Управление компьютером (локальЙ 'j|j Служебные программыЩ (||j Просмотр событийВ Й Общие папки^ Сеансы^j Открытые файлыЖурналы и оповещения прДиспетчер устройствЗапоминающие устройстваф Съемные ЗУ!{]•

Microsoft Windows Server 2003Мастер создания общий ресурсовИмя, описание и параметрыОпределите, как пользователи должны просматривать и использоватьэтот общи^ ресурс по сети.Введите данные об общем ресурсе. Для HacipciuKW доступа е ^томом1ог«1 режименажмите кнопку "Изменить". : :.-. >Плькреоцрс»[ЩЙ144S RVBO01 \Utna!yОписание:jАвтономный режим: [Выбранные Файлы и программы доступны в даго Изменит•'...'.' 4Назад 1 ^алее> I ОтменаРис. 12.2. Мастер общих ресурсов.7. В итоговом окне вы увидите всю конфигурацию общей папки. НажмитеГотово.Общую папку можно было создавать и из Проводника Windows. Хотяпроцесс с использованием консоли Управление компьютером может показатьсянесколько длительным, рекомендуем применять именно этотспособ, потому что для создания общей папки на удаленном компьютере(не том, за которым вы работаете) пригоден только он.Для проверки созданной папки:Проверка созданной папки1. На сервере SRVR001 выполните команду Пуск —» Выполнить ив диалоговом окне Запуск программы введите UNC-путь в видеWSRVR001 и нажмите ОК.2. Если все выполнено верно, то вы увидите окно Проводника Windows,содержащее папку «Library».3. Откройте эту папку и попытайтесь создать в ней подпапку или файл.Если разрешения настроены правильно, у вас это не получится.Таким образом, ваше хранилище документов оказывается защищено: посети никто, включая вас, не имеет права записи в эту папку. Чтобы создатьв ней задуманные подпапки, вам следует обратиться к ней локально.Откройте папку «Library» в Проводнике Windows (ее значок снабженизображением руки — так помечаются разделенные ресурсы) и создайтев ней запланированные подпапки «Дирекция», «Продажи», «Маркетинг»,«Склад», «IT» и «Прочие».232

Глава 12. Создаем хранилище документов предприятия12.1.4. Настройка разрешений NTFSОбдумывая схему разграничения доступа пользователей к документам,обратите внимание на следующие моменты:• Кто будет управлять хранилищем. Следует позаботиться о том, чтобыгруппе пользователей, отвечающих за управление структурой библиотекидокументов, было предоставлено разрешение «Полный доступ». Такиеже полномочия должны быть предоставлены администраторам.• Какой уровень доступа к документам нужен пользователям. Обычнодля каждой папки настраивают два уровня доступа: для чтения и дляредактирования содержимого.• Проверка разрешений. Сразу же после установки или смены разрешенийнеобходимо проверить, правильно ли они настроены (незабыли ли вы чего-то, нет ли нежелательных эффектов, порожденныхнаследованием или отменой наследования).• Как предоставлять доступ отдельным пользователям. Как показанов главе 11, разрешения необходимо предоставлять не отдельнымпользователям, а группам. С ростом сети вы сами убедитесь в обоснованностиэтого правила.Обычно в небольших компаниях хранилищем документов управляютчлены группы администраторов домена, но мы, чтобы все было по правилам,создадим для этой цели отдельную группу, в которую впоследствииможно будет включить кого-нибудь из опытных пользователей, свалив нанего одну из администраторских обязанностей.Учитывая независимость подразделений и необходимость двух уровнейдоступа, для каждой подпапки папки «Library» создадим две локальныхдоменных группы.Далее предположим, что руководству предприятия нужен не только полныйдоступ к собственным документам, но и право чтения документовостальных подразделений.Ограничивать доступ к подпапкам мы будем на уровне разрешенийNTFS, а в качестве сетевого разрешения предоставим всем «Полный доступ».Для большей безопасности это право нужно дать не группе «Все»(«Everyone»), а группе «Domain Users» — встроенной группе, в которойсостоят все пользовательские учетные записи. Группу «Все» нужно удалитьиз списка пользователей и групп, для которых настроены сетевыеразрешения на папку «Library».Какие понадобятся группыМы договорились применить стратегию А —> G -> DL

Microsoft Windows Server 2003решения, и глобальные группы, через которые пользователи получат этиразрешения. В соответствии с требованием двух уровней доступа к папкекаждого подразделения, для каждой из них создадим по две локальныхдоменных группы.1. Запустите консоль Active Directory — пользователи и компьютеры.2. В контейнере Пользователи создайте локальные доменные группысо следующими именами:D Library AdminD Library IT ReadD Library IT WriteD Library Marketing ReadD Library Marketing WriteD Library Shop ReadD Library Shop WriteD Library Other ReadD Library Other WriteD Library Store ReadD Library Store WriteD Library Managers ReadD Library Managers WriteСовет.Если у вас не шесть подразделений, а полсотни, то создание групп с похожимиименами через графический интерфейс может оказаться несколько утомительным.Напоминаю, что в ОС Windows Server 2003 в отличие от Windows 2000/XP включенаутилита командной строки DSADD, предназначенная для создания в активномкаталоге объектов разного типа. Для создания группы (например, D Library IT Read)ее нужно запускать со следующими аргументами:dsadd group CN="D Library IT Read", CN=Users, DC=study,DC=local -scope 1Справку об утилите DSADD можно получить, введя команду dsadd /?.2343. Пользователей будем группировать по подразделениям и по степени«продвинутое», а кроме того, создадим группу администраторовхранилища. В контейнере Пользователи создайте глобальные группысо следующими именами:G Library AdminG IT regularG IT powerG Marketing regularG Marketing powerG Shop regularG Shop power

Глава 12. Создаем хранилище документов предприятияG Other regularG Other powerG Store regularG Store powerG Managers regularG Managers powerСовет.Чтобы создать эти группы из командной строки, воспользуйтесь утилитой DSADD.Запускать ее нужно со следующими аргументами:dsadd group CN="G IT power", CN=Users, DC=study, DC=local -scope gТеперь распределим учетные записи пользователей по этим глобальнымгруппам. Условно считаем, что в каждом подразделении пользователь снаибольшим номером в регистрационном имени является опытным, ивключаем таких пользователей в соответствующую группу G. . . power,а всех остальных пользователей — в группы G . . . regular. Некоторыегруппы при этом останутся пустыми. В группу G Library Admin включитепользователя Market ing3.Разрешения для корневой папки1. Зарегистрируйтесь на SRVR001 как администратор.2. Откройте вкладку Безопасность в окне свойств папки «Library».Нажмите кнопку Дополнительно и снимите флажок Наследоватьот родительского объекта.3. Из списка субъектов доступа удалите всех имеющихся там пользователейи группы последовательным нажатием кнопки Удалить.4. Вместо них добавьте в список следующие группы со следующимиправами:• Администраторы: полный доступ.• D Library Admin: полный доступ.• Domain Users: чтение, чтение и выполнение, просмотр содержимогопапки.Разрешения для папок подразделенийНапоминаю, что мы спланировали следующий порядок доступа: сотрудникикаждого подразделения должны иметь доступ к папке своего отдела(одни только на чтение, другие на запись), руководство кроме этого должноиметь возможность читать любую папку, а администраторам доменаи администраторам хранилища следует предоставить полный доступ.Разрешения будем настраивать для локальных доменных групп.235

Microsoft Windows Server 20031. Зарегистрируйтесь на SRVR001 как администратор.2. Откройте вкладку Безопасность в окне свойств папки «Library\IT».Нажмите кнопку Дополнительно и снимите флажок Наследовать отродительского объекта.3. На вкладке Безопасность в списке субъектов доступа выделитегруппу Domain Users и нажмите кнопку Удалить.4. Вместо нее добавьте в список следующие группы со следующимиправами:• Администраторы: полный доступ.• D Library Admin: полный доступ.• D Library IT Read: чтение, чтение и выполнение, просмотрсодержимого папки.• D Library IT Write: «Изменить».5. Нажатием на кнопку ОК закройте диалоговое окно свойств папки«LibraryUT».Проделайте то же самое с папками «Дирекция», «Продажи», «Маркетинг»,«Склад» и «Прочие», настраивая разрешения для соответствующихлокальных групп «...Read» и «...Write». Разрешение руководству на чтениевсех папок настроим на следующем шаге.Применение стратегии А -> G —> DL

Глава 12. Создаем хранилище документов предприятияМожно ли было построить группы проще, включив, например, глобальныегруппы опытных пользователей в соответствующие глобальные группы рядовых?В домене с режимом Windows 2000 native или Windows Server 2003 —можно, но наш домен пока работает в смешанном режиме, в котором недопускается членства глобальных групп в других глобальных группах.12.1.5. Настройка сетевых разрешенийОткрывая общий доступ к папке «Library» под сетевым именем «Библиотека»,мы дали группе «Все» только разрешение на чтение. Это значит,ни один пользователь, подключающийся к данной папке по сети, неполучит больше прав, как бы ни были настроены для него разрешенияNTFS. Чтобы работали именно эти разрешения, доступ по сети следуетоткрыть как полный. Для какой группы? Возможны варианты:• Встроенная группа «Все» («Everyone»). В эту группу входят все учетныезаписи пользователей, включая гостевую. Поскольку мы отключиливстроенную учетную запись «Гость», предоставление полногодоступа этой группе довольно безопасно.• Встроенная группа «Зарегистрированные пользователи» («AuthenticatedUsers»). В эту группу гостевая учетная запись не входит, поэтомус точки зрения безопасности правильнее открыть доступ именно этойгруппе. Вдруг вы впоследствии для какой-то особой цели временновключите гостевую учетную запись и забудете ее отключить?Откройте вкладку Доступ в диалоговом окне свойств папки «Library» инажмите кнопку Разрешения. Из списка субъектов доступа удалите группу«Все» и добавьте группу «Зарегистрированные пользователи», которойпредоставьте разрешение «Полный доступ».12.2. Проверка созданной структурыТак как создаваемая нами библиотека предназначена для организациидоступа к документам по сети, то проверять ее функционирование иправильную настройку разрешений следует с клиентского компьютера.Убедимся, что пользователь Store3 имеет возможность создавать документыв папке «Склад», но не в других папках; пользователь Managerlможет читать документы в любой папке, но не имеет права на созданиеи удаление файлов даже в собственной папке; пользователь Marketing3как администратор библиотеки имеет право создавать и удалять файлыиз всех папок.237

Microsoft Windows Server 2003Для проверки зарегистрируйтесь на РС001 под именем рядового пользователя,выполните команду Пуск -» Выполнить и в поле Открыть введитепуть\\SRVR001\Bn6nHOTeKa.12.3. Действующие разрешенияКак администратору файлового сервера вам рано или поздно придетсявыслушивать жалобы пользователей на неправильно, с их точки зрения,настроенные права доступа к данным (обычно жалуются на недостаток,а не на избыток прав). Вам придется проверять, соответствуют ли действующие(полученные в сумме, через членство в разнообразных группах)разрешения политике предприятия.В ОС Windows версий более ранних, чем ХР Professional, вам пришлосьбы открыть вкладку Безопасность в окне свойств конкретного ресурса ивыписать список групп — субъектов доступа — с их разрешениями; затемоткрыть консоль Active Directory — пользователи и компьютеры ипроверить, в каких группах пользователь состоит непосредственно иличерез членство группы в группе; затем вычислить действующие разрешениядля данного пользователя. Все окажется еще более трудоемко, еслиречь идет не о стандартных («Чтение», «Изменение» и т.п.), а об особыхразрешениях NTFS.В ОС Windows Server 2003 и Windows XP Professional существует возможностьпосмотреть на действующие разрешения конкретного пользователянепосредственно:1. На вкладке Безопасность окна свойств нужного ресурса нажмитекнопку Дополнительно.2. В окне Дополнительные параметры безопасности перейдите навкладку Действующие разрешения.3. Нажмите кнопку Выбрать, выберите нужного пользователя и просмотритерезультат применения всех разрешений, полученных черезего членство в группах.Стоит напомнить, что действующие разрешения NTFS — это еще неокончательные права пользователя на доступ к данному ресурсу. Онивзаимодействуют с правами доступа к разделяемому ресурсу по сети, которыевам следует проверить (при необходимости изменить) вручную.238

Глава 12. Создаем хранилище документов предприятия12.4. Запрет шифрования данныхПо умолчанию пользователи ОС Windows 2000 Professional и WindowsХР Professional имеют право шифровать те файлы, к которым у них естьразрешение как минимум на запись. Зашифрованный файл доступен дляпрочтения только тому, кто его зашифровал. Ничего страшного, еслипользователь шифрует личные документы в своей домашней папке, ноесли он проделает это с файлом в хранилище, к которому должны иметьдоступ и другие пользователи, то это может нарушить нормальную работупредприятия.Система Windows XP Professional предоставляет, правда, возможностьуказать, кто еще будет иметь доступ к зашифрованному файлу, но такоерешение нельзя назвать системным, потому что администратор не способенв это вмешаться. Можно запретить шифрование вообще, но этотзапрет будет распространяться и на личные документы пользователя,что не всегда уместно. Единственное системное решение — это запретшифрования файлов в конкретной папке.Способ, который мы используем в хранилище документов, известен начинаяс ОС Windows 2000. Он состоит в помещении в папку, в котороймы хотим запретить шифрование, файла DESKTOP.INI следующего содержания:[Encryption]Disable=lСкопируйте этот файл во все папки подразделений. Не лишним будетзащитить его дополнительно:• Придайте файлу DESKTOP.INI атрибут «Скрытый» (установите флажокСкрытый на вкладке Общие окна свойств). Пользователи, длякоторых отключено отображение скрытых файлов, его не увидят.• Настройте разрешения NTFS для этого файла так, чтобы удалитьего могли только администраторы домена и администраторы хранилища.239

Microsoft Windows Server 200312.5. ИТОГИХранение документов небольшого предприятия можно организовать вобщих папках, расположенных на сервере. Структуру хранилища нужнотщательно продумать. Рекомендуется открыть сетевой доступ к однойпапке, а для документов отдельных подразделений отвести ее подпапки.Далее нужно ограничить доступ к папкам подразделений и назначитьгруппу пользователей, которая в дальнейшем будет администрироватьхранилище документов.Большая часть главы была посвящена настройке разрешений NTFS и применениюстратегии А -> G -н> DL

ПрофилипользователейПреимущества профилейСтруктура профиляКогда у каждого пользователясвой компьютерПеремещаемые профилиИспользование перемещаемыхпрофилейДальнейшие настройки профиляMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Когда вы первый раз регистрируетесь на компьютере, где установлена ОСWindows XP Professional, вы видите рабочий стол с фоновым рисункоми иконками по умолчанию, настроенное по умолчанию главное меню,а в окнах Проводника не отображаются скрытые файлы и расширениязарегистрированных типов файлов.Эти и многие другие характеристики рабочей среды входят в так называемыйпользовательский профиль. Это значит, их можно настраивать индивидуально,не влияя тем самым на работу остальных пользователей.13.1. Преимущества профилейОсновное назначение профиля пользователя — разграничение настроеки данных для разных пользователей одного и того же компьютера. Еслидисковый раздел, на котором хранятся профили, отформатирован в файловойсистеме NTFS, то можно настроить разрешения NTFS так, чтобыразные пользователи не имели доступа к данным друг друга. Менять этиразрешения может только локальный администратор.Пользовательские профили дают два ощутимых преимущества:• Данные пользователя и настройки его рабочей среды можно сохранятьи вне компьютера, на котором работает пользователь. Тогда вслучае аварии (например, жесткого диска) пользователь не лишаетсясвоих данных и после переустановки операционной системы можетпродолжать работу в привычной рабочей среде.• Профиль можно настроить так, чтобы он перемещался вместе спользователем. Тогда пользователь сможет работать в одной и тойже рабочей среде независимо от того, на какой из рабочих станцийон зарегистрировался, что значительно повышает продуктивность егоработы.Чтобы воспользоваться этими преимуществами, администратор долженпроизвести некоторые настройки, которым и посвящена эта глава.242

13.2. Структура профиляГлава 13. Профили пользователейПользовательский профиль содержит в себе огромное количество установоки данных пользователей. Знание о расположении его отдельныхсоставляющих необходимо для любых манипуляций с профилем, устранениянеполадок или настройки резервного копированияУстановки содержатся в двух местах: в системном реестре и в специальныхпапках файловой системы. Данные реестра в ОС Windows, начинаяс версии NT, тоже можно экспортировать как обычный файл и импортироватьобратно в реестр. Реестровая часть пользовательского профилясодержится в файле NTUSER.DAT, который при активации профиля(при регистрации пользователя) читается в реестр, точнее в его ветвьHKEY_CURRENT_USER.Что хранится в реестреФайл NTUSER.DAT содержит следующие настройки:• Настройки Проводника Windows (например, сокрытие расширенийзарегистрированных типов файлов или подключенные сетевыедиски).• Параметры Панели задач (например, присутствие панели быстрогозапуска).• Установленные принтеры (различные локальные и сетевые принтеры).• Настройки Панели управления.• Рабочие панели (их наличие и вид)• Стандартные программы (наличие приложений и программ, содержащихсяв группе Стандартные главного меню — например, калькулятора).• Настройки приложений (некоторые приложения сохраняют своинастройки в ветви HKEYCURRENTUSER — примером можетслужить главная панель приложений Microsoft Word 2000).Что хранится в папкахПрофиль каждого пользователя представляет собой иерархию папок,изображенную на рис. 13.1. В этих папках хранятся:• Application Data: данные конкретных приложений, например, пользовательскийсловарь некоторой программы для обработки текста.Какие именно данные будут храниться здесь, решает производительприложений.• Cookies: Файлы Cookie штатного браузера Internet Explorer.243

Microsoft Windows Server 2003Local Settings: настройки и данные приложений, которые не перемещаютсявместе с профилем пользователя. Это могут быть либоданные, относящиеся только к конкретному компьютеру, либо данныебольшого объёма, перемещение которых по сети нецелесообразно.• Application Data: данные приложений, специфичные для данногокомпьютера.• History: история работы браузера Internet Explorer.• Temp: временные файлы.• Temporary Internet Files: автономный кэш Internet Explorer.Документы: папка по умолчанию для хранения личных документовпользователя.• Музыка: папка по умолчанию для хранения звуковых файлов.• Рисунки: папка по умолчанию для графических файлов.Недавние документы: ярлыки к файлам, открывавшимся последними.Главное меню: ярлыки приложений, которые можно запустить из меню«Пуск».Избранное: Интернет-ярлыки9* D:\Documents and Settingsдля быстрого открытия вебстраницв браузере InternetExplorer.Nethood: ярлыки на объектысетевого окружения.Printhood: ярлыки на принтеры.SendTo: ярлыки на места сохранениякопий файлов.Рабочий стол: файлы и ярлы-ки, размещенные на рабочемстоле.• Шаблоны: ярлыки шаблонов.Где находится профильВ системах семейства Windows 2000/ХР и Windows Server 2003 профильпользователя по умолчанию располагаетсяв папке %SYSTEMDRIVE%\Documents and Settings\%username%. В этой папке находятсяфайл NTUSER.DAT и иерархияпапок, представленная нарис. 13.1.244JafuiПравкаi hawm •Адрес! |_j D: '(Documents and Settingsi Пэпки6>ш Избранное Сервис Справка1 • . ' Поиск i Папв» ]S £|) Marketing 3В |£Э Application DataВ ЁЗ Local Settingsввввffl ИIdentitiesга i^5 MiCTosoftЁЭ CookiesШ C3 Application DataВ Si HistoryОШ ^QОTemporary Internet FifesNetHoodPrintHoodSendTo>£Э Главное менюВ сЗ Программы^^ АвтозагрузкаШ О| Стандартныеirj Документы - Marketing3i£$ Музыка -Marketirig33 Рисунки - Markebng.3^* Избранноеi£~3 Ссылкиij^) Недавние документыir"*t Рабочий столIQ ШаблоныРис. 13.1. Папки профиля пользователяmarketing3

Глава 13. Профили пользователейИсключение составляют компьютеры, на которых Windows XP Professionalили Windows 2000 была установлена поверх Windows NT 4.0.После такого апгрейда профиль по умолчанию располагается в папке%SYSTEMDRIVE%\WINNT\Profiles.13.3. Когда у каждого пользователясвой компьютерПосле краткого, но от этого не менее важного вступления перейдём кпрактической части. Пусть пользователь Shopl впервые регистрируетсяна компьютере РС001. В этот момент компьютер выполняет следующиедействия:1. В ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList он попытается найти информациюо профиле пользователя Shopl. Поскольку пользовательShopl на этом компьютере до сих пор не регистрировался, ссылки напрофиль в реестре не существует, и компьютер продолжает поиск.2. Если компьютер является членом домена, он проверит, существуетли «доменный» профиль в папке NETLOGON\Default User на контроллередомена.3. Если такой профиль найден, он копируется во вновь созданнуюпапку %SYSTEMDRlVE%\Documents and Settings\Shopl.Если же«доменного» профиля не существует, то в эту папку будет скопированлокальный профиль по умолчанию из папки %SYSTEMDRIVE%\Documents and Settings\Default User.4. Реестровая часть пользовательского профиля (файл NTUSER.DAT)считывается в ветвь реестра HKEY_CURRENT_USER.Теперь пользователь Shopl может настроить свою рабочую среду в соответствиисо своими вкусами и служебными задачами. Поскольку никакихограничений мы пока не вводили, пользователь может изменитьпрактически все настройки. Допустим, он сконфигурировал следующиепараметры:• Отображать расширения известных типов файлов.• Подключить сетевой диск Z:.• Переключить главное меню на классический вид.• Показывать панель быстрого запуска на панели задач.• Сменить тему рабочего стола.Кроме того, он поместил несколько файлов в папку «Мои документы».245

Microsoft Windows Server 2003После того, как пользователь shopl завершит сеанс работы, эти настройкибудут сохранены в его локальном профиле на жестком дискеданного компьютера. При следующей регистрации этого пользователяна этом компьютере локальный профиль будет прочитан и настройкиприменены к новому сеансу, то есть пользователь сможет работать в тойже самой рабочей среде.Когда этот же пользователь впервые зарегистрируется на другом компьютере(РС002), все шаги по созданию локального профиля будут выполненызаново и в результате получится рабочая среда, не имеющаяничего общего со средой, настроенной на РС001. Пользователю придетсявручную настраивать себе привычное окружение, поскольку не существуетсредств, которые могли бы обеспечить синхронизацию этих двухлокальных профилей. Более того, ему понадобится синхронизироватьсодержание папки «Мои документы», что займет много времени.Локальный администратор имеет возможность проверить все существующиелокальные профили:1. Зарегистрируйтесь на РС001 как администратор.2. В главном меню щелкните правой кнопкой мыши по пункту Мойкомпьютер и из контекстного меню выберите команду Свойства.3. Перейдите на вкладку Дополнительно и в части Профили пользователейнажмите кнопку Параметры. Откроется окно с профилями всехпользователей, которые зарегистрированы на этом компьютере.Администратор может удалить из списка любой профиль, кроме своегособственного. Если вы не являетесь администратором, то в списке будетприсутствовать только ваш профиль, который, понятно, тоже нельзяудалить. Таким образом, по наличию локального профиля можно судитьо том, регистрировался ли на данном компьютере конкретный пользователь,а по дате последнего изменения узнать, когда именно: рядовойпользователь не имеет полномочий удалить эти сведения.Локальные профили имеет смысл применять только тогда, когда каждыйпользователь обеспечен отдельным компьютером, за которым большуючасть времени и работает. При этом проблема одинаковой настройкирабочей среды на разных компьютерах просто не возникает.Для нашего учебного предприятия такое решение не подходит. Сотрудникамотдела продаж приходится работать как в собственной комнате,так и за любым из компьютеров в торговом зале. Им нужна не толькоодинаковая рабочая среда на любом рабочем месте, но и доступ к одними тем же документам через папку «Мои документы». Решением будетсоздание перемещаемых профилей.246

Глава 13. Профили пользователей13.4. Перемещаемые профилиПеремещаемым называется такой профиль, который «странствует» поузлам сети вместе с пользователем и вступает в силу на любом компьютере,на котором пользователь регистрируется. Перемещаемость профилянужно указывать в свойствах доменной учетной записи. Для того, чтобыпользователь смог оценить преимущества перемещаемого профиля,должны быть выполнены следующие важные условия:1. Перемещаемые профили должны храниться на компьютере, которыйпостоянно доступен по сети (то есть включён и работает).2. Этот компьютер с перемещаемыми профилями ни в коем случаене должен отвергать попытку подключения, то есть на нем должнабыть установлена серверная операционная система с достаточнымколичеством лицензий на клиентский доступ.В главе 4 мы создавали перемещаемый профиль в среде рабочей группыдля локальной учетной записи. Сейчас наша сеть организована в домен,и порядок настройки перемещаемого профиля будет другим. Продемонстрируемего на примере пользователя Shop2.1. Зарегистрируйтесь на SRVR001 как администратор.2. Создайте на диске С: папку «TravProfiles». Откройте сетевой доступк этой папке и предоставьте группе «Зарегистрированные пользователи»(«Authenticated Users») право полного доступа. РазрешенияNTFS для этой папке и оставьте в исходном положении.3. Запустите консоль Active Directory — Пользователи и компьютерыи отобразите свойства учетной записи Shop2.4. Откройте вкладку Профиль и в поле Путь к профилю введите адрес\\SRVR001\TravProf iles\Shop2. Нажмите на кнопку ОК.Примечание.Если вы настраиваете перемещаемый профиль не через графический интерфейс,а при помощи командного сценария ADSI (Active Directory Service Interfaces), товместо регистрационного имени пользователя можете использовать переменную%usemame%.13.4.1. Безопасность перемещаемых профилейПри первой регистрации пользователя Shop2 в сети на сервере SRVR001создаётся пустая папка профиля «Shop2». Она наполняется даннымитолько по завершении сеанса работы пользователя. Разрешения NTFSдля этой папки по умолчанию настроены так, чтобы доступ к ней имел247

Microsoft Windows Server 2003только соответствующий пользователь. Даже членам группы администраторовдоступ запрещен.В такой конфигурации администратор, желающий получить доступ кфайлам профиля, должен стать владельцем этого профиля — папки и всейиерархии ее подпапок. Смена владельца может отрицательно повлиятьна функционирование перемещаемых профилей. Это нежелательно, нов то же время доступ к профилям администратору нужен. Эта проблемарешается при помощи групповой политики.Чтобы при добавлении нового перемещаемого профиля администраторыавтоматически получали полный доступ к нему, выполните следующиедействия:1. Зарегистрируйтесь на SRVR001 как администратор.2. Запустите консоль Active Directory — Пользователи и компьютеры.Откройте окно свойств домена study. local.3. Перейдите на вкладку Групповая политика и откройте объектDefault Domain Policy (Групповая политика по умолчанию).4. Разверните ветвь Конфигурация компьютера -» Административныешаблоны —> Система —> Профили пользователей. В правой частиокна консоли выберите опцию Добавить группу Administrators вперемещаемые профили пользователей (Add the Administrators securitygroup to roaming user profiles) и установите флажок Включено.Диалоговое окно закройте, нажав на кнопку ОК.5. Чтобы применить новую групповую политику, запустите утилитукомандной строки GPUPDATE. После этого разрешения NTFS всехвновь создаваемых перемещаемых профилей будут включать полныйдоступ для членов группы администраторов.13.4.2. Проверка созданногоперемещаемого профиляПроверка созданного нами перемещаемого профиля состоит из следующихэтапов:1. Зарегистрируйтесь на РС001 как пользователь Shop2.2. Откройте окно свойств «Мой компьютер» и перейдите на вкладкуДополнительно. Нажмите кнопку Параметры в части Профилипользователей и убедитесь, что ваш профиль имеет тип «Перемещаемый».3. Создайте на рабочем столе новый текстовый документ, а в папке«Мои документы» (меню Пуск —> Мои документы) — новый файлтипа «Звук Wav».248

Глава 13. Профили пользователей4. Завершите сеанс работы на РС001. В ходе завершения сеанса измененияв настройках профиля будут не только сохранены в локальномпрофиле пользователя Shop2 на компьютере РС001, но и скопированына сервер, в папку «TravProfiles».5. Зарегистрируйтесь на SRVR001 как администратор. Откройтепапку «TravProfiles\Shop2». Проверьте наличие текстового документав подпапке «Рабочий стол» и звукового файла в подпапке«Документы».13.4.3. Применение перемещаемого профиляВозможно, вам приходила в голову идея, что если бы вы внутри профиляпользователя, размещенного на сервере, сохранили в папке «Рабочийстол» какой-нибудь новый документ, то пользователь увидел бы егосразу после начала работы. Что если использовать эту возможность длясообщения информации пользователям? Будет ли это работать? Давайтепроверим.1. Убедитесь, что пользователь Shop2 не зарегистрирован ни на одномиз компьютеров сети.2. Как администратор, создайте в папке «TravProf iles\Shop2\Рабочий стол» на сервере новый документ MS Word.3. Зарегистрируйтесь под именем Shop2 на той рабочей станции, гдевы в последний раз завершили сеанс как пользователь Shop2.Если на этом компьютере установлена клиентская ОС Windows XPProfessional, то вы увидите на рабочем столе новый документ. Но еслина нем стоит Windows 2000, то новый документ отображен не будет. Этоотличие объясняется порядком применения перемещаемых профилей вразных операционных системах.Windows XP ProfessionalЕсли пользователь с перемещаемым профилем уже когда-либо регистрировалсяна данном компьютере, то при новой регистрации происходитследующее:1. Операционная система находит в реестре информацию о том, чтона данном компьютере уже сохранена локальная копия профиля.2. Затем она считывает локальный файл NTUSER.DAT в ветвь реестраHKEYCURRENTJJSER.3. Потом она сравнивает локальную копию профиля с версией насервере и объединяет их. В результате отображается профиль в егоистинном состоянии.249

Microsoft Windows Server 2003Windows 2000 ProfessionalСистема Windows 2000 Professional в той же ситуации поступает иначе:1. Операционная система находит в реестре информацию о том, чтона данном компьютере уже сохранена локальная копия профиля.2. Затем она сравнивает дату последнего изменения файлов NTUSER.DAT в локальном профиле и в папке перемещаемого профиля насервере.3. Перемещаемый профиль с сервера применяется локально только втом случае, когда файл на сервере более свежий. В противном случаеприменяется локальный профиль.Вот и ответ на вопрос, почему созданный администратором в папке профилядокумент не отобразился на рабочем столе. Чтобы принудительноввести в силу изменения в перемещаемом профиле, вам нужно было быобновить еще и файл NTUSER.DAT.13.5. Использованиеперемещаемых профилейСледует принять во внимание ряд соображений, которые могут накладыватьограничения на использование перемещаемых профилей:250• Место на диске. Операционные системы семейства Windows поумолчанию сконфигурированы так, что по завершении сеанса работыпользователя все данные его профиля остаются на локальномкомпьютере. Значит, нужно обращать внимание на то, есть ли на локальномдиске свободное место, чтобы мог начать работу следующийпользователь.Можно избавиться от этого ограничения, если по окончании сеансаудалять из компьютера копию перемещаемого профиля пользователя.Но это не всегда удобно (например, для ноутбуков такое решениенеуместно), а кроме того, такое решение создает дополнительнуюнагрузку на сеть.• Нагрузка на сеть. Частью профиля пользователя является папка «Моидокументы». Если пользователи поступают в соответствии с общепринятойв ОС Windows 2000/XP практикой хранения документов именнов этой папке, то размер их профилей может достигать несколькихгигабайт. После перехода на перемещаемые профили такие пользователиокажутся в неприятной ситуации: при первой регистрации накакой-либо рабочей станции весь профиль придется скопировать нанее по сети. Сколько времени это займет? В крупных сетях Ethernetсо скоростью 100 Mbps для передачи двух гигабайт потребуется около

Глава 13. Профили пользователейполучаса. По завершении сеанса работы изменения в папке «Моидокументы» (то есть вновь созданные и отредактированные файлы)понадобится скопировать обратно на сервер, что тоже создает нагрузкуна сеть.Решением в этой ситуации будет еще одна возможность Windows 2000/XP:переадресация папок, о которой мы скажем далее.• Конфигурация рабочих станций. Для успешного использования перемещаемыхпрофилей все компьютеры, на которых будет работатьодин и тот же пользователь, должны иметь примерно одинаковуюконфигурацию аппаратного и программного обеспечения (одинаковоеразбиение жесткого диска на разделы, примерно равный размер разделов,одно и то же место хранения локальных профилей, одинаковыйнабор установленных приложений и пакетов обновления и т.п.).13.5.1. ПравилаДля оптимизации использования перемещаемых профилей рекомендуетсяпридерживаться нескольких несложных правил.Запретите регистрацию на рабочих станцияхдо запуска сетевых службВозможность регистрации в домене без сети впервые появилась в системеWindows XP Professional. По умолчанию эта возможность разрешена. Втаком случае пользователь с перемещаемым профилем при регистрациизагружает копию профиля из локального кэша. Это значит, что при переходена перемещаемые профили с локальных изменения вступают в силутолько со второго сеанса работы.В главе 7 мы отключили эту возможность, и все действия, описанные досих пор в настоящей главе, выполнялись в то время, пока она оставаласьотключенной. Если вы ее в свое время не отключили, то найти ее можнов объекте групповой политики Default Domain Policy, в ветви Конфигурациякомпьютера\Административные шаблоны\Система\Регистрация.Это настройка При включении компьютера и входе пользователя всегдадожидаться ответа сети (Always wait for the network at computer startupand logon).Избегайте использования перемещаемых профилейв неоднородной сетиЕсли же на ваших рабочих станциях работают как ОС Windows 2000,так и Windows XP Professional, а перемещаемые профили почему-либонеобходимы, то руководствуйтесь следующими правилами:251

Microsoft Windows Server 2003• Операционные системы должны быть установлены в одноименныхпапках и в одних и тех же разделах.• В обеих системах должны быть установлены одинаковые версии приложений.• Приложения должны быть установлены в одноименных папках в однихи тех же разделах.Обеспечьте доступ администраторов к профилям пользователейДоступ к профилям пользователей необходим с точки зрения управлениясетью. Если это возможно, обеспечьте его ещё до начала работыпользователей.Исключите папку «Мои документы» из перемещаемого профиляПереадресацией папки «Мои документы» и исключением ее из профилявы добьетесь того, что при первой регистрации пользователя на конкретнойрабочей станции все содержимое этой папки не будет копироватьсяпо сети на эту рабочую станцию. Таким образом регистрация пройдетбыстрее и без лишней нагрузки на сеть. О переадресации папок будетсказано далее.Не шифруйте файлы в перемещаемых профиляхПрименение шифрующей файловой системы (EFS) несовместимо с перемещаемымипрофилями. Если вы зашифруете файлы или папки, профильпотеряет способность к перемещению.13.5.2. Профиль по умолчаниюКогда пользователь впервые приступает к работе, профиль для него создаетсяоперационной системой из некоторого шаблона. Этот шаблон можетне соответствовать требованиям предприятия, а просить пользователейнастроить свой профиль самостоятельно не всегда позволяет их квалификация.Решением будет предварительная настройка шаблона силамиадминистратора. Возможность последующих изменений профиля самимпользователем можно отрегулировать с помощью групповой политики.В параграфе 13.3 уже было сказано, что при первой регистрации пользователяна компьютере, где у него еще нет профиля, операционная системаначинает поиск шаблона профиля с папки NETLOGONXDefault Userна контроллере домена. Это относится как к перемещаемым профилям,так и к локальным. Значит, администратору легко настроить шаблон дляпрофилей обоих типов.252

Создание шаблонаДля создания шаблона проделайте следующее:Глава 13. Профили пользователей1. Выберите пользователя, для которого еще не существует никакогопрофиля (иначе содержимое, например, его папки «Мои документы»станет частью шаблона — а вам это нужно?). Зарегистрируйтесь наРС001 под его именем. Пусть для определенности это будет пользовательMarketing1.2. Настройте свой профиль. Для наглядности внесите следующие изменения:• Переключите главное меню на классический вид (щелкните правойкнопкой мыши по кнопке Пуск, выберите команду Свойстваи установите переключатель в положение Классическое меню).• Смените фоновый рисунок рабочего стола (щелкните правойкнопкой мыши на рабочем столе, выберите команду Свойства,перейдите на вкладку Рабочий стол, выберите рисунок из спискаи нажмите ОК).• Создайте на рабочем столе документ под названием «Срочно прочитайте»и разместите его значок примерно посередине рабочегостола.• В папке «Мои документы» создайте подпапку «Правила для новыхсотрудников». На реальном предприятии именно так быстреевсего провести инструктаж нового работника.3. Закончите сеанс работы.Копирование шаблона на серверКопирование шаблона на сервер осуществляется следующим образом:1. Зарегистрируйтесь на SRVR001 как администратор.2. Создайте в папке WINDOWS\SYSVOL\sysvol\study.local\scriptsподпапку «Default User».3. Выполните команду Пуск -> Выполнить и в поле Открыть введитепуть \\РС001\С$. Отобразится содержимое диска С: компьютераРС001. Перейдите в папку «Documents and Settings\Marketingl».4. В окне Проводника включите режим отображения скрытых файлов,чтобы увидеть профиль полностью.5. Скопируйте содержимое папки «Marketing].» в подпапку «DefaultUser» на сервере. Процесс копирования должен занять не большенескольких секунд.-вша!Примечание.Перемещаемые профили можно хранить на рядовом сервере, но шаблон профиля(папка «Default User») обязательно должен располагаться на контроллере домена.253

Microsoft Windows Server 2003Если в вашей сети несколько контроллеров домена, то следует подождать,пока завершится репликация базы данных, потому что папка «Default User»должна присутствовать на любом контроллере, через который регистрируетсяпользователь, а определить заранее, какой это будет, невозможно.Проверка функциональности шаблонаДля проверки функциональности шаблона выполните следующие действия:1. Выберите пользователя, для которого вы определили в свойствахучетной записи, но еще не создали перемещаемого профиля (например,Shop3). Если вы поторопились и создали профили длявсех, то можете удалить соответствующую папку профиля из папкиC:\TravProfiles на сервере, а затем уничтожить ее локальнуюкопию на той рабочей станции, за которой собираетесь проверятьшаблон. Зарегистрируйтесь на этой рабочей станции под именемShop3.2. Убедитесь, что настройки, выполненные вами от имени пользователяMarketingl и затем скопированные на контроллер домена в качествешаблона, действительны для пользователя Shop3.3. Откройте окно свойств системы, перейдите на вкладку Дополнительнои, нажав на кнопку Параметры в части Профили пользователей,убедитесь, что ваш профиль действительно перемещаемый.4. Теперь выберите пользователя, для которого определен, но еще несоздан, локальный профиль (например, Managerl). Зарегистрируйтесьпод его именем и убедитесь, что его локальный профиль тожесоздан на основе шаблона Marketingl.Таким образом, настройка шаблона на контроллере домена являетсяуниверсальным системным решением, с помощью которого легко раз инавсегда определить, как будет выглядеть рабочая среда нового пользователянезависимо от того, перемещаемый ли у него профиль илилокальный.Гораздо худшим решением было бы создавать шаблон на каждой рабочейстанции в папке%SYSTEMDRIVE%\Docuraents and Settings\Default User(из параграфа 13.3 вы знаете, что здесь операционная система ищет шаблонна следующем шаге). Это ненамного уменьшит нагрузку на сеть, нонамного прибавит работы администраторам, особенно если количествопользователей сети исчисляется сотнями.13.5.3. Обязательный профильПрофиль пользователя недолго останется неизменным. Кто-то поместитна рабочий стол ярлык самой нужной папки, кто-то сменит хранитель254

Глава 13. Профили пользователейэкрана, и все без исключения начнут заполнять папку «Мои документы».Возникает вопрос, все ли такие изменения допустимы правиламипредприятия и желательны для администратора. Ведь бесконтрольныеизменения могут довести размер профиля до нескольких гигабайт (дажеесли исключить из него папку «Мои документы», пользователь сможетдержать объемистые файлы непосредственно на рабочем столе), которыенежелательно гонять туда-сюда по сети.Любой администратор предпочел бы, чтобы только некоторые параметрыпрофиля допускали настройку самим пользователем, а все остальные оставалисьнеизменными. Такая возможность существует начиная с WindowsNT 4.0 и называется обязательным профилем.В обязательном профиле изменения, вносимые пользователем, не сохраняются.Чтобы сделать профиль пользователя Shop3 обязательным, переименуйтев папке профиля на сервере (C:\TravProfiles\Shop3) файл NTUSER.DATв NTUSER.MAN.Теперь, если вы, зарегистрировавшись под именем Shop3 на РС001, смените,например, фоновый рисунок рабочего стола, то во время следующегосеанса работы пользователь Shop3 все равно увидит старый вариант.Примечание.У файла NTUSER.DAT обычно установлен атрибут «скрытый». Чтобы увидеть его,включите в свойствах папки отображение скрытых файлов.Изменение расширений не является системным решением. Этот способпревращения профиля в обязательный пригоден только для перемещаемогопрофиля, который хранится на сервере. Для пользователей с локальнымипрофилями администратору пришлось бы менять расширение файлаNTUSER.DAT на каждой рабочей станции, что слишком трудоемко.Кроме того, этот способ применим только к уже существующим профилям.Если вы измените расширение в папке Default User на контроллередомена, то шаблонный профиль для новых пользователей несработает должным образом.Системным решением в этом случае будет применение групповой политики.Если на клиентских компьютерах установлена ОС Windows XPProfessional, то вы можете включить политику Запретить перенос измененийв перемещаемых профилях на сервер, которая находится в ветвиКонфигурация компьютера\Административные шаблоны\Система\Профилипользователей. В ОС Windows 2000 этот способ неприменим.255

Microsoft Windows Server 2003Рекомендуется избегать использования обязательных профилей везде, гдеэто только возможно, отключая отдельные возможности настройки припомощи групповых политик. Например, если вы хотите всего лишь, чтобыпользователи не помещали на рабочий стол посторонних изображений в качествеобоев, то примените политику Скрыть вкладку «Рабочий стол».Дальнейшие сведения о групповых политиках вы найдете в 17 главе.13.5.4. Домашние папкиДомашние папки и их созданиеИзменения в обязательном профиле имеет право производить толькочлен группы администраторов. Но по умолчанию в профиль входит папка«Мои документы». Если вы смените тип профиля на обязательный, тоэта папка окажется пользователю недоступной. Ему придется сохранятьличные документы где-либо вне профиля, что нежелательно как с точкизрения безопасности (к этой папке могут получить доступ другие), таки с точки зрения мобильности пользователя в пределах сети и удобстварезервного копирования, поскольку эта папка скорее всего будет располагатьсяна локальном компьютере.Способом устранить второе неудобство является использование домашнихпапок.Домашняя папка — это папка на сервере, предназначенная для храненияличных документов пользователя. Она доступна с любого компьютерасети, но при этом не входит в профиль, не влияет на его размер и не подчиняетсягрупповым политикам, управляющим профилем.В нашей сети домашние папки пользователей будут размещены на сервереSRVR001 в папке С: \HomeFolder. Откройте сетевой доступ к этой папкеи предоставьте право «Полный доступ» группе «Зарегистрированныепользователи» («Authenticated Users»).Чтобы создать домашнюю папку для пользователя %username%, выполнитеследующие действия:2561. Запустите на сервере SRVR001 консоль Active Directory — пользователии компьютеры и отобразите свойства учётной записи, вкоторой вы хотите поместить домашнюю папку.2. На вкладке Профиль в части Домашняя папка установите флажокПодключить, оставьте обозначение диска Z: и в поле к: введитеадрес: \\SRVR001\HomeFolder\%username%. Нажмите ОК. Навопрос, хотите ли вы предоставить пользователю полный доступ кего папке, ответьте Да.

Безопасность домашней папкиГлава 13. Профили пользователейВ ОС Windows Server 2000 разрешения NTFS на домашнюю папку автоматическинастраивались правильно, но в Windows Server 2003 этогопочему-то не происходит (проверено в версии Beta 2). Администраторупридется поработать дополнительно.На сервере SRVR001 откройте окно свойств только что созданной домашнейпапки и перейдите на вкладку Безопасность. Вы видите, что всписке субъектов доступа присутствует группа «Пользователи» с разрешениемсоздавать подпапки и файлы в данной папке. С точки зрениябезопасности это нежелательно.Удалите группу «Пользователи» из списка субъектов доступа нажатиемна кнопку Удалить. Вместо нее добавьте учетную запись пользователя,для которого предназначена эта папка, с разрешением «Полныйдоступ». Предоставьте полный доступ также группе администраторовдомена (в случае рядового сервера — группе локальных администраторов).13.6. Дальнейшие настройки профиляКогда пользователь с перемещаемым профилем завершает сеанс работы,остается ли профиль в памяти компьютера? Не займет ли он слишкоммного места на диске? А если удалить его, то сможет ли пользовательвпоследствии зарегистрироваться на этом компьютере в отсутствиеподключения к сети? Эти и другие характеристики профиля можнонастроить при помощи групповых политик из раздела Конфигурациякомпьютера\Административные шаблоны\Система\Профили пользователей.Удаление профиля по завершении работы пользователяЭта политика предназначена для тех условий, когда на локальном дискенедостаточно места или на компьютере опасно оставлять конфиденциальнуюинформацию пользователей. Включите параметр Удалять копииперемещаемых профилей из памяти.Недостатком этой политики является невозможность открыть свой профильв случае, когда компьютер не подключён к сети или контроллердомена недоступен. Кроме того, в начале каждого сеанса работы весьпрофиль будет копироваться по сети заново, что создаст дополнительнуюнагрузку на сеть.9 Зак. 446 257

Microsoft Windows Server 2003Запрет перемещаемых профилейЭто политика Разрешить только локальные профили. Если данная политикавключена, то, когда пользователь с перемещаемым профилем впервыеначнёт работу, его профиль не будет скопирован из сети, а вместо этогобудет создан новый локальный профиль, который останется в компьютерепосле окончания пользователем сеанса работы. Таким образом, этаполитика подходит для компьютеров, в которых следует обеспечить какможно более быструю регистрацию независимо от состояния сети. Удобнаона и для администратора, позволяя ему проверить, регистрировался лии когда именно тот или иной пользователь на данном компьютере.Ограничение объёма профиляЭто политика Ограничить объём профиля. Она полезна вообще (с точкизрения ограничения нагрузки на сеть), но особенно — для того компьютера,за которым может работать много пользователей, чьи профили могутбыстро заполнить весь его жесткий диск.Если эта политика включена, то при достижении профилем порога допустимогоразмера пользователю будет показано предупреждающее сообщениеи завершение сеанса работы станет невозможно, пока пользовательне уменьшит объем своего профиля. Данную политику обязательноприменять вместе с настройкой домашней папки, чтобы пользовательмог перенести личные документы из папки «Мои документы», входящейв профиль, в эту папку.13.7. ИтогиВ системах семейства Windows NT/2000/XP каждый пользователь имеетсвой профиль, содержащий его индивидуальные настройки рабочейсреды, приложений и, по умолчанию, личные документы. Другим пользователямэтот профиль недоступен.При регистрации пользователя операционная система проверяет в системномреестре, существует ли уже профиль данного пользователя на этомкомпьютере. Если да, то он применяется, если нет, то создается новый.По завершении сеанса работы изменения, внесённые пользователем, становятсячастью профиля и применяются при следующей регистрации.Чтобы новые профили выглядели одинаково, нужно создать шаблонпрофиля в папке «Default User» в сетевой папке NETLOGON на контроллередомена.258

Глава 13. Профили пользователейПользователям, работающим за разными компьютерами, пригодитсяперемещаемый профиль, который хранится на сервере, а применяется налюбой рабочей станции, на которой регистрируется этот пользователь,обеспечивая таким образом одинаковую рабочую среду и доступ к одними тем же личным документам. Недостатком перемещаемых профилейявляется повышенная нагрузка на сеть.Когда пользователь впервые регистрируется на некотором компьютере,весь профиль копируется в этот компьютер с сервера. Пока профиль нескопировался полностью, пользователь не может начать работу.Чтобы запретить пользователям вносить изменения в стандартный профиль,вы можете сделать их профили обязательными, переименовав файлNTUSER.DAT в NTUSER.MAN. Запретить только некоторые измененияможно с помощью групповых политик.Использование обязательных профилей не рекомендуется, потому что онитребуют от администраторов дополнительной работы. Если они вам всетакинужны, то необходимо создать к каждому обязательному профилюдомашнюю папку на сервере, которая будет служить для хранения личныхдокументов вместо папки «Мои документы», являющейся частью профиляи в случае обязательности профиля недоступна для изменений.Состояние сетиВ нашей сети появился шаблон профиля для новых пользователей. Он находитсяна контроллере домена SRVR001 в папке NETLOGON\Def ault User.Для пользователей из отдела продаж созданы перемещаемые профили,хранящиеся на сервере SRVR001 в папке С : \TravProf iles. Группе администраторовпредоставлено право полного доступа к этим профилям.259

Принтер в сети.Настройкасетевого принтераГде и как установить принтерКак о принтере узнаютпользователиОптимизация поиска принтеровУстановка принтера: другиевозможностиЧто делать, если печатьидет слишком медленно?MICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Печать документов — одна из главных функций компьютерной сети. Длякачественной и быстрой печати документов и отсутствия проблем с нейнеобходимо хорошо отрегулировать следующие устройства и программы:принтеры, интерфейс для их подключения, серверы печати. Все это,разумеется, необходимо должным образом соединить и настроить.Рано или поздно скорость печати перестает удовлетворять некоторыхпользователей. Пути решения этой проблемы, безусловно, существуют,и иногда они бывают неожиданно просты. В этой главе мы рассмотримосновные вопросы настройки инфраструктуры печатающего оборудованияи способы удовлетворить растущие запросы пользователей.14.1. Где и как установить принтерДля начала определим несколько терминов.• Печатающее устройство (принтер) — устройство, выполняющее печатьнапрямую на бумагу или подобный ей носитель.• Драйвер — программа или несколько программ, служащих для коммуникациимежду компьютером и печатающим устройством. Драйверыявляются частью операционной системы или прилагаются производителямиустройств.• Сетевой интерфейс — интерфейс, посредством которого принтер,поддерживающий протокол ТСРДР, присоединяется непосредственнок сети. Пример — принтер HP JetDirect.• Сервер печати — компьютер, на котором документы обрабатываютсядля печати, задается порядок их печати и с которого документы посылаютсяна печатающее устройство.Наше предприятие купило принтер, который собирается предоставить враспоряжение всех пользователей (в дальнейших примерах будем считать,что это принтер LaserJet 2100). Кроме этого, к серверу подключен принтерHP DeskJet 690C, который для пользователей не предназначен.261

Microsoft Windows Server 200314.1.1. Способы подключения принтеровБольшинство принтеров можно присоединить к компьютеру через портUSB или параллельный порт (LPT), но это решение пригодно только вдомашних условиях, когда у пользователя рядом стоят единственный компьютери единственный принтер. В локальной сети предприятия удобнееиспользовать принтеры, подключаемые непосредственно к сети.14.1.2. Установка струйного принтера дляобслуживания сервераМетодика установки струйного принтера в данном случае выглядит следующимобразом:1. Зарегистрируйтесь на SRVR001 как администратор. Откройте окноПуск -> Принтеры и факсы. Выберите из панели задач печати задачуУстановка принтера.2. Запустится Мастер установки принтера. Нажмите кнопку Далее. Вследующем окне выберите Локальный принтер, подключенный кэтому компьютеру и снимите флажок Автоматическое определениеи установка принтера «Plug and Play».3. В диалоговом окне Выбрать порт принтера оставьте исходное значение(рис. 14.1) и нажмите Далее.4. В диалоговом окне Установить программное обеспечение принтеравыберите из списка Изготовитель пункт HP, а из списка Принтерыпункт HP DeskJet 690C. Нажмите Далее.5. В диалоговом окне Название принтера оставьте слова HP DeskJet690С и нажмите Далее.Мастер установки npurfi еровВыберите порт принтераСвязь компьютеров с принтерами производится чере:Создать новый порт:'.ПодробнеРис.14.1. Принтер будет установлен на порт LPT1262

Глава 14. Принтер в сети. Настройка сетевого принтера6. В окне Использование общих принтеров выберите пункт Нет общегодоступа к этому принтеру. Принтер предназначен только для сервера,поэтому нет необходимости открывать к нему сетевой доступ.7. В диалоговом окне Напечатать пробную страницу выберите пунктда или нет в зависимости от того, есть ли у вас сейчас возможностьнапечатать страницу, нажмите Далее и завершите работу мастеранажатием кнопки Готово.Значок установленного принтера появится в папке «Принтеры ифаксы».14.1.3. Установка лазерного принтера дляобслуживания пользователейЧтобы подключить принтер HP LaserJet 2100 к сети, вам придется дополнительнокупить сетевую карту HP JetDirect и установить для него собственныйIP-адрес, который можно задать при помощи программы, прилагаемойк принтеру, либо получить от сервера DHCP. Более подробнуюинформацию вы найдете в инструкции или руководстве к принтеру.IP-адрес принтера должен быть всегда одним и тем же, поэтому, есливы собираетесь арендовать адрес в службе DHCP, то это должен бытьзарезервированный IP-адрес. Другим решением была бы статическаяадресация, выгодная тем, что позволяет избежать проблем, связанных снедоступностью сервера DHCP.Резервирование адресаВ главе 3 мы отвели для принтеров и других сетевых устройств диапазонадресов от 192.168.10.12 до 192.168.10.16. Назначим данному принтерупервый адрес из этого диапазона. Нам понадобится еще один параметр —физический МАС-адрес сетевой карты HP JetDirect. В инструкции пользователядолжно быть написано, как можно его определить.1. Зарегистрируйтесь на SRVR001 как администратор. Откройте консольDHCP.2. В окне консоли раскройте контейнер srvrOOl.study.local[192.168.10.2], а затем область [192.168.10.0] Main Office.3. Правой кнопкой мыши щелкните по значку Резервирование и изконтекстного меню выберите команду Создать резервирование.4. В диалоговом окне Создать резервирование введите название принтера,в поле IP-адрес введите 192.168.10.12, а в поле МАС-адрес —физический адрес сетевой карты. Остальным параметрам оставьтеисходные значения и нажмите кнопку Добавить.263

Microsoft Windows Server 2003» резервированиеВведите информацию о зарезервированном клиенте.•Имя клиента: Принтер HP 2100Описание:" ПсюдердиБзамые типы *С только ОНСРI Принтеры и факсы. Выберите из панели задач печати задачуУстановка принтера.2. Запустится Мастер установки принтера. Нажмите кнопку Далее. Вследующем окне выберите Локальный принтер, подключенный кэтому компьютеру и снимите флажок Автоматическое определениеи установка принтера «Plug and Play». Нажмите Далее.Примечание.На первый взгляд может показаться, что надо было выбрать вариант Сетевойпринтер, но мы собираемся сделать SRVR001 сервером печати.3. В диалоговом окне Выберите порт принтера поставьте переключательв положение Создать новый порт и выберите из спискаСтандартный порт TCP/IP. Нажмите Далее. Запустится Мастердобавления стандартного TCP/IP-порта принтера.4. Пока новый принтер не прописан в службе DNS, он идентифицируетсятолько по IP-адресу: введите в поле Имя принтера или IP-адресназначенный адрес 192.168.10.12. Нажмите Далее.264

Глава 14. Принтер в сети. Настройка сетевого принтера5. В диалоговом окне Требуются дополнительные сведения о порте выберитепункт «Hewlett Packard Jet Direct» и нажмите кнопку Далее.Еще раз проверьте заданные параметры и нажмите Готово.6. В диалоговом окне Установить программное обеспечение принтеравыберите из списка Изготовитель пункт HP, а из списка Принтеры —пункт HP LaserJet 2100.7. В диалоговом окне Имя принтера оставьте имя по умолчанию (HPLaserJet 2100), в нижней части окна выберите ответ Да.8. В диалоговом окне Использование общих принтеров выберите Нетобщего доступа к этому принтеру. Мы откроем общий доступ позже.9. Далее можете напечатать или отказаться от печати пробной страницыи завершите работу Мастера нажатием кнопки Готово.14.1.4. Настройка сервера печатиУстановкой принтеров мы добавили к списку ролей компьютера SRVR001еще одну роль — сервера печати. Теперь именно на этом компьютерезадания на печать будут ставиться в две очереди, и только он будет непосредственносвязываться с двумя принтерами.Настройка сервера печати не зависит от количества или типа установленныхпринтеров.Зарегистрируйтесь на SRVR001 как администратор. Откройте окно Пуск-> Принтеры и факсы. Выберите из строки меню команду Файл —> Свойствасервера (рис.14.3).т. Свойства: Сервер печатиФормы j Порты] Драйверы | Дополнительные параметры10x1411x1712x11~ Описание размеров Формы • \Системе еаиниц-

Microsoft Windows Server 2003Самые важные для управления принтерами параметры находятся на вкладкеДополнительные параметры. Здесь можно настроить следующее:• Папка очереди печати: это папка на жестком диске компьютера, вкоторую помещаются задания печати для всех принтеров и происходитих обработка. С точки зрения надежности выгоднее размещатьэту папку не на том диске, на который установлена операционнаясистема. На этом диске должно быть достаточно места, потому чтонехватка места в процессе печати может вызвать сбой печати.Смена этой папки будет осуществлена сразу после того, как вы нажметекнопку ОК. Если в папке в этот момент были какие-то задания,ожидающие выполнения, то их печать будет отменена. Это значит,что смену папки следует проводить в то время, когда в очереди неттекущих заданий.• Вести журнал ошибок очереди печати, Вести журнал предупрежденийочереди печати, Вести журнал сообщений очереди печати: флажки,отвечающие за то, какие именно события печати будут отражены впротоколе приложения. Этот протокол можно просмотреть в окнеконсоли Администрирование —> Просмотр событий. По умолчаниюпротоколирование включено.• Звуковой сигнал при ошибках удаленной печати документов: этафункция полезна лишь в том случае, если сервер находится в «радиусеслышимости» администраторов, в противном случае сигнал никто неуслышит. По умолчанию звуковой сигнал выключен.• Показывать уведомления локальных принтеров: если этот флажокустановлен, то состояние, в котором находятся задания печати на локальныхпринтерах, будет отображено в форме контекстной подсказкина компьютере пользователя, пославшего это задание. По умолчаниюрежим выключен.• Показывать уведомления сетевых принтеров: отображать состояние,в котором находятся задания печати на сетевых принтерах, на компьютерепользователя, пославшего это задание. По умолчанию режимвключен.• Уведомление о завершении удаленной печати документов: пользователюбудет отослано сообщение, что документ отпечатан. По умолчаниюэта функция выключена.• Передавать уведомление на компьютер, а не пользователю: есливключен предыдущий режим, можно включить и этот. В этом случаеуведомление о печати будет отослано не пользователю, а компьютеру,с которого документ был отправлен на печать.266

Глава 14. Принтер в сети. Настройка сетевого принтера14.1.5. Настройка принтеровПеред тем как предоставить пользователям возможность работать сустановленным принтером, необходимо настроить его. Отобразите окносвойств принтера, выбрав команду Свойства из контекстного меню значкапринтера в окне папки Принтеры и факсы. Окно свойств состоит изнескольких вкладок.• Вкладка Дополнительно. Здесь вы можете указать часы, в которыепринтер будет доступен для печати. Активируйте пункт «Доступенс ... по ...» и введите время, в которое печать на данном принтеребудет возможна. Если пользователь отошлет документ на печать внеуказанное время, то задание будет не отклонено, а поставлено вочередь и напечатано в разрешенное время.• Вкладка Безопасность. Здесь задаются разрешения: отдельно на печатьи отдельно на управление документами и управление принтером.По умолчанию разрешение на печать предоставлено группе «Все», ауправлять документами пользователь имеет право только собственными.Это значит, что он не может удалить из очереди документ,поставленный туда другим пользователем.• Вкладка Доступ. Здесь вы можете открыть сетевой доступ к принтеру.Установите переключатель в положение Общий доступ к данномупринтеру, а в поле Сетевое имя введите название, под которым принтербудет известен в сети (например, НР2100).Также убедитесь в том, что установлен флажок Внести в Active Directory.Активация этого параметра значит то, что в доменной базе данных ActiveDirectory появится объект сетевого принтера, через который пользователисмогут его найти. Иными словами, активацией этого пункта вы донесетедо пользователей информацию о доступности этого принтера для всехпользователей, которым вы предоставили разрешение на печать.Кнопка Дополнительные драйверы позволяет подключить этот принтерв качестве сетевого пользователям, сидящим за компьютерами с операционнымисистемами версий более ранних, чем Windows 2000. Дляподключения сетевого принтера к рабочей станции под управлениемWindows NT 4.0 нужны драйверы, которых в этой операционной системенет. Она будет искать их в папке с драйверами на сервере (\\SRVR001\print$), а если не найдет, то потребует установить их с диска. Полномочийна установку драйверов у рядового пользователя нет, значит, этупроблему придется решать вам как администратору.Нажмите кнопку Дополнительные драйверы (рис. 14.4). Для операционнойсистемы Windows NT 4.0 установите флажок х86 и нажмите ОК. После этогодрайверы принтера HP LaserJet 2100 для системы Windows NT 4.0 будутпомещены на сервер печати, откуда система, установленная на компьютерепользователя, автоматически скачает и установит их при первой печати.267

Microsoft Windows Server 2003LWCDKHO установить дополнительные драйверы, чтобы• пользователи, указанных операционных систем могли мгрузить:автоматически при подключении.{• •; 'Обработ...• ItaniumВ х86• Х86• Х86Версия'Windows ХР и Windows Server 2003Windows 2000, Windows XP и Wind...Windows 9S, Windows 98 и Windo...Wildows NT 4.0Устан...НетДаНетНетГРис.14.4. Установка драйверов принтера для других операционных системПримечание.Если впоследствии вы обновите драйверы данного принтера для всех операционныхсистем (в том числе Windows NT 4.0), клиентские операционные системы передначалом следующей печати скачают новые драйверы и также автоматическиустановят. В системах семейства Windows NT проверка наличия новейшей версиидрайвера производится перед печатью каждого документа.14.1.6. Проверка наличия принтерав активном каталогеАктивацией пункта «Внести в Active Directory» запись о сетевом принтередобавляется в доменную базу данных Active Directory. Необходимоубедиться в том, что она там есть.Зарегистрируйтесь на SRVR001 как администратор. Запустите консольActive Directory — пользователи и компьютеры.Раскройте объект 5Ша"уЛоса1\Контроллеры домена и щелкните по SRVR-001. В правой части окна консоли отобразится значок сетевого принтера.Изучите свойства этого объекта. Возможно, вы получите некую новуюинформацию о нем. О том, как и для чего она применяется, пойдет речьниже.268

Глава 14. Принтер в сети. Настройка сетевого принтера14.2. Как о принтере узнают пользователиС тех пор, как на рынок поступила операционная система Windows 2000,корпорация Microsoft изменила политику в области разработки программподдержки печати. Они стали более практичны и требуют от пользователяменьшей квалификации. Теперь пользователю не нужно узнавать, какойиз сетевых принтеров поддерживает цветную печать, чтобы отправитьсвои фотографии именно на него. Ему вообще не нужно ничего знать о характеристикахпринтеров. Операционная система сама выберет принтер,на котором можно отпечатать документ с заказанными параметрами.Чтобы проверить это утверждение, зарегистрируйтесь на РС001 какрядовой пользователь, запустите Блокнот и напишите несколько строк.Отправьте текстовый документ на печать:1. Выполните команду Файл -> Печать и откажитесь от установкипринтера.2. В диалоговом окне печати нажмите кнопку Найти принтер.3. В окне Поиск: Принтеры перейдите на вкладку Возможности. Допустим,вам требуется отпечатать черно-белый документ на листеформата А4 с максимальной скоростью. Из списка Формат бумагивыберите А4, в поле Минимальная скорость печати введите значение8 (страниц в минуту) и нажмите Поиск. Через некоторое времяв нижней части окна появятся результаты поиска: принтер HPLaserJet 2100 поддерживает все характеристики печати, которыенам нужны.4. Щелкните правой кнопкой мыши по значку найденного принтераи из контекстного меню выберите команду Подключить. Нажатиемкнопки ОК закройте диалоговое окно.Найденный и подключенный таким образом принтер останется в распоряжениипользователя точно так же, как если бы он подключал егосамостоятельно.Теперь хорошо бы узнать, где физически находится отпечатанный документ.Для этой цели среди свойств принтера существует пункт «Размещение»,который должен заполнить администратор. Это можно сделатьв ходе установки принтера или позже. Информацию о размещениирекомендуется записывать в следующем виде:Место/Город/Номер дома/Этаж/Комната(например, Центральный офис/Санкт-Петербург/ЗВ/4/412),где Место — это сайт домена Active Directory, то есть подразделение, вкотором находится контроллер домена (дальнейшие сведения о понятии«Сайт» вы найдете в главе 27).269

Microsoft Windows Server 20031. Зарегистрируйтесь на SRVR001 как администратор. Откройте окноПуск —> Принтеры и факсы.2. Отобразите окно свойств принтера HP LaserJet 2100 и перейдите навкладку Общие.3. В поле Размещение введите описание физического расположениясервера печати и нажмите ОК.Теперь в диалоговом окне Поиск: Принтеры пользователь сможет просмотретьинформацию о размещении найденных принтеров и выбратьдля печати ближайший к своему рабочему месту.Искать принтеры можно не только в диалоговом окне Печать какого-либоприложения. Для этого также служит команда Поиск в главном меню.14.3. Оптимизация поиска принтеров14.3.1. Методика и этапы оптимизациипоиска принтеровЕсли ваше предприятие целиком расположено в одном здании, то этотпараграф можете пропустить. Он посвящен тому, как сделать, чтобы длякаждого пользователя поиск принтера возвращал только те принтеры, ккоторым у пользователя есть физический доступ, то есть расположенныев одном с ним здании.Если пользователь введет в диалоге поиска принтеров в поле Местона вкладке Принтеры название «Центральный офис», то поиск будетпроизводиться только среди тех принтеров, в свойстве «Размещение»которых присутствует «Центральный офис». Но компьютер пользователясам находится в центральном офисе, так нельзя ли заполнять это полеавтоматически?Можно. Для этого вам понадобится инструмент, с которым вы еще неработали: консоль Active Directory — сайты и службы. С его помощьюможно переименовать свой сайт в Central_Office, после чего новое названиебудет автоматически вноситься в поле Место в диалоге поиска.Переименование сайта не имеет значения для его функционирования,его можно рассматривать просто как некую инвентаризацию, проводимуюдля того, чтобы администратору и пользователям было прощеориентироваться в домене.2701. Зарегистрируйтесь на SRVR001 как администратор и запуститеконсоль Пуск —> Администрирование —> Active Directory — сайтыи службы.

Глава 14. Принтер в сети. Настройка сетевого принтера2. В окне консоли, где по умолчанию отображаются только сайты,а службы скрыты, щелкните правой кнопкой мыши по значку«Исходное название первого сайта» и замените название наCentral_Office.3. Щелкните правой кнопкой мыши по значку Подсети и из контекстногоменю выберите команду Новая подсеть (рис. 14.5). Задайте для новойподсети по имени Central_Office адрес и маску, как показано на рисунке,выберите в списке Имя сайта Central_Office и нажмите ОК.Новый объект •? ПодсетьИИСоздав study.bcal/CРис.14.5. Диалог задания подсети4. Щелкните правой кнопкой мыши по новому объекту подсети и выберитекоманду Свойства.5. На вкладке Размещение введите название Central_Office. Именноэто название будет автоматически вводиться в поле Место в окнепоиска принтеров.6. Закройте консоль Active Directory — сайты и службы и запуститеконсоль Active Directory — пользователи и компьютеры.7. Вызовите окно свойств домена study. local. Перейдите на вкладкуГрупповые политики и выберите объект Default Domain Policy.8. В консоли Редактор объектов групповой политики раскройте объектКонфигурация компьютера\Административные шаблоны\Принтеры.В правом окне консоли найдите политику Pre-populate printer searchlocation text (Заполнение строки поиска принтеров) (рис. 14.6) ивключите ее.271

Microsoft Windows Server 2003inGroup Polity Object fcditur&ансояь Действие gn4 справкаД? Политика Default Domain Policy [я|ijjj| Конфигурация компьютераШ 1LJ Конфигурация программfig- £^ Конфигурация WindowsБ Ш Административные шаблсШ Qj| Windows ComponentsIJHp SystemЙ!"СЭ Network'••-6* PrintersВ (dJJ Конфигурация пользователя[+!•• QjJ Конфигурация программЩ iEj Конфигурация WindowsЩ О Административные шаблсСостояниеAllow printers to be publishedAllow pruning of published printers*Jf Automatically publish new printers in Active DirectoryЩ Check published stateComputer locationCustom support URL In the Printers folder's left paneDirectory pruning intervalDirectory pruning priority$$i Directory pruning retryDisallow installation of printers using kernel-mode driversLog directory pruning retry events£J| Printer browsingPrune printers that are not automatically republishedAllow Print Spooler to accept client connectionsJ§i Web-based prlntngHe заданаHe заданаHe заданаHe заданаHe заданаHe заданаHe заданаHe заданаHe заданаHe заданаHe заданаHe заданаВключенаHe заданаHe заданаЛ] \ Расширенный ^ Стандартный ГРис. 14.6. Групповые политики, относящиеся к принтерамОсталось актуализовать настроенные свойства, параметры и политикина всех клиентских компьютерах. Через час-два это будет сделано автоматически.Вручную это можно сделать двумя способами: перезагрузивклиентский компьютер или запустив на нем утилиту командной строкиGPUPDATE.14.3.2. Ограничения на поиск принтеровКонкретный пользователь сможет найти принтер, только если для этогопринтера выполнены следующие условия:272• К принтеру открыт сетевой доступ. Мы не открывали доступа к HPDeskJet 690 С, поэтому он при поиске не отображается.• Принтер опубликован в активном каталоге. Если сервер печати работаетпод управлением ОС Windows 2000/ ХР или Windows Server2003, то подключенный к нему принтер публикуется в базе данныхActive Directory автоматически. Если же на нем установлена WindowsNT 4.0, то предоставлять принтер в распоряжение пользователейнадо вручную.

Глава 14. Принтер в сети. Настройка сетевого принтера• Этому пользователю разрешена печать на этом принтере. По умолчаниюразрешение на печать предоставляется группе «Все». Если выограничите доступ другой группой, то пользователи, не входящие вэту группу, не увидят принтера в списке доступных.Из списка доступных исключаются также те принтеры, чей сервер печатинекоторое время не отвечает на запросы контроллера домена (например,этот компьютер выключен). Для того, чтобы этого не происходило, нужноотключить политику Удалять принтеры, которые не были автоматическиповторно опубликованы (Prune printers that are not automaticallyrepublished).Примечание.Этот пункт важен, если в нашей сети больше одного контроллера домена. Если онявляется единственным и выключен в настоящий момент, то неважно, доступен липринтер, все равно печать невозможна.Среди групповых политик, относящихся к принтерам (Конфигурациякомпьютера\Административные шаблоны\Принтеры) есть еще несколькополезных вещей:Разрешить публикацию принтеров (Allow printers to be published). Еслиотключить эту политику, то со вкладки Доступ диалогового окна свойствпринтера исчезнет пункт Добавить в Active Directory. Я упоминаю обэтой политике не для того, чтобы вы ей пользовались, а чтобы вы знали,где в случае чего искать проблемы.Проверять состояние публикации (Check published state). Если отключитьпринтер от сервера печати, то его объект исчезнет из активного каталогане сразу. Служба очистки запускается на контроллере домена по умолчаниюкаждые 8 часов. Она опрашивает опубликованные принтеры, и еслине получит ответа три раза подряд (то есть в течение суток), то удаляетпринтер из списка доступных. Интервал опроса можно установить черезполитику Directory pruning interval (Интервал очистки Active Directory),а количество попыток (до 6) — через политику Directory pruning retry(Повторы при очистке Active Directory).14.4. Установка принтера:другие возможностиНемногие пользователи знают, что подключенные к сети принтеры, ккоторым у них есть доступ, они могут инсталлировать на свой компьютер,даже не имея полномочий администратора. Установка при помощиМастера установки принтеров в этом случае проходит примерно так же,как установка принтера на сервере печати.273

Microsoft Windows Server 20031. Зарегистрируйтесь на РС001 как рядовой пользователь.2. Откройте окно Пуск —> Принтеры и факсы и выберите задачу Установкапринтера. Запустится уже знакомый нам Мастер установкипринтеров. Нажмите кнопку Далее.3. В диалоговом окне Локальный или сетевой принтер убедитесь, чтоне выбран вариант локального принтера, потому что рядовой пользовательне имеет права устанавливать локальные принтеры.4. В следующем окне установите переключатель в положение Обзорпринтеров, если вы уверены, что сможете найти принтер в активномкаталоге, а если нет — то в положение Подключиться к принтеруили выполнить обзор принтеров. Нажмите Далее.5. Если вы выбрали Обзор принтеров, то выполните поиск, как описанов п. 14.2, а если другой вариант, то вы должны знать сетевое имяпринтера и какой компьютер является для него сервером печати. Вамбудут предъявлены все серверы печати, к которым вы как рядовойпользователь имеете доступ. Выберите сервер и принтер и нажмитеДалее. Для завершения работы Мастера нажмите Готово.Пользователи старой школы подключаются к сетевым принтерам именнотак, предварительно выяснив у администратора имена серверов печатии принтеров. А с точки зрения корпорации Microsoft излишние знаниядля пользователя вредны, и он вполне может довольствоваться автоматическимпоиском принтера.Есть еще немало администраторов, которые думают, что выражение«сетевой принтер» означает принтер, подключенный непосредственно ксети через классический кабель UTP или STP, а не к компьютеру черезпараллельный порт. Это ошибка. С точки зрения операционной системы,сетевой принтер — это принтер, который локально инсталлирован накакой-нибудь компьютер (сервер печати) и доступен по сети либо непосредственно,либо через этот компьютер. Важно то, что на клиентскомкомпьютере этот принтер всегда нужно устанавливать как сетевой.Если администратор установит его на некоторую рабочую станцию как локальный(у обычного пользователя нет такого права), он сделает (возможно,сам того не зная) эту рабочую станцию сервером печати. После этого всяобработка задания на печать будет происходить на рабочей станции, отнимаяпочти все ресурсы центрального процессора. Обычная работа пользователяво время подготовки файла к печати станет невозможна. Если же принтерустановлен как сетевой, то обработка задания на печать на рабочей станциисводится к передаче файла по сети на сервер печати.Обратите внимание, что принтер, установленный пользователем каксетевой, становится частью пользовательского профиля. Если на даннойрабочей станции регистрируется другой пользователь, которому тоженужно печатать, ему придется выбирать и устанавливать сетевой принтердля себя заново.274

Глава 14. Принтер в сети. Настройка сетевого принтера14.5. Что делать, если печатьидет слишком медленно?На работу в организацию устраиваются новые и новые сотрудники, увеличиваютсяобъемы печати, у серверов печати появляются новые и новыефункции и т. д. Причин может быть много, но результат всегда одинаков —недовольство пользователей.14.5.1. Больше или меньше принтеров?Что лучше — выделить отдельный дешевый принтер каждому пользователюили поставить один принтер на весь отдел (гораздо более дорогой,но и с лучшими характеристиками)? Сравним эти две возможности сточки зрения администрирования.Если принтеры будут приобретены для каждого пользователя, то администраторунеобходимо установить каждый из них как локальный, регистрируясьна каждой рабочей станции под учетной записью администратора.Затем ему придется следить за правильной их работой, осуществлятьзамену картриджей, вытаскивать застрявшую бумагу и т.д.Если же выбор был сделан в пользу одного производительного принтера,администратору понадобится только установить его как сетевой и открытьк нему доступ, а подключаться к нему пользователи будут самостоятельно.Один принтер и обслуживать гораздо проще, чем несколько десятков.На практике вы, весьма вероятно, столкнетесь с ситуацией, когда наодин отдел установлен один общий принтер, но приблизительно у 5%пользователей есть еще и собственные принтеры. Если того требуютобстоятельства, то это самое выгодное решение (например, совершенноизлишне покупать большой цветной принтер, если распечатать что-нибудьв цвете нужно раз в месяц). У вас будет меньше работы, а предприятиесэкономит на этом.Все ситуации, когда пользователи недовольны скоростью печати, можноразделить на 2 группы:• Все пользователи недовольны, так как скорость печати в самом делениже всякой критики.• В целом пользователи довольны скоростью печати, но начальствонедовольно тем, что приходится ждать, пока очередь дойдет до егодокументов.275

Microsoft Windows Server 200314.5.2. Если недовольны все. Пул принтеровСамым слабым звеном инфраструктуры печати в крупных организацияхявляются обычно сами принтеры. Сетевая инфраструктура, емкость ипрочие параметры серверов печати обычно в порядке, проблема в том,что сам принтер из-за ограниченности технических возможностей неможет отпечатать большего количества страниц в минуту. Обновлениедрайверов принтера вам не поможет, и вы полагаете, что единственныйспособ — закупить новые, более совершенные принтеры. Но начальствопросит найти более простое и дешевое решение. Такое решение действительносуществует.Если проблема в самом принтере, то, очевидно, вам не придет в головуничего, кроме его замены или добавления еще одного. Решение, котороев системе Windows носит название «Пул принтеров» (Printer pooling),основано на добавлении нового принтера, точно такого же, как имеющийся,или по крайней мере работающего с тем же самым драйвером(для принтеров компании HP это обычно не проблема).Добавление принтера в пул является заботой исключительно администратора.Пользователям не нужно подключаться к нему дополнительно;они даже не заметят, что в сети прибавилось принтеров, а почувствуюттолько, что печать стала быстрее.Допустим, вы купили еще один принтер HP LaserJet 2100, подключилиего к сети с помощью кабеля UTP или STP и назначили ему IP-адрес192.168.10.13 так, как описано в п.14.1.3. Теперь выполните следующее:1. Зарегистрируйтесь на SRVR001 как администратор. Откройте окносвойств принтера HP LaserJet 2100 (имеющегося).2. Перейдите на вкладку Порты и нажмите кнопку Добавить порт. Выберитеиз списка «Стандартный порт ТСРДР». Запустится Мастердобавления стандартного ТСРДР порта принтера. Нажмите Далее.3. Введите в поле Имя принтера или IP-адрес адрес 192.168.10.13 инажмите Далее.4. В диалоговом окне Требуются дополнительные сведения о портевыберите пункт Hewlett Packard Jet Direct и нажмите Далее. Длязавершения работы Мастера нажмите Готово.5. В диалоговом окне Завершение мастера добавления стандартногоTCP/IP порта принтера еще раз проверьте заданные параметры инажмите кнопку Готово.6. Перейдите на вкладку Доступ в окне свойств принтера. Вы увидитеновый порт 192.168.10.13. В нижней части вкладки установитефлажок Разрешить пул принтеров и отметьте все порты, к которымподключен принтер (192.168.10.12 и 192.168.10.13). Закройте окносвойств принтера.276

Глава 14. Принтер в сети. Настройка сетевого принтераТеперь сервер печати будет отправлять документы пользователей на то издвух печатающих устройств, которое менее загружено. При этом каждыйфайл отправляется целиком на одно устройство, так что пользователю непридется собирать страницы своего документа с разных принтеров.Физически новое печатающее устройство может быть расположено где угоднов пределах сети, но, поскольку принтер пользователи видят только один иориентируются на его свойство «Размещение», имеет смысл поставить новоеустройство рядом со старым или во всяком случае в том же здании.14.5.3. Если недовольна только часть пользователей.Назначение и настройка приоритетов печатиЕсли недовольна лишь часть пользователей, то ситуацию можно разрешитьеще более простым способом (без необходимости докупать и устанавливатькакое-либо оборудование). Речь идет о том, чтобы предоставитьприоритетные права на печать недовольной группе, то есть сделать так,чтобы каждый документ от этой группы ставился в очередь на первоеместо. Для этого понадобится настроить сетевые принтеры на компьютерахпривилегированной группы.Установка приоритетов печати на сервереНа время настройки приоритета нужно отключить использование пулапринтеров и второго IP-адреса.1. Зарегистрируйтесь на SRVR001 как администратор.2. Создайте локальную доменную группу безопасности под названиемD Print HP LJ 2100 Priority. В эту группу включите недовольныхпользователей.3. Откройте окно Принтеры и факсы и установите еще один локальныйпринтер HP LaserJet 2100 на тот же порт, что и имеющийся принтер(у вас окажется два принтера на одном порту). Оставьте новомупринтеру тот же драйвер, а имя дайте «HP LaserJet 2100 Priority».4. Откройте сетевой доступ к новому принтеру под именем НР2100Р.5. Откройте окно свойств нового принтера и перейдите на вкладку Безопасность.Из списка субъектов доступа удалите группу «Все» и добавьтегруппу «D Print HP LJ 2100 Priority» с разрешением на печать. Затемв перейдите на вкладку Дополнительно и в поле Приоритет введитезначение 10. Закройте диалоговое окно нажатием кнопки ОК.6. Откройте диалоговое окно свойств принтера HP LJ 2100 (старого)и перейдите на вкладку Безопасность. В список субъектов доступадобавьте группу «D Print HP LJ 2100 Priority» и запретите ей вседействия.277

Microsoft Windows Server 2003Подготовка сервера завершена, осталось лишь внести изменения на компьютерахпользователей привилегированной группы.Настройка клиентских компьютеровПри следующей регистрации каждый из пожаловавшихся пользователейокажется членом группы «D Print HP LJ 2100 Priority», которой запрещенапечать на старом принтере. Значит, старый принтер они должныбудут из своего профиля удалить, а новый установить. Если они запустятпоиск принтеров в активном каталоге, то найдут только новый«HP LaserJet 2100 Priority».14.6. ИтогиЕсли вам нужно управлять печатью максимально эффективно, то самымлогичным решением было бы установить принтер с высокими технологическимихарактеристиками с подключением к сети с помощью сетевогокабеля UTP/STP. Далее нужно выбрать компьютер — сервер печати, накоторый этот принтер инсталлируется как локальный. Установка этогопринтера как сетевого на другие компьютеры — это работа пользователей,на которую они имеют право. Установленный сетевой принтерстановится частью профиля пользователя.Когда пользователь отправляет документ на сетевой принтер, подготовкадокумента к печати происходит на сервере печати, не загружая рабочуюстанцию пользователя.Принтеры, подключаемые к серверам печати под управлением ОСWindows 2000 и более новых, автоматически прописываются в активномкаталоге. Пользователь может найти в активном каталоге принтер, отвечающийего требованиям к характеристикам печати (возможность цветнойпечати, разрешение, скорость и т. п.). Поиск проводится только средитех принтеров, к которым у этого пользователя есть доступ на печать. Поумолчанию разрешение на печать предоставляется группе «Все».Если у вас возникли сложности со скоростью печати, у вас в распоряжениидва способа избавиться от них. Если жалуются все пользователи, тоскорее всего мы имеем дело с проблемой нехватки ресурсов принтера.Вы можете подключить еще один точно такой же принтер, объединивих в пул. Если же на скорость печати жалуется только какая-то группапользователей, то вы можете установить для нее другой принтер (чтобудет всего лишь иной формой логической интерпретации все того жепечатного устройства), печать на котором будет выполняться в приоритетномрежиме.278

Глава 14. Принтер в сети. Настройка сетевого принтераКомпьютер, который производит обработку заданий печати, называетсясервером печати. Очередь заданий по печати формируется на его жесткомдиске. По завершении печати файлы очереди печати автоматическиудаляются с диска. Папку очереди желательно размещать не на системномдиске.Еще одна функция сервера печати, полезная пользователям, это уведомлениео завершении печати. По умолчанию она отключена.Состояние сетиВ сети добавились два принтера (черно-белый лазерный и цветной струйный).Оба установлены на сервере печати, к лазерному открыт сетевойдоступ. Сетевой принтер стал частью профиля пользователей.На сервере DHCP зарезервирован IP-адрес для нужд лазерного принтера,подключенного непосредственно к сети через сетевую карту JetDirect.279

Должен лиадминистраторпостоянно сидетьрядом с сервером?Учётные записи администратораИнструменты управления сетьюРабота с инструментами управленияЗапуск приложений от именидругого пользователяУдалённый рабочий столMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Поскольку вы являетесь администратором сети, то есть одним из самыхважных сотрудников предприятия, то ко всему прочему у вас должнобыть ещё и просторное и удобное рабочее место. А где ещё бы вы хранилитонны дисков CD-ROM и DVD, просто необходимых вам в вашейработе?А серверы стоят в какой-нибудь тесной каморке, в которой даже неразвернуться и которая, скорее всего, ещё и под замком. И каждый раз,чтобы попасть в серверную комнату, нужно отметиться в журнале охраны,взять ключ, а на десерт, согласно правилам эксплуатации серверов,в помещении вас ожидает заботливо поддерживаемая почти арктическаятемпература. Не легче ли отказаться от подобных визитов и управлятьсервером на расстоянии?Конечно же, существуют случаи, когда вам просто необходимо быть там:например, подключение нового оборудования или установка нового программногообеспечения, которую нужно производить на месте. Во всехостальных случаях подобных визитов лучше избегать.Компьютерной сетью можно управлять с любой рабочей станции. Инструменты,с помощью которых производится управление отдельнымислужбами или доменом Active Directory прямо на сервере, могут бытьустановлены на клиентском компьютере под управлением Windows 2000/ХР Professional. В этой главе мы расскажем о порядке установки этихутилит и работы с ними. Но вначале — несколько важных поясненийкасательно учётных записей, под которыми можно управлять сетью.281

Microsoft Windows Server 200315.1. Учётные записи администратора15.1.1. Учетная запись рядового пользователяДля безопасной работы сети следовало бы завести две администраторскихзаписи, причём ни одна из них не должна называться Administrator.Одна из них предназначена для обычной работы администратора и должнасоответствовать полномочиям рядового пользователя. Администраторведь не только управляет сетью, но и читает почту, запускает браузерInternet Explorer и другие приложения. С полномочиями администраторадомена этим заниматься опасно. Например, вы, зарегистрировавшись какадминистратор, запустили браузер и зашли на страницу, для правильногоотображения которой требуется наличие элемента Active X. Решение отом, загружать его или нет, вы принимаете самостоятельно, но от негобудет зависеть многое, а именно безопасность и работоспособность сети.Т. к. вы зарегистрированы как администратор, это дает полномочия нетолько вам, но и программам и скриптам, запущенным вами. И вредоносныйкод может беспрепятственно поразить не только ваш компьютер,но также и другие в сети.15.1.2. Учётная запись для текущихадминистративных работЭта запись должна обладать полномочиями администратора домена, итекущие настройки нужно выполнять, зарегистрировавшись под ней.Все важные события в системе регистрируются в системном журнале(это называется аудит) вместе с регистрационным именем пользователя,который совершил это событие. То есть эта учетная запись служит дляотслеживания, кто из администраторов произвел изменения в сети, когдаи какие. Если бы все они работали под одним именем Administrator,то по прошествии некоторого времени невозможно было бы выяснить,кто за что отвечает.А учетную запись Administrator следует оставить для крупнейшихработ в сети: создания сети, изменения ее общих параметров, разбиенияна подсети и т.п. Пароль к этой учетной записи следует охранять особеннотщательно.Учетную запись для обычной работы мы уже создали ранее — это учетнаязапись IT1. Теперь создайте учетную запись для административныхработ (назовите ее, например, iTManagerl) и включите ее в группыDomain Admins и Group Policy Creator Owners.282

Глава 15. Должен ли администратор постоянно сидеть рядом с сервером?Если на предприятии несколько администраторов, создайте по пареучетных записей и для них. Не забудьте включить их обычные учетные записив группы, обеспечивающие доступ к хранилищу документов фирмы(G IT regular и G IT power).15.2. Инструменты управления сетьюДо сих пор мы, сидя за сервером, работали с консолями Active Directory —пользователи и компьютеры, Active Directory — сайты и службы, консолямиуправления службами DNS и DHCP, оснастками Управление компьютероми Просмотр событий. Но в группе Пуск —> Администрированиена рабочей станции под управлением Windows XP Professional вы видитетолько Просмотр событий и Управление компьютером (локальным).Для того чтобы сделать возможным управление сервером, нам нужнопереместить инструменты управления с сервера на рабочую станцию. Ксчастью, это совсем не сложный процесс.15.2.1. Установка консоли управленияУстановка консоли управления производится следующим образом:1. Зарегистрируйтесь на рабочей станции под административной учетнойзаписью iTManagerl.2. Вставьте в привод инсталляционный компакт-диск с операционнойсистемой Windows Server 2003.3. Выполните команду Пуск —> Выполнить и нажмите кнопку Обзор.Перейдите в папку Е: \i386 (здесь Е: — обозначение компакт-диска)и выберите файл ADMINPAK.MSI. Нажмите ОК. Будет запущенМастер установки пакета администрирования системы WindowsServer 2003. Нажмите Далее и следуйте указаниям Мастера.Посмотрите, какие утилиты появились в группе Пуск -> Администрирование.Для проверки выполните следующее:1. Запустите консоль управления DHCP. Вы увидите пустое окно.2. В левой части окна щелкните правой кнопкой мыши по значкуDHCP и из контекстного меню выберите команду Добавитьсервер.3. В диалоговом окне Добавить сервер вы увидите сервер srvrOOl.study, local. Установите флажок Авторизованный сервер и нажмитеОК. В окне консоли появится сервер DHCP, конфигурациякоторого соответствует той, что вы произвели, работая непосредственноза сервером.283

Microsoft Windows Server 200315.2.2. Совместимость инструментов управленияДля определения того, какой пакет администрирования с какой операционнойсистемой совместим, руководствуйтесь следующими правилами:• На Windows XP Professional можно установить пакет ADMINPAK.MSIтолько с установочного компакт-диска системы Windows Server2003.• С помощью инструментов системы Windows XP Professional можноуправлять серверами Windows Server 2003 и Windows 2000 Server.• На Windows 2000 Professional можно установить пакет ADMINPAK.MSIтолько с установочного компакт-диска системы Windows 2000 Server.• С помощью инструментов системы Windows 2000 Professional можноуправлять серверами Windows Server 2003 и Windows 2000 Server.• На русифицированные версии Windows XP Professional и Windows2000 Professional можно установить и англоязычный пакет администрирования.15.3. Работа с инструментами управленияДля начала плохая новость. Не все инструменты, необходимые дляуправления сетью, устанавливаются из файла ADMINPAK.MSI. Теперьхорошая: если вы немного покопаетесь в системе, вы их найдёте. В менюПуск разработчики компании Microsoft поместили чаще всего используемыеинструменты управления.Многим администраторам действительно в течение всей их работы ссистемой Windows Server 2003 другие средства для управления сетью непонадобятся. Однако они существуют, и в этой главе мы скажем, как ихнайти.Примечание.Вас не раздражает, что после установки пакета администрирования в главном менювсё время появляется сообщение о том, что появились новые программы? Если да,то откройте окно свойств главного меню, на вкладке Меню «Пуск» нажмите кнопкуНастроить, перейдите на вкладку Дополнительно и снимите флажок Выделятьнедавно установленные программы.Консоль ММС (Microsoft Management Console)Консоль ММС составляет основу каждой оснастки — инструмента управлениясистемой Windows 2000 и более новых версий. Это легко увидеть:284

Глава 15. Должен ли администратор постоянно сидеть рядом с сервером?если вы запустите сразу несколько оснасток, вы убедитесь, что они похожипо внешнему виду, устройству и принципу работы. Времена, когдауправление учетными записями пользователей было совсем не похожена управление службами, давно прошли.Очень любопытной оснасткой, служащей для управления безопасностьюкомпьютера, является оснастка Шаблоны безопасности. Это как раз одиниз тех инструментов управления, которого нет в главном меню системыWindows XP Professional. Тогда как его запустить?1. Зарегистрируйтесь на рабочей станции под административной учетнойзаписью. Отныне мы будем понимать под ней только записьITManagerl.2. Выполните команду Пуск —> Выполнить и в поле Открыть введитеmmc. Отобразится пустая консоль ММС. Разверните ее окно во весьэкран.3. Выберите команду Консоль —> Добавить или удалить оснастку.Откроется диалоговое окно с тем же названием, представляющеесодержание левого подокна консоли ММС.4. На вкладке Изолированная оснастка нажмите кнопку Добавить. Впоявившемся списке вы найдете как те оснастки, которые уже присутствуютв группе Администрирование, так и скрытые. Выберитеиз списка Шаблоны безопасности и нажмите Добавить. Закройтевсе диалоговые окна.Консоль ММС служит не только для запуска оснасток, которых нет вглавном меню. Она позволяет создавать также собственные оснасткидля управления сетью.Допустим, вы ставите себе задачи: следить за работой служб, отслеживатьсобытия и наличие места на диске на нескольких компьютерах (мы будемрассматривать один сервер SRVR001 и одну рабочую станцию РС001).Вы можете создать по одной оснастке для каждой задачи, объединив вней управление несколькими компьютерами, или по одной оснастке длякаждого компьютера, объединив в ней несколько задач. Выбор зависиттолько от вашего стиля управления: время, затрачиваемое на эту работу,в обоих случаях будет одинаково.Создание собственной оснасткидля администрирования одного компьютераДля создания собственной оснастки для администрирования одного компьютеравыполните следующие действия:1. Зарегистрируйтесь на РС001 под именем ITManagerl. Запуститепустую консоль ММС.285

Microsoft Windows Server 20032. Добавьте в неё оснастку Службы. Когда вы будете добавлять модуль,вам нужно будет определить, на данном или на другом компьютеревы хотите этими службами управлять. Установите переключатель вположение Локальным компьютером и нажмите Готово.3. Точно так же добавьте оснастки Просмотр событий и Управлениедисками. Закройте окно Добавить/удалить оснастку нажатием кнопкиОК.4. Выберите из меню Консоль команду Сохранить как и в поле Имяфайла введите название новой консоли (например, «УправлениеРС001»). По умолчанию вам будет предложено сохранить новуюоснастку в папке «Администрирование», но в группе Пуск —> Администрированиевы ее после этого не найдете. Она появится в группеПуск —> Все программы —> Администрирование. Чтобы не путаться,сохраните новую оснастку просто на рабочем столе.Проделайте те же шаги, чтобы создать вторую оснастку для управлениясервером SRVR001, и сохраните ее на рабочем столе под именем «УправлениеSRVR001».Создание собственной оснасткидля администрирования одной службыДля создания собственной оснастки для администрирования одной службывыполните следующие действия:1. Зарегистрируйтесь на РС001 под именем iTManagerl. Запуститепустую консоль ММС.2. Добавьте в неё оснастку Службы, поставив переключатель в положениеЛокальным компьютером.3. Снова добавьте оснастку Службы, поставив переключатель в положениеДругим компьютером, и введите имя сервера SRVR001.4. Закройте все диалоговые окна и сохраните новую консоль под именем,например, «Службы РС001, SRVR001».Повторите те же действия для оснасток Просмотр событий и Управлениедисками.Примечание.Будьте внимательны, когда будете создавать консоли для управления несколькимикомпьютерами. Если во время запуска оснастки один из них окажется недоступен(не отвечает на запросы), то потребуется некоторое время для того, чтобы консольэто «осознала» и продолжила работу с другими компьютерами. До этого моментаконсоль будет выглядеть так, как будто она зависла.286

Глава 15. Должен ли администратор постоянно сидеть рядом с сервером?Если вы переносите свое администраторское рабочее место на другуюрабочую станцию, вам не нужно создавать консоли заново — достаточноскопировать созданные файлы на новый компьютер. Если они содержаттолько оснастки, являющиеся стандартными компонентами системыWindows XP Professional, то эти консоли будут работать сразу же. Еслиже в них входят инструменты управления сервером, то вам понадобитсяустановить на новой рабочей станции пакет администрированияADMINPAK.MSI.Удалённое управление компьютерами с помощью стандартных консолейММС очень удобно для локальных сетей или для сетей WAN. Консольиспользует для подключения к удалённому компьютеру удалённый вызовпроцедур (Remote Procedure Calls, RPC) и связывается с компьютером,управление которым она проводит, через инструмент WMI (WindowsManagement Instrumentation).15.4. Запуск приложенийот имени другого пользователяВы уже запомнили, что для обычной работы администратор должен регистрироватьсяпод учетной записью с правами рядового пользователя.Допустим, вы вошли под ней, запустили почтовый клиент, Word и Excel,открыли несколько веб-страниц, вступили в беседу по ICQ... и тут звонитпользователь и говорит, что забыл свой пароль. Допустим также, что выпочему-либо не хотите заставлять его ждать. Так что же, закрывать всеприложения, завершать сеанс, регистрироваться с правами администратораи назначать ему новый пароль?В системе Windows XP Professional существует для подобных случаевочень элегантное решение. Вам не нужно ни завершать работу, ни сохранятьеё, ни уж тем более выходить из компьютера. Достаточно сделатьследующее:1. Откройте группу Пуск —> Администрирование и щелкните правойкнопкой мыши по консоли Active Directory — пользователи и компьютеры.2. Из контекстного меню выберите команду Запуск от имени. Отобразитсядиалоговое окно Запуск от имени другого пользователя, гдевы можете указать учетную запись, с правами которой собираетесьзапустить эту консоль.3. Поставьте переключатель в положение Учетную запись указанногопользователя, в поле Имя пользователя введите STUDYMTManagerl,в поле Пароль введите свой пароль и нажмите ОК.287

Microsoft Windows Server 20034. Консоль Active Directory — Пользователи и компьютеры запуститсяс правами администратора, и вы сможете сменить пароль своемупользователю. Закройте консоль и продолжите свой сеанс работыпод именем рядового пользователя.Существуют всего два приложения, которые нельзя запустить от именидругого пользователя: это Проводник Windows и Internet Explorer.15.5. Удалённый рабочий столДопустим, вы пришли к пользователю, чтобы разобраться с неполадкамина его рабочем месте. По какой-то непонятной причине этот пользовательвсё ещё работает в ОС Windows NT 4.0 Workstation. Вам требуется срочновойти с его компьютера на сервер (чтобы удостовериться, например,работает ли та или иная служба, с которой этот пользователь никак неможет связаться). Но инструменты управления системы Windows NT 4.0не работают в домене Active Directory. Что же делать?Решение существует, но сначала его надо подготовить. В системе WindowsServer 2000 оно называется Удалённый рабочий стол, в системе Windows2000 — Служба Terminal Services.15.5.1. Как работает Удалённый рабочий столФункционирование удаленного рабочего стола основано на том, что отклиента к серверу и обратно передается минимум информации. Клиентпосылает только те порции данных, которые получены от внешнихустройств (нажатие на клавишу клавиатуры, перемещение мыши, штрихкод,считанный сканером и т.п.). С сервера на клиентский компьютерпередается только графический образ экрана, и то не весь, а только таего часть, которая изменяется в данный момент (то есть если вы перемещаетеуказатель мыши в правом верхнем углу экрана, то изображениелевого нижнего угла по сети не передается).Объём передаваемых данных настолько мал, что при сравнительно низкойскорости соединения (достаточно 14,4 кбит/с) у пользователя (в данномслучае администратора) создается впечатление, что он работает прямоза сервером.Удалённый рабочий стол — это компонент ОС Windows Server 2003,устанавливаемый по умолчанию, но сразу после установки он отключен.Нужно включить эту функцию и указать, каким пользователям разрешендоступ к ней.288

Глава 15. Должен ли администратор постоянно сидеть рядом с сервером?1. Зарегистрируйтесь на SRVR001 как администратор. Откройте окноСвойства системы.2. Перейдите на вкладку Удаленное использование и установите флажокРазрешить удаленный доступ к этому компьютеру.3. По умолчанию доступ к удаленному рабочему столу разрешен толькочленам группы администраторов. Если вы хотите разрешить доступеще некоторым пользователям (например, своей обычной учетнойзаписи), нажмите кнопку Выбрать удалённых пользователей и добавьтеих.15.5.2. Сколько человек могут одновременноработать «за» сервером?Количество одновременных сеансов работы с удалённым рабочим столомограничено.1. Зарегистрируйтесь на SRVR001 как администратор. Запустите консольНастройка терминальной службы.2. В правой части окна щелкните правой кнопкой мыши по значкуRDP-Tcp (RDP — это протокол Remote Desktop Protocol) и из контекстногоменю выберите команду Свойства.3. Перейдите на вкладку Сетевой адаптер и в поле Максимальноеколичество присоединений попытайтесь изменить количество 2 набольшее. Это будет невозможно.Таким образом, одновременно для рабочего стола может быть открытоне более двух соединений (оба может использовать один итот же пользователь). Служба Terminal Services в системе Windows2000 Server в режиме администрирования подчиняется точно такомуже ограничению, но в ОС Windows Server 2003 существует дополнительноеудобство: третий пользователь может подключиться срабочему столу, зарегистрировавшись непосредственно на сервере(если у него есть такое право).Если вы выполняете за сервером какую-то работу и хотите продолжитьеё с другого компьютера, то можете подключиться к открытомуна сервере сеансу, запустив клиент рабочего стола с аргументом/console.4. Перейдите на вкладку Разрешения и проверьте настройку разрешенийна доступ к удалённому рабочему столу сервера.Кажется, что по сравнению с Windows 2000 Server система WindowsServer 2003 предлагает дополнительную возможность — подключение кудалённому рабочему столу и тех пользователей, которые не являютсячленами группы администраторов. По крайней мере, компания Microsoftпредставляет это так. Но если вы всё же познакомились раньше с воз-10 Зак. 446 289

Microsoft Windows Server 2003можностями службы Terminal Services системы Windows 2000 Server, товы могли заметить, что и там существует та же вкладка Разрешения, накоторой можно добавить в список субъектов доступа рядовых пользователей.15.5.3. Как подключитьсяк удалённому рабочему столуК удалённому рабочему столу можно присоединиться только с помощьюспециального клиента. Раньше он назывался Клиент службы TerminalServices. Теперь существует новая его версия, являющаяся компонентомклиентской ОС Windows XP Professional (и, конечно, серверной WindowsServer 2003), которая называется Подключение к удалённому рабочемустолу.2901. Зарегистрируйтесь на РС001 как администратор.2. Откройте меню Пуск —> Все программы —» Стандартные —> Связь ивыберите команду Подключение к удалённому рабочему столу.3. В поле Компьютер введите имя или IP-адрес сервера, к которомувы хотите подключиться.4. Нажмите кнопку Параметры. На вкладке Экран вы можете отрегулироватьвеличину окна, в котором будет отображаться рабочий столудалённого компьютера. По умолчанию применяются настройкикомпьютера, за которым вы работаете.5. На вкладке Локальные ресурсы определяется, какие из средствлокального компьютера можно будет использовать при подключениик удалённому компьютеру. Изначально включены толькопринтеры, но вы можете также добавить диски и последовательныепорты. Диски стоит прибавить в том случае, если вы захотите, например,сохранить документ, находящийся в работе на удалённомкомпьютере, на диск локального компьютера, на котором вы вданный момент работаете. Последовательные порты понадобятсявам, чтобы перенести на сервер данные с устройства для считыванияштрих-кодов.6. На вкладке Дополнительно можно выбрать скорость соединения.В зависимости от неё будут или не будут доступны остальные стандартныефункции системы (например, отображение содержимогоокна при его перетаскивании).7. Настройки подключения можно сохранить, нажав кнопку Сохранитькак на вкладке Общие.8. Нажмите кнопку Подключить. Отобразится стандартное окно входав систему, в котором вы должны ввести имя и пароль пользователя,у которого есть право на подключение. После этого вы можете работатьс сервером так, как если бы вы сидели прямо за ним.

Глава 15. Должен ли администратор постоянно сидеть рядом с сервером?Для клиентских операционных систем версий, предшествующих Windows2000, где нельзя установить новый пакет администрирования, возможностьподключаться к удалённому рабочему столу является существеннымподспорьем. Но клиент подключения еще нужно установить.Если клиентский компьютер работает под управлением Windows версииболее новой, чем 9х и ME, то можно установить клиент с установочногокомпакт-диска Windows XP Professional или Windows Server 2003. Вставьтекомпакт-диск в привод, дождитесь автозапуска и выберите задачу Другиезадачи -» Установить подключение к удалённому рабочему столу. Далеепоступайте согласно указаниям Мастера установки.Вы можете устанавливать клиент также по сети, из общей папки, содержащейего инсталляционные файлы:1. Зарегистрируйтесь на SRVR001 как администратор.2. Запустите Проводник и перейдите в папку %SYSTEMROOT%\system32\clients. Вас интересует подпапка tsclient. Откройтек ней сетевой доступ и настройте разрешения так, чтобы предоставитьпользователям только разрешение «Чтение и запуск».3. Для установки клиента подключения запустите из этой папки файлwin32\setup.exe с правами администратора.Если у вас установлена старая версия клиента для подключения к удалённомурабочему столу, вы можете использовать и её тоже. Новый клиентсистемы Windows XP Professional можно использовать для доступа кслужбе Terminal services системы Windows 2000 Server.Клиент для подключения к удалённому рабочему столу есть даже в ОСWindows PocketPC 2002, работающей на карманных компьютерах. То естьдаже с такого компьютера вы можете управлять своим сервером! Это,конечно, не так удобно, но в случае необходимости вполне возможно.Огромной выгодой функции Удалённый рабочий стол является возможностьдоступа к ней через Интернет. Для этого необходимо открыть единственныйпорт — 3389 протокола TCP и запросы, адресованные на этотпорт, переадресовать на соответствующий сервер внутри сети. Различныетипы коммуникации между клиентом для подключения к удалённомурабочему столу и самим сервером шифруются автоматически (включаясаму регистрацию), то есть, таким образом, возможность перехвата инанесения вреда передаваемым данным минимальна.291

Microsoft Windows Server 200315.5.4. Удалённый рабочий столв Windows XP ProfessionalWindows XP Professional — это первая клиентская операционная система,к которой можно подключиться удаленно благодаря тому, что она располагаетфункцией Удалённый рабочий стол. В Windows 2000 Professionalэтой функции еще не было.Это значит, вы можете не ходить проверять жалобы пользователя наего рабочее место, а работать за его компьютером, не вставая со своегостула.К сожалению, функциональность удаленного рабочего стола в клиентскойоперационной системе довольно ограничена. Одновременно для рабочегостола может быть открыт только один сеанс, то есть, если к рабочемустолу пользователя подключитесь еще и вы, то локальный пользовательбудет отключен, а его работа не сохранится. В таблице 15.1 показано, чтопроисходит, когда к рабочему столу компьютера, за которым работаетпользователь shopl, подключаются другие.Последствия подключения к удаленному рабочему столу Windows XP Professional Таблица 15.1КтоподключаетсяПоследствияКомментарииShoplс другойрабочейстанцииЛокальныйадминистраторСеанс локального пользователябудет заблокирован. После окончаниясеанса удалённой работыего можно возобновитьСеанс локального пользователябудет остановлен, а после окончанияработы администраторомсеанс будет закрытУдаленный пользователь Shopl подключается коткрытому локальному сеансу и может продолжатьработу с того места, на котором прервал ее,отходя от компьютера (то же самое происходитпри запуске Клиента подключения к удалённомурабочему столу с аргументом /console)Локальный пользователь Shopl лишится всех своихнесохранённых документов и впоследствии несможет сам открыть новый сеанс работы (это сможетсделать только локальный администратор)15.5.5. Комбинации клавишв сеансе удалённого рабочего столаКогда вы подключаетесь к рабочему столу сервера, в верхней части экранапоявляется панель с именем или IP-адресом удалённого компьютера (взависимости от того, что вы задали в окне параметров подключения). Впредыдущих версиях клиента подключения к службе Terminal Servicesэтой панели не было.Назначение трёх кнопок управления в правом углу панели понятно —речь идёт о работе с окном (свернуть, развернуть и закрыть). Значокбулавки в левом углу позволяет закрепить панель на рабочем столе или292

Глава 15. Должен ли администратор постоянно сидеть рядом с сервером?автоматически скрывать ее, как только вы отведете от нее указательмыши.Работая за удаленным столом, вы не можете пользоваться стандартнымикомбинациями клавиш Windows, потому что они перехватываются иобрабатываются локально. Если вы хотите, чтобы нажатие комбинацииклавиш обрабатывалось на удаленном компьютере, нажимайте вместонее эквивалентную комбинацию (табл. 15.2).Эквиваленты стандартных комбинаций клавиш в сеансе удалённого рабочего стола Таблица 15.2СтандартнаякомбинацияCtrl+Alt+DelAlt+TabAlt+Shift+TabAlt+EscPrint ScreenAlt+Print ScreenCtrl+Alt+BreakCtrl+Alt+EndAlt+Page UpAlt+Page DownAlt+lnsertЭквивалентCtrl+Alt+минус(на цифровой клавиатуре)Ctrl+Alt+плюс(на цифровой клавиатуре)НазначениеСвертка/восстановление окна удалённогорабочего столаВызов диспетчера задач системы WindowsПереключение между окнами приложенийПереключение между окнами приложенийв обратном направленииПереключение между окнами приложенийв порядке их запускаКопирование в буфер обмена изображениярабочего столаКопирование в буфер обмена изображенияактивного окна15.5.6. Отключение и завершение сеансаЕсли вам нужно закончить сеанс удалённого рабочего стола и у вас отображенапанель, решение выглядит весьма простым — щелчок по крестику,как для обычного окна приложения. Однако таким образом вы незавершите сеанс, а отключитесь.ОтключениеКогда вы отключаетесь от удалённого рабочего стола, происходит следующее:• Связь между локальным компьютером и рабочим столом серверапрерывается.• Сеанс удалённого рабочего стола на сервере остается открытым, такчто впоследствии вы снова сможете подключиться к нему и продолжитьработу с того же самого места.293

Microsoft Windows Server 2003Отключение можно рекомендовать в среде, где для рядовых пользователейоткрыт доступ к Терминальной службе, чтобы они могли запускатьна сервере задания, занимающие много времени, а через несколько часовподключаться снова и смотреть на результаты расчета.В нашем случае, когда максимальное количество сеансов ограниченодвумя (плюс один локальный), отключение сеанса представляет проблему.Достаточно двух отключений, и к удалённому рабочему столу ужебольше никто не подключится, так что постарайтесь подобной ситуацииизбегать.Завершение сеансаКогда вы завершаете сеанс удалённого рабочего стола, происходит следующее:• Связь между локальным компьютером и рабочим столом серверапрерывается.• Сеанс удалённого рабочего стола на сервере закрывается, и другойпользователь сможет начать новый сеанс.Чтобы завершить сеанс, выполните команду Пуск —> Завершить работуиз главного меню, которое вы видите на рабочем столе сервера. Толькобудьте осторожны в диалоговом окне Завершение работы Windows:если вместо Завершение сеанса вы выберете Выключение, то удалённыйкомпьютер и вправду выключится. Нелишним будет снова напомнить,что назначением функции Удалённый рабочий стол является создание упользователя впечатления, что он сидит непосредственно за сервером.15.6. ИтогиНикогда не работайте под учётной записью с правами администратора,если можете этого избежать: тогда при атаке вирусов или других неприятностяхповреждения системы будут минимальны. Для текущегоуправления сетью заведите каждому из администраторов отдельнуюучетную запись, по которой вы сможете отличать в системном журнале,кто внес в сеть какое изменение. Включите эти учетные записи в группуадминистраторов домена.Если вы не хотите постоянно сидеть в серверной, чтобы управлять сетью,то вам следует установить пакет администрирования на ту рабочую станцию,которая станет вашим рабочим местом. Так в вашем распоряжениибудут те же инструменты управления, что и на сервере. Пакет администрированияустанавливается из файла ADMINPAK.MSI, который находитсяна установочном компакт-диске с серверной операционной системой.294

Глава 15. Должен ли администратор постоянно сидеть рядом с сервером?Другая возможность управления сервером с рабочей станции — это использованиеУдалённого рабочего стола. На рабочей станции должен бытьустановлен клиент подключения к удалённому рабочему столу. Эту возможностьможно использовать с рабочих станций, где стоит старая операционнаясистема, на которую нельзя поставить пакет администрирования.Состояние сетиМы установили на рабочую станцию РС001 пакет утилит для управлениясервером SRVR001 и доменом Active Directory. На сервере мы включиливозможность подключаться к удаленному рабочему столу. Таким образом,рабочим местом администратора стал компьютер РС001.295

Что если серверрухнет завтра?Причины аварийСпособы предотвращения аварийСпособы устранения аварийАрхивация системыТеневое копированиеMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сета

Если завтра, то ничего страшного. У нас ещё много времени, чтоб хорошенькок этому подготовиться. Однако сервер может совершенноспокойно выйти из строя через час, через четверть часа или даже черезминуту. Готовы ли мы к этому? Нет!Поскольку в этой книге мы имеем дело с учебным предприятием, которомуавария сервера никак не повредит, мы можем прежде всего ознакомитьсяс элементами сети и домена, чтобы впоследствии при произнесениислова архивация было понятно, что именно будет необходимоархивировать.В реальной обстановке, однако, подготовка к такого рода неполадкам всети является одной из главных задач администрирования и производитсяещё перед началом работы любой сети. Более того, если в сети проводятсякакие-либо изменения (например, обновление операционной системыконтроллера домена), необходимо чётко продумать не только план и методыархивации сети, но и определить стратегию внесения изменений.Обычно речь идёт об области, которая в случае недооценки может привестив организации к неприятным последствиям. Наоборот, в случаеправильно продуманной стратегии и выполнения определённых действийвы можете спать спокойно. Быть уверенными в том, что проблемы невозникнут, на сто процентов нельзя. Но тот факт, что в любой моментвы будете знать, что делать, является большим плюсом.16.1. Причины аварийНе стоит ожидать, что из этого параграфа вы узнаете о чем-то новомдля себя. Задача подготовки к аварии и ликвидации ее последствий настолькотривиальна, что не требует от администратора почти никакихспособностей. Кроме одной — ни о чём не забывать.297

Microsoft Windows Server 2003Ошибки программного обеспеченияОшибки программного обеспечения существуют всегда. Ответственностьза исправление некоторых из них (например, в ядре операционнойсистемы) лежит полностью на производителе. Ущерб от других можетуменьшить и администратор: например, обнаружив ошибку в драйвере,приводящую к нарушению работы устройства, найти и установить болеесвежую его версию.Сбои оборудованияКомпоненты компьютера — это технически сложная аппаратура, и дажегарантия производителя не может служить ручательством, что в одинпрекрасный день устройство не «вздохнёт в последний раз». Сломатьсяв компьютере может все что угодно. Очевидно, что крах жёсткого дискасервера потребует намного больше работы, чем неполадки с мышью.Ошибки пользователейРядовой пользователь не имеет в системе Windows XP Professional такихправ и полномочий, чтобы быть способным своей оплошностью нанестиощутимый вред функциям отдельного компьютера или даже всей сети.Нужно сказать, что защита от возможных ошибок пользователей рассматриваласьуже при создании операционных систем, основанных натехнологии NT, так что у пользователей нет полномочий, ненужных дляих работы. Ошибок пользователей избежать нельзя, поэтому рекомендуюзаняться их предотвращением. Не стоит надеяться на то, что пользовательбудет способен чему-то научиться или что-то понять. Лучшим подходомбудет подобрать для него из многих решений самое простое.Ошибки администраторовОдной из причин ошибок администраторов является недостаток знаний.Вследствие того, что администраторам предоставляется в системах полнаясвобода, их ошибки могут нанести системе вред. Понятно, что чем большеу администратора прав, тем больше неприятностей он сможет причинитьсвоими непрофессиональными действиями.Умышленный вредЗдесь бессмысленно разбираться, чья это была ошибка — пользователяили администратора. Результат, в любом случае, всегда отрицательныйи требует неимоверных усилий для возвращения в первоначальное или,по крайней мере, стабильное состояние.298

Непреодолимая силаГлава 16. Что если сервер рухнет завтра?Примерно в пяти процентах случаев выхода системы из строя никто неможет сказать, что было тому причиной. Бывает, что простая перестановкакабелей питания возвращает технику к жизни. Против Высшей Силынельзя найти стопроцентно эффективное решение. Всегда, хотя речь идётоб очень маловероятной возможности, нужно приготовиться к самомухудшему, и скорее всего без шаманства будет не обойтись.16.2. Способы предотвращения аварийТо, что проблемы рано или поздно возникнут, понятно всем. Далее следуетвопрос, настанет ли всеобщий хаос или же проблемы будут решаться спомощью продуманных действий, систематически, без лишних эмоций иэффективно. Думаю, мы сойдёмся на том, что гораздо лучше, чем необдуманнорешать проблемы, будет посвятить время их предотвращению.Поскольку у нас в сети стоит операционная система Microsoft Windows,давайте познакомимся с вариантами решения проблем, которые корпорацияMicrosoft нам предоставляет вместе со своей продукцией.16.2.1. Ошибки программного обеспеченияДрайверыВозможно, что на практике вы сталкивались со следующей ситуацией.На своём компьютере вы обновили драйвер графической карты. На сайтеизготовителя обещаны прирост скорости, частоты развертки и поддержкановой версии DirectX.После установки вы, однако, обнаруживаете, что что-то здесь не так. Нетолько графическая карта не показывает никаких признаков улучшения,но у вас также возникают проблемы с другими компонентами, и болеетого — вам кажется, что операционная система больше не работает также быстро и хорошо, как до установки нового драйвера.Где же проблема? Скорее всего, в новом файле. И всё равно, повесил липроизводитель на своём сайте ещё недоделанную версию, которую поошибке назвал пригодной для поставки, или программное обеспечение непрошло необходимого тестирования. Вас интересует, как можно удалитьновую версию драйвера и вернуть старую.Возможно ли, чтобы из-за некорректной версии драйвера замедлиласьработа всей операционной системы? Да, поскольку в драйвер устройства299

Microsoft Windows Server 2003могут входить не только файлы управления устройством, но и системныебиблиотеки. Они послужат источником неприятностей с любыми устройствами,драйвера которых используют эти библиотеки.Избежать этого в системе Windows XP Professional не так уж и сложно.Первый шаг — это установка только проверенных драйверов оборудования.Цифровая подпись компании Microsoft в драйвере устройства означает,что данное оборудование было протестировано с дополнительнымпрограммным обеспечением и что оно не вызывает в системе WindowsXP Professional никаких неполадок.Другой вариант — резервное копирование всей системы перед установкойдрайвера неизвестного происхождения. Это, однако, экстремальныйслучай, как мы увидим в следующей части главы, где будем рассматриватьспособы устранения неполадок.Операционные системы и приложенияОшибки операционных систем и приложений может исправить исключительноих производитель — компания Microsoft и другие. Как пользователимы можем с ними встретиться в форме пакетов исправления илиобновления (hotfix, QFE, Service Pack).Силами администратора ошибки операционных систем предотвратитьнельзя. Но можно настроить автоматическую установку исправлений навсе компьютеры в сети. Это поможет поддерживать сеть в стабильномсостоянии.16.2.2. Сбои оборудованияПоскольку компьютер можно представить как совокупность отдельныхустройств, проблемы технического характера напрямую связаны с тем,что случится, если сломается то или иное устройство. Надо предвидетьэту ситуацию и задумываться над тем, как ееЕсли не иметь в виду те случаи, когда у нас уже припасён ещё один сервер,идентичный текущему и не трогать область кластеров (которые, попонятным причинам, также не являются стопроцентным решением), мыможем разделить поломки оборудования на две группы.Выход из строя жесткого диска или утрата данныхРечь идёт о классическом случае, когда жёсткий диск ломается физически(ломается механическая или электронная часть). Решением проблемыявляется создание массива RAID (Redundant Array of Independent Disks,избыточный массив независимых дисков).300

Глава 16. Что если сервер рухнет завтра?Существуют пять основных уровней RAID. Уровень 0 (чередующийся массив)представляет собой несколько дисков, данные на которые записываютсяпорциями поочередно. Он дает выигрыш только в скорости чтения/записи,но не в надежности хранения данных. Уровень 1 (зеркальный массив) — этодва или более дисков, данные на которых дублируются. Этот уровень обеспечиваетне только ускорение чтения данных, но и позволяет восстановитьих в случае выхода из строя одного из дисков. Платой за надежность являетсянеэффективное расходование дискового пространства.Чаще всего встречается уровень RAID-5 (чередование с контрольнойсуммой), при котором данные поочередно записываются большими блокамина все диски массива, а контрольные суммы хранятся на всех дисках.Массив RAID-5 можно создать, если у вас есть не менее трех дисков, приэтом использоваться будет 66% их емкости. Другие уровни RAID можнорассматривать как комбинацию 0, 1 и 5.В нашей сети о подобных возможностях мы можем только мечтать, посколькужесткий диск у нас даже на сервере только один. На рабочихстанциях под управлением Windows XP Professional дисковые массивыRAID создать вообще нельзя. Здесь необходимо найти другой способпредотвращения потерь. Проще всего будет сделать так, чтобы на рабочихстанциях не хранились никакие важные данные. Подробнее об этомбудет сказано в главе 17.Выход из строя других устройствСюда относятся, например, поломка источника питания, сетевой карты ит.д. Решение этих проблем во многом зависит от финансовых возможностейпредприятия. Одной крайностью является уже упомянутое хранениезапасного сервера вне сети.На рабочих станциях проблемы поломки решаются таким образом, чтоу организации есть в запасе один или несколько полностью оснащённыхкомпьютеров, которые и предоставляются пользователям взамен вышедшихиз строя. Или же некоторое количество запасных частей, которыеустанавливаются вместо испорченных.Проблемы с электропитаниемК сбоям оборудования относятся и отключение или перепады напряженияв электросети, последствия которых могут быть катастрофическими.Решением является приобретение источников бесперебойного питания(UPS). Если финансовые возможности предприятия не позволяют защититьот проблем с питанием все компьютеры, то нужно обеспечитьбесперебойным питанием хотя бы серверы, принтеры и важнейшие израбочих станций.301

Microsoft Windows Server 2003ОшибкиОшибки может совершить каждый. Чтобы предотвратить большинствоошибок пользователей, просто запретите им делать то, чего им делать неполагается, и обучите тому, что знать просто необходимо.Предотвратить ошибки администраторов гораздо труднее. Посколькуадминистратор — это по определению тот, чьи полномочия ограничитьнельзя, он имеет все права, даже такие, о которых сам толком не знает,и властен причинить сети огромный ущерб. Чтобы администраторы недопускали ошибок, им надо постоянно учиться.Умышленный вредК тому, что будет сказано в главе 22, посвященной безопасности сервераи сети, можно добавить только необходимость затруднения физическогодоступа злоумышленника к уязвимым местам сети: железная дверь ипрочный замок на серверной, запирание рабочих мест пользователей поокончании рабочего дня и т.п.Непреодолимая силаРегулярное резервное копирование.16.3. Способы устранения аварийСовершенно точно мы можем сказать, что важнейшим компьютером всети является сервер (или сервера). Возникает вопрос, имеет ли вообщесмысл беспокоиться о компьютерах пользователей. Если вы как администраторобеспечите пользователям возможность хранить документы толькона сервере, вопрос о восстановлении данных будет решаться просто.Здесь мы детально рассмотрим почти все средства, которые есть в нашемраспоряжении для устранения неполадок.16.3.1. ДрайверыЦифровая подпись драйвераПервым шагом в обеспечении стабильности системы является установкатолько подписанных драйверов (проверенных и совместимых с системой).Действия системы при попытке установки неподписанного драйвераможно посмотреть на вкладке Оборудование в диалоговом окне Свойства302

Глава 16. Что если сервер рухнет завтра?Автоматическое обновление j Удаленное использованиеОйшие j Имя компьютера Обо-Параметры подписыоанкя драйвераI Установка оборудования'"щ. gпроцессеycteniM g р о ц y(/«может .Мастер аствноекй обордасдаа обнар^ь программное обешечен^ не прошедшее тоборудование. • соответствия Windows logo. p.: *m-): гКакне действия от системы Windows вы ожидаете?Диспетчер устройств j (" [Пропускать - устанавливать программное обеспечением неДиспетчер устройств привод I запрашивать утвержденияустановленного оборудовалипозволяет юменигь -.CL-ЙМР

Microsoft Windows Server 2003помещается предыдущая версия этого драйвера. Чтобы впоследствии вернутьсяк последней сохраненной версии, поступите следующим образом:1. Зарегистрируйтесь как администратор. Откройте диалоговое окноСвойства системы.2. Перейдите на вкладку Оборудование и нажмите кнопку Диспетчерустройств. Отобразится список оборудования, установленного вкомпьютере, по категориям.3. Выберите из списка то устройство, драйвер которого вы хотели бывосстановить, щелкните по его значку правой кнопкой мыши и выберитекоманду Свойства.4. В диалоговом окне свойств оборудования нажмите кнопку Откатитьна вкладке Драйвер. Всё остальное предоставьте системе.Эти две функции исчерпывающим образом показали вам, как устранятьнеполадки с оборудованием технического обеспечения. Ничего большегос устройствами Plug-and-Play проводить не требуется.16.3.2. Система не загружаетсяЭта проблема возникает именно тогда, когда никто не ожидает подвоха,и обычно производит на пользователя самый ошеломляющий эффект.Чаще всего ее причиной бывает изменение аппаратной или программнойконфигурации компьютера, выполненное перед его последним выключением.Это может быть обновление драйвера, установка приложения илиизменение состояния службы (включение режима автозапуска). Можнопопробовать запустить систему в той конфигурации, которая была ещеработоспособна.Последняя удачная конфигурацияЧтобы загрузить систему в режиме последней удачной конфигурации,нажмите в процессе загрузки клавишу F8 и выберите из появившегосяменю соответствующую команду.В результате та ветвь реестра, где хранятся сведения о последней удачнойконфигурации, будет прочитана вместо ветви HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, хранящей сведения о текущей конфигурации,и таким образом настройки, сделанные непосредственно до аварии, несработают.Этот режим не поможет, когда компьютер зависает сразу после регистрациипользователя. Дело в том, что последней удачной конфигурациейсчитается та, в которой операционная система смогла загрузиться ивыполнить регистрацию пользователя. Эта (текущая) конфигурация изаписывается в реестр в качестве удачной.304

Безопасный режимГлава 16.Что если сервер рухнет завтра?Если не удаётся запустить компьютер в режиме последней удачной конфигурации,вы можете попробовать Безопасный режим. В этом режимезапускаются только те службы и загружаются только те драйвера, безкоторых невозможно обойтись; так, звуковая карта и порт USB работатьне будут, а новейшая видеокарта будет работать под управлением стандартногодрайвера, использующего лишь малую часть ее возможностей.Полученная таким образом рабочая среда пригодна не для повседневнойработы, а для диагностики и ремонта.Загрузка в безопасном режиме — единственный вариант загрузки, прикотором не обновляются сведения о последней удачной конфигурации.Оба вышеназванных режима могут помочь в случаях, когда загрузка непроисходит по вине изменения конфигурации системы. Если системане загружается из-за повреждения или отсутствия важного файла (например,загрузчика NTLDR), то конфигурация здесь ни при чем и длявосстановления нужно использовать другие инструменты.Консоль восстановленияЭтот инструмент не предлагает графического интерфейса — толькоинтерфейс командной строки, в которой можно вводить команды длякопирования файлов, ремонта загрузочных областей жесткого диска(fixmbr, fixboot) и работы с разделами диска (diskpart, format), включенияи выключения автозапуска служб (enable, disable). Список всехдоступных команд можно вывести по команде help, а чтобы получитьсправку по назначению и использованию конкретной команды, введитеэту команду с ключом /?.Огромным плюсом Консоли восстановления является возможность работатьс разделами, отформатированными файловой системой NTFS.Другое преимущество Консоли восстановления состоит в том, что онанаходится на установочном компакт-диске Windows XP Professional. Операционнуюсистему предыдущей версии (Windows NT 4.0) при повреждениисистемных файлов можно было загрузить и ремонтировать толькосо спасательной дискеты, которую мало кто считал нужным создавать.Сейчас мы намеренно повредим системные файлы на компьютере РС001,а потом исправим разрушения с помощью Консоли восстановления.Примечание.Хотя предлагаемые вам действия вполне безопасны, важные файлы с РС001 лучшевсе-таки предварительно сохранить в другом месте.305

Microsoft Windows Server 20031. Приготовьте установочный компакт-диск Windows XP Professional.2. Зарегистрируйтесь на РС001 как администратор.3. Удалите файл C:\NTLDR. Если вы его не видите, включите режимотображения скрытых и системных файлов.4. Перезагрузите компьютер. Операционная система не запустится,вместо этого появится сообщение о том, что NTLDR не найден.Для восстановления системы выполните следующие действия:1. Смените в BIOS компьютера РС001 порядок загрузки так, чтобыпервым просматривался компакт-диск.2. Вставьте в CD-привод установочный компакт-диск Windows XPProfessional и перезагрузите компьютер.3. Нажмите любую клавишу. Начнется первая стадия загрузки, совпадающаяс началом установки операционной системы.4. Дождавшись появления текстового окна Windows XP ProfessionalSetup (Установка Windows XP Professional), нажмите клавишуEnter.5. В окне Setup Welcome (Вас приветствует программа установки) нажмитеклавишу R — запуск Консоли восстановления.6. Вы увидите список установленных на данном компьютере операционныхсистем, из которых вам предлагается выбрать подлежащуювосстановлению, введя ее номер. У вас установлена всего одна система,поэтому введите 1 и нажмите клавишу Enter.7. Теперь необходимо ввести пароль локального администратора, назначенныйво второй главе при установке операционной системына данный компьютер. До сих пор вы обходились полномочиямидоменного администратора и только сейчас видите, зачем нужен парольадминистратора локального и как важно его надежно хранить.Если вы переименовали учетную запись локального администратора,введите пароль этой переименованной записи.8. Запасной файл загрузчика находится на компакт-диске. Скопируйтеего в корень диска С:сору e:\i386\ntldr с:\(здесь Е: — это обозначение компакт-диска).9. Для перезагрузки компьютера извлеките компакт-диск из приводаи введите команду exit.Итак, с помощью Консоли восстановления мы в течение нескольких минутрешили довольно сложную проблему. Но в конфигурации по умолчаниюфункциональность Консоли восстановления несколько ограничена:• Нет возможности получить доступ к папкам Program Files , Documentsand Settings.• Нельзя копировать файлы с жёсткого диска на дискету.306

Глава 16. Что если сервер рухнет завтра?Чтобы снять эти ограничения, предпримите следующие шаги:1. Зарегистрируйтесь на РС001 как администратор. Если вы уже зарегистрированыкак рядовой пользователь, выполняйте дальнейшиедействия от имени администратора.2. Запустите консоль Active Directory — пользователи и компьютеры.Откройте окно свойств домена study . local.3. Перейдите на вкладку Групповая политика и раскройте объектDefault Domain Policy.4. Разверните ветвь конфигурация компьютера\КонфигурацияWindows\IIapaMeTpbi безопасности\Локальные политики\Параметрыбезопасности.5. В правой части окна консоли выберите политику Консоль восстановления:Сделать возможным копирование дискет и доступ ко всемфайлам и папкам (Recovery console: allow floppy copy and access to alldrives and all folders) и установите флажки Определить указанныйниже параметр политики и Включить. Закройте все окна.Настроив таким образом локальную политику безопасности на всехкомпьютерах домена, вы сможете во время работы с Консолью восстановленияиметь доступ ко всем папкам и копировать файлы в обоихнаправлениях.В рассмотренном случае, когда система не загружалась из-за повреждениязагрузчика, запуск Консоли восстановления с установочного компакт-дискабыл единственным выходом. Но чаще все-таки бывает, что Консольвосстановления нужна для того, чтобы отключить автоматический запусктой службы, из-за которой возникли проблемы с загрузкой. На такойслучай удобнее установить ее в качестве альтернативной операционнойсистемы.Чтобы установить Консоль восстановления на сервер:1. Зарегистрируйтесь на SRVR001 как администратор. Вставьте в приводустановочный компакт-диск Windows Server 2003.2. Выполните команду Пуск -» Выполнить и в поле Открыть введитекомандуD:\i386\winnt32.exe /cmdcons(здесь Е: — это обозначение компакт-диска).3. В диалоговом окне с информацией об установке Консоли восстановленияответьте Да. Установка произойдёт автоматически.Рекомендуется всегда устанавливать Консоль восстановления сразу жепосле установки операционной системы, хотя бы на серверы. Это позволитсэкономить время в случае неполадок.307

Microsoft Windows Server 200316.4. Архивация системыВ операционной системе Windows 2000 с архивацией произошли значительныеизменения в лучшую сторону. Архивация стала доступнее и появиласьвозможность проводить её на локальный диск или на удалённыйкомпьютер.Архивация системы — это не просто сохранение важных документов.Существенной частью этого процесса является сохранение настроеки параметров системы — то есть состояние реестра, пользовательскихучётных записей и т.п. В Windows NT 4.0 архивация состояния системыбыла постоянной головной болью администраторов, которым каждый разприходилось решать, что именно подлежит сохранению — весь реестрили некоторая его часть, файл с учетными записями или что-то ещё. Всеэти неясности прояснила программа архивации, появившаяся в Windows2000 и унаследованная системой Windows XP Professional. В серверныхоперационных системах, начиная с Windows 2000 Server, средства архивациибыли дополнительно усовершенствованы.Что сохранятьКаждый администратор хорошо знает, что целью архивации является последующееуспешное восстановление данных. Под понятием успешноговосстановления, однако, каждый подразумевает что-то свое. Если дляпользователя успешным считается восстановление доступа к его файлам,хранящимся на сервере, то для администратора успех — это полное восстановлениевсего сервера (запуск сетевых служб, функционированиеприложений или базы данных, авторизация пользователей на контроллередомена и т.п.).На компьютерах пользователей в большинстве сетей не используют программуархивации, и мы уделим внимание только серверам. Интересоватьнас будут следующие вопросы:• Архивация файлов, то есть обыкновенное помещение файлов и папокв архивный файл.• Архивация параметров, то есть сохранение настроек системы, влияющихна правильную конфигурацию и функционирование всех компонентовсистемы после восстановления. В Windows 2000/XP/2003 этотнабор настроек называется состоянием системы (System state).Для успешного восстановления сервера следует заранее продумать обавопроса.308

Архивация состояния системыГлава 16. Что если сервер рухнет завтра?Как администраторы вы должны знать, какие компоненты системы архивируютсяв ходе этого процесса. Если посмотреть на нашу сеть, то мыувидим, что её составляют следующие элементы:• Компьютеры пользователей. В состояние системы входят загрузочныефайлы запуска системы, база данных СОМ+ и системный реестр.• Сервер. В состояние системы входят база данных Active Directory(вся доменная база), загрузочные файлы (BOOT.INI, NTLDR,NTDETECT.COM и другие), база данных СОМ+ (это служба, обеспечивающаявзаимодействие компонентов операционной системыи приложений), системный реестр и содержимое папки SYSVOL(объекты групповой политики и сценарии запуска, автоматическиреплицируемые между контроллерами домена).Состояние системы всегда сохраняется целиком, так как его элементысильно зависят друг от друга. Нельзя архивировать только некоторуюего часть (например, реестр).Таблица 16.1 показывает, что нужно сохранять на компьютерах, выполняющихв сети различные роли, для успешного восстановления критическиважных данных.Что нужно сохранять для успешного восстановления системы Таблица 16.1ДанныеРабочая станцияРядовой серверКонтроллер доменаДоменная база данных целикомили ее часть (например,отключенная учетная запись)нетнетСостояние системыЛокальные учётные записипользователейСостояние системыСостояние системынетОперационная системаОперационная системаи приложенияОтдельные файлыСостояние системы + содержимое папки %WINDIR%Состояние системы + папка %WINDIR% + все папки, в которыххранятся файлы и данные приложений (Program Files и т.п.)Непосредственно файлы или папки с нужными файламиИнструменты архивацииВ стандартную поставку ОС Windows входит программа архивации.Запустить ее можно либо из главного меню, группа Все программы ->Стандартные -> Служебные -» Архивация данных, либо введя в полеОткрыть диалога Выполнить команду NTBackup.309

Microsoft Windows Server 2003Первый раз программа архивации в системах Windows XP/2003 запускаетсяв форме Мастера. Для администратора это не является оптимальнымспособом, так что разумно будет при первом запуске снять флажокВсегда запускать в режиме мастера, нажать кнопку Отмена и запуститьснова. После этого окно программы будет выглядеть так, как показанона рис. 16.2.Щ, Программа архивации - [безымянный!Задание Правка Ёид Сервис Справка • • •Добро пожаловать! Архивация | Восстановление и управление носителем ] Запланированные задания ]f='iLb .Нстзновиге флажки для всей ооЧ?ектов, которые вы летите заархивировать. • ; • ..В (ЗОЙ р а(3-D 9очий столМой компьютер•ч* Диск 3.5 (А:)-^ Локальный диск'•Ф Локальный диск.I £ D•*«*> Локальный диен Q^ DVD-дисковод (f1 Оащ[+]-Е~1^ \ Моидокументы• г-iiira пSbLjTjJ Сетевое окружениеИмя[Л t^A^ive Deeclofi*D «ft Bool FilesОЙ'COM* Class Regis...D ^ Registry^SYSVOL{ Комментарий. 1 ИМесгоназначение архива' •Носительзрчша или имя Файла:lAABackupbkf""fl6wp..Параметры архивации: |vОвьиная архивация. ЧПротокяпированиб итогов.Нексггорыетипыфайлов шжлоРис. 16.2. Элементы состояния системы в Windows Server 2003Существует много других программ для архивации системы от другихпроизводителей. В случае, если вы намерены приобрести нечто подобное,узнайте, в чём преимущества данного продукта перед интегрированнойутилитой Windows. В 80% случаев возможностей стандартной программыархивации вполне хватает.Стратегии архивацииСеть существует для пользователей, и регулярная архивация и восстановлениесистемы должны производиться по возможности незаметно для них.Комбинируя типы архивации, можно ускорить либо процесс сохраненияданных и настроек, либо процесс восстановления. К сожалению, не оба —одним придется жертвовать ради другого. Различные комбинации типовобразуют различные стратегии.310

Глава 16. Что если сервер рухнет завтра?Типов архивации существует пять, и различаются они обработкой атрибута«Архивный» у файлов, выбранных для архивирования. Если вы еще невыполняли архивацию системы, то откройте окно свойств любого файлаили папки, и вы увидите, что этот атрибут установлен. При архивацииразными способами с ним происходит следующее:• Обычный. Архивируются все выбранные файлы независимо от состоянияатрибута, и атрибут снимается.• Добавочный. Из выбранных файлов архивируются те, у которыхатрибут установлен, то есть созданные или измененные с моментапоследней обычной или добавочной архивации. Атрибут «Архивный»снимается.• Копирующий. Архивируются все выбранные файлы независимо отсостояния атрибута, и атрибут остается без изменений. Этот способприменяется, когда нужно архивировать отдельные файлы и папкив промежутке между созданием обычных и добавочных архивов, посколькуон не влияет на другие операции архивирования.• Разностный. Из выбранных файлов архивируются те, у которыхатрибут установлен, то есть созданные или измененные с моментапоследней обычной или добавочной архивации, и атрибут остаетсябез изменений.• Ежедневный. Архивируются все файлы, измененные в течение дня.Атрибут «Архивный» не снимается.При использовании разностной архивации для восстановления файлови папок требуется наличие последнего обычного и последнего разностногоархива. Если использовалась добавочная архивация, то для восстановлениянужен как последний обычный, так и все добавочные архивы,созданные после него.Выбор стратегии архивации зависит от скорости работы всего оборудования,которое участвует в архивации, от доступности данных, от ограниченияв сети в процессе архивации, а также от надежности архивируемыхсерверов и требований пользователей.В нашей небольшой сети можно ограничиться простейшей стратегией —каждую ночь (в нерабочее время) архивировать все данные. Однако сростом объема данных может оказаться, что за одну ночь весь этот объемсохранить невозможно, поэтому рассмотрим две другие стратегии.311

Microsoft Windows Server 200316.5. Как архивировать?16.5.1. Стратегия 1(обычная + добавочная архивация)Обычная архивация выполняется в течение субботы и воскресенья, акаждую ночь после рабочего дня архивируются только новые и обновленныефайлы. Поскольку их сравнительно мало, считаем, что за ночьуспеть можно.Целью администратора в дальнейшем является сделать архивацию автоматической.Мы пойдём этому требованию навстречу и сконфигурируемвсе необходимые установки для автоматического запуска.Настройка обычной архивации выходного дняПостановка задачи: обычная архивация каждую субботу в 23.00 в файлNormalAH.bkf в папку с : \ Backup, добавочная архивация каждый рабочийдень в 23.00 в файлы Mon . bkf, Tue . bkf, Wed. bkf, Thu . bkf и Fri .bkf в папку С : \Backup.Решение данной задачи выглядит следующим образом:1. Зарегистрируйтесь на SRVR001 как администратор.2. Запустите программу для архивации данных (NTBackup.exe).3. Перейдите на вкладку Запланированные задания и в календаре нажмитена кнопку Добавить задание.4. Запустится Мастер архивации. Продолжите нажатием кнопкиДалее.5. В диалоговом окне Что следует архивировать поставьте переключательв положение Архивировать все данные на этом компьютереи нажмите Далее.6. В диалоговом окне Имя, тип и расположение архивации задайтеразмещение С: \Backup и название архива «NormalAll». Если папкиС: \Backup не существует, ее понадобится создать. Потом нажмитена кнопку Далее.7. В диалоговом окне Тип архива выберите из списка вид архивацииОбычный и нажмите Далее.8. На вкладке Способы архивации не выбирайте ни один из вариантови нажмите Далее.9. В диалоговом окне Параметры архивации выберите Заменить существующиеархивы и потом Разрешить доступ к данным этого архиваи всем добавленным на этот носитель архивам только владельцу иадминистратору. Нажмите кнопку Далее.312

Глава 16. Что если сервер рухнет завтра?10. В диалоговом окне Когда архивировать оставьте отмеченным полеПозже, в поле Имя задания введите «Обычная полная архивация»и нажмите кнопку Установить расписание.11. В диалоговом окне Запланированное задание выберите из спискаНазначить задание — «Еженедельно», в поле Время запуска введитевремя 23.00 и в части расписание по неделям выберите только«Сб (суббота)» и «каждую неделю». Потом нажмите кнопку ОК. Вмастере архивации продолжите работу нажатием кнопки Далее.12. В диалоговом окне Указание учётной записи введите регистрационноеимя (в нашей сети — iTManagerl) и пароль администратора, укоторого есть полномочия для архивирования данных.Примечание.Для этой цели было бы с точки зрения безопасности сети разумнее создать новуюучётную запись с достаточно сильным паролем и добавить ее в группу BackupOperators.13. Просмотрите введённую информацию и нажмите кнопку Готово.В календаре программы архивации появится значок с буквой N,означающей вид архивации.Теперь в системе появилась новое назначенное задание, которое теперьнаходится полностью в нашем распоряжении. Оно располагается в группеПанель управления —> Назначенные задания.Настройка добавочной архивации в рабочие дниПовторите описанную выше процедуру со следующими необходимымиотличиями:• Название архива (пункт 6) замените на «Моп».• В качестве типа архива (пункт 7) выберите Добавочный.• В качестве имени задания (пункт 10) введите «Добавочная архивацияПн».• В окне Запланированное задание (пункт 11) выберите только «Пн».Повторите эту процедуру четыре раза для остальных рабочих дней ссоответствующими исправлениями в именах заданий и файлов. Так образуется5 запланированных заданий, и в календаре программы архивациикаждый рабочий день будет отмечен значком Р.Восстановление данныхПредположим, что архивация какое-то время проходит в полном согласиис поставленными заданиями. Сегодня, к примеру, четверг, последняя313

Microsoft Windows Server 2003обычная архивация выполнена в прошлую субботу, а последняя добавочнаяархивация — в среду вечером. Как поступить, если восстановитьданные нужно именно сегодня?В добавочный архив попадают только те файлы, у которых на моментархивации атрибут «Архивный» был установлен, то есть новые или обновленныес момента последней архивации — обычной или добавочной.Значит, для восстановления данных по состоянию на вечер среды нужнопоследовательно:1. восстановить данные по состоянию на субботу;2. применить добавочный архив суббота -» понедельник;3. применить добавочный архив понедельник -> вторник;4. применить добавочный архив вторник —» среда.Если добавочный архив, например, за вторник окажется неисправным(не поддается восстановлению), то все последующие добавочные архивыбудут бесполезны, и самыми свежими данными для пользователей окажутсяданные по состоянию на понедельник.Преимуществом этой стратегии является скорость выполнения ежедневныхзаданий, а недостатком — скорость восстановления.16.5.2. Стратегия 2(обычная + разностная архивация)Как и в предыдущем случае, в выходные архивируются все данные обычнымспособом. По рабочим дням, в отличие от предыдущей стратегии,архивируются файлы, новые и обновленные по сравнению с вечеромсубботы, когда выполнялась обычная архивация.Постановка задачи: обычная архивация каждую субботу в 23.00 в файлNormalAll . bkf в папку С : \Backup, разностная архивация каждыйрабочий день в 23.00 в файлы Mon . bkf, Tue . bkf, Wed. bkf, Thu . bkf иFri . bkf в папку С • \Backup.Настройка обычной архивации выходного дняНастройку обычной архивации выходного дня выполним следующимобразом:3141. Зарегистрируйтесь на SRVR001 как администратор.2. Запустите программу для архивации данных (NTBackup.exe).3. Перейдите на вкладку Запланированные задания и в календаре нажмитена кнопку Добавить задание.4. Запустится Мастер архивации. Продолжите нажатием кнопки Далее.

Глава 16. Что если сервер рухнет завтра?5. В диалоговом окне Что следует архивировать поставьте переключательв положение Архивировать все данные на этом компьютереи нажмите Далее.6. В диалоговом окне Имя, тип и расположение архивации задайтеразмещение С: \Backup и название архива «NormalAll». Если папкиС : \Backup не существует, ее понадобится создать. Потом нажмитена кнопку Далее.7. В диалоговом окне Тип архива выберите из списка вид архивацииОбычный и нажмите Далее.8. На вкладке Способы архивации не выбирайте ни один из вариантови нажмите Далее.9. В диалоговом окне Параметры архивации выберите Заменить существующиеархивы и потом Разрешить доступ к данным этого архиваи всем добавленным на этот носитель архивам только владельцу иадминистратору. Нажмите кнопку Далее.10. В диалоговом окне Когда архивировать оставьте отмеченным полеПозже, в поле Имя задания введите «Обычная полная архивация»и нажмите кнопку Установить расписание.11. В диалоговом окне Запланированное задание выберите из спискаНазначить задание — «Еженедельно», в поле Время запуска введитевремя 23.00 и в части расписание по неделям выберите только«Сб (суббота)» и «каждую неделю». Потом нажмите кнопку ОК. Вмастере архивации продолжите работу нажатием кнопки Далее.12. В диалоговом окне Указание учётной записи введите регистрационноеимя (в нашей сети — iTManagerl) и пароль администратора, укоторого есть полномочия для архивирования данных.13. Просмотрите введённую информацию и нажмите кнопку Готово.В календаре программы архивации появится значок с буквой N,означающей вид архивации.Настройка разностной архивации в рабочие дниПовторите описанную выше процедуру со следующими необходимымиотличиями:• Название архива (пункт 6) замените на «Моп».• В качестве типа архива (пункт 7) выберите Разностный.• В качестве имени задания (пункт 10) введите «Разностная архивацияПн».• В окне Запланированное задание (пункт 11) выберите только «Пн».Повторите эту процедуру четыре раза для остальных рабочих дней ссоответствующими исправлениями в именах заданий и файлов. Так образуется5 запланированных заданий.315

Microsoft Windows Server 2003Восстановление данныхПредположим, что архивация какое-то время проходит в полном согласиис поставленными заданиями. Сегодня, к примеру, четверг, последняяобычная архивация выполнена в прошлую субботу, а последняя разностнаяархивация — в среду вечером. Как поступить, если восстановитьданные нужно именно сегодня?В разностный архив попадают только те файлы, у которых на моментархивации атрибут «Архивный» был установлен. Снимает этот атрибуттолько обычная архивация, но не разностная. Поэтому разностным способомархивируются как действительно новые файлы (обновленные современи последней разностной архивации), так и относительно новые(новее последней обычной архивации), уже попавшие во вчерашний разностныйархив. Значит, для восстановления нужен последний обычныйархив и только один разностный архив — последний, то есть в нашемслучае за среду. Если он окажется неисправен, то данные удастся восстановитьтолько на тот день, для которого имеется исправный разностныйархив.Недостатком этой стратегии является более медленный по сравнению сдобавочной архивацией ежедневный процесс, а преимуществом — быстротаи надежность восстановления (неисправность промежуточныхразностных архивов на результате восстановления не скажется).16.5.3. Управление назначеннымизаданиями архивацииЕсли вы посмотрите на свойства созданных программой архивации назначенныхзаданий, вы обнаружите, что каждое задание представляетсобой запуск утилиты ntbackup. ехе с аргументом — именем файла.Обратите внимание на размещение этого файла: оказывается, он являетсячастью профиля пользователя! Это не слишком удачное место, потомучто администратор компьютера может в любой момент удалить профиль,а вместе с ним все нужные файлы.Разумнее переместить эти файлы в другое место вне профиля (например,в папку с: \PlanBackup). Не забудьте только предоставить пользователю,от имени которого должно запускаться назначенное задание, доступ кэтой папке на чтение.316

Глава 16. Что если сервер рухнет завтра?16.5.4. Восстановление Active DirectoryДля полноты и практического использования приведённых стратегийнужно добавить немного информации о восстановлении службы каталогов.Архивируется она как составная часть Состояния системы, котороевсегда сохраняется и восстанавливается как единое целое.В этом параграфе мы рассмотрим действия по восстановлению службыкаталогов на случай, если сервер SRVR001 полностью вышел из строя,а затем рассмотрим восстановление Active Directory в среде домена снесколькими контроллерами.Восстановление Active Directory в домене с одним контроллером(неавторизованное восстановление)Для восстановления службы каталогов после аппаратного сбоя нам понадобитсяфайл с архивом состояния системы на контроллере домена.Считаем, что он у нас есть. Тогда выполните следующие действия:1. Перезагрузите SRVR001 в режиме восстановления службы каталогов(при запуске системы нажмите клавишу F8 и выберите этотрежим). Для контроллера домена это единственный режим, в которомслужба каталогов не стартует. Но под каким именем регистрироваться,если локальных учетных записей на контроллере доменане существует, а доменные недоступны, потому что домен сейчасне работает? В главе 7, устанавливая домен, вы вводили парольадминистратора для режима восстановления. Сейчас вам нужнозарегистрироваться под именем Администратор (Administrator) иввести этот пароль. Если вы его забыли, то восстановить домен неудастся никак.2. Запустите программу архивации (Пуск —» Выполнить, ntbackup) иперейдите на вкладку Восстановление и управление носителем.3. Из списка в правой части окна выберите метку архива и установитефлажок Состояние системы. Из списка Восстановить файлы в выберите«Исходное размещение». Переключатель Если файл ужесуществует установите в положение Всегда заменять имеющийсяфайл. Нажмите кнопку Восстановить. Это приведет к перезаписитекущего состояния системы.4. После успешного восстановления вам будет предложено перезагрузитькомпьютер — нажмите Да. База данных Active Directory будетобновлена после перезагрузки.Описанные действия следует выполнять в одном из двух случаев:• Восстановление домена с одним контроллером;• Полное восстановление контроллера в домене с несколькими контроллерами.317

Microsoft Windows Server 2003Если же в вашем домене есть несколько контроллеров, синхронизирующихданные активного каталога между собой в ходе репликации, а выхотите откатить небольшое изменение (например, ошибочное удалениедоменной учетной записи), то описанный способ действий для этогонепригоден. В этом случае следует выполнить авторизованное восстановление.Авторизованное восстановление Active DirectoryПусть у нас есть два контроллера домена: SRVR001 и SRVR002. Данныедоменной базы можно менять на любом из контроллеров, и в ходе последующейрепликации это изменение распространяется на все остальные.Предположим, что кто-то из администраторов по ошибке удалил доменнуюучётную запись пользователя Shop2. В системном журналезаписано, что это случилось в понедельник в 11:25. К восстановлениюучётной записи может привести только восстановление Active Directory.Вы обнаружили, что последняя архивация состояния системы на доменеSRVR001 состоялась в воскресенье, в 23:47.Поскольку безразлично, на каком из контроллеров домена выполнятьвосстановление, выбирайте тот из них, недоступность которого во времявосстановления меньше повлияет на работу пользователей сети — желательнотот, который не выполняет других серверных ролей. Выберемдля примера SRVR001.Что получится, если вы восстановите базу данных Active Directory неавторизованнымспособом? Различие между двумя доменными базами данныхна серверах SRVR001 и SRVR002 будет заключаться только в однойучётной записи. Процесс репликации сравнит временные отметки, чтобыопределить, какое изменение распространять на другие контроллеры.Информация о существовании учётной записи Shop2 на сервере SRV-R001 будет иметь отметку времени «Воскресенье, 23:47». Информация онесуществовании учётной записи Shop2 на сервере SRVR002 будет отмеченатекущим временем (например «Понедельник, 16:20»). Посколькуэта база данных новее, через некоторое время она и будет реплицированана SRVR001, то есть учётная запись Shop2 снова исчезнет из домена.Обычно авторизованному восстановлению подлежит не вся база данных,а отдельные объекты или поддеревья — например, единственная учетнаязапись Shop2. После этого нужно обновить метку времени в соответствиис текущим временем.3181. Выполните первые три шага, описанные в предыдущем параграфе, ана четвертом шаге откажитесь от немедленной перезагрузки — нажмитеНет.

Глава 16. Что если сервер рухнет завтра?2. После этого запустите командную строку и введите командуntdsutil.3. Далее введите следующие команды (считаем, что учётная записьShop2 находилась в контейнере Users):authoritative restorerestore subtree CN=Shop2, CN=Users, DC=study, DC=localquitquitexit4. Теперь перезагрузите SRVR001.Если нужно восстановить всю доменную базу данных авторизованнымспособом, то после запуска утилиты ntdsutil введите следующую последовательностькоманд:authoritative restorerestore databaseВ диалоговом окне нажмите на кнопку ОК и потом на кнопку Да.16.6. Теневое копированиеТеневое копирование — это новая функция, появившаяся в WindowsХР и Windows Server 2003 и делающая возможной архивацию открытыхфайлов, что было немыслимо в предыдущих версиях Windows (в частности,Windows 2000).Когда приходится архивировать открытые файлы? Пусть, например, наодном из рабочих мест вашего предприятия все еще работает стариннаябухгалтерская программа. Собственного механизма архивации она неимеет и данные способна держать только на локальном компьютере.Об архивировании ее базы данных придется думать администратору, тоесть вам.Во время архивирования этих файлов по сети компьютер бухгалтерадолжен быть включен, но программа работать не должна, чтобы файлыне оставались открытыми. Но эта программа написана как автоматизированноерабочее место, стартует при включении компьютера и завершаетсяпри его выключении, и вам остается только проклинать ее автора.Выходом из этой ситуации станет установка на рабочее место бухгалтераWindows XP Professional (считаем, что привычная программа будетработать и под этой операционной системой). После этого вы сможетеархивировать все рабочие файлы этой программы без оглядки на то, завершенаона или нет.319

Microsoft Windows Server 2003Теневое копирование и общие папкиТеневая копия томов используется ещё в одном случае. С помощью неёможно вернуться к предыдущей версии файла в разделяемой папке насервере. Управление версиями документов мы здесь рассматривать небудем. Гораздо важнее следующий факт. В предыдущих версиях Windows(включая Windows 2000) удаление файла из общей папки по сети приводилок его безвозвратной потере — он не оставался даже в Корзине.А в ОС Windows Server 2003, удалив файл, вы сможете восстановить егопредыдущую версию, которая может оказаться идентична текущей.Можете сами сравнить трудоемкость восстановления документа из архивовв системе Windows 2000 с возможностью вернуться к предыдущейверсии документа в системе Windows Server 2003. На практике именноэта функция является самым веским доводом для перевода файловыхсерверов с Windows 2000 на Windows Server 2003.По умолчанию теневое копирование общих папок выключено. Включаетсяоно на сервере для раздела, на котором физически расположеныобщие папки. Это должен быть раздел с файловой системой NTFS.1. Зарегистрируйтесь на SRVR001 как администратор. Откройте окносвойств диска С:.2. Перейдите на вкладку Теневое копирование. Вы увидите, что этафункция отключена.3. Нажмите кнопку Параметры и отредактируйте свойства текущегораздела. Вы можете указать, как часто будет копироваться раздел (поумолчанию два раза в день) и какое место на диске отводится подкопии. Рекомендуется оставить значения по умолчанию. Закройтедиалоговое окно нажатием кнопки ОК.4. Нажмите кнопку Разрешить и в следующем диалоговом окне подтвердитесвоё решение нажатием кнопки Да.Сразу после этого начнется создание первой копии раздела. Информацияоб этом действии в форме даты и времени отобразится в нижней частиокна.Примечание.Не обязательно копировать раздел на тот же самый физический диск. Еслиу вас установлено несколько физических дисков, вы существенно повыситепроизводительность дисковой подсистемы, направив копию на другой диск.Единственное условие — этот диск должен быть отформатирован в файловойсистеме NTFS.320

Глава 16. Что если сервер рухнет завтра?Организация теневого копирования на рабочей станцииКлиентские компьютеры под управлением Windows XP Professional немогут использовать функцию теневого копирования сразу. Сначала на нихнужно установить клиентское программное обеспечение. Установочныйфайл TWCLI32 .MSI находится на сервере (под управлением Windows Server2003) в папке %SYSTEMROOT%\system32\clients\twclient\x86.1. Зарегистрируйтесь на РС001 как администратор.2. Запустите Проводник и в адресной строке введите путь \\SRVR001 \c$\windows\system32\clients\twclient\x8 6\twcli3 2.msi.Установится клиент Previous Versions Client.Клиенты для операционных систем Windows 2000 Server с установленнымпакетом обновления SP3 и далее, Windows 2000 Professional и Windows98 можно скачать с сайта Microsoft по адресу http : / /www. microsoft.сот/windowsserver203/downloads/shadowcopyclient.mspx.Для операционных систем Windows NT 4.0 такого клиента не существует.Для систем ниже, чем Windows XP, клиентскую программу нужноустановить как на клиентский компьютер, так и на сервер с системойWindows Server 2003.Применение теневого копированияЧтобы воспользоваться благами теневого копирования:1. Зарегистрируйтесь на РС001 как рядовой пользователь (например,Shop3).2. Откройте папку своего подразделения в общем хранилище документов(глава 12) (\\ЗК"\Ж001\Библиотека\Продажи).3. Отобразите свойства любого файла (лучше текстового). Перейдитена вкладку Предыдущая версия. С момента установки клиента теневогокопирования ни одной предыдущей версии еще не создавалось,поэтому список пуст.4. Откройте файл, отредактируйте его и сохраните под тем же именем.5. Повторите п.З. Теперь на вкладке Предыдущая версия вы увидитепредыдущую версию файла с датой ее создания.6. Вы можете просмотреть ее, нажав кнопку Отобразить. Копия документапредназначена только для чтения, и переименовать и сохранитьее невозможно. Чтобы восстановить предыдущую версиюпод другим именем, нужно сначала скопировать ее в другое место,нажав кнопку Копировать.Если вы по ошибке удалили файл из общей папки и хотите его восстановить,поступайте следующим образом:11 Зак. 446 321

Microsoft Windows Server 20031. С клиентского компьютера отобразите свойства папки, в которойбыл документ, и перейдите на вкладку Предыдущая версия.2. Нажмите кнопку Отобразить и просмотрите содержимое предыдущейверсии документа. Если оно вас устраивает, создайте новыйдокумент и скопируйте в него содержимое через буфер обмена.Если вы ошибочно отредактировали и сохранили документ, то можетевосстановить его правильную версию, нажав кнопку Восстановить навкладке Предыдущая версия.Таким образом, функция теневого копирования помогает пользователямбыстро восстановить их документы, находящиеся в разделяемых папках,в следующих случаях:• при неумышленном удалении файлов;• при неумышленном изменении содержания файлов (использованиекоманды Сохранить вместо Сохранить как);• при повреждении файлов.Обратите внимание, что копируется весь раздел, а не только папки, ккоторым на момент копирования открыт сетевой доступ. Это значит,что, если после создания копии вы предоставите доступ к новой папке,предыдущие версии ее файлов будут доступны пользователям с моментаоткрытия доступа.16.7. ИтогиВы должны хорошо подготовиться к внезапному выходу сервера из строя.Неполадки могут поджидать вас как со стороны оборудования, так и состороны программного обеспечения. Вы должны продумать свои действияна случай аппаратных и программных сбоев, ошибок пользователей иадминистраторов заранее, уже в ходе развертывания сети.Системы Windows XP Professional и Windows Server 2003 содержат функциюотката к предыдущей версии драйвера. Это очень полезная функция,которая может помочь вам справиться с неполадками оборудования втечение нескольких секунд. Чтобы проблемы с драйверами возникалиреже, никогда не устанавливайте неподписанные драйвера.Если компьютер не загружается, попытайтесь запустить его в безопасномрежиме или в режиме последней удачной конфигурации. Если ни один изэтих способов не помогает, проблема может заключаться в поврежденииодного из загрузочных файлов. Свои подозрения вы можете подтвердить,загрузившись в режиме протоколирования. В этом режиме в папке%SYSTEMROOT% создается файл с названием NTBTLOG . ТХТ, который выпотом сможете просмотреть с помощью Консоли восстановления. Это ути-322

Глава 16. Что если сервер рухнет завтра?лита с интерфейсом командной строки, позволяющая читать и записыватьданные в разделы с файловой системой NTFS. Консоль восстановленияможно запустить с установочного компакт-диска или заранее установитьна компьютер, после чего она станет одним из вариантов загрузки.Пользователь может по ошибке удалить или неверно отредактироватьфайл в сетевой папке. Для облегчения восстановления файла предназначенафункция теневого копирования разделов, позволяющая вернутьсяк одной из предыдущих версий файла. Теневая копия раздела по умолчаниюсоздается два раза в день, а старые версии удаляются тогда, когдана диске, отведенном для копий, больше нет места.Функция теневого копирования на сервере реализована средствами ОСWindows Server 2003, а на рабочей станции под управлением Windows XPProfessional, Windows 2000 и даже Windows 98 должен быть установленспециальный клиент.Со стороны оборудования вы можете ожидать отказа жёсткого диска. СистемаWindows Server 2003 поддерживает объединение дисков в массивыRAID 0 (необходимо два физических диска) и RAID 5 (необходимо неменее трех физических дисков, возможно до 32). Клиентские операционныесистемы не поддерживают массивы RAID.Описание способов повышения надежности сети могло бы занять целуюкнигу, но и эта глава даст вам достаточно информации для поддержаниясетевой среды вашего предприятия в рабочем состоянии.Состояние сетиНа сервере SRVR001 установлена Консоль восстановления. При включениикомпьютера она отображается как один из вариантов загрузки.Мы выбрали стратегию резервного копирования (архивации) нашей сетии назначили задания, которые будут выполнять архивацию автоматически.Хранить архивы безопаснее на магнитных лентах. Если же вы архивируетена жесткий диск, то категорически не рекомендуется использовать дляэтого системный диск.На сервере включена функция теневого копирования, а на рабочих станцияхустановлены соответствующие клиенты. Копирование включенодля всех разделов, где есть разделяемые папки, и для хранения копийвыделен отдельный физический диск.Видите, как увеличиваются требования к количеству жестких дисков насервере?323

Групповые политикиУправление группойкомпьютеровпользователейИнструменты управлениякомпьютерами пользователей.Групповые политикиИерархическая структураActive DirectoryСокрытие ненужных файловОграничение пользователейв действиях, которыеим для работы не нужныОбеспечьте безопасность хранениядокументов пользователейДисковые квоты. Настройкадисковых квотРезультирующая политикаПорядок применения групповыхполитикMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

После входа в систему и создания нового профиля у пользователей есть враспоряжении почти все, что может предоставить операционная системаWindows XP Professional. Кроме того, что в рабочее время они должныпользоваться приложениями, нужными им для работы, они могут игратьв игры, которые являются стандартной частью системы или ежедневнозабавляться тем, какую картинку им сделать фоновым рисунком рабочегостола.Более шустрые приносят дискеты или компакт-диски с приложениями,не требующими установки, и развлекаются в рабочее время с ними. Асамые шустрые забивают свой компьютер музыкальными хитами и новинкамивидео.А теперь посмотрите на эту ситуацию глазами руководства и владельцевкомпании. Они бы хотели, чтобы пользователи были максимально ограниченыв своих действиях. Тем, кто до сих пор не может выбрать рисунокрабочего стола, установленные параметры не дадут что-либо изменить,для тех же, кто обожает запускать приложения с диска CD-ROM, естьограничения, которые позволяют запускать только определённые программы.Возможностей в системах Windows XP Professional и Windows Server2003 предостаточно. В этой главе мы рассмотрим несколько главныхобластей и так настроим пользовательские компьютеры, что это понравитсяруководству и в то же время не будет мешать нормальной работепользователей.325

Microsoft Windows Server 200317.1. Инструменты управлениякомпьютерами пользователей.Групповые политикиЧто такое групповая политика?Задачей каждого администратора является управлять доверенной емугруппой как можно более эффективно. Это значит посвящать управлениюкак можно меньше времени и усилий.Успешный администратор — это не тот, который целый день не знает,куда бы ему ещё сунуть свой нос, чтобы удержать сеть на плаву. Такойадминистратор чаще всего только тормозит работу пользователей.Успешный администратор — тот, кто точно представляет, как выглядяткомпьютеры пользователей, знает, что никакие лишние функции не отвлекаютпользователей от работы, уверен, что документы организациинаходятся в безопасности, и у которого есть ещё время подумать надразвитием сети, изучить новые технологии и поэкспериментировать всвоей тестовой лаборатории.Эта глава написана для того, чтобы показать администраторам, с помощьюкаких средств они будут способны эффективнейшим способомуправлять группой компьютеров пользователей. Для установки большинствапараметров, которые вы хотите применить в сети, хватает одногосредства. Но, чтобы возможности этого средства были использованы помаксимуму, в его «услугах» необходимо разобраться.Групповые политики (Group Policy) — это часть технологии IntelliMirror,появившейся с приходом системы Windows 2000. Оснастка Групповыеполитики продолжает идеи Диспетчера учетных записей в системеWindows NT 4.0, но по сравнению с ним более функциональна и прощев понимании и управлении. Групповая политика является именно темсредством, которое служит для упрощения управления компьютерамипользователей.К сожалению, у этого средства есть и ограничения. Политики применяютсятолько к компьютерам под управлением Windows XP Professional,Windows Server 2003 и Windows 2000, являющимся членами домена. Еслив сети появился компьютер с иной операционной системой, ему необходимоуделить особое внимание, поскольку Групповая политика на негораспространяться не будет.Обзор оснастки Групповая политика.Книг и статей на эту тему написано много, и, вместо того чтобы повторятьих материал здесь, я сосредоточусь на главных особенностях, а остальное326

Глава 17. Групповые политики. Управление группой компьютеров пользователейпродемонстрирую на примере нашей учебной сети. В предыдущих главахмы уже несколько раз пользовались оснасткой Групповая политика, такчто многое покажется вам знакомым.Средство Групповая политика есть в каждом компьютере с системойWindows 2000 и выше, и на локальном компьютере его можно запуститьдвумя способами:• Запуском пустой консоли ММС и добавлением модуля оснастки сназванием Групповая политика.• Введением команды gpedit.msc в командной строке или в окне Пуск—> Выполнить.ж Group Polity Object EditorКонсопь Действие £ид ^правка^В Й5! Конфигурация компьютераЩ "CJ Конфигурация программЧтобы просмотреть описаниеШ £j Конфигурация Windows .aneMeHTaj выделите его.Щ L_j Административные шаблсЭ {J2 Конфигурация пользователяЙ СЗ Конфигурация программШ £BJ Конфигурация Windows :Ш- О Административные шабпсПолитика Default Domain Policy [srvrQOl.studyДоса!).Конфигурация компьютераКонфигурация пользователян_ыи 7Рис. У 7. /. Оснастка Групповая политика, запущеннаяна компьютере с системой Windows Server 2003Политики (всего их более 700) сгруппированы в две ветви: Конфигурациякомпьютеров и Конфигурация пользователей. Все политики, заданные вчасти Конфигурация компьютера, применяются к компьютеру независимоот того, какой пользователь за ним работает. Политики, заданные в частиКонфигурация пользователя, применяются к учетной записи пользователянезависимо от того, за каким компьютером он зарегистрирован. Некоторыеполитики присутствуют в обеих ветвях, другие — только в одной.Почти каждая политика может находиться в одном из трех состояний(рис. 17.2):• Не задано (не определено).• Включено.• Отключено.327

Microsoft Windows Server 2003Гвойгтва: Do not detect stow network спппктат'Параметр I Объяснение [:?jij Do not detect slow rwiwork contiecifonsВключенПоддерживается: At least Microsoft Windows 2000Предыдущий параметр IСледующий параметр jРис. 17.2. Варианты настройки групповой политикиНабор состояний всех политик составляет Объект групповой политики(Group Policy Object). Его можно применить в доменеActive Directory на определённом уровне: на уровне всего домена илиотдельного контейнера (рис. 17.3).•^ Консоль Действие Вид £>кно Справка • " • '- > - Ё : С В a s / с 5 * а ы . - d ' й i C a v

Глава 17. Групповые политики. Управление группой компьютеров пользователейПримеры применения объекта групповой политикиЕсли вы создадите объект групповой политики и примените его на уровнедомена (study.local), то политики, входящие в ветвь Конфигурациякомпьютера, повлияют на все компьютеры в домене, а политики в ветвиКонфигурация пользователя повлияют на всех пользователей домена.По умолчанию такой объект уже создан. Он называется Default DomainPolicy (доменная политика по умолчанию), и в этой книге мы уже с нимнесколько раз сталкивались и даже корректировали. Его основным назначениемявляется настройка параметров учётных записей пользователейдомена.Если вы создадите другой объект групповой политики и примените егона уровне Domain Controllers (который содержит только учётные записиконтроллеров домена), то политики из ветви Конфигурация компьютерабудут применены только к учётным записям компьютеров в данной организационнойединице (то есть только на контроллерах домена), а политикив ветви Конфигурация пользователя не будут применены вообще,поскольку в контейнере Domain Controllers нет никаких учётныхзаписей пользователей. По умолчанию такой объект уже создан, и называетсяон Default Domain Controllers Policy. Он служит для начальнойнастройки контроллера домена.В иерархической структуре домена Active Directory имеет место такоепонятие как наследственность. Это означает, что политики из объекта,примененного к вышестоящему контейнеру, автоматически применяютсяи к подчинённым контейнерам, если включен режим наследования.Особое положение занимают локальные объекты групповой политики.Они применяются только к локальному компьютеру и локальным пользователям.Если удалить объект групповой политики, то все политики вернутся в состояниепо умолчанию. То же произойдет в случае перемещения учётнойзаписи пользователя в иерархии Active Directory на другое место, где нанего никакой объект групповой политики не действует.В следующих частях этой главы мы подробно рассмотрим отдельные политикии варианты их настройки.Главные ветви групповой политикиВсе политики в объекте разделены на несколько областей:• Конфигурация программ. Эта область обеспечивает установку, обновлениеи удаление программного обеспечения. Подробнее о еепрактическом использовании вы узнаете из глав 18 и 20, посвященныхустановке приложений и пакетов обновления329

Microsoft Windows Server 2003Конфигурация Windows. Этот очень важный раздел обеспечивает безопасностькомпьютеров. Он состоит из большого количества политик(около 150), касающихся паролей, аудита, конфигурации членства вгруппах, безопасности ключей реестра и файлов, безопасности IPпротоколаи многих других. Дальнейшую информацию о настройкебезопасности вы найдёте в главе 22.Административные шаблоны. Эта область содержит больше всего политик,управляющих возможностью запуска и конфигурирования приложений,запретами или разрешениями изменять системные файлыи т.п. Некоторые их этих политик мы уже упоминали в предыдущихглавах.17.2. Иерархическая структураActive DirectoryДомен Active Directory имеет иерархическую структуру. Он являетсяпервым доменом подобного рода от компании Microsoft. Иерархическоестроение домена значительно облегчает работу администратора, одновременноувеличивая гибкость настройки различных параметров в сети.Например, политики, которые так или иначе должны касаться всех пользователейв домене, можно сконфигурировать в объекте на уровне домена,параметры же, касающиеся отдельных подразделений, могут быть помещеныв объект, применяемый на уровне конкретной организационнойединицы, соответствующей данному подразделению.Иерархию домена образуют контейнеры типа «организационная единица»(OU, organisation unit). Если сопоставить организационным единицамдомена подразделения нашего предприятия, то мы получим возможностьпо-разному конфигурировать компьютеры сотрудников, работающих вразных отделах. Скажем, работникам склада совершенно не обязательноиметь доступ к Панели управления вообще; сотрудникам отдела продажможно разрешить доступ к апплетам Клавиатура и Язык и региональныестандарты, руководству же можно разрешить доступ ко всей Панелиуправления.Понятно, что возможность гибкого управления отделами зависит от правильногоразбиения активного каталога на организационные единицы.Нужно продумать размещение учетных записей пользователей и компьютеровпо организационным единицам так, чтобы не пришлось каждыйдень перестраивать структуру.Важнее всего структурировать верхний уровень. Для географически распределенныхпредприятий уместно будет сопоставить организационныеединицы верхнего уровня филиалам в разных городах, а для небольшого330

Глава 17. Групповые политики. Управление группой компьютеров пользователейпредприятия они могут совпадать с делением на отделы. Для нашегоучебного предприятия Study применим второй подход.Чтобы создать организационную единицу, запустите от имени администратораконсоль Active Directory — пользователи и компьютеры и изконтекстного меню контейнера study.local выберите команду Создать-» Подразделение. Введите имя новой организационной единицы. Вывсегда сможете его сменить, причем это никак не повлияет на работупользователей.Создайте организационные единицы для наших подразделений IT, Marketing,Shop, Store и Managers (рис. 17.4).И» Active Directory User» anil Computers|4$ Консоль Действие . Вид • Окно£& Active Directory - пользователи и кс :L+i -пЗ Сохраненные запросы: Qi3 Builtin\ Q] Computers1P:"Ш Domain Controllersi-CJ ForeignSecurityPrhcipalsI S3 Users: |J|2J IT:--yeSl Marketing! USjshop:'(й3 Managers! liSJ AnotherHlB StoreСправкаD? ; Й Й2 йИмя^jBuiitini_J Computers[^Domain Contr..,CjForeignSecuri,,.Cj Users^]IT(^MarketingQiUShopi^l Managers(^AnotherТип • .• • ' • . •' | ОписаниеbuiltinDomainКонтейнерПодразделениеКонтейнерКонтейнерПодразделениеПодразделениеПодразделениеПодразделениеПодразделениеПодразделениеDefault container for upgr,..Default container for dom...Default container for secu...Default container for upgr...^jpixj:-1в.ы: • - J . i .-. • •-.Рис.17.4. Первый уровень структуры активного каталога в сети предприятия StudyТеперь нужно разместить по соответствующим подразделениям учетныезаписи пользователей. На примере отдела продаж:1. Запустите консоль Active Directory — пользователи и компьютеры.2. В левом подокне разверните контейнер Users. В правом окне выделитевсе учетные записи пользователей из отдела продаж (Shopl...Shop5), щелкая по ним при нажатой клавише Ctrl. Щелкните повыделенной группе правой кнопкой мыши и выберите из контекстногоменю команду Переместить. Отобразится диалоговое окно соструктурой домена Active Directory.3. В появившемся диалоговом окне со структурой домена щелкнитепо контейнеру Shop и нажмите кнопку ОК.4. Не забудьте переместить и шаблоны учётных записей.331

Microsoft Windows Server 2003Примечание.Если вы работаете в ОС Windows XP Professional или Windows Server 2003,то перемещать объекты в окне консоли Active Directory — пользователи икомпьютеры можно при помощи протаскивания мышью. В Windows 2000 этоделается только через команду меню.Учётные записи компьютеров оставьте в контейнере Computers. Речьидёт об исходном контейнере, в котором учётные записи создавались впроцессе добавления компьютеров в домен.Организационную единицу Domain Controllers лучше не трогать,иначе вы можете столкнуться с огромными проблемами.Созданные локальные домены и глобальные группы вы можете оставить втекущем контейнере или переместить их в подходящие организационныеединицы. Но я бы рекомендовал оставить текущее состояние. Наверное,лучшим вариантом будет создать особую организационную единицу,названную Groups и группы, которые мы создали, переместить в неё.Выберите сами решение, которое будет оптимальным для вас.Примечание.Не перемещайте стандартные доменные группы. Хотя перемещение текущихсистемных доменных групп и не должно на что-либо влиять, при установкеследующих приложений могут создаваться новые группы, чьё расположениедолжно быть сохранено (такая ситуация встречается, например, после установкиExchange 2000).Теперь домен подготовлен к тому, чтобы мы могли начать настраивать иприменять политики. Начнем с сокрытия всех файлов, не нужных пользователямдля их повседневной работы, чтобы они не отвлекались.17.3. Сокрытие ненужных файлов17.3.1. Что не нужно пользователям?Например, некоторые команды в меню Пуск. Нужна ли в ней пользователямкоманда Выполнить? Если да, то речь будет идти об исключениииз правил. А папки «Мои рисунки» и «Моя музыка»? А нужно ли им настраиватьсебе что-либо средствами Панели управления? Или эту командуможно оставить, но с ограниченным набором апплетов?332

Глава 17. Групповые политики. Управление группой компьютеров пользователей17.3.2. Как настроить групповые политики,скрывающие команды менюНастройка политики сокрытияРекомендуется применять эти политики сразу же после установки домена,чтобы пользователи быстрее примирились с ограничением своихвозможностей (или никогда не узнали о том, чего лишены). Также обязательнопосоветуйтесь с руководителями отделов — их авторитет вампонадобится, если пользователи все-таки придут жаловаться.Сейчас мы настроим политику сокрытия, применяемую ко всему домену,а для отдельных подразделений потом можно будет изменить некоторыепараметры, применив политику на уровне организационной единицы.1. Зарегистрируйтесь на РС001 как администратор. Запустите консольActive Directory — пользователи и компьютеры.2. Откройте окно свойств домена study. local и перейдите на вкладкуГрупповые политики.3. Нажмите кнопку Создать. Появится новый объект групповой политики.Дайте ему имя «Hide unnecessary files» (сокрытие ненужных. файлов).4. Щелкните по новому объекту. Запустится оснастка Групповая политика.5. Перейдите в раздел Конфигурация пользователя\Административныешаблоны\Панель задач и меню Пуск. Установите значения политикэтого раздела согласно таблице 17.1.Политики по отношению к главному менюТаблица 17.1ПолитикаУдалить значок «Мои рисунки»из главного менюУдалить значок «Моя музыка»из главного менюУдалить значок «Сетевое окружение»Удалить контекстные меню...Запретить изменение параметровпанели задач и главного менюОтключить сокращенные менюУдалить всплывающие подсказки...Удалить имя пользователяиз главного менюЗначениеВключеноВключеноВключеноВключеноВключеноВключеноВключеноВключеноПримечанияЭта политика действует только на компьютерахс Windows XP Professional. В главном менюWindows 2000 этих значков нетПо умолчанию Windows автоматически скрываетдолго не используемые команды меню.Некоторые пользователи беспокоятся и звонятадминистраторуДействует только для Windows XP ProfessionalЧтобы злоумышленник не подсмотрел.Действует только для Windows XP Professional333

Microsoft Windows Server 20036. Перейдите в раздел Конфигурация пользователя\Административныешаблоны\Рабочий стол. Установите значения политик этого разделасогласно таблице 17.2.Политики по отношению к рабочему столу Таблица 17.2ПолитикаУбрать значок «Сетевоеокружение»Запретить изменять путьпапки «Мои документы»Не сохранять параметрынастройки при выходеУдалить мастер очисткирабочего столаЗначениеВключеноВключеноВключеноВключеноПримечанияВы переадресовали эту папку на сервер, и пользователюнужно помешать переложить ее в неизвестноевам местоЕсли пользователь нечаянно перетащил панель задачтуда, откуда сам не вытащит, то он сможет помочьсебе перерегистрациейЧтобы не пропали ярлыки, которые пользователь нетрогал 60 дней7. Перейдите в раздел Конфигурация пользователя\Административныешаблоны\Система. Включите политику «Не запускать указанныеприложения Windows» и перечислите игры freecell.exe, spider.exe,winmine.exe, pinball.exe, sol.exe, mshearts.exe и редактор реестраregedit.exe.Теперь зарегистрируйтесь как рядовой пользователь и попытайтесь запуститьregedit. Вы увидите сообщение о том, что запуск этого приложениязапрещен администратором.Здесь есть одно «но». Поскольку эти политики сконфигурированы науровне домена, они будут воздействовать на всех доменных пользователей,в том числе и на администраторов. Значит ли это, что администраторыне смогут полноценно работать? Пока это так, но мы этот вопроспотом решим.Активация политики в отношении пользователейПосле входа в систему с компьютера РС001 мы проверили, что все параметрыустановлены успешно. На практике, однако, может случиться, чтов то время, когда вы будете настраивать групповую политику, некоторыепользователи могут войти в систему и работать. Не исчезнут ли у нихскрываемые файлы прямо перед носом?Чтобы ответить на этот вопрос, нужно понять, когда и как политикиприменяются к конкретному пользователю. Далее в этом параграфе мысчитаем, что без сети регистрация пользователя не происходит (включенаполитика Всегда ожидать инициализации сети в ветви Конфигурация компьютера\Административныешаблоны\Система\Вход в систему объекта334

Глава 17. Групповые политики. Управление группой компьютеров пользователейDefault Domain Policy). В Windows 2000 это настройка по умолчанию, ав Windows XP Professional нужно установить эту политику вручную, какмы сделали в предыдущих главах.Когда активируются политики, входящие в раздел Конфигурация пользователя:• При выходе и входе пользователя в систему (при каждой регистрациикомпьютер опрашивает контроллеры доменов о наличии объектовгрупповой политики, которые применяются к пользователю, и применяетих). Только после этого отображается рабочий стол пользователя.• К пользователям, уже зарегистрировавшимся в системе, политикибудут применены постепенно, в течение двух часов. Этот интервалпредназначен для того, чтобы сотни рабочих станций не обращалиськ контроллерам домена одновременно, перегружая тем самым сеть.• Когда на клиентском компьютере (под управлением Windows XPProfessional или Windows Server 2003) будет запущена утилита команднойстроки GPUPDATE. В Windows 2000 вместо нее служиткомандаsecedit /refreshpolicy user_policy /enforceЕсли два часа (90 минут плюс-минус случайная величина от 1 до 30 минут)вас не устраивают, то можете применить политику Интервал обновлениягрупповой политики для пользователей в разделе Конфигурация пользователя\Административныешаблоны\Система\Групповая политика.Установите там постоянную и случайную части нового интервала.17.3.3. Сколько объектовгрупповой политики создавать?Чтобы ограничить пользователей, у вас было две возможности: либоизменить состояние политик по умолчанию в объекте Default DomainPolicy, либо создать и применить новый объект. Как поступать, зависитот конкретных условий на вашем предприятии.Доводы в пользу одного объектаКаждый объект представляет собой набор файлов и папок общим объёмом1,66 Мб. Если на сервере уже не хватает места, то несколько объектовгрупповой политики держать на нем невыгодно. Кроме того, чембольше объектов групповой политики существует для пользователя, тембольше времени при его входе в систему потребуется для того, чтобыприменить их по очереди.335

Microsoft Windows Server 2003Доводы в пользу нескольких объектовЕсли вы измените объект политик по умолчанию (Default Domain Policy),то значения в нем уже не будут соответствовать настройкам по умолчаниюи его название потеряет смысл. Вернуться к исходным значениямбудет непросто, если не документировать тщательнейшим образом, чтоименно было изменено.Другая причина — гибкость управления. Вы могли бы создать отдельныйобъект для ограничения функциональности главного меню, отдельный —для ограничения рабочего стола и т.п. и применять некоторые из этих объектовна уровне подразделений, а другие — на уровне всего домена.17.3.4. Администраторские привилегиии как их не потерятьНастройка локальных администраторских привилегийКогда вы включаете компьютер под управлением Windows XP Professionalв домен, вам больше не обязательно знать пароль локального администратора,потому что теперь вы можете управлять этим компьютером какадминистратор домена. Это возможно благодаря тому, что группа DomainAdmins по умолчанию входит в локальную группу Administrators.Когда вы убираете компьютер из домена, группа Domain Admins излокальной группы Administrators удаляется. Но удалить ее можетвручную пользователь, если он знает пароль локального администратораили его доменная учетная запись тоже (индивидуально, а не благодарячленству в группах) входит в локальную группу Administrators. Дляадминистратора домена этот риск неприемлем, но, к счастью, применениеподходящей групповой политики позволяет свести его на нет.Другим применением для групповой политики, о которой пойдет речьв этом параграфе, является следующая задача. Допустим, вам нужно насотне рабочих станций под управлением Windows XP Professional добавитьв реестр, в ключ HKEY_LOCAL_MACHINE, некоторый подключ.Право на это действие есть у локальных администраторов, которыми выявляетесь благодаря членству в группе Domain Admin, но выполнять егосамому у вас нет времени. А если нанять на несколько дней контрактникадля выполнения этой работы, то пришлось бы раскрыть ему паролилокальных администраторов. Пришлось бы, если бы не было политикиГруппы с ограниченным доступом (ветвь Конфигурация компьютера\Конфигурация Windows\IIapaMeTpbi безопасности).Членами такой группы являются только те учетные записи и группы, которыевы явно укажете. Так, в группу локальных администраторов можно336

Глава 17. Групповые политики. Управление группой компьютеров пользователейвключить только локальную учетную запись Administrator, группуадминистраторов домена и доменную учетную запись Otherl, которуювы создали для контрактника. Сразу же, как только эта политика вступитв силу, все неуказанные учетные записи будут из группы удалены, а всеуказанные, отсутствовавшие в ней на тот момент, добавлены.Примечание.Если вы не включите в эту группу ее первоначальных членов (Administrator и группуDomain Admins), то своими руками отберете у себя администраторские привилегиина локальных компьютерах.На каком уровне применить эту политику? Первое, что приходит в голову, —на уровне домена, поскольку в наши намерения входит применить ее ковсем компьютерам сети. Но это решение неверное. Среди компьютеровдомена есть контроллер домена. Его учетная запись, правда, принадлежиторганизационной единице Domain Controllers, но политика доменабудет применена к нему в порядке наследования. А это значит, что группаEnterprise Admins перестанет быть членом группы локальных администраторовна нем, что может повлечь нарушение работы домена.Значит, нужно создать объект групповой политики над контейнеромComputers, объединяющим рядовые компьютеры, не контроллеры домена?Не получится, потому что объекты групповой политики можноприменять только к домену и организационным единицам, а контейнерComputers таковым не является.Решение есть: нужно создать организационную единицу и переместитьв нее учетные записи рядовых компьютеров.1. Запустите консоль Active Directory — пользователи и компьютерыот имени администратора.2. Сразу же под уровнем домена (то есть на уровне ранее созданныхподразделений) создайте новую организационную единицу с названием«Компьютеры».3. Переместите в нее все учётные записи компьютеров из контейнераComputers.4. Отобразите окно свойств новой организационной единицы иперейдите на вкладку Групповые политики.5. Нажмите кнопку Создать. Появится новый объект групповой политики.Дайте ему имя «Local administrators membership » (членствов группе локальных администраторов).6. В новом объекте групповой политики раскройте ветвь Конфигурациякомпьютера\Конфигурация Windows\IIapaMeTpbi безопасности.337

Microsoft Windows Server 2003Настройка членства для Administrators^inehfci этой группы: . • ' ' .'AdminislralorSTUDYVDOman Adminsaгруппа является членом в:Рис. 17.5. Группа с ограниченным доступом Administrators7. Щелкните правой кнопкой мыши по политике Группы с ограниченнымдоступом и из контекстного меню выберите команду Добавитьгруппу.8. В диалоговом окне Добавить группу введите (без опечаток) названиеAdministrators и нажмите ОК.9. В диалоговом окне свойств группы, в верхней части, нажмите кнопкуДобавить и введите регистрационное имя Administrator. Потомнажмите кнопку Обзор и выберите группу STUDY\Domain Adminsи доменную учетную запись STUDY\Otherl.Активация политики в отношении компьютеровКогда только что настроенная политика вступит в силу, на каждом компьютередомена под управлением Windows XP Professional или Windows2000 в группе локальных администраторов появится еще один член — доменнаяучетная запись временного работника. Доменная группа администраторовостанется без изменений. Но когда она вступит в силу?338• После перезагрузки компьютера. При каждой загрузке компьютеропрашивает контроллеры доменов о наличии объектов групповойполитики, которые применимы к этому компьютеру, применяет их итолько после этого выводит диалог регистрации пользователя.• К уже работающим в домене компьютерам политики будут примененыпостепенно (через 90 минут плюс-минус случайная величина от 1 до

Глава 17. Групповые политики. Управление группой компьютеров пользователей30 минут). Исключение составляют контроллеры домена, на которыхновая политика вступает в силу через 5 минут.• Когда на клиентском компьютере (под управлением Windows XPProfessional или Windows Server 2003) будет запущена утилита команднойстроки GPUPDATE. В Windows 2000 вместо нее служиткомандаsecedit /refreshpolicy machine_policy /enforceКак и для политик в отношении пользователей, интервал обновленияможно сменить. Для этого служит политика Интервал обновления групповойполитики для компьютеров в разделе Конфигурация компьютера\Административные шаблоны\Система\Групповая политика. Установитетам постоянную и случайную части нового интервала. Там же находитсяпараметр Отключить фоновое обновление групповой политики. Чтобыввести в силу эту политику, компьютер необходимо перезагрузить.Группы с ограниченным доступом являются весьма мощным средством.Из примеров мы видим, что это средство можно использовать как «сторожевуюсобаку» членства в важных доменных группах (в таком случаенеобходимо создать объект над организационной единицей DomainControllers). Если кто-то из администраторов добавит в группу DomainAdmins постороннего, то применение этой политики позволит через пятьминут лишить его незаслуженных привилегий.В начале этого параграфа мы говорили о задаче, для которой нужно сделатьадминистратором временного работника. За сроком его полномочийвам придется следить самим: либо изъяв его из группы с ограниченнымдоступом и активировав новую политику, либо ограничив срок действияего доменной учетной записи. Сама политика действует бессрочно.17.4. Ограничьте пользователейв действиях, которые им для работыне нужныЭтот параграф тесно связан с первым параграфом настоящей главы, вкотором мы тщательно скрывали от пользователей всё, что могло бы ихотвлекать. Теперь мы дополним те ограничения новыми — разными дляразных подразделений.Больше всего ограничений наложим на работников склада. В их распоряжениидолжно быть только одно приложение — почтовый клиент.Мы закроем им доступ к Панели управления и ограничим возможностиПроводника Windows.339

Microsoft Windows Server 2003Сотрудникам отдела маркетинга нужно менять язык и раскладку клавиатуры.Сначала вы полагали, что вы также запретите им доступ к окнуПанель управления, но как же теперь? Решение может быть другим и,разумеется, оно существует.Директора, разумеется, никаких ограничений не потерпят. Вам придетсяпредоставить им полную волю и готовиться к ликвидации последствийих деятельности путем переустановки операционной системы на их компьютеры.Итог по подразделениям:• Store — добавить ограничения (Панель управления, ПроводникWindows).• Marketing — добавить ограничения (Панель управления).• Managers — отменить назначенные ограничения.17.4.1. Настройка ограничений для складаНастройка ограничений в данном нашем случае будет строиться следующимобразом:1. Запустите консоль Active Directory — пользователи и компьютерыот имени администратора.2. Отобразите свойства организационной единицы «Склад» иперейдите на вкладку Групповые политики.3. Нажмите кнопку Создать. Появится новый объект групповой политики.Дайте ему имя «Store limitations» (ограничения пользователейсо склада).4. В новом объекте групповой политики раскройте ветвь Конфигурацияпользователя\ Административные шаблоны\Панель управления.Включите политику Запретить доступ к панели управления.5. Раскройте ветвь Конфигурация пользователя\ Административныешаблоны\Компоненты Windows\IIpoBOflHHK и включите следующиеполитики:• Удалить команды «Подключение сетевого диска» и «Отключениесетевого диска».• Скрыть выбранные диски из окна «Мой компьютер».• Удалить вкладку «Безопасность» (действует только для WindowsХР Professional и Windows Server 2003).• Скрыть значок «Соседние компьютеры» в папке «Сетевое окружение».340

Глава 17. Групповые политики. Управление группой компьютеров пользователей17.4.2. Настройка ограниченийдля отдела маркетингаПоскольку пользователи из маркетинга должны работать с иностраннымиязыками и раскладками клавиатуры, им нужен, собственно, доступ к одномуапплету Панели управления — Язык и региональные стандарты.1. Запустите консоль Active Directory — пользователи и компьютерыот имени администратора.2. Отобразите свойства организационной единицы «Маркетинг» иперейдите на вкладку Групповые политики.3. Нажмите кнопку Создать. Появится новый объект групповой политики.Дайте ему имя «Marketing limitations».4. В новом объекте групповой политики раскройте ветвь Конфигурацияпользователя\ Административные шаблоны\Панель управления.5. Включите политику Отображать только указанные элементы панелиуправления. Нажмите кнопку Показать и введите (без опечаток)название «Язык и региональные стандарты».17.4.3. Отмена ограничений для руководстваДля отмены ограничений:1. Запустите консоль Active Directory — пользователи и компьютерыот имени администратора.2. Отобразите свойства организационной единицы «Дирекция» иперейдите на вкладку Групповые политики.3. В нижней части вкладки установите флажок Блокировать наследованиеполитики и нажмите ОК.Тем самым вы отменили применение политик, действующих на вышерасположенныеуровни иерархии активного каталога, к текущей организационнойединице. Этот флажок прерывает наследование всех примененныхвыше политик, что нас не устраивает: мы хотели бы отменить дляподразделения только действие объекта групповой политики «Сокрытиененужных файлов», а действие Default Domain Policy сохранить.Существует возможность принудительно применить групповую политику,настроенную для некоторого контейнера, ко всем контейнерам болеенизкого уровня, даже если у них заблокировано наследование политики.Воспользуемся ею для объекта Default Domain Policy:4. В окне консоли Active Directory — пользователи и компьютерыотобразите свойства домена study, local и перейдите на вкладкуГрупповые политики.5. Выберите объект Default Domain Policy. Нажмите кнопку Параметры.В появившемся диалоговом окне установите флажок Не пере-341

Microsoft Windows Server 2003крывать. После этого ни один нижестоящий контейнер не сможетпереопределить (перекрыть) политики, примененные к родительскомуконтейнеру.17.5. Обеспечьте безопасность хранениядокументов пользователейВ главе 13 мы разобрались с локальными и перемещаемыми профилямии выяснили, что оптимальным местом для хранения личных документовявляется папка «Мои документы», по умолчанию являющаяся частьюпрофиля. У пользователей с локальными профилями при этом личныедокументы хранятся на той рабочей станции, за которой они работают,а у пользователей с перемещаемыми профилями — на сервере.У обоих вариантов есть свои недостатки. В первом случае данные хранятсянедостаточно надежно, так как жесткие диски пользовательскихкомпьютеров обычно не архивируются. Во втором случае объём пользовательскихданных, передаваясь по сети на компьютер, за которымпользователь раньше не работал, может существенно затормозить процессрегистрации.Решением обеих проблем является переадресация папки «Мои документы»на сервер. Серверы регулярно архивируются, и данные пользователейтаким образом сохраняются. При использовании перемещаемыхпрофилей содержимое папки документы после переадресации перестаётбыть частью профиля, а вместо него в профиле сохраняется путь к переадресованнойпапке \\сервер\папка.Создайте предварительно на сервере папку, которая станет родительскойпапкой для всех переадресованных личных папок, и откройте к ней сетевойдоступ.Для этого зарегистрируйтесь на РС001 и запустите консоль Управлениекомпьютером.1. Щелкните правой кнопкой мыши по значку Управление компьютероми из контекстного меню выберите команду Подключиться кдругому компьютеру. Введите имя SRVR001 и нажмите ОК.2. Разверните контейнер Служебные программы\Общие папки и изконтекстного меню выберите команду Создать. Укажите путь к папкеC:\Home и дайте папке имя «Ноте». Нажмите Далее.3. Установите флажок Все пользователи имеют полный доступ.Поскольку мы собираемся переадресовывать папки «Мои документы»для всех пользователей, создадим для этой цели объект групповой политикина уровне домена:342

Глава 17. Групповые политики. Управление группой компьютеров пользователей1. Запустите консоль Active Directory — пользователи и компьютерыот имени администратора.2. Отобразите свойства домена study . local и перейдите на вкладкуГрупповые политики.3. Нажмите кнопку Создать. Появится новый объект групповой политики.Дайте ему имя «MyDocs redirection» (перенаправление папки«Мои документы»).4. В новом объекте групповой политики выберите узел Конфигурацияпользователя\ Конфигурация УУтсктвЩеренаправление папки.Щелкните правой кнопкой мыши по папке «Мои документы» и изконтекстного меню выберите команду Свойства.5. На вкладке Размещение выберите в поле Политика значение Простое— перенаправлять папки всех пользователей в одно место.6. В области Размещение конечной папки выберите Создать папку длякаждого пользователя на корневом пути.7. В поле Корневой путь введите путь \\SRVR0 01 \Home и нажмите ОК.Для каждого отдельного пользователя в папке Ноте будет созданаподпапка с его регистрационным именем.8. Перейдите на вкладку Параметры и установите переключатели так,как показано на рис. 17.6.Чтобы от имени рядового пользователя (например, Shopl) проверитьпуть к папке «Мои документы», нужно отобразить ее свойства. Но мыуже запретили это с помощью групповых политик (запретив показыватьконтекстное меню для элементов меню Пуск). Чтобы вытащить значокРазмещениеПараметры.11*]Задайте условия перенаправления для папки "Моидокументы". 1 .:"-. -. •':.:' •' V •; •' |0ржос?ашгь права монотольногодоспла к "Мои;В лъГ. '._;,;,___ ^^___л ".|: - т.-..'. г'-л,. !...-]!.'-!г1"' Перенести садержимое "Моидокумекгы" в новое место."Удаление политили'" ~ — "С По£яе каления политики переместить папку.(* После уааления политики первналра§ить папку обратно влокальный профиль пояьэоьзтелй.Рис.17.6. Параметры политики перенаправления папки343

Microsoft Windows Server 2003папки «Мои документы» на рабочий стол (это не запрещено), выполнитеследующее:1. Откройте окно свойств рабочего стола и перейдите на вкладку Рабочийстол.2. Нажмите кнопку Настройка рабочего стола и в диалоговом окнеЭлементы рабочего стола установите флажок Мои Документы. Послеэтого вы сможете отобразить свойства этой папки.Значок перенаправленной папки в ОС Windows XP Professional иWindows Server 2003 отличается двумя синими стрелками. Это указаниена то, что содержимое папки на рабочей станции синхронизируется ссервером каждый раз при подключении и отключении пользователя отсети. Возможность автономной работы особенно удобна для пользователейс ноутбуками.В Windows 2000 режим автономной работы по умолчанию не включен.Настроить его можно через политики в ветви Конфигурация пользователя\Административныешаблоны\Сеть\Автономные файлы.17.6. Дисковые квоты.Настройка дисковых квотПолезно бывает ограничить дисковое пространство, которое пользователиимеют право занять своими файлами. Это можно сделать как в свойствахкаждого раздела, если он отформатирован файловой системой NTFS,так и через групповые политики. Как вы думаете, какое решение будетболее системным?Нужные нам политики находятся в ветви Конфигурации компьютера, тоесть будут применены к компьютеру независимо от того, какой пользовательна нем сейчас зарегистрирован. Главное — это сделать так, чтобысодержание папок «Мои документы», хранящихся на сервере SRVR001,не было слишком велико. Отведем под каждую 200 Мб и еще 10 Мб дляпрочих настроек. Поскольку мы ограничиваем место на сервере SRVR001,который является в настоящий момент контроллером домена, нам нужноопределить объект групповой политики на уровне организационнойединицы Domain Controllers.3441. Запустите консоль Active Directory — пользователи и компьютерыот имени администратора.2. Отобразите свойства организационной единицы Domain Controllersи перейдите на вкладку Групповые политики.3. Нажмите кнопку Создать. Появится новый объект групповой политики.Дайте ему имя «Disk quotas».

Глава 17. Групповые политики. Управление группой компьютеров пользователей4. В новом объекте групповой политики выберите узел Конфигурациякомпьютера\ Административные шаблоны\Система\Дисковые квоты.Настройте политики следующим образом:• Включить дисковые квоты: Включено.• Задать предел дисковой квоты: Включено.• Предел квоты по умолчанию и уровень предупреждения: 210 Мб,190 Мб.• Вести журнал при превышении предела квоты: Включено.• Заносить событие превышения уровня предупреждения: Включено.Дисковые квоты будут применяться ко всем пользователям, кроме членовгруппы администраторов. А как иначе они смогли бы устанавливать насервер громоздкие приложения?17.7. Результирующая политикаВы только что вернулись из отпуска и начисто забыли, кого ограничили,в чем и при помощи каких политик, а пользователи уже стоят в очереди сжалобами на недостаток прав. Точно выяснить, какой объект групповойполитики за какие настройки отвечает, поможет оснастка Результирующаяполитика, присутствующая в Windows XP Professional.1. Зарегистрируйтесь на РС001 под именем пользователя, которыйжалуется (пусть это будет Storel).2. Выполните команду Пуск —> Выполнить и введите команду mmc.3. В пустую консоль ММС добавьте изолированную оснастку Результирующаяполитика. Запустится Мастер, в окнах которого согласитесьс параметрами по умолчанию, пять раз нажав Далее, и послезавершения анализа компьютера нажмите Готово.4. В добавленной оснастке разверните ветвь Конфигурация пользователя\Административныешаблоны\Панель задач и меню «Пуск».В правой части окна отобразятся политики из разных объектов,которые вместе образуют конфигурацию для данного пользователя.В последнем столбце указано имя объекта групповой политики,которому принадлежит действующее значение политики.Если вы сидите на своем рабочем месте, а жалуются с другого компьютера,то подходить к нему необязательно: достаточно в окнах Мастерарезультирующей политики указать имя другого компьютера и учетнойзаписи пользователя.Оснастку Результирующая политика можно запустить также, введя командуrsop.msc. По этой команде будет проанализирована конфигурация длялокального компьютера и зарегистрированного сейчас пользователя.345

Microsoft Windows Server 2003Кстати, а почему у вас под именем администратора не запускается редакторреестра? Проанализируйте результирующую политику для себя,и вы обнаружите, что на вас влияют объекты Default Domain Policy, «Сокрытиененужных файлов» и «Перенаправление папки». Ограничениямизаведует второй из них.1. Запустите консоль Active Directory — пользователи и компьютеры.2. Отобразите свойства домена study. local и перейдите на вкладкуГрупповые политики.3. Отобразите свойства объекта «Сокрытие ненужных файлов» иперейдите на вкладку Безопасность. Вы видите, что группа «Прошедшиепроверку» («Authenticated Users») имеет разрешения на чтениеи применение групповой политики. Это именно то разрешение,которое вас как администратора не устраивает: объект групповойполитики применяется ко всем нижестоящим контейнерам толькотогда, когда они имеют эти разрешения.4. Выберите в списке субъектов доступа группу Domain Admins изапретите для нее применение групповой политики. Теперь вашаучетная запись не будет подлежать ограничениям.Эта процедура называется фильтрацией объектов групповой политики.17.8. Замыканиепользовательской политикиЕсли вы думаете, что хорошо поняли и усвоили материал настоящейглавы, то этот параграф — специально для вас.Вот ситуация: обычно пользователь, отходя от своего рабочего места ненадолго,не завершает сеанс, а просто блокирует компьютер нажатиемкомбинации клавиш Ctrl+Alt+Del. Снять блокировку может он сам, знаяпароль, или администратор, но никто другой, поэтому на компьютерах,стоящих в общественных местах, блокировка нежелательна. А у нас естькомпьютеры в торговом зале, на которых работают разные сотрудникиотдела продаж — кто за каким придется — и поэтому практику блокировкина этих компьютерах следовало бы запретить.Политика Запретить блокировку компьютера находится в контейнереКонфигурация пользователя\Административные шаблоны\Система\ВозможностиCtrl+Alt+Del. Но проблема в том, что применить ее надо не котдельным пользователям, а к отдельным компьютерам (пусть это будеткомпьютер РС001).346

Глава 17. Групповые политики. Управление группой компьютеров пользователейСпособ решения этой проблемы называется замыканием пользовательскойполитики и состоит в том, что при регистрации на компьютере, длякоторого действует политика замыкания, объекты групповой политикикомпьютера определяют, какие из объектов групповой политики пользователяследует здесь применить.1. Зарегистрируйтесь на РС001 и запустите консоль Active Directory —пользователи и компьютеры.2. Создайте в организационной единице «Компьютеры» дочернююорганизационную единицу «Торговый зал» и переместите в нееучетную запись РС001.3. Отобразите свойства организационной единицы «Торговый зал»,перейдите на вкладку Групповые политики и создайте новый объектс именем «No Lock» (запрет блокировки).4. В новом объекте раскройте ветвь Конфигурация пользователя\Административныешаблоны\Система\Возможности Ctrl+Alt+Del ивключите политику Запретить блокировку компьютера.5. Выберите узел Конфигурация компьютера\Административные шаблоны\Система\Групповаяполитика. Включите эту политику и изсписка Режим выберите Слияние. Режим слияния требует, чтобы кпользователю были применены не только политики, настроенные длянего, но и политики, настроенные для компьютера (режим замены —только политики компьютера).17.9. Порядок применениягрупповых политикОбъекты групповой политики можно определять на разных уровняхиерархии активного каталога: на локальном компьютере, на уровне домена,организационной единицы и сети. С локальными политиками мыпознакомились еще в среде рабочей группы. С политиками на уровнесайта (они задаются с помощью консоли Active Directory — сайты ислужбы)) вы будете сталкиваться не часто, поскольку они предназначеныдля крупных сетей.Порядок применения политик нужно знать на случай, если значенияодной и той же политики в разных объектах, последовательно примененныхк учетной записи, конфликтуют между собой. Сначала применяютсялокальные политики, потом политики на уровне сайта, потом политикидомена, потом политики организационных единиц сверху вниз. Приоритетимеют те политики, которые ближе к учетной записи. То есть еслина уровне домена пользователю разрешено изменять рабочий стол, тоэто еще ничего не говорит о его правах: ему может быть запрещено науровне подразделения.347

Microsoft Windows Server 2003Объекты одного уровня применяются снизу вверх, то есть приоритетимеют те объекты, которые расположены выше. Порядок объектов можноменять.Применение объектов групповой политики можно изменить с помощьюфильтров WMI, выбирающих из контейнеров только компьютеры суказанными свойствами. Например, вы можете применить некоторуюполитику только к тем компьютерам, у которых процессор быстрее, чем733 МГц или установлен Service Pack 1. Примеры фильтров WMI:• Компьютеры, на которых установлен модем:Root\CimV2; Select * from Win32_POTSModem• Компьютеры с указанной операционной системой:Root\CimV2; Select * from Win32_OperatingSystem whereCaption = "Microsoft Windows XP Professional"• Компьютеры, где хотя бы на одном разделе NTFS свободно больше10 Мб:Root\cimv2; SELECT * FROM Win32_LogicalDiskWHERE (Name = „C:" OR Name = „D:" ORName = „E:") AND DriveType = 3 AND FreeSpace > 10485760AND FileSystem = „NTFS"• Компьютеры, где установлено приложение с указанным идентификатором:Root\cimv2; SELECT * FROM Win32_ProductWHERE IdentifyingNumber =„{5E076CF2-EFED-43A2-A623-13E0D62EC7E0}"17Для администрирования объектов групповой политики служит утилитаGPMC (Group Policy Management Console). Кроме гораздо большегоудобства работы, она позволяет архивировать объекты, переносить ихв другой домен и управлять ими из командной строки. Эта утилита невходит в стандартную поставку Windows Server 2003.В свойствах объектов групповой политики на вкладке Общие есть флажкиЗапретить настройку конфигурации компьютера и Запретить настройкуконфигурации пользователя. Если объект содержит только политикиодного типа, то запрет применения политик второго типа ускорит процессзагрузки компьютера или регистрации пользователя.348

Глава 17. Групповые политики. Управление группой компьютеров пользователей17.10. ИтогиИнструмент Групповые политики — это одно из мощнейших средств системыWindows Server 2003, позволяющее просто, быстро и единообразноадминистрировать пользовательские компьютеры. Система Windows XPProfessional содержит более 700 политик, управляющих видом и поведениемпользовательских компьютеров, их безопасностью, установкойприложений, запуском скриптов, перенаправлением папок и т.п.Состояние сетиВ домене созданы организационные единицы. Группы локальных администраторовна всех компьютерах объявлены группами с ограниченнымдоступом, и в них включена учетная запись контрактника. Для всехпользователей папка «Мои документы» перенаправлена на сервер, впапку Ноте. На сервере настроены квоты так, что каждый пользовательполучил в распоряжение 210 Мб места на диске. На компьютере РС001запрещена блокировка сеанса.349

УстанавливаемприложенияУстановка с инсталляционных дисковУстановка по сетиУстановка с помощью другихсредств. Как это сделать попроще?Установка приложений с помощьюпараметров групповой политикиПакет MSIПример установки пакета MicrosoftOffice 2003Публикация приложенийМодернизация с помощью принциповгрупповой политикиMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сета

Компьютерные сети существуют не для того, чтобы в них работали администраторы,а для того, чтобы упростить работу пользователей с документамии приложениями, которые нужны им для работы.Для всех сегодня сеть представляется как само собой разумеющееся. Никогоне удивляет, к примеру, что к Интернету они подключаются сразу послезапуска приложения Internet Explorer и им не нужен для этого модем; еслиим нужен какой-то важный файл, они откроют его из папки на сервере, а небудут ходить за тридевять земель с дискетой; и если они хотят распечататьфотографию своего домашнего любимца, они просто пошлют её на принтер,даже если он не подсоединён непосредственно к компьютеру.Само собой, кто-то может напомнить, что сеть может принести и неприятности,как то быстрое распространение вирусов, нежелательныеэлектронные письма (спам) и тому подобное. Он будет, несомненно, прав.Эти неприятности являются чем-то вроде «естественной болезни» сетей,от которой, к счастью, есть лекарства.Целью каждой организации является то, чтобы пользователи работалидля её процветания. Для этого она предоставляет всё необходимое —компьютер с операционной системой и приложениями. Компьютер мыпользователям уже предоставили, к тому же ещё в предыдущей главемы ограничили пользователей в действиях, не нужных им для работы.Следующим шагом является установка приложений.18.1. Какие у нас есть возможности?Установка приложений для администратора всегда кошмар. Речь идёт очём-то более глобальном, нежели просто администрирование операционнойсистемы. Администратор уже наперёд знает, что его ждёт работа сподготовкой установки, само её проведение и решение проблем. В небольшихорганизациях опасения администраторов, в общем-то, обоснованы,поскольку от них автоматически ждут, что они будут для пользователейчем-то вроде службы поддержки.Руководство компании предполагает, что администраторы существуютдля того, чтобы решать любые проблемы, касающиеся оборудования,351

Microsoft Windows Server 2003системы, приложений и многого другого. Автоматически администраторстановится экспертом в области любого приложения, использующегося всети. Это, однако, является большой ошибкой. Такого рода администратор,по сути дела, — раб, который проводит за работой все время толькодля того, чтобы хотя бы удержать систему на плаву.Поскольку работы много, он ничего не делает как следует и до конца, унего нет времени ничему научиться и вследствие этого появляются новыеошибки, которые опять надо исправлять. Круг замкнулся...Со стороны администратора должна быть осуществлена установка приложенийв пространстве сети. Остальное — поддержка приложений, прислучае, их администрирование — должно являться обязанностью отделатехнической поддержки, при возможности — поставщика программногообеспечения.Вот мы и подошли в нашей к сети к установке нескольких приложений.Давайте же посмотрим, какие у нас есть варианты.18.2. Установка с инсталляционных дисковРечь идёт о самом простом способе установки приложения. Администраторвозьмет диск, подойдет к компьютеру, выгонит из-за него пользователя,войдет в систему под учетной записью администратора и проведетустановку. И так с каждым компьютером.Это всё прекрасно работает до тех пор, пока не появляются проблемы.Какие?Запуск приложения от имени другого пользователяТипичная проблема, возникающая у приложений Microsoft Office 2003.При входе нового пользователя и запуска приложения из этого пакетапроисходит настройка приложений для данного пользователя, для чеготребуется установочный диск. Неприятная, и, как мне кажется, в данномслучае безвыходная ситуация.Пользователь по ошибке удалил какой-то из файлов приложенияХотя этот вариант благодаря разрешениям NTFS в системе WindowsХР Professional почти полностью отпадает, он может о себе напомнить.Некоторым приложениям может потребоваться изменение прав доступапользователя к папке, в которой установлено приложение, для изменениясодержимого файлов приложением в процессе работы, и пользовательслучайно может удалить важные файлы. После этого остаётся лишь взятькомпакт-диск, сесть за компьютер и повторить установку.352

Глава 18. Устанавливаем приложенияПользователь хочет добавить компоненты приложенияХотя среда установленных приложений однородна, могут появитьсяпользователи (и даже целые отделы), которые потребуют установки дополнительныхвозможностей приложения. Следующий шаг — такой же,как при первоначальной установке приложения. Самое существенное —это то, что к компьютерам должны подходить вы, т.к. требуется опятьтаки учетная запись администратора.В компьютере нет привода CD-ROMВесьма распространённое явление (в сегодняшних сетях). Приложениевы купили, диск у вас есть, вы готовы, но установку не выполнить. Вэтом случае ничего более не остаётся, как использовать другой методустановки.18.3. Установка по сетиДанный способ установки отличается от предыдущего только тем, чтоустановочным диском служит сеть. Принцип прост. На сервере (которымв данном случае является обычный файловый сервер) создается папка сустановочными файлами приложения. С пользовательского компьютеравы впоследствии как администратор подключаетесь к папке и проводитеустановку приложения.Этот способ установки имеет некоторую выгоду. Вы не должны будетеносить с собой установочные диски и можете установить приложение накомпьютер, который не располагает приводом CD-ROM, если только онимеет действующее подключение к сети.Одновременно с этим данный способ установки может устранить неполадки,связанные с приложениями пакета Office 2000/2003 (или имподобными) при входе другого пользователя. Компьютер уже не будеттребовать установочный компакт-диск: имея доступ к установочнымфайлам, он доустановит нужные данные автоматически.18.4. Установка с помощью других средств.Как это сделать попроще?Между администраторами сети Microsoft хорошо известно средствоSystems Management Server 2.0. Речь идёт об очень хорошем средстве,которое может делать кучу разных вещей. Установка приложений — однаиз них.12 Зак. 446 353

Microsoft Windows Server 2003Его плюсы (в области установки приложений) включают возможностьустановки на компьютеры пользователей практически любого приложения.Минусом является необходимость покупки этого продукта, установки сервераи клиентской части на все компьютеры пользователей и, разумеется,умение всё это благополучно администрировать. Иными словами — нужноиметь в распоряжении ещё одного администратора, который и будет заботитьсяоб управлении этой частью рабочего пространства. О расходах,которые потребуются на такого рода автоматизацию, речь не идёт.Следующим средством для установки приложений является часть параметровгрупповой политики домена Active Directory под названием Установкапрограмм. Ей мы посвятим разделы в следующих параграфов.Я хочу кое-что предложить. А именно — как с помощью стандартныхсредств домена Active Directory подготовить автоматическую установку,которая позволит вам сделать для себя процес установки менее энергозатратным,в то время как вы будете изображать перед руководством, чтоработы у вас — выше крыши.В домене Active Directory есть средства, которые вы можете использоватьдля автоматической установки приложений на компьютеры пользователей.Они являются частью групповой политики, так что правильнымразмещением ее объектов вы можете определить, какой пользовательбудет иметь то или иное программное обеспечение.18.5. Установка приложений с помощьюпараметров групповой политикиВ предыдущей главе мы изучали параметры и объекты групповой политики.Была изложена вся необходимая информация, описано их применение,и также мы рассмотрели некоторые конкретные параметры. Хотя этоговсего вполне достаточно, мы совсем не коснулись одной из возможностейгрупповой политики — Установки программного обеспечения.18.5.1. Конфигурация компьютераили конфигурация пользователя?Часть параметров групповой политики касается установки программногообеспечения и находится в обоих разделах объекта — КонфигурацияКомпьютера и Конфигурация пользователя. Нужно знать, какие междуними есть различия и что нам необходимо.354

Конфигурация компьютераГлава 18. Устанавливаем приложенияВсе параметры, сконфигурированные в этой ветви объекта групповойполитики, всегда применяются только к учётным записям компьютера.Это нам хорошо знакомо. Если вы определите установку программногообеспечения в этой части, она будет касаться только компьютеров независимоот того, какой именно пользователь войдёт в систему.Приложения, устанавливаемые с помощью установок в части Конфигурациякомпьютера, на первый взгляд, со стороны пользователя кажутсястатичными, то есть остаются всегда в данном компьютере и доступныкаждому пользователю, вошедшему в систему.Конфигурация пользователяПараметры в этой части объекта касаются только учётных записейпользователя. Предположим, что пользователям в отделе Склад(Store) вы предоставите только приложение Outlook (почтового клиента),а пользователям отдела маркетинга (Marketing) установите весь пакетMicrosoft Office.На любом компьютере, где зарегистрируется сотрудник отдела маркетинга,у него будут в распоряжении все приложения пакета Office. Еслина этом же компьютере зарегистрируется работник склада (Store), онполучит доступ только к приложению Microsoft Outlook.Приложения, установленные при помощи настроек в ветви Конфигурацияпользователя, «путешествуют» таким образом вместе с пользователем.18.5.2. Примеры использованияразных видов установокРазницу между конфигурацией установки приложений посредствомветвей Конфигурация компьютера и Конфигурация пользователя мыпокажем на примере установки пакета обновления Service Pack. С точкизрения администратора, обновление Service Pack операционной системыявляется обычным приложением, только очень важным.Если вы определяете установку обновления Service Pack в разделе Конфигурациякомпьютера, вы обеспечиваете её установку на все компьютеры,связанные с объектом групповой политики, который вы для этих целейсоздали. Service Pack таким образом установится на компьютеры и будетв системе независимо от входящего пользователя.Если вы эту установку определили в части Конфигурация пользователяобъекта, который потом вы примените, например, на подразделение355

Microsoft Windows Server 2003Marketing, пакет Service Pack установится только на те компьютеры, накоторых зарегистрированы пользователи из этого отдела. После их выходаих системы обновление будет удалено.Со стороны администратора группы более разумным был бы первыйвариант, то есть установка, определённая в части Конфигурация компьютеров.Другим примером может послужить специальное антивирусное приложение,которое вы можете использовать только в единственном экземпляре.Как администратор вы решаете проблемы прямо у пользователей и в некоторыхситуациях вам нужно провести анализ компьютера на вирусы.Поскольку для этого антивирусных программ компьютеров пользователейнедостаточно, вам нужно будет воспользоваться своей антивируснойпрограммой.Но вы не знаете наперёд, на каких компьютерах вам нужно будет еёиспользовать. Установку этой антивирусной программы вы определитев объекте групповой политики, которая будет применяться только дляучетной записи администраторов.Если вы впоследствии войдёте в любую систему как администратор, увас это приложение уже будет установлено.18.5.3. Добавление или публикация приложения?Мы стоим перед двумя понятиями, которые для использования параметровгрупповой политики в отношении установки программного обеспечениянеобходимо усвоить. Речь идёт о способе установки приложенияи о том, как о нём узнают пользователи.Добавление приложенияДобавление приложения — одна из возможностей установки, которуюнеобходимо определить при подготовке инсталляционного пакета. Есливы добавите приложение, произойдёт следующее:• После входа пользователя в меню Пуск появится ярлык этого приложения.• Пользователь может запустить приложение щелчком по этому ярлыкуили же запустив сам исполняемый файл.Добавление приложения используется в случае, когда пользователи действительнонуждаются в этом приложении, и им нужно иметь их ярлыкв меню Пуск.356

Публикация приложенияГлава 18. Устанавливаем приложенияС публикацией приложения дело обстоит иначе. После публикации приложенияпроизойдёт следующее:• Пользователь после входа в систему не найдёт ярлыка приложения вменю Пуск.• Пользователь может запустить приложение через его установочныйфайл или апплет Установка и удаление программ.Публикация приложения используется в случае, если у вас для пользователейприготовлены приложения, но вы не хотите их добавлять в менюПуск и отводить под них место на диске.Сочетания вида установки и раздела групповых политик Таблица 18.1Добавление приложенияПубликация приложенияКонфигурация компьютераДаНетКонфигурация пользователяДаДа18.5.4. Немедленная или отложенная установка?Параметры групповой политики из раздела Конфигурация пользователяприменяются сразу после входа пользователя в систему и затем регулярнообновляются. Теперь представьте себе состояние, когда с помощью групповойполитики мы определим установку набора офисных приложенийна 100 компьютеров.И если однажды утром так все сложится, что в систему войдут сразу 100пользователей, что произойдёт? Установочный сервер не справится снагрузкой и «зависнет»? Это зависит от того, каким образом вы сконфигурируетеустановку приложений.У вас есть два варианта на выбор:• Отложенная установка. В этом случае происходит установка данногоприложения в момент, когда её запустит пользователь. При примененииполитики во время входа пользователя в систему произойдётобъявление приложения, созданное в форме ярлыка в меню Пуск.Вероятность, что всем 100 пользователям сразу потребуется одно и тоже приложение, настолько мала, что перегрузка компьютера, откудапроводится установка, не предполагается.• Немедленная установка. В этом случае происходит установка данногоприложения сразу во время входа в систему пользователя. Например,владелец переносного компьютера вне сети смог бы только рукамиразвести, почему это у него в меню Пуск есть приложение, которогона самом деле в компьютере нет. Поэтому данный тип установки357

Microsoft Windows Server 2003используется в основном у переносных компьютеров. Пользователи,однако, должны в этом случае рассчитывать на то, что процесс ихвхода в систему немного затянется на период установки всех приложений,которые вы определили в объекте групповой политики.Ш Примечание.В домене Active Directory с системой Windows server 2003 немедленную установкуможно использовать только при добавлении инсталляционного пакета.18.5.5. Все приложения или только некоторые?С помощью параметров групповой политики в доменах Active Directoryможно устанавливать только инсталляционные пакеты MSI, то есть приложения,которые созданы для установочных служб системы Windows.Речь идёт о новой службе, которая есть в нашем распоряжении с моментапоявления системы Windows 2000.Это, без сомнения, переломный момент в использовании параметров дляустановки программного обеспечения. Не все приложения добавляютсяв форме этого пакета. Если вы хотите удалённо установить приложение,вы должны решить, будет ли у вас инсталляционный пакет MSI и высможете использовать объект групповой политики или у вас будет толькоустановочная программа в виде файла setup.exe и вы должны будете использоватьSystems Management Server.Возможность установки программного обеспечения с помощью групповыхполитик пришла на рынок вместе с системой Windows 2000 вконце 1999 года. Тогда был просто праздник встретить пакет MSI длянеобходимого приложения. Сегодня, спустя более чем 5 лет, ситуациякардинально изменилась.18.6. Пакет MSIЧто же такое пакет MSI? Как выглядит его структура? Вспомните, мыуже встречались с ним при установке пакета администрирования доменана компьютер РС001 и модуля многоязыковой поддержки интерфейса.Установка программ происходит посредством запуска setup.exe, а всёостальное устроит установочная программа. Что произойдёт в системе? Вовремя установки создаются новые папки, в которые разархивируются файлы,часть файлов может быть добавлена в системные папки, создаются новыезаписи в реестре и у пользователей появятся ярлыки в меню Пуск.358

Глава 18. Устанавливаем приложенияТакую установку вы могли провести и вручную. Если бы вы достали утилитыдля разархивирования и информацию о том, какие папки и ключи вреестре и где нужно создать и что куда скопировать, вы смогли бы сделатьвсе самостоятельно. Результат получился бы тот же, но, в сравнении сустановочной программой, более медленно.Файл MSI является объектом, содержащим именно такую информацию:что и где создать, какие папки и ключи в реестре, какие файлы кудаскопировать и т.п. Кроме файла MSI, существуют и другие файлы, являющиесячастью установки. Если приложение невелико, установочныефайлы являются частью файла MSI. Он содержит в себе две части — базуданных и файлы (вспомните файл adminpak.msi или twclient32 .msi,оба в стиле «все в одном»).18.7. Пример установки пакетаMicrosoft Office 2003Несмотря на то, что я встречал разных администраторов, которые знали овозможности установки приложений с помощью объектов групповой политики,у них у всех преобладало мнение, что такая установка «нормальноне функционирует» и было бы проще и лучше установить всё вручную.Часто в таких случаях речь шла об установке приложений пакетаMicrosoft Office, что огорчает вдвойне. Во-первых, Office выпускается ввиде пакета MSI, начиная с версии 2000, а во-вторых, — речь идёт о продуктекомпании Microsoft. А что ещё может функционировать нормальновместе, как не продукты Microsoft?Конечно, временами и в компании Microsoft принимаются решения, которыене столь хороши, как их рекламируют. Такие оплошности быстроисправляются и затем нормально функционируют.18.7.1. Стратегия установки приложенийпакета Office 2003Все пользователи компании Study должны по идее иметь приложениеOutlook — органайзер для работы с контактами, заданиями и электроннойпочтой.Пользователи в отделе продаж и маркетинга нуждаются в приложенияхWord и Excel. Они работают с этими приложениями ежедневно, такчто установим им эти приложения так, чтобы они отобразились в менюПуск.359

Microsoft Windows Server 2003Пользователи на складе хоть и не являются типичными представителямиклассических офисных работников, но иногда им необходим редакторWord. И в этом случае мы пойдём пользователям навстречу и сконфигурируемприложение так, чтобы оно было подготовлено к установке, ноне было отображено в меню Пуск.Директорам всегда необходим полный набор приложений, даже еслиони и не знают, для чего те нужны. В своих компьютерах (и в каждомкомпьютере, в систему которого они войдут) эти приложения должныпросто быть. Мы пойдём им навстречу и приложение Outlook обогатимполным комплектом пакета Office — Word, Excel и Access. Они будутединственными, кто будет располагать средством Microsoft Access.Конфигурацию всех приложений мы проведём так, что приложения будутустанавливаться по требованию (отложенная установка). Пользователибудут видеть значок программы в меню Пуск, но до первой установкидело дойдёт только в случае необходимости использования.В итоге — нам потребуется 4 типа инсталляционных пакетов (пакет дляПродаж и Маркетинга, для Склада, для Руководства и для остальных).Значит ли это, что у нас на сервере будет несколько видов установочныхфайлов?Необязательно. Можно использовать трансформирующий файл MST. Aкомплекс М51+М5Т=установочный комплекс (вспомните файл ответа иединственный файл базы данных UDF — это было нечто подобное).Мы, таким образом, будем использовать единый инсталляционный пакетMSI, но в каждом объекте используем его модификацию MST.18.7.2. Подготовка к установке пакета Office 2003.Установка Office 2003 Resource KitДля успешной установки нам понадобится следующее:• Установочный диск пакета Office 2003. Внимание! Диск должен бытьиз мультилицензионной программы. Другие версии для этого типаустановки использовать нельзя.• Средства администрирования пакета Office 2003 Resource Kit. Этафункция необходима, и я лично считаю, что все, кто утверждает, чтоустановка пакета Office с помощью параметров групповой политикиневозможна, это средство вообще ни разу не использовали. Именно сего помощью мы будем способны создать трансформирующие файлыMST.360

Глава 18. Устанавливаем приложенияЧтобы не перегружать сервер (это было бы непрактично), мы проведёмустановку необходимых средств и все приготовления на клиентскомкомпьютере РС001.Утилиту Office 2003 Resource Kit можно скачать как файл ork . exe свеб-страницы компании Microsoft.1. Войдите в компьютер РС001 как администратор.2. Запустите файл ork.exe. Утилита Office 2003 Resource Kit (ORK) естьтолько на английском языке.3. Согласитесь с условиями лицензионного соглашения и нажмитеNext.4. В диалоговом окне выбора типа установки оставьте параметры поумолчанию и нажмите Next.5. В диалоговом окне Begin installation нажмите кнопку Install. Произойдётустановка утилиты.18.7.3. Администраторская установкапакета Office 2003Установка приложений пакета Office 2003 должна быть в компьютерахпользователей быстрой и автоматической. Как администратор, вы недолжны допускать, чтобы пользователи имели какое-то отношение кустановке. Одно из допустимых вмешательств пользователя в конце установки— ввод имени, фамилии и инициалов.По этим причинам нельзя просто скопировать содержимое установочногокомпакт-диска в общую папку на сервере, откуда будет происходить установка.Нужно провести так называемую администраторскую установку,при которой вы зададите все необходимые параметры, подходящие всемпользователям.Установка, однако, должна быть помещена в общую папку, к которойпользователи имеют право доступа хотя бы на чтение. Но об этом — взаключение данного раздела..Администраторская установка производится непосредственно на сервереSRVR001 под именем администратора.1. На диске D: создайте папку «InstallApp» и в ней подпапку «Office2003».2. Вставьте в привод CD-ROM установочный диск пакета MicrosoftOffice 2003 Professional.3. Выполните команду Пуск -» Выполнить и введите путь к файлуsetup.exe и дополнительный ключ /а (рис. 18.1). Продолжайтенажатием кнопки ОК.361

Microsoft Windows Server 2003апуск программы,rC">-г!Введите имя программы, папки, документа илиресурса Интернета, и Windows откроет их.Открыты | F:\SETUP.EXE /Аок! Отмена I Об^ор... ;Рис. 18.14. Запустится установка приложений пакета Office. В следующемдиалоговом окне задайте название компании, путь установки(D:\InstallApp\Office 2003) и код Product Key. Информацию, которуювы введёте в этом диалоговом окне, вы вводите вместо пользователей.Они таким образом при установке не должны будут ничеговводить, и установка произойдёт автоматически.6. В следующем диалоговом окне прочтите лицензионное соглашение,согласитесь с ним и нажмите Установить.Сейчас произойдёт установка продукта. Поскольку речь у нас идёт обадминистраторской установке, приложения не будут, как обычно, установленына сервер и их невозможно будет запустить. Они будут простоподготовлены для установки на компьютеры пользователей.18.7.4. Открытие доступа к папке InstallApp1. Откройте окно свойств папки InstallApp и перейдите на вкладкуДоступ. Откройте к ней сетевой доступ с сетевым именемInstallApp.2. Группе Administrators дайте разрешение на Полный доступ, а группеAuthenticated Users — на Чтение.18.7.5. Трансформирующие файлы MSTПриготовленная установка приложений пакета Office теперь доступнапользователям. Перед тем как мы начнём создавать объекты групповойполитики с параметрами установки, сначала необходимо подготовитьтрансформирующие файлы для отдельных типов установки. Для этогомы используем средство Custom Installation Wizard, которое мы уже установиликак часть комплекса средств Office XP Resource Kit.362

Создание трансформирующего файладля установки приложения OutlookГлава 18. Устанавливаем приложенияДля создания трансформирующего файла для установки Outlook:1. Зарегистрируйтесь на РС001 как администратор.2. Запустите Custom Installation Wizard. Начните работу нажатиемкнопки Next.3. В диалоговом окне Open the MSI file нажмите кнопку Browse и в сетина сервере SRVR001 в общей папке InstallApp найдите подходящийфайл MSI (рис. 18.2). Потом продолжайте нажатием кнопки Next.4. В диалоговом окне Open the MST file оставьте выбранным полеCreate a new MST file и потом нажмите кнопку Next.Другая возможность — Open an existing MST file — предназначенадля исправления существующего файла MST. Нам она может потребоватьсятолько в будущем при необходимых изменениях файловMST.5. В диалоговом окне Select the File to Save задайте имя и путь размещенияфайла MST. Исходным размещением будет та же самаяпапка, в которой находится файл MSI, тем не менее зависит отвас, какое размещение вы выберете. Файлу MST дайте названиеOutlook.MST и нажмите Next.I Microsoft Office2003Custom instalation WizardOpen theMSI File 2of ...SpecifythenameandpathoftheWindows Instalerpackage (MSI fie) toopen.Nochangesare writen totheMSI file,Thewizardreferences this filewhen creatirigthetransform,butthepackage (MSI file) isnotmodified.Nameandp_athofMSIFile toopen:K\srvr001\In

Microsoft Windows Server 20036. В диалоговом окне Specify Default Path and Organization (Укажитеисходный путь и организацию) оставьте исходные установки. Значение< Default > в поле организации свидетельствует, что используетсяназвание, введённое при администраторской установке (Study). НажмитеNext.7. В диалоговом окне Remove Previous versions (Удалить предыдущиеверсии) оставьте выбранными поля Default Setup behavior (Исходноеповедение программы установки) и нажмите кнопку Next.8. На вкладке Set feature Installation States (Выбор состояния установки)сконфигурируйте только установку приложения Outlook(Запустить всё с этого компьютера) и дополнения Помощник Office(он называется Office Assistant), который вы найдёте в части OfficeShared Features (рис. 18.3). Нажмите Next.Примечание.Самым быстрым способом будет запретить установку на высшем уровне (всехкомпонент) и потом разрешить установку только нужных (Запустить с этогокомпьютера).I Microsoft Office 2003 Custom Installation WizardSet Feature Installation States •J OnFor each of the folowing Microsoft Office features, click to select the default instalation state.Microsoft Office AccessMicrosoft Office ExcelMicrosoft Office OutlookMicrosoft Office PowerPointMicrosoft Office PublisherJLZ, Microsoft Office WordJLL Microsoft Office InfoPathOffice Shared Features.si.-IBSiz.Alternative User InputClip OrganizerConverters and FiltersDigital Certificate for VBA ProjectsFontsMicrosoft Handwriting ComponentInternational 5upport• Properties:Г Wsabie Run from NetworkГ Disable ^stalled on First Use; r~ Do Not Mjgrate Previous; Installation Statefteset Branch I: Approximate Size:I Selection:I Total:Apply То Branch ''••0.0 MB171.2MB !I 69HI Run all from My ComputerI .l*a Run from NetworkDescription: — i ~An on-screen charac «*i i Run all from Networkpersonalty. :... : (B> Instaled on First Useou accomplish your tasks. Vou can choose which office Assistant best suits yourРис. 18.3. Конфигурация установки приложения Outlook364

Глава 18. Устанавливаем приложения9. В диалоговом окне Customize Default Application Settings (Задатьисходные параметры приложения) оставьте выбранными поля Donot customize и Migrate use settings и нажмите Next.10. В диалоговом окне Change Office User Settings откройте в левомподокне команду Microsoft Outlook и просмотрите возможные параметры.Никаких параметров не выбирайте (мы осуществим этопозднее). Нажмите Next.11. В диалоговом окне Add/Remove files (Добавить или Удалить файлы)нажмите Next. Здесь можно добавить к установке приложения любойфайл, нам это не нужно.12. В диалоговом окне Add/Remove Registry Entries (Добавить илиУдалить записи реестра) нажмите кнопку Next. He нужно добавлятьили удалять никаких записей.13. В диалоговом окне Add, Modify, or Remove Shortcuts (Добавить илиУдалить ярлыки) исправьте на вкладке Installed список файлов так,как показано на рис.18.4, и нажмите Next.14. В диалоговом окне Identify Additional Servers (Определить дополнительныесерверы) не меняйте ничего и нажмите Next. Здесь добавляютсядополнительные серверы, на которых находятся образыустановки, они используются в случае недоступности исходногосервера.15. В диалоговом окне Specify Office Security Settings (Задать параметрыбезопасности пакета Office) оставьте исходные параметры и нажмитеNext.16. В диалоговом окне Add Installations and Run Programs (Добавитьустановку дальнейших программ) не добавляйте никаких программи нажмите Next.17. В диалоговом окне Outlook: Customize Default Profile (ПриложениеOutlook: Изменить исходный профиль) выберите поле Modify Profileи нажмите Next.18. В диалоговом окне Outlook: Specify Exchange Settings (ПриложениеOutlook: задать исходные параметры сервера Exchange) оставьтевыбранными поля Do not configure an Exchange server connection ипотом нажмите кнопку Next.19. В диалоговом окне Outlook: Add Accounts (Приложение Outlook: Добавитьучётные записи) оставьте выбранным поле Do not customizeOutlook profile and account information и нажмите кнопку Next.20. Диалоговое окно Outlook: Remove Accounts and Export Settings(приложение Outlook: Удалить учётные записи и экспортироватьпараметры) оставьте без изменений и нажмите Next.21. В диалоговом окне Outlook: Customize Default Settings (ПриложениеOutlook: Исправить исходные параметры) оставьте установленныепараметры и нажмите Next.365

Microsoft Windows Server 2003I Microsoft Office 7003Custom Instalation WizardAdd, Modify, orRemove ShortcutsModifyorremove existingshortcuts toMicrosoft Ofice applications,oraddnewshortcuts toMicrosoft Oficeapplicationsorotherapplicationsor files.:Instated |Mot Instaled 1 ________ __Location\Microsoft OficepCreateWindow Instalershortcuts ifsupported Add. I Modify. J Remove [Cancel I < Back Г Clext > I Einish JРис. 18.4. Исправление ярлыков в главном меню22. В диалоговом окне Specify Send/Receive Group Settings (Заданиегрупповых установок) оставьте исходные параметры и нажмитеNext.23. В диалоговом окне Modify Setup Properties (Изменить свойствапрограммы) оставьте исходные параметры и нажмите Next.24. В диалоговом окне Save Changes (Сохранить изменения) нажмитеFinish. Произойдёт сохранение конечного файла MST.Информация, которая отобразится в диалоговом окне Custom InstallationWizard, нам не нужна (она нужна в случае установки вручную). НажмитеExit.Создание трансформирующего файладля установки приложений Outlook, Word и ExcelПовторяйте предыдущие действия со следующими изменениями:• в пункте 5 задайте название файла OutlookWordExcel.MST;• в пункте 8 обозначьте установку приложений Microsoft OfficeOutlook, (Запустить всё с этого компьютера) и в части Office Shared366

Глава 18. Устанавливаем приложения• Microsoft Office 2003 Custom Installation WizardAdd, Mcdify, orRemove ShcrtcuteModify orremove existkig shortcuts to Microsoft Ofice applications, oraddnew shortcuts to Microsoft Ofice applications or otherapplicationsor files. • : ;: ! . ' . ':Instaled Uot Instaled I • : •Щ Microsoft Office Excel 2003Microsoft Office Outlook 2003I Microsoft Office Word 2003(Location\Microscirt Office\Micro£oft Office Tools\Microsoft office\Microsoft Office\Microstft OfficePCreate Windows Installer shortcuts if supportedHelpIРис. 18.5. Исправление ярлыков меню ПускFeatures обозначьте установку Галерея клипарт и Помощник Office.Для надежности проверьте, что произойдёт установка всех частейприложений Outlook, Word и Excel.• В пункте 13 проведите конфигурацию согласно рис. 18.5.Создание трансформирующего файла для установкиприложений Outlook, Word, Excel и AccessПовторите предыдущие действия со следующими изменениями:• в пункте 5 задайте название файла AccessOutlookWordExcel.MST;• в пункте 8 обозначьте установку приложений Microsoft OfficeOutlook, Microsoft Office Excel, Microsoft Office Word, Microsoft OfficeAccess и в части Office Shared Features обозначьте установку Галереяклипарт, Помощник Office и Visual Basic for Applications. В установкевыберите Запустить с этого компьютера;• в пункте 13 добавьте ярлык для Access.367

Microsoft Windows Server 2003Создание трансформирующего файладля установки приложения WordПовторите предыдущие действия с такими изменениями:• в пункте 5 задайте название файла Word.MST;• в пункте 8 обозначьте установку приложения Microsoft Office Word ив части Office Shared Features обозначьте установку Помощник Office.В установке выберите Запустить с этого компьютера;• в пункте 13 оставьте ярлык для Word.Сейчас нужно сказать, что у нас позади самая большая часть работы.В течение этой работы возникли три трансформирующих файла MST,которые вместе с файлами MSI мы будем использовать для определениятого, что именно нужно устанавливать.18.7.6. Объекты групповой политикиОбъекты групповой полтики определяют, как будет выглядеть сама установка.Далее мы создадим три объекта групповой политики, которые мыбудем применять на подходящих уровнях домена Active Directory.Создание объекта групповой политикидля установки приложения OutlookСоздание групповой политики для установки приложения Outlook производитсяследующим образом:3681. В компьютере РС001 запустите консоль Active Directory — пользователии компьютеры от имени администратора.2. Правой кнопкой мыши нажмите на домен (study.local) и отобразитеокно свойств.3. На вкладке Групповая политика нажмите Создать и дайте имя новомуобъекту «Install Outlook 2003».4. Нажмите на кнопку Параметры и потом выберите поле Отключить:параметры объекта групповой политики не применяются к этомуконтейнеру. Нажмите ОК. Этим вы исключите любую возможностьприменения данного объекта для компьютеров, входящих в домен.5. Откройте новый объект для изменений и перейдите к ветви Конфигурацияпользователя\Конфигурация программ.6. Правой кнопкой мыши нажмите на Установка программ и потомвыберите команду Создать и далее — Пакет (рис. 18.6).7. В диалоговом окне Открыть перейдите к инсталляционному пакетуMSI для установки приложений пакета Office. Обратите внимание нато, что вы должны указать сетевой путь (начните с нажатия кнопкиСетевое окружение в левой части окна). Потом нажмите Открыть.

Глава 18. Устанавливаем приложенияI n Group Policy Object Editori Консоль Дейстьие Вид ^правка; $* **. '• GDjIiS \Ш 0£l Щ.1 ?:d_ ^ Z ^ , ^ L : £ L : . 1 : : . . ^ : , L . . : . : J^f Политика Install Outlook 2002 [srvS й$ Конфигурация компьютера;l-S-£j Конфигурация программ [Назеаняа : | Версия | Состояниераз... 1 ИсточникНет элементов для отображения в этом виде.- $1 CJ Конфигурация Windows ;ItJ ii] Административные шаблс';В 4C Конфигурация пользователяa GJ Конфигурация программЙ D Конфигурация Windows ШШШ\М Административные шаб :. • &ид >«ftббновнтьЙсспортировать список ..; ;.;: свовп»

Microsoft Windows Server 200310. Перейдите на вкладку Развертывание и выберите поля (если ониещё не выбраны): в части Тип развертывания — назначенный, вчасти Варианты проведения — поле Удалять это приложение, еслиего использование выходит за рамки, допустимые политикой управления,и в части Пользовательский интерфейс при установке полеПростой.11. Потом нажмите Дополнительно и выберите Не использовать языковыеустановки при развертывании. Поле Сделать это 32-разрядноеХ86 приложение... к нашей сети отношения не имеет, но оставьтеего отмеченным. Диалоговое окно Дополнительные параметры развертываниязакройте нажатием кнопки ОК.12. Потом на вкладке Модификации нажмите Добавить и в диалоговомокне Открыть найдите файл Out look. MST. Путь к файлу отобразитсяв окне Модификации и должен быть сетевым! Нажмите ОК.13. Закройте консоль группы. В диалоговом окне свойств домена (study,local) всё ещё должен быть обозначен только что созданный и запрещённыйобъект. Нажмите кнопку Удалить и в диалоговом окнеУдалить выберите Удалить соединение из списка. Нажмите ОК ипотом Закрыть.Создание объекта групповой политикидля установки приложения Outlook, Word и ExcelЗдесь остаётся только напомнить — отделы продаж и маркетинга этимиприложениями пользуются ежедневно и нам надо, чтобы ярлык этихприложений сразу же отобразился в меню Пуск.3701. В компьютере РС001 запустите как администратор консоль ActiveDirectory — пользователи и компьютеры.2. Правой кнопкой мыши щелкните по организационной единицеMarketing и отобразите окно свойств.3. На вкладке Групповая политика нажмите Создать и новый объектпараметров назовите «Install Outlook, Word, Excel 2003».4. Откройте новый объект двойным щелчком и перейдите к папкеКонфигурация пользователя\Конфигурация программ\Установкапрограмм.5. Правой кнопкой мыши нажмите на Установка программ и потом вконтекстном меню перейдите к Создать и нажмите Пакет.6. В диалоговом окне Открыть перейдите к инсталляционному пакетуMSI для установки приложений Office. Внимание! Вы должны действоватьпри помощи сетевого пути (начните с Сетевого окружения).Потом нажмите Открыть.7. В диалоговом окне Развертывание программ выберите Особый и нажмитеОК. Отобразится диалоговое окно с названием приложенияс вариантами конфигурации его развертывания.

Глава 18. Устанавливаем приложения8. На вкладке Общие измените в поле Название имя инсталляционногопакета на Microsoft Outlook 2003.9. Нажмите на вкладку Развертывание и выберите поля (если они ещёне выбраны): в части Тип развертывания — назначенный, в части Вариантыпроведения поле Удалять это приложение, если его использованиевыходит за рамки, допустимые политикой управления и в частиПользовательский интерфейс при установке — поле Простой.10. Потом нажмите Дополнительно и выберите Не использовать языковыеустановки при развертывании. Поле Сделать это 32-разрядноеХ86 приложение... к нашей сети отношения не имеет, но оставьтеего отмеченным. Диалоговое окно Дополнительные параметры развертываниязакройте нажатием кнопки ОК.11. Потом на вкладке Модификации нажмите Добавить и в диалоговомокне Открыть найдите файл OutlookWordExcel.MST. Путь к файлу отобразитсяв окне Модификации и должен быть сетевым! Нажмите ОК.12. Закройте все диалоговые окна и консоли.Создание объекта групповой политикидля установки приложения Word для складаНапомним, что работники склада используют это приложение времяот времени. Поэтому мы не будем отягощать их меню Пуск, а простоопубликуем.1. В компьютере РС001 запустите как администратор Active Directory —пользователи и компьютеры.2. Правой кнопкой мыши щелкните по подразделению Склад (Store)и отобразите диалоговое окно свойств.3. На вкладке Групповая политика нажмите Создать и новый объектпараметров групповой политики назовите «Publish Word 2003».4. Раскройте новый объект и перейдите к папке Конфигурация пользователя\Конфигурацияпрограмм\Установка программ.5. Правой кнопкой мыши нажмите на Установка программ и потом вчасти Создать выберите Пакет.6. В диалоговом окне Открыть перейдите к файлу MSI для установкиприложений Office. Внимание! Вы должны действовать при помощисетевого пути (начните с Сетевого окружения). Потом нажмите Открыть.7. В диалоговом окне Развертывание программ выберите Особый и нажмитеОК. Отобразится диалоговое окно с названием приложенияс вариантами конфигурации его развертывания.8. На вкладке Общие измените в поле Название имя инсталляционногопакета на «Microsoft Word 2003».9. Перейдите на вкладку Развертывание и выберите поля (если они ещёне выбраны): в части Тип развертывания — назначенный, в части Ва-371

Microsoft Windows Server 2003рианты проведения поле Удалять это приложение, если его использованиевыходит за рамки, допустимые политикой управления и в частиПользовательский интерфейс при установке — поле Простой.10. Потом нажмите Дополнительно и выберите Не использовать языковыеустановки при развертывании. Поле Сделать это 32-разрядноеХ86 приложение... к нашей сети отношения не имеет, но оставьтеего отмеченным. Диалоговое окно Дополнительные параметры развертываниязакройте нажатием кнопки ОК.11. Потом на вкладке Модификации нажмите Добавить и в диалоговомокне Открыть найдите файл Word.MST. Путь к файлу отобразитсяв окне Модификации и должен быть сетевым! Нажмите ОК.12. Закройте все диалоговые окна и консоли.Создание объекта групповой политикидля установки приложений в дирекцииДирекция будет располагать следующими приложениями пакета Office —Outlook, Word, Excel и Access.3721. В компьютере РС001 запустите как администратор Active Directory —пользователи и компьютеры.2. Правой кнопкой мыши нажмите на подразделение Дирекция (Managers)и отобразите диалоговое окно свойств.3. На вкладке Групповая политика нажмите Создать и новый объектпараметров групповой политики назовите «Install Outlook, Word,Excel, Access 2003».4. Раскрйте новый объект и перейдите к папке Конфигурация пользователя\Установкапрограмм.5. Правой кнопкой мыши нажмите на Установка программ и потом вчасти Создать выберите Пакет.6. В диалоговом окне Открыть перейдите к файлу MSI для установкиприложений Office. Внимание! Вы должны действовать при помощисетевого пути (начните с Сетевого окружения). Потом нажмитеОткрыть.7. В диалоговом окне Развертывание программ выберите Особый и нажмитеОК. Отобразится диалоговое окно с названием приложенияс вариантами конфигурации его развертывания.8. На вкладке Общие измените в поле Название имя инсталляционногопакета на «Microsoft AccessWordExcelOutlook 2003».9. Нажмите на вкладку Развертывание и выберите поля (если они ещёне выбраны): в части Тип развертывания — назначенный, в частиВарианты проведения поле Удалять это приложение, если его использованиевыходит за рамки, допустимые политикой управленияи в части Пользовательский интерфейс при установке — поле Простой.

Глава 18. Устанавливаем приложения10. Потом нажмите Дополнительно и выберите Не использовать языковыеустановки при развертывании. Поле Сделать это 32-разрядноеХ86 приложение... к нашей сети отношения не имеет, но оставьтеего отмеченным. Диалоговое окно Дополнительные параметры развертываниязакройте нажатием кнопки ОК.11. Потом на вкладке Модификации нажмите Добавить и в диалоговомокне Открыть найдите файл AccessWordExcelOutlook.MST. Путь кфайлу отобразится в окне Модификации и должен быть сетевым!Нажмите ОК.12. Закройте все диалоговые окна и консоли.Применение созданного объекта к отделу маркетингаМаркетинг с точки зрения установки программного обеспечения будетвыглядеть точно как отдел продаж. Так что не нужно будет создаватьдальнейшие объекты, нужно будет только применить уже существующийобъект групповой политики к организационной единице Маркетинг. Выполнитеследующие действия:1. В компьютере РС001 запустите как администратор Active Directory —пользователи и компьютеры.2. Отобразите окно свойств организационной единицы Marketing.3. На вкладке Групповая политика нажмите Добавить. Отобразитсядиалоговое окно Добавить ссылку на объект групповой политики.Нажмите на вкладку Все, выберите объект «Install Outlook, Word,Excel 2003» и потом нажмите ОК.4. Нажмите Закрыть.Применение созданного объекта для установки OutlookПриложение Outlook нужно установить всем пользователям, которымоно необходимо для работы. Примените объект, устанавливающий приложениеOutlook, к оргединице IT.1. В компьютере РС001 запустите как администратор Active Directory —пользователи и компьютеры.2. Отобразите окно свойств организационной единицы IT.3. На вкладке Групповая политика нажмите Добавить. Отобразитсядиалоговое окно Добавить ссылку на объект групповой политики.Нажмите на вкладку Все, выберите объект «Install Outlook, Word,Excel 2003» и потом нажмите ОК.4. Нажмите Закрыть.Установка различных планируемых приложений готова. Теперь пришлапора проверки.373

Microsoft Windows Server 2003Проверка установокПроверка установки приложения Outlook 2003.1. Зарегистрируйтесь на РС001 как пользователь iTManagerl.2. При процессе входа вы можете наблюдать диалоговое оно установкипрограммного обеспечения. Это окно отобразится на очень короткоевремя, поскольку не приводит непосредственно к настоящейустановке программного обеспечения, но только лишь к подготовкекомпьютера и обновлению главного меню.3. Откройте группу Пуск —» Все программы и обратите внимание наприложение Microsoft Outlook.4. Не проводите установку приложения.5. Выйдите из системы.Чтобы проверить установку для пользователей отдела продаж:1. Зарегистрируйтесь на РС001 как пользователь из этого отдела.2. Откройте группу Пуск —> Все программы и найдите приложенияMicrosoft Outlook.3. Нажмите на файл Microsoft Excel. Произойдёт установка приложения,которая не продлится более двух минут, после чего вас попросятввести своё имя и инициалы, далее программа запустится.4. В меню Справка нажмите на команду Справка по Microsoft Excel.Отобразится информация, что помощь ещё не установлена, с предложениемеё установить. Нажмите Да. После установки справкапоявится на экране.5. Проверьте функционирование приложения и закройте его.6. Выйдите из системы.Чтобы проверить установку для пользователей со склада:1. Зарегистрируйтесь на РС001 как пользователь отдела Склад (к примеру,Storel).2. Откройте группу Пуск —> Все программы и проверьте, что там нетникаких ярлыков приложений пакета Office.3. Откройте окно Установка и удаление программ и запустите апплетУстановка и удаление программ.4. В левой части окна Установка и удаление программ нажмите Установкапрограммы.5. Отобразится вариант установки приложения Microsoft Word 2003.6. Нажмите на кнопку Добавить. Запустится установка и отобразитсяинформация об её окончании. Потом в меню Пуск появится ярлык,который вы можете использовать для запуска приложения.Чтобы проверить установку для руководства:3741. Зарегистрируйтесь на РС001 как пользователь из дирекции.

Глава 18. Устанавливаем приложения2. Откройте группу Пуск -> Все программы и найдите приложенияMicrosoft Office: Microsoft Access, Word, Excel и Outlook.3. Запустите любое приложение, проверьте его функционирование ипотом закройте.Удаление приложений1. В окне Панели управления запустите апплет Установка и удалениепрограмм.2. Нажмите на пункт Microsoft Outlook, Word, Excel и Access 2002и потом нажмите Удалить. Может, вы этого и не ожидали, нопроизойдёт полное удаление приложений. В меню Пуск, однако,останутся ярлыки, и после повторного запуска вы снова увидитессылки на них.3. Выйдите из системы.18.7.7. Дополнительная информация к установкеприложений с помощью групповой политикиУстановка программного обеспечения является одной из самых важныхфункций в системах Windows 2000/XP/2003. С помощью этой функцииможно решить сразу несколько проблем, с которыми администраторысталкивались и раньше:• Подготовка к установке выполняется очень быстро.• Установка происходит автоматически.• Установить инсталляционный пакет может обычный пользователь.• Администраторы имеют контроль над тем, кто именно данное программноеобеспечение может установить и использовать.• Администраторы могут заблокировать возможность установки в любоймомент.Для успешной установки и использования этой функции нужно иметь враспоряжении ещё кое-какую информацию.Удаление инсталляционных пакетов приложенийЕсли вы хотите удалить возможность установки приложений (например,у одного подразделения), проделайте это в объекте групповой политикиследующим образом:1. На пакет нажмите правой кнопкой мыши и в части Все задачи нажмитеУдалить. Отобразится диалоговое окно Удаление приложений,в котором у вас есть два варианта. Немедленное удаление этого приложенияс компьютеров всех пользователей удалит у пользователей375

Microsoft Windows Server 2003это приложение, если оно, конечно, у них есть, при следующемвходе в систему, второй пункт (разрешить использование уже установленногоприложения, но запретить новую установку) запрещаетдальнейшую установку программного обеспечения пользователям.2. Если вы хотите обеспечить как можно более быстрое удаление установленныхприложений, необходимо использовать первый пункт изаставить пользователя сразу же перезагрузить компьютер (еслипрограммное обеспечение привязано к компьютеру) или выйти изсистемы и снова войти. Второй вариант запрещает только новыеустановки. Пользователи, которые приложение (приложения) ужеустановили, смогут пользоваться ими и дальше.Актуализация приложений (например, новая библиотека DLL)Если у вас в установленном приложении есть ошибка и её исправлениезаключается в замене одного файла (например, новая библиотека DLL),необходимо от поставщика программного обеспечения получить этотисправленный файл и новую версию файла MSI. После этого действуйтеследующим образом:1. Файлы DLL и MSI скопируйте в инсталляционную папку (перепишитепервоначальную версию).2. Откройте объект групповой политики и перейдите на инсталляционныйпакет. Нажмите на него правой кнопкой мыши и в части Всезадачи нажмите Развернуть приложение заново.Дальнейшие возможности актуализации с использованием файлов MSP,включая практические примеры, вы найдёте в главе 20, «Устанавливаемобновление Service Pack».18.8. Публикация приложенийПубликация приложений используется на крупных предприятиях, бытьможет, ещё чаще, чем установка. Опубликованные приложения появляютсяу пользователей в апплете Установка и удаление программ Панелиуправления.Такая ситуация может быть, однако, слишком трудной для пользователя.Задайте себе вопрос: кто из пользователей знает, чему служит то или иноеприложение? Знают ли пользователи, зачем нужно приложение AdobeAcrobat Reader? Знают ли различия между его версиями?Необходимо в данном случае создать категории и разделить отдельныеприложения. Поступайте следующим образом:3761. Зарегистрируйтесь на SRVR001 как администратор.

Глава 18. Устанавливаем приложения2. Откройте объект групповой политики, который применяется длянекоторого пользователя.3. Перейдите в папку Конфигурация пользователя\Конфигурацияпрограмм и правой кнопкой мыши нажмите команду Установкапрограмм — свойства.4. На вкладке Категории нажмите кнопку Добавить и задайте названиекатегории. Действия повторяйте для всех категорий, которые выхотите создать.5. Нажатием кнопки ОК закройте диалоговое окно.Если вы хотите добавить инсталляционный пакет в категорию, отобразитедиалоговое окно его свойств и на вкладке Категории выберите всекатегории, в которые должен попасть.18.9. Модернизация с помощью принциповгрупповой политикиГрупповая политика делает возможным также модернизацию, или апгрейд,приложений (установку новейшей версии). Требованием в такойситуации является, чтобы и новая версия программного обеспечениябыла в формате инсталляционного пакета MSI.Два варианта апгрейдаСуществуют два варианта апгрейда:• Необходимый. В момент, когда пользователь запустит существующееприложение, произойдёт автоматически её апгрейд.• Не необходимый. Пользователь может выбрать, какую версию будетиспользовать. Как только он запустит новую версию, произойдётавтоматический апгрейд.Планирование апгрейдаНа этом этапе нужно определить объекты групповой политики, их применениев действующую инфраструктуру, папки для администраторскойустановки, конфигурации их полномочий для доступа и изучить документациюк приложениям.Тестирование установкиУстановку программного обеспечения необходимо проверить вне рабочегопространства (вне сети фирмы). Создайте тестовую сеть, соответствующуюконфигурации доменного пространства. Следите за тем, чтобы377

Microsoft Windows Server 2003тестовый компьютер имел такую же конфигурацию, как и компьютерыпользователей в сети.При тестировании установки используйте обычные учётные записипользователей. На практике я несколько раз сталкивался со случаями,когда тестирование прошло без осложнений, но в дальнейшем без нихне обошлось. Единственным отличием было то, что при тестированииадминистраторы использовали не обычные доменные учётные записи,,а только учётные записи с полномочиями администратора.Пилотная фазаПосле успешного тестирования установите приложение некоторому количествупользователей. Чтобы вам из-за этой фазы не менять структуруоргединиц, определите объекты с установками на уровне домена и дляих применения используйте принцип фильтрации.Коррекция планаНа основе напоминаний пользователей и собственных впечатлений отустановки приложений в пилотном пространстве проведите, если возможно,коррекцию в плане и потом повторите тестирование на пользователях(если будет нужно).Постепенная установкаУстановка приложений проводите всегда постепенно. И в случае установкиобъекта групповой политики на уровне домена используйте преждевсего принцип фильтрации, чтобы вы таким образом ограничили приложениена часть пользователей. Не продолжайте, если не будете увереныв безупречном функционировании.ДокументацияВесь план и итоговую инфраструктуру подробно задокументируйте.Эта информация будет годиться при любых осложнениях, архивации,при случае обновления инфраструктуры установочных папок на другомкомпьютере.Используйте разумЕсли вы проведёте установки в рабочем пространстве числом в 1000компьютеров и на трех из них установка будет неудачной, не ищитепроблему в параметрах объекта групповой политики. Скорее всего про-378

Глава 18. Устанавливаем приложенияблема кроется в данном случае в этих трёх компьютерах. Иногда кажетсяневероятным, сколько энергии, времени и средств способны потратитьадминистраторы на подобные ситуации с целью решения, в общем-то,несущественных проблем.18.10. ИтогиСуществуют различные варианты установки приложений. СредствоГрупповая политика в доменах с системами Windows 2000/2003 позволяетавтоматически устанавливать программное обеспечение для отдельныхкомпьютеров или пользователей. Это средство располагает различнымивозможностями конфигурации, и для его проведении на практике вам непотребуется дополнительное программное обеспечение. Единственное,что должно быть соблюдено, — это формат устанавливаемого приложения,инсталляционный пакет MSI.Приложения можно привязывать к компьютерам или к пользователям.В первом случае вы можете сказать, что в данном компьютере будетданное приложение при любых обстоятельствах, даже если в системувойдёт новый пользователь. В другом случае приложение «путешествует»вместе с пользователем и будет в каждом компьютере, в систему котороговойдёт пользователь (это касается компьютеров с системами Windows XPProfessional/Windows 2000). После добавления приложения в меню Пускотобразится ярлык данного приложения, установка приложения произойдётпосле запуска его пользователем. Моментальную установку (тоесть установку сразу после входа пользователя) также можно разрешить(только в доменах с системой Windows Server 2003).Приложения можно также пользователям публиковать. В этом случае вменю Пуск не создаются ярлыки, но пользователи могут опубликованныеприложения установить с помощью апплета Панели управления Установкаи удаление программ. После установки в меню Пуск отобразитсяярлык приложения. Если опубликовано много приложений и пользователине ориентируются по названиям, можно определить категории иприложения по ним распределить. Пользователи смогут выбирать исходяиз категорий.Групповая политика делает возможным иметь в своём распоряжении полнуюинформацию о том, где именно какое приложение установлено. Еслипользователь выйдет из области действия объекта групповой политики(например, его учётная запись переместится в другую оргединицу), приложениеу него автоматически удалится. Администратор имеет возможностьприложение в любой момент удалить и обеспечить его автоматическоеудаление при следующем входе в систему пользователя.379

Microsoft Windows Server 2003Основные возможности были представлены в этой главе на конкретномпримере установки приложений пакета Office 2003. Мы использовали какдобавление, так и публикацию программного обеспечения. Более того,в этом процессе было использовано средство Custom Installation Wizard,который является частью комплекса средств Office 2003 Resource Kit ибез которого этот тип установки невозможно определить.При установке объектов групповой политики всегда действуйте оченьосторожно. В случае неудачи неполная установка в пользовательскихкомпьютерах может сильно повлиять на их работоспособность.Состояние сетиВ сети были установлены несколько приложений: Microsoft Outlook2003 у некоторых пользователей (отдел Склад), даже MicrosoftWord 2003, Microsoft Excel 2003 (Продажи и Маркетинг) и MicrosoftAccess 2003 (Руководство).Для этих целей на сервере SRVR001 создана установочная папка,на компьютер РС001 установлены средства комплекса Office 2003Resource Kit и в домене Active Directory появились 4 новых объектагрупповой политики, касающиеся установки.Объект групповой политики для подразделения Склад был изменён такимобразом, чтобы на Панели управления был доступен только апплетУстановка и удаление программ.Просмотрите все объекты и в случае, если совсем не используется частьКонфигурации компьютера или Конфигурации пользователя, запретитеприменение этой части. Загрузка компьютеров и регистрация пользователейбудут проходить значительно быстрее.380

Приходят новыепользователиСлужба Удаленная установкаУстановка и настройка службыУдаленной установкиСоздание учетной записидля проведения инсталляцииоперационной системыПодготовка компьютеров в доменеActive DirectoryАвтоматизация инсталляцииДальнейшие возможности службыУдаленной установкиИнсталляция образа на компьютерыклиентовДругое «железо»Служба Удаленной установкив больших сетяхВажные новшества в службеУдаленная установка в системеWindows Server 2003 по сравнениюс системой Windows 2000 ServerMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Рано или поздно это должно произойти. Начнут приходить новые пользователи,а к вам — новые обязанности.Одной из ваших обязанностей является обеспечение пользователя компьютером,на котором будет установлена операционная система и приложения,необходимые им для работы.В предыдущей главе мы определили, каким способом возможно — достаточнопросто — установить приложения пакета Microsoft Office 2003.Сегодня у каждого пользователя есть все, что необходимо для работы.А что с операционной системой? Нам нужно будет постоянно использоватьинсталляционный компакт-диск вместе с ранее приготовленнымфайлом WINNT.SIF или поищем более простое решение, которое бы ещебольше облегчило нам работу? А что с другими приложениями, которыенеобходимы пользователю, но которые невозможно проинсталлироватьпри помощи групповой политики либо которые не существуют в формеинсталляционного пакета MSI?Для таких случаев (простая инсталляция операционной системы и, принеобходимости, установка других non-MSI приложений) существует всистеме Windows Server 2003 специальный способ инсталляции.В предыдущей главе в нашей сети мы проинсталлировали достаточносложный пакет приложений Microsoft Office 2003 таким образом, как этобудет необходимо нашим пользователям для их работы.Из равновесия вас может вывести одно единственное приложение, котороевозможно установить только запуском setup.exe. С этим придетсяпотрудиться, обойти все компьютеры, установить под учетной записьюадминистратора и решить проблемы пользователей.382

Глава 19. Приходят новые пользователиТо же самое и с операционной системой. Прежде чем в фирму поступитновый компьютер, он попадет к вам, вы проинсталлируете на него операционнуюсистему и передадите его пользователю. Почему бы это несделать как-то проще — например, отправить компьютер прямо к пользователюи инсталлировать непосредственно у него? И что если соединитьинсталляцию операционной системы и инсталляцию приложения, которыеневозможно проинсталлировать при помощи основной группы?У указанного типа инсталляции, находящейся в системе Windows Server2003, есть свое название — удаленная установка.19.1. Служба Удаленная установкаЦель службы Удаленной установки — максимально упростить администраторамначальную подготовку компьютеров. Вместе с тем принимаетсяво внимание политика, применяемая в больших сетях, когда большинствокомпьютеров приобретается без флоппи-дисковода и привода CD-ROM.19.1.1. Требования службы Удаленной установкиДля того чтобы пользоваться службой Удаленной установки, необходимо:• Active Directory. Службу Удаленной установки можно использоватьтолько в домене Active Directory. В одноранговых сетях (peer-to-peer)можете о ней забыть.• DNS. В сети должна работать служба DNS. Хотя это везде приводитсякак особое требование, ясно, что без службы DNS домен ActiveDirectory не может работать.• DHCP. В сети может существовать сервер DHCP, который долженбыть настроен для выдачи в аренду IP-адресов клиентских компьютеров.• Даже компьютеры клиентов не остаются в стороне. Для того, чтобыкомпьютеры клиентов могли использовать этот тип инсталляции,они должны удовлетворять стандарту РХЕ (Preboot execution Environment).Другими словами, они должны быть оснащены загрузочнойпамятью boot ROM, при помощи которой они войдут в сеть.С точки зрения компьютера-клиента, последовательность действийследующая: при включении он получает IP-адрес от сервера DHCP.Затем соединится с сервером службы Удаленной установки и попроситпользователя ввести логин и пароль для подключения. После успешногоподключения прочитает с сервера службы Удаленной установки образустановки (либо предложит пользователю выбор из некоторого количестваобразов) и проинсталлирует его.383

Microsoft Windows Server 2003Если компьютеры-клиенты не соответствуют стандарту РХЕ, этоеще не означает, что на них нельзя использовать технологию удаленнойинсталляции. Удаленная установка содержит в себе файлRBFG.EXE, при помощи которого можно создать загрузочную дискетудля такого компьютера.19.1.2. Подготовка окружениядля службы Удаленная установкаЕсли вы посмотрите на требования, представленные выше, вы поймете,что все они выполнены в нашей сети. Поэтому нам необходимо сделатьнесколько шагов, прежде чем будет возможно использование Удаленнойинсталляции. Речь идет о следующем:• Добавление службы Удаленной установки в систему. Служба Удаленнойустановки является одним из компонентов системы WindowsServer 2003.• Конфигурация службы Удаленной установки. Речь идет о самой важнойчасти всей подготовки службы Удаленной установки. Кроме того,сюда входит подготовка образа операционной системы.• Конфигурация службы Active Directory. В свойствах сервера службыУдаленной установки необходимо сконфигурировать ее «поведение».Кроме того, вы можете настроить и безопасное использование этойслужбы.У службы Удаленной установки есть еще одно очень важное требование.Образ для инсталляции на компьютеры должен быть размещен на разделе(логическом диске), отличном от того, где установлена операционнаясистема. Более того, этот раздел должен быть отформатирован файловойсистемой NTFS.Во время этой установки сервер превратится в сервер удаленной инсталляции.С него клиенты будут инсталлировать операционную систему иприложения.Установка сервера службы Удаленной установки включает в себя созданиеобраза операционной системы. Поэтому вам придется задать путь кинсталляционному файлу соответствующей операционной системы. Выможете указать путь к CD-ROMy, или к общей папке сети, в которойнаходятся инсталляционные файлы операционной системы.Служба Удаленной установки в системе Windows Server 2003 делает возможнойинсталляцию следующих операционных систем:384• Windows 2000 Professional.• Windows 2000 Server.

Глава 19. Приходят новые пользователи• Windows 2000 Advanced server.• Windows XP Professional.• Серверные ОС семейства Windows Server 2003.В аналогичной службе системы Windows 2000 Server можно было инсталлироватьтолько систему Windows 2000 Professional.Однако так как наша сеть достаточно маленькая и мы предполагаемиспользование службы Удаленной установки только для компьютеровклиентов, нам следует подготовиться только к установке системы WindowsXP Professional.19.2. Установка и настройка службыУдаленной установки1. Зарегистрируйтесь на SRVR001 как администратор.2. Убедитесь, что присутствует диск Е:, отформатированный в файловойсистеме NTFS. Если его нет (хотя во время установки операционнойсистемы на SRVR001 мы его создавали), создайте.3. В Панели управления щелкните на Установка и удаление программ.4. В окне Установка и удаление программы выберите задачу Установкакомпонентов Windows.5. В диалоговом окне выделите Служба Удаленной установки (RemoteInstallation Services) и нажмите Далее.6. Система Windows Server 2003 выполнит установку данной службы.На время установки необходимо будет вставить инсталляционныйкомпакт-диск.7. В диалоговом окне Завершение мастера компонентов Windows нажмитеГотово.8. Перезагрузите компьютер.9. При загрузке компьютера зарегистрируйтесь как администратор.10. Выполните команду Пуск —> Выполнить и в поле Открыть введитеri-setup. Нажмите ОК. Запустится Мастер службы удаленной установки.Продолжите нажатием клавиши Далее.11. В диалоговом окне Местонахождение папки удаленной установкиукажите путь E:\RemoteInstall и нажмите Далее.12. В диалоговом окне Исходные параметры оставьте значения по умолчаниюи нажмите Далее.13. Теперь вставьте в привод CD-ROM сервера инсталляционный компакт-дискс системой Windows XP Professional.14. В диалоговом окне Местонахождение установочных файлов укажитепугь к инсталляционным файлам системы Windows на диске CD-ROM(нажмите на Обзор и перейдите в папку). Затем нажмите Далее.13 Зак. 446 385

Microsoft Windows Server 2003Мастер установки служб удлпеинои установкиМестонахождение установочных ФайловУкажите место, где находятся установочные Файлы Windows.Введите путь к компакт-диску или сетевому ресурса с Файлами установки Windows.. jp\! 386 'Рис. У 9. /. Путь к инсталляционным файлам системы Windows XP Professional15. В диалоговом окне Имя папки образа установки Windows укажитеимя папки, в которой будет находиться битовая копия инсталляциисамостоятельной системы Windows XP Professional (напримерWXPPRO). Затем нажмите Далее.16. В диалоговом окне Понятное описание и текст справки оставьте исходныеданные и нажмите Далее. Здесь речь идет о данных, тексте,который появится на первом экране при удаленной инсталляциисистемы на компьютере клиента.17. В диалоговом окне Итог установки просмотрите заданные параметрыи затем нажмите на Готово. Если хотите какие-то параметрыизменить, вернитесь при помощи кнопки Назад.18. Теперь будет выполнена конфигурация службы удаленной установкии инсталляция образа системы Windows XP Professional. Так каккопируется содержимое всех инсталляционных файлов Windows XPProfessional, процесс установки займет несколько минут.19. В диалоговом окне с информацией о завершении инсталляции нажмитеГотово.Сейчас сервер удаленной инсталляции содержит образ операционнойсистемы. Для того, чтобы инсталляция операционной системы могланачаться, необходимо произвести некоторые действия. Первым шагомбудет разрешение службы Удаленная установка.386

Глава 19. Приходят новые пользователиМастер установки служб удаленной установкиПодождите, пока будут выполнены следующие действий:у* Создание njnoi удаченной установкиt Копирование фаилои. нужных службамКопирование файлов установки WindowsОбновление Файлов экранов мастера установки клиентовСоздание Файла ответов для автоматической установкиСоздание служб удаленной установкиОбновление реестраСоздание тома единичной копии хранилищаЗапускается требуемые службы удаленной установкиDHCP-авторнзацияТ екущая операцияКопирование hdlscom2.nt2..Рис. 19.2. Конфигурация службы удаленной установкии инсталляция образа системы Windows ХР Professional19.2.1. Разрешение службы Удаленная установка1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Запустите консоль Active Directory — пользователи и компьютеры.3. Щелкните на Domain Controllers и откройте диалоговое окно свойствсервера SRVR001. Убедитесь, что после инсталляции службы Удаленнаяустановка здесь добавилась вкладка Удаленная установка.4. Перейдите на вкладку Удаленнаяустановка и установитефлажки Отвечатьклиентским компьютерам,запрашивающим обслуживаниеи Не отвечать неизвестнымкомпьютерамклиентам(рис. 19.3).Общие | Операционная система | Член групп ! Размещение:;•: Управляется | Входящие звонки"' ; . Удаленная установка'•к- Можно управлять взаимодействием этого, сервера ':.- . .'уделенной дстаноеки с имеющимися или потенциальнымиклиентскими компьютерами,• Поддержке клиентов - -••••' ;W Дгввчать клиентским компьюгервм/запрашиваимцим . .обслуживание:' . . ' ' . • 111 ' : . i:jг Про^рка сфвера -EcwHasTOhi cepeftfj ft'^деленной установки за^ечень*неполадки, нажмите кнопку "Лроееркгь сервер".Обнаруженные неполадки будут устраненыЭта возможности доступа только с к^сопи сервера.un сервер J ;|Просмотр клиентов..Долошит

Microsoft Windows Server 2003Установив первый флажок, мы сделали возможным использование службыУдаленной установки. Второй флажок очень важен с точки зрения безопасности.Служба Удаленной инсталляции будет отвечать только темкомпьютерам, которые указаны в домене. Каким способом это происходит,мы поговорим чуть позже.19.3. Создание учетной записидля проведения инсталляцииоперационной системыПеред запуском инсталляции операционной системы необходимо указатьлогин и пароль учетной записи, которые сделают инсталляцию возможной.Для этого создайте, например, учетную запись с именем RIS (RemoteInstallation Service). Можете создать ее прямо в контейнере Users.Одновременно с созданием снимите отметку с пункта Требовать сменупароля при следующем входе в систему.Так как эта запись нам не понадобится для дальнейшей работы в домене,дальнейшие действия по настройке не нужны.Безопасность записи RISНужно понимать, что пароль к этой записи будет известен всем пользователям,которые будут производить инсталляцию операционнойсистемы при помощи службы Удаленная установка. Чтобы они не моглитак просто получить доступ к этой службе, можно использовать один изследующих методов:• Запись отключить и разрешать ее использование только на времяпроведения удаленных инсталляций.• Не допускать возможность регистрации при помощи этой записи накомпьютерах пользователей.• Постоянно менять пароль.Другие способы защиты сети и компьютеров вы найдете в главе 22.19.4. Подготовка компьютеровв домене Active DirectoryСогласно нашей конфигурации служба Удаленной установки будет отвечатьтолько известным компьютерам. Здесь необходимо сообщить оних домену.388

Глава 19. Приходят новые пользователиКак было сказано в начале этой главы, службой Удаленной инсталляциимогут пользоваться только компьютеры с технологией РХЕ, либо компьютерыс сетевой картой, поддерживающей данный тип установки. Укомпьютера, который оснащен технологией РХЕ, есть уникальный кодGUID/UUID (используются оба сокращения). Речь идет о шестнадцатеричномчисле, которое можно обнаружить на упаковочной коробкекомпьютера, на сетевой карте, в документации или в системе BIOS. Выузнаете его по номеру в формате {921FB974-ED42-11BE-BACD-00AA0-057В223}. Сообщить домену Active Directory о конкретном компьютереозначает сопоставить учетной записи компьютера код GUID.Как поступать в том случае, если компьютер клиента не оснащен загрузочнойпамятью ROM (не оснащен технологией РХЕ)? В таком случаеGUID код создается из МАС-адреса сетевой карты путем добавлениянулей в начале кода так, чтобы он соответствовал 32-значному числу.Например, компьютер с адресом MAC 02-50-56-42-BF-8B получит кодGUID { 00000000-0000-0000-0000-02505642BF8B }.Остается только вопрос, как получить необходимые коды и как их назначитьучетным записям компьютеров в домене Active Directory. Обнаружениевсех необходимых важных кодов (в данном случае код GUIDдля компьютера с технологией РХЕ и адрес MAC для остальных компьютеров)лучше оставить поставщику компьютеров. Нужно добавить,что у ответственных поставщиков эта процедура является обязательнойи они указывают этот код в документах на компьютер. Тогда вы можете,переписав код, передать компьютер непосредственно пользователю иуже удаленно устанавливать операционную систему без личного присутствия.19.4.1. Регистрация кодов компьютеровв домене Active DirectoryПосле того как от поставщика вы получите список новых компьютеровс необходимыми кодами, вы можете создать в домене Active Directory ихучетные записи. Поступайте следующим образом:1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Запустите консоль Active Directory — пользователи и компьютеры.3. Правой кнопкой мыши щелкните на контейнере Компьютеры и вконтекстном меню выберите Создать и далее Компьютер.4. В поле Имя компьютера укажите имя компьютера (соответствующеестандартам организации), рядом с полем Имя пользователя илигруппы нажмите на кнопку Изменить и в открывшемся диалоговомокне выбора найдите учетную запись RIS (созданную ранее) и затемнажмите Ок и Далее.389

Microsoft Windows Server 2003Рис.19.4. Присвоение уникального кода новому компьютеру5. Отметьте надпись Это управляемый компьютер и в поле Уникальныйкод компьютера {GUID/UUID} задайте соответствующий код(включая фигурные скобки, рис. 19.4). Нажмите Далее.6. Оставьте стоять флажок Любой доступный сервер удаленной установкии нажмите Далее. Второй способ используется для большегоколичества серверов для удаленной инсталляции и между ниминеобходимо распределить нагрузку по подготовке компьютеровклиентов.7. Проверьте заданную информацию и нажмите Готово. Таким образомсоздана учетная запись компьютера и компьютер с этим уникальнымкодом возможно будет проинсталлировать при помощи службыУдаленной установки.Таким же образом необходимо будет создать учетные записи всех компьютеров,которые вы хотите проинсталлировать при помощи службыУдаленной установки.19.5. Автоматизация инсталляцииА теперь представьте себе, что пользователю вы передадите один изкомпьютеров, записи которых вы сделали в домене Active Directory. Чтопроизойдет после его запуска?Так как компьютер оснащен памятью ROM, автоматически после запускаон запрашивает IP-адрес у сервера DHCP, и затем IP-адрес сервера дляудаленной инсталляции. Сервер для удаленной инсталляции откроется,и если данный компьютер окажется «знакомым», то появится запрос нажатьклавишу F12 для начала процесса установки.390

Глава 19. Приходят новые пользователиПосле нажатия клавиши F12 появится приветственное окно сервераудаленной инсталляции, в котором необходимо задать имя, пароль и названиедомена. Затем появится следующее окно со списком имеющихсяобразов операционных систем, которые можно установить на компьютер.Выбор, что будет устанавливаться, остается за пользователем.19.5.1. Настройка автоматическогозапуска инсталляцииПосле первого соединения с сервером для удаленной инсталляции компьютер-клиентскачает файл STARTROM.COM, который и позволитпользователю выбрать, что ему установить на компьютер. Так как насервере для удаленной инсталляции существует только один образ дляустановки, выбирать не из чего и этот шаг можно пропустить. Для этогозамените файл STARTROM.COM на STARTR0M.N12:1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Зайдите в папку \\SRVR001\REMINST\OSChooser\i386.3. Файл STARTROM.COM переименуйте в STARTROM.BAK, а файлSTARTROM.N12 переименуйте в STARTR0M.COM.Для того, чтобы пользователь не был сбит с толку вопросами во времяустановки, необходимо провести следующую настройку объекта групповойполитики:1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Запустите Active Directory — пользователи и компьютеры.3. Правой кнопкой мыши щелкните на запись домена (study.local),в контекстном меню выберите команду Свойства и перейдите навкладку Групповая политика.4. Добавьте новый объект с именем Remote Installation Service, а внем добавьте в папку Конфигурация пользователя\КонфигурацияWindows\Oiy}K6a удаленной установки и нажмите на Параметрывыбора в правом подокне.5. Включите политику Автоматическая установка.Примечание.1ш»шЛ Приведенные два способа не являются взаимозаменяемыми. Каждый из нихконфигурирует что-то несколько иное и взаимно дополняют друг друга.Далее, однако, еще нужно решить вопрос автоматической инсталляциисамой системы.391

Microsoft Windows Server 2003Этот тип автоматической инсталляции очень похож на автоматическуюинсталляцию системы при помощи файла ответов, с которой мы познакомилисьв главе 2. Разница будет только в названии файла ответов и егорасположении. Способ создания остается почти без изменений.19.5.2. Настройка автоматической инсталляциис помощью файла ответов1. Зарегистрируйтесь на компьютере РС001 как администратор.2.Запустите Управление инсталляцией (это утилита из файлаDEPLOY. CAB, который находится на инсталляционном компактдискеWindows XP Professional или Windows Server 2003 в папкеSupport\Tools).3. В Управлении инсталляцией выберите создание нового файла ответа,в окне выбора типа установки выберите Службы удаленнойустановки (RIS), в окне продукт — Windows XP Professional.4. В диалоговом окне Взаимодействие с пользователем выделите окошкоПолностью автоматическая установка.5. В следующих диалоговых окнах задайте те же данные, что вы использовалидля создания файла ответов в главе 2. Особое вниманиеследует уделить следующим установкам:• В диалоговом окне Имя компьютера отметьте пункт Автоматическигенерировать имя компьютера.• В диалоговом окне Путь и имя файла сохраните изначальныеустановки.6. Будет создан файл ответов с названием REMBOOT.SIF в папкеC:\WINDIST.19.5.3. Подключение файла ответовк образу удаленной инсталляции1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Запустите Active Directory — пользователи и компьютеры и вызовитеокно свойств учетной записи компьютера SRVR001.3. В окне Удаленная установка щелкните на Дополнительные параметрыи перейдите на вкладку Образы. Откроется список образов,установленных на данном сервере для удаленной инсталляции(SRVR001).4. Щелкните на Добавить и в диалоговом окне Новый файл ответовили образ установки отметьте Сопоставить новый файл ответовсуществующему образу. Затем нажмите Далее.392

Глава 19. Приходят новые пользователи5. В диалоговом окне Источник файла ответов для автоматическойустановки установите флажок Иное место и нажмите Далее.6. В диалоговом окне Выбор образа установки выделите единственныйобраз WXPPRO и нажмите Далее.7. В диалоговом окне Размещение файла ответов укажите в полеПуть путь к файлу ответов, созданному в предыдущем абзаце и сохраненномуна сервере SRVR001 (например, \\SRVR001\c$\windist\remboot.sif). Затем нажмите Далее.8. В диалоговом окне Понятное описание и поясняющий текст сохранитеисходные данные, если они не содержат кириллических символов,иначе содержимое следует заменить латинскими символами.Нажмите Далее.9. Проверьте данные в диалоговом окне Просмотр параметров и затемнажмите на Готово.10. Щелчком на ОК закройте все диалоговые окна. На сервере SRVR001можете удалить папку с файлом ответов.К сожалению, этим шагом (конечно же, вынужденным) нарушаетсявводная часть инсталляции. Сегодня мы можем использовать два способаинсталляции. Служба Удаленной установки не может самостоятельновыбирать, следовательно, необходимо сделать это вручную.Просмотр параметровПрежде чем продолжить, проверьте правильность параметров.. Указаны следующие данные для копирования нового ФЭЙЛЗ ответов автоматическойустановки, .'. " • •Исходный образ;. Исходный nytfc . JVUvr^i^Указанное пользователем размещениеКонечный образ:Конечный путь:WXPPR0|ЩЩс Назад 1; Готово | Отмена |Рис.19.5. Итог установки файла ответов существующего образа инсталляции393

Microsoft Windows Server 200319.5.4. Комбинирование образов операционнойсистемы и файлов ответовДопустим, что существует один образ для инсталляции и два или болеефайла ответов, которые его модифицируют, и вы хотите быть уверены,что будет осуществлен запуск автоматической инсталляции конкретнойкомбинации образа и файла. Тогда необходимо закрыть доступ пользователямко всем остальным файлам ответов.Как могло показаться, речь идет о текущей установке полномочий нафайл (на сервере для удаленной инсталляции), но это не так, и настройкуполномочий необходимо провести на учетной записи сервера в доменеActive Directory:1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Запустите консоль Active Directory — пользователи и компьютеры.3. На вкладке Удаленная инсталляция нажмите кнопку Дополнительныепараметры и затем кнопку Образы. Откроется список образов наданном сервере для удаленной инсталляции (SRVR001).4. Выделите образ без файла ответов, обеспечивающего автоматическуюинсталляцию, обозначенный как Microsoft Windows XPProfessional и нажмите кнопку Свойства.5. В нижней части диалогового окна Свойства образа нажмите кнопкуРазрешения. Появятся свойства файла ответов.Введите понятное описание и т:. установки. Этот текст помогаеправильный образ установки.Цонятное описание:malically instaHs Microsоfi windows XP Pr^essionawilbout[prompting the user foi input.:" ; • Сведения об образе —- - - — - - • •;Версия . 5Д [0).Языц; " . English! Шаблон изменялся. 17 июня 2005т.. 0:47:41Тип образа: ' •.: Rat' '..''•'.! Папка образа: WXPPRG•\ безопасность образа: Разрешения... IРис. 19.6. Диалоговое окно Свойства образа394

Глава 19. Приходят новые пользователи6. Щелкните на вкладку Безопасность. Нажмите кнопку Дополнительно,отключите наследование разрешений и удалите из спискасубъектов доступа группу Authenticated Users.7. По очереди щелкните на ОК, Отмена, ОК и ОК.Примечание.Как следует из вышеприведенной инструкции, служба Удаленная установка моглабы каждой группе пользователей сопоставить различные комбинации образа ифайла ответов.Приведенная инструкция показывает то, как служба Удаленной установкирешает, какой образ может использовать пользователь для инсталляции.Если вам необходимо настраивать установку большего количества образови различных полномочий, помните, что для регистрации всех пользователеймы выше определяли единственную учетную запись RIS. Вам жепотребуется создать несколько таких записей, каждая из которых будетсоответствовать конкретной комбинации образа и файла ответов.19.6. Дальнейшие возможности службыУдаленной установкиНе везде положение так идеально, как у нас. Речь идет о том, что в нашемслучае мы все необходимые приложения инсталлируем при помощиобъектов групповой политики и поэтому достаточно того, что пользователипри помощи службы Удаленной установки проинсталлируют толькооперационную систему.Поэтому вышеприведенная конфигурация, которая действительно обеспечиваетавтоматическую инсталляцию операционной системы, недостаточнаи ее нужно дополнить. Конечно же, мы будем иметь в виду, чтопроинсталлировать пользователям автоматически операционную системуи приложения быстрее, чем инсталлировать автоматически только операционнуюсистему, а приложения затем инсталлировать постепенно накаждый компьютер.В следующем примере мы будем исходить из того, что пользователи припомощи службы Удаленной инсталляции будут инсталлировать образ,состоящий из операционной системы и некоего приложения, котороеинсталлируется только при помощи программы setup.exe, и его невозможноинсталлировать при помощи групповой политики.395

Microsoft Windows Server 200319.6.1. Подготовка компьютера-источникаКомпьютером-источником является тот компьютер, содержимое жесткогодиска которого позже будет преобразовано в образ и размещено насервере для удаленной инсталляции. Подготовка состоит из:• Инсталляции операционной системы. Для этого можно использоватьслужбу Удаленная установка.• Настройки операционной системы. Речь идет о выборе местоположенияфайлов, которые впоследствии скопируются в профиль пользователяпо умолчанию. Так как мы используем профиль, находящийся впапке NETLOGON, на практике нужно решить, какой путь указать.Либо удалить профиль в папке NETLOGON и сконфигурировать егона компьютере-источнике, либо оставить его в папке NETLOGON.Разница будет в том, что в первом случае (профиль в папке NETL-OGON) это будет касаться первого запуска всех пользователей, вовтором случае это будет касаться только пользователей, которые зарегистрируютсяна данном компьютере.• Инсталляции приложений. Проведение установки всех приложений,которые станут составными частями образа на сервере для удаленнойинсталляции.• Настройки приложений. Речь идет об изначальной настройке приложения,которое будет у всех пользователей в том случае, если онибудут пользоваться сконфигурированным профилем.В роли компьютера-источника, как обычно, выступит РС001.19.6.2. Создание образа и его сохранение на сервереСоздание образа и его размещение на сервере для удаленной инсталляции —дело простое. Но предположим, что вам бы хотелось иметь на сервередля удаленной инсталляции несколько очень похожих образов, которыеотличаются только одним приложением. Не жалко отдавать под это многоместа? Нельзя ли это сделать более разумно?Система Windows Server 2003 обладает для этого всем необходимым.Правда, еще потребуется наличие файловой системы NTFS и службыхранения единственного экземпляра (Single Instance Store), но первоеусловие является основным требованием для инсталляции службы Удаленнаяинсталляция, а служба Single Instance Store является частью службыУдаленная инсталляция.Служба хранения единственного экземпляра при копировании новогообраза следит за тем, нет ли точно такого же файла на сервере для удаленнойинсталляции. Если такой файл уже существует, то новый файл не396

Глава 19. Приходят новые пользователисохраняется, а создается ссылка на первоначальный файл. Результатомэтого является экономия места на диске.Предположим, что на компьютер РС001 были проинсталлированы все необходимыеприложения и компьютер готов к созданию образа. Следуйтедальнейшим указаниям:1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Откройте окно приложения Проводник Windows и перейдите впапку \\SRVR001\RemoteInstall\Admin\i386. Запустите приложениеriprep.exe (Remote Installation Preparation).3. Запустится Мастер подготовки удаленной установки. Нажмите Далее.4. В диалоговом окне Имя сервера задайте название SRVR001 и нажмитеДалее.5. В диалоговом окне Название папки укажите название папки, в которойбудет размещен образ инсталляции (например, WXPTEL).6. В диалоговом окне Краткое описание и подсказка задайте в полеОписание описание инсталляции (например, Windows XP Pro +Apps) и на поле Подсказка текст (например, Windows XP ProfessionalInstallation with...). Надписи не должны содержать кириллическиесимволы. Затем нажмите Далее.7. В диалоговом окне Сообщение о совместимости системы вы можетестолкнуться с различными типами сообщений. Нажатиему Далее продолжитеработу (возможно, придется снова запустить riprep.exe).8. В диалоговом окне Остановка служб появится список служб, которыепри продолжении будут остановлены. Продолжайте нажатиемна Далее.9. В диалоговом окне Работающие программы и службы завершитеуказанные приложения и остановите службы. В противном случаемогут появиться ошибки. Затем продолжите нажатием на кнопкуДалее.10. В диалоговом окне проверьте заданные параметры. Щелчком накнопку Назад можно вернуться к определенному окну. Если вседанные верны, нажмите Далее.11. В диалоговом окне Завершение мастера подготовки удаленной установкинажмите Далее. Инсталляция будет скопирована на сервер дляудаленной инсталляции, и компьютер выключится. При его запускебудет произведена минимальная инсталляция.19.6.3. Открытие проинсталлированного образа1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Запустите Active Directory — пользователи и компьютеры.3. В свойствах учетной записи компьютера SRVR001 щелкните навкладке Удаленная установка на Дополнительные параметры.397

Microsoft Windows Server 20034. В диалоговом окне свойств удаленной инсталляции сервера SRVR001перейдите на вкладку Образы. Обратите внимание на проинсталлированныекопии.Если будет нужно автоматически проинсталлировать образ на клиентскиекомпьютеры, необходимо повторить действия создания файла ответа исделать необходимые исправления для этого файла.19.7. Инсталляция образана компьютеры клиентов19.7.1. Компьютеры,поддерживающие технологии РХЕНа этих компьютерах необходимо сконфигурировать в первую очередьзагрузку из сети. Если сконфигурирована автоматическая инсталляция,пользователю не нужно будет вводить никакие данные, кроме логина,пароля и названия домена.19.7.2. Компьютеры,не поддерживающие технологию РХЕВ первую очередь такие компьютеры должны иметь флоппи-дисковод.Дальше при помощи RBFG.EXE необходимо создать загрузочную дискетудля этого типа запуска. После этого все действия полностью повторяютпредыдущий абзац.После запуска инсталляции дискету нужно вынуть, чтобы после перезагрузкиинсталляция могла продолжиться.Для создания загрузочной дискеты:1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Откройте окно приложения Проводник Windows и перейдите впапку \\SRVR001\REMINST\Admin\i386.3. Вставьте дискету и в указанной папке запустите RBFG.EXE.4. Щелкните на Адаптеры. Откройте диалоговое окно Поддерживаемыеадаптеры, содержащие список поддерживаемых адаптеров.Убедитесь в том, что указанный список содержит сетевые адаптерыклиентских компьютеров.5. Щелкните на Создать диск, чтобы начать создание загрузочнойдискеты.398

Глава 19. Приходят новые пользователиПримечание.На дискете будет создан единый файл под названием RIDISK, который будетслужить для запуска компьютера и для проведения удаленной инсталляции.19.8. Другое «железо»А можно ли проинсталлировать образ исходного компьютера на компьютерс другой материнской платой? Или с другим графическим адаптером?Или на компьютер с другим типом процессора?Образ, созданный при помощи RIPREP.EXE, можно инсталлировать накомпьютер с другой аппаратной конфигурацией, если у них одинаковыйHAL (Hardware Abstraction Layer). Если на компьютере-источнике, например,HAL поддерживает технологию ACPI, то то же самое должнобыть и на другом компьютере.Инсталляция образа, созданного при помощи RIPREP.EXE, будет работать,если будет соответствовать хотя бы один из нижеперечисленныхпунктов:• Исходный и новый компьютеры имеют одинаковый уровень HAL.• Исходный и новый компьютеры имеют однопроцессорный или многопроцессорныйуровень ACPI HAL (Advanced Configuration and PowerInterface).• Исходный и новый компьютер имеют однопроцессорный или многопроцессорныйуровень APIC HAL (Advanced Programmable InterruptController).Примечание.Если вам нужно будет узнать тип HAL на компьютере, найдите в папке %systemroot%\system32 файл HAL.DLL, отобразите его свойства и на вкладке Версия в частиДополнительные сведения выберите Исходное имя файла.Таким образом решается вопрос годности или негодности конкретнойбитовой копии для нового компьютера.399

Microsoft Windows Server 200319.9. Служба Удаленной установкив больших сетяхО службе Удаленной установки уже было сказано многое, а информациии возможностей конфигурации еще больше. Так как пространство нашейсети очень маленькое и простое, мы использовали только основныеконфигурации службы Удаленной установки. В этом параграфе приведенадополнительная информация по использованию службы Удаленнаяустановка.19.9.1. Как узнать МАС-адресВ абзаце, который был выше посвящен этому вопросу, было сказано, чтоинформацию о МАС-адресе (в том случае, если компьютер не оснащентехнологией РХЕ) можно получить у поставщика. В противном случаевас ожидает распаковка компьютера, подключение, поиск МАС-адреса,упаковка компьютера и доставка пользователю. Как же получить МАСадрескомпьютера, на котором еще нет операционной системы?1. В дисковод вставьте загрузочную дискету, созданную при помощиRBFG.EXE.2. В настройках BIOS смените порядок загрузки так, чтобы загружатьсяс дискеты, и перезагрузитесь.3. Дождитесь загрузки программы инсталляции системы Удаленной установки.Так как компьютер не подключен к сети и не связан с серверомдля удаленной инсталляции, в окне появится его МАС-адрес.19.9.2. Размещение серверадля удаленной инсталляцииВ сетях, которые содержат большее количество серверов, возможно разделить«роли» между отдельными серверами. В идеале разделение должнобыло бы выглядеть так (каждый пункт — отдельный компьютер):• Контроллер домена и служба DHCP.• Сервер DNS.• Сервер для удаленной инсталляции.Для размещения сервера для удаленной инсталляции необходимы следующиеправила:400• Служба Удаленной установки не устанавливается на серверы Exchangeили SQL. Сервер для удаленной инсталляции слишком перегружаетсетевой интерфейс и может вызвать значительное снижение производительностиэтих систем.

Глава 19. Приходят новые пользователиСервер для удаленной инсталляции не будет работать в беспроводныхсетях. В этих сетях невозможно при помощи службы Удаленной установкиинсталлировать компьютеры клиентов, так как беспроводныесети не поддерживают стандарта РХЕ.Сервер для удаленной инсталляции не следует устанавливать в сетях,где уже работают программы аналогичного назначения других производителей.19.9.3. Несколько серверов удаленной инсталляцииЦелью увеличения количества серверов удаленной инсталляции в сети являетсяразделение их обязанностей для совместной инсталляции большегоколичества компьютеров. На практике было выявлено, что максимальноеколичество компьютеров, которым сервер удаленной инсталляции способенодновременно предоставлять услуги — 75.Авторизация сервераВ том случае, если вы в сети используете большее количество серверовдля удаленной инсталляции, не забудьте все их авторизовать. В противномслучае они не будут соответствовать запросам клиентов и не будутсоответственно работать. Авторизация в системе Windows server 2003происходит во время инсталляции службы Удаленная установка; если этоне произошло, необходимо авторизовать сервер вручную.Ручная авторизация сервера удаленной инсталляции1. Зарегистрируйтесь на компьютере РС001 как администратор и запуститеконсоль DHCP.2. Правой кнопкой мыши щелкните по контейнеру DHCP и из контекстногоменю выберите команду Список авторизованных серверов.3. В диалоговом окне Управление авторизованными серверами наАвторизовать, укажите IP-адрес или имя сервера. Нажмите ОК.Примечание.Для открытия сервера Удаленной инсталляции, так же как и для сервера DHCR вамнеобходимы полномочия члена группы Enterprise Admins.401

Microsoft Windows Server 200319.10. Важные новшества в службеУдаленная установка в системе WindowsServer 2003 по сравнению с системойWindows 2000 ServerВ качестве важных новшеств можно выделить следующие:• Поддерживается больше операционных систем — Windows 2000Professional, Windows 2000 Server, Windows 2000 Advanced server,Windows XP Professional и семейство Windows Server 2003 (службаУдаленной инсталляции в системе Windows 2000 Server поддерживаеттолько инсталляцию системы Windows 2000 Professional, а после соответствующихизменений также и инсталляцию системы WindowsXP Professional).• Большая безопасность при помощи сокрытия пароля.• Автоматическая авторизация сервера для удаленной инсталляции вовремя его настройки (Ri-setup).• Автоматическое определение HAL целевого компьютера и изменениев соответствии с ним списка образов к инсталляции.• Поддержка 64-битовой версии системы Windows Server 2003 иWindows XP Professional.Если в сети не будет использоваться автоматическая инсталляция выбранногообраза, и выбор будет оставлен за пользователем, то появитсянесколько информационных окон. Речь идет о текстовых файлах форматаOSCML с расширением OSC (Operating System Chooser).Эти файлы возможно исправить, особенно информацию, которую онисодержат. Пользователям во время удаленной инсталляции откроютсяследующие файлы:• LOGIN.OSC — окно регистрации.• CHOICE.OSC — возможности инсталляции.• OSCHOICE.OSC — если для инсталляции есть несколько образов,откроется их список.• WARNING.OSC — содержит предупреждение о форматированиижесткого диска компьютера.• INSTALL.OSC — содержит больше информации о компьютере и образе,которые будут инсталлироваться.• CUSTOM.OSC — просит пользователя указать имя компьютера иподразделение, в котором создастся учетная запись компьютера.В инсталляционных папках находятся и другие файлы OSC, содержащиесообщения об ошибках.402

19.11. ИтогиГлава 19. Приходят новые пользователиУдаленная инсталляция — очень интересная возможность Windows Server2003. Она содержит в себе лучшее из двух уже известных вам способовинсталляции — автоматического (необслуживаемого) и Sysprep (возможностиинсталлировать заранее настроенную операционную системус приложениями).Для успешной работы службы Удаленной установки в сети необходимыслужбы DNS, DHCP и домен Active Directory. Инсталлировать можно всеоперационные системы версии от Windows 2000 и выше (кроме версииDatacenter Server). Ее могут использовать компьютеры клиентов, которыеподдерживают стандарт РХЕ или имеют сетевой адаптер PCI.Чтобы сервер удаленной инсталляции работал, он должен быть авторизованв домене Active Directory, подобно серверам DHCP.Важной частью службы Удаленной установки является ее конфигурация.Она состоит из инсталляции самой службы и инсталляции образа выбраннойоперационной системы. Она всегда должна быть на сервере дляудаленной инсталляции, так как другие образы, которые инсталлируютсяна сервер, используют ее файлы.Службы Удаленной инсталляции можно обезопасить так, что они небудут реагировать на запросы «незнакомых» компьютеров. «Знакомые»компьютеры — это те, у которых в домене Active Directory есть свояучетная запись с уникальным кодом UUID/GUID.Состояние сетиНа сервер SRVR001 была проинсталлирована служба Удаленной установки.Теперь она содержит три образа — саму систему Windows XPProfessional с текущей инсталляцией, систему Windows XP Professionalс автоматической инсталляцией и систему Windows XP Professional соспециализированным приложением. Для целей Удаленной установкисуществует учетная запись RIS.Теперь можно сказать, что мы упомянули все области, с которыми сталкиваютсяпользователи в случае «аварии». Если пользователь получает«чистый» компьютер, он проинсталлирует на него операционную системупри помощи службы Удаленной установки. Документы профиля пользователянаходятся на сервере (у некоторых пользователей на серверенаходится весь профиль), и приложения станут доступными автоматическипри первой регистрации. Все это обеспечивают технологии системыWindows Server 2003/XP.403

УстанавливаемобновлениеService PackОбновление SPдля операционной системыПланирование установкиОбновление инсталляционныхфайловОбновление образа системыслужбы Удаленной установкиОбновление SP для пакета OfficeВнедрение программногообеспеченияПоддерживайте приложения пакетаOffice в актуальном состоянииMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Каждый продукт компании Microsoft во время производства проходитопределенные фазы. Мало кто знает подробности этой «кухни». Большаячасть пользователей (и даже администраторов) воспринимает отдельныефазы производства так, как это представляется массам.Первой стадией является бета-версия — тестовая. Это еще достаточносырой продукт, который может содержать в себе часть кода предыдущейверсии продукта (если, конечно, она существовала), к примеру, некоторыедиалоговые окна и подсказки. Эта версия попадает только к так называемымбета-тестерам (участники тестовых программ компании Microsoft).Через некоторое время появляется следующая версия продукта под названиемBeta 2 (и у Beta есть свои версии). Это тот продукт, который ужеможно скачать из Интернета, или его можно получить на каких-нибудьконференциях, симпозиумах, семинарах. Обычно эта версия имеет своиограничения и является бесплатной. Иногда она доступна широкиммассам, широкому кругу пользователей, которые при использовании еепрактически тестируют и имеют возможность отправлять производителюсообщения об ошибках, с которыми сталкиваются при использовании.Таким образом, есть достаточно времени на выявление и исправлениеошибок.Далее может появиться версия с названием RC (Release Candidate).Имеется в виду окончательный продукт. Это именна та версия, которуюследует изучать. В большинстве случаев на этих версиях строят официальныекурсы, и администраторы имеют возможность подготовиться киспользованию и обслуживанию данных продуктов.405

Microsoft Windows Server 2003Затем настанет новый день, и на рынке появится новая версия. С точкизрения администраторов, разница между конечной и RC версиями состоитв том, что конечная версия полностью поддерживается производителем.Это означает то, что если в предыдущих версиях появляется ошибка, топроизводители ее исправят и автоматически предупредят в следующихверсиях. Если ошибка возникает в новой версии, то исправления создаютсякак отдельный пакет или публикуется официальная информацияпо ее устранению.Так как версии Beta и RC достаточно долго существуют и в них постоянновыявляются и исправляются все ошибки, то с ошибками можнововсе не столкнуться. Однако операционные системы и приложениякомпании Microsoft содержат такое большое количество функций, чтои конечные версии могут содержать ошибки (несмотря на все усилияпроизводителей).Через некоторое время, когда исправлений к продукту набирается достаточноеколичество, производитель может создать отдельный пакет изсовокупности исправлений, — обновление. Этот пакет лучше тем, что онсодержит полный набор всех предыдущих исправлений и не нужно припереустановке операционных систем и программ устанавливать каждоеиз них по отдельности. В последнее время составляющие этих обновленийстановятся все лучше и приобретают новые свойства. Мы говоримоб обновлении Service Pack.20.1. Обновление SPдля операционной системыОперационная система является основой каждого компьютера, и ее работаможет повлиять на целый ряд приложений. В большой сети операционнаясистема (или ее часть) может повлиять на работу приложения,которое проинсталлировано на другом компьютере. На практике мыможем говорить о случае, когда, например, одно из приложений, проинсталлированноена сервере, входящем в домен, требует использовать свойствадомена. А если в компоненте операционной системы, отвечающемза домен, есть ошибка, то приложение может вести себя неправильно.С одной стороны, администраторы могут с нетерпением ждать обновления,исправляющего критические ошибки, с другой, при мысли о том,что инсталляцию нужно будет проделать на всех компьютерах и серверах,мороз бежит по коже. Чем больше поле деятельности, тем больше объемработы. Более того, каждая установка обновления SP требует перезагрузкикомпьютера, так что можно готовиться к ночной смене.406

Глава 20. Устанавливаем обновление Service PackДо системы Windows NT 4.0 такие чувства администраторов были оправданны.Действительно, обновление SP должно было быть установленона каждый компьютер (конечно же, под наблюдением администратора),более того, при изменении конфигурации системы нужно было обновлениепереустановить (как, впрочем, и всю операционную систему — прим.редактора). Вместе с системой Windows 2000 на рынок пришла новая возможностьавтоматической установки при помощи групповой политики.Вскоре после этого изменился формат обновления — его стало возможноинтегрировать в службу удаленной установки.20.1.1. Где взять обновлениеОбновление Service Pack пользователи соответствующей операционнойсистемы получают бесплатно. Поэтому не будет проблем с ее поиском.У вас есть на выбор несколько возможностей:• Диск CD-ROM с обновлением Windows XP SP1 от компанииMicrosoft. Имеется в виду диск CD-ROM, который содержит не толькообновление, но также информацию по его проведению, включаядругие необходимые настройки операционной системы. Данный дискможно приобрести у официальных дилеров программных продуктовкомпании Microsoft или заказать на сайте www.microsoft.ru. Во второмслучае вам придется оплатить расходы по пересылке.• Дополнительный компонент программного обеспечения. Компании,использующие некоторые типы мультилицензионных программ, получаютподписку на инсталляционные диски с приложениями SP (нетолько для операционных систем) как составляющую часть своейлицензии.• Специальные программы компании Microsoft. Подписчики специальныхпрограмм компании Microsoft, таких как MSDN или TechNet,получают все обновления на CD-ROM или DVD в рамках регулярныхмесячных поставок.• Скачивание обновления из Интернета. Речь идет о самом частоиспользуемом и самом быстром способе получения обновления. Вэтом случае вы можете быть уверены в том, что скачиваете самуюпоследнюю версию. Если вам понадобится полная информация обобновлении, ее нужно скачать отдельно. С другой стороны, можетебыть уверены, что вся эта информация актуальна.• Диски CD-ROM (DVD) с выставок, семинаров или из журнала. Речьидет о часто используемом источнике получения обновлений, измененийи технических материалов. Если же вы не уверены в «происхождении»диска, советуем перед его использованием произвестиантивирусную проверку файлов.407

Microsoft Windows Server 200320.1.2. Языковые версииОбновление SP для системы Windows XP отличается для каждой локализованнойверсии системы. Необходимо из Интернета скачать нужнуюверсию, подходящую именно для вашей системы.Примечание редактора.Если у вас английская версия операционной системы с установленным русскимпакетом интерфейса, вы должны использовать обновление для изначальнойлокализации системы, т. е. английское. Правильно будет сначала удалить языковойпакет, затем установить обновление, а потом заново установить русский язык.С точки зрения необходимости локализовать каждое обновление (в концеконцов, любое исправление), вы всегда в первую очередь столкнетесь собновлением для языковой версии EN. Версий для других языков долгождать не придется, они появляются в течение нескольких дней.Если вы будете устанавливать, например, языковую версию EN обновленияSP на систему Windows XP Professional RU, установка прерветсяи сообщит об ошибке.20.1.3. Типы установкиНа обновление SP можно посмотреть как на обычное приложение, котороеможно установить несколькими способами. Каждый способ болееили менее выгоден в разных условиях, но в каждом случае достаточновозможностей для того, чтобы администратор выбрал самый удобныйдля него способ.Установку можно произвести двумя способами:• Установка обновления отдельно от системы.• Установка операционной системы с интегрированным обновлением.Установка обновления отдельно от системыИмеется в виду тип установки, который знают все администраторы. Этоспособ, когда устанавливают обновление SP систем семейства Windowsна компьютеры с уже установленными операционными системами.Установка операционной системы с интегрированным обновлениемВ главе 2 мы познакомились с автоматической установкой системыWindows XP Professional. Инсталляционные файлы в этом случае могут408

Глава 20. Устанавливаем обновление Service Packбыть размещены на компакт-диске или в общей папке в сети. Интеграцияобновления в установку операционной системы подразумевает обновлениеинсталляционных файлов. На оригинальном диске CD-ROM,понятно, этого сделать нельзя; нужно создать собственный диск CD-Rили CD-RW.В предыдущей главе мы познакомились с другой возможностью установки— удаленной установкой. Здесь также можно произвести обновлениефайлов, которые находятся на сервере RIS.Интегрированная установка означает, что на «чистый» компьютер устанавливаетсяуже обновленная операционная система.А теперь рассмотрим подробнее возможности установки относятся кустановке обновления отдельно от системы. На компьютере уже должнабыть установлена операционная система.Итак, в сфере нашего внимания будут:• Установка с диска.• Установка по сети.• Установка с помощью продукта SMS.• Установка при помощи групповых политик.Установка с дискаПри этом способе установки в первую очередь происходит распаковкаинсталляционных файлов на диск компьютера. Только потом будетзапущена установка обновления Service Pack. Действия должны бытьследующими:1. Вставьте в привод компакт-диск с обновлением Service Pack илископируйте файл обновления (XPSP_.exe где _ означает версию — 1,2 и т. д.) на жесткий диск.2. Остановите работу антивирусных программ и заархивируйте важныеданные.3. Запустите файл XPSP_.exe. Так как речь идет о сжатом файле, произойдетего распаковка во временную папку на диске С.4. Произойдет автоматический запуск установки обновления.5. Перезагрузка компьютера. Перезагрузка не обязательна (ее можноотменить), но без нее произведенные изменения не вступят всилу.При запуске файла XPSP_.exe вы можете задать ключи и таким образомвнести изменения в установку. Чаще всего используемые ключи приведеныв таблице 20.1.409

Microsoft Windows Server 2003Ключи для запуска XPSP_.exe и Update.exe Таблица 20.1Параметр/help/quiet/passive/uninstall/norestart/forcerestart/I/n/f/integrate:/с!:ФункцияВывод справки по ключам, используемым для установки обновленияФоновый режим. Полное сокрытие процесса установки обновления от пользователяНеобслуживаемая установка. Процесс установки будет отображен, но он не потребуетвмешательства пользователяУдаление обновления и возврат системы в исходное состояниеОтмена требования перезагрузки системы после установкиБезусловная перезагрузка системы после установкиВывод списка установленных обновлений и исправленийНе сохранять копии изменяемых файлов. Если у вас мало места на диске и вы уверены,что вам не будет необходимо удалять обновление, можете использовать этот ключПринудительно закрыть другие программы перед перезагрузкойДобавить обновление в инсталляционные файлы, расположенные в указанном месте.Таким образом будут подготовлены инсталляционные файлы операционной системыс интегрированным обновлениемСохранить копии файлов в указанную папкуУстановка с диска является стандартным способом установки обновленияService Pack дома и в малых сетях. Также ее можно использовать в томслучае, когда необходимо инсталлировать обновление только на одинкомпьютер.Установка по сетиЭтот способ установки очень похож на предыдущий. Самая большаяразница заключается в том, что распаковка инсталляционных файловобновления произойдет в общей папке в сети и на компьютер файлыбудут устанавливаться прямо из этой папки.Процесс установки выглядит следующим образом:1. Подготовка инсталляции — заключается в распаковке файлов впапку инсталляционного сервера при помощи командыXPSP_.exe /Х: /UПримечание.Параметр X произведет только распаковку инсталляционных файлов обновлениябез последующего автоматического запуска update.exe. — это путьк папке, в которую распаковываются инсталляционные файлы.410

Глава 20. Устанавливаем обновление Service Pack2. Остановка антивирусной программы компьютера и архивация важныхданных.3. Запуск установки.4. Перезагрузка компьютера.Перезагрузки касается примечание, приведенное выше. Инсталляционнуюпрограмму update.exe можно запустить с ключами, приведеннымив таблице 20.1.Выгодой этого типа инсталляции является однократная распаковка инсталляционныхфайлов. Остальные компьютеры затем производят установкузапуском инсталляционной программы из этой папки.Установка при помощи продукта SMSИнформация о данном типе установки выходит за рамки этой книги.Единственная важная информация для администраторов, использующихэтот тип установки — необходимо использование SMS 2.0 с обновлениемService Pack 4.Установка при помощи групповой политикиПосле распаковки файла XPSP_.exe в подпапке update окажется файлUPDATE.MSI. Речь идет о стандартном инсталляционном пакете службысистемы Windows, установке которого была посвящена глава 18. Установкас использованием инсталляционного пакета приведена далее.Если мы сравним возможности различных типов установок, то поймем,что для нашей сети самым оптимальным будет использование установкипри помощи параметров групповой политики. Сеть располагает всем необходимым— есть домен Active Directory и объект групповой политикиУстановка программ.20.2. Планирование установкиПри планировании инсталляции нужно обратить внимание на то, что речьидет о вмешательстве в конфигурацию каждого компьютера. Необходимообеспечить сохранение исходных копий всех изменяемых файлов, атакже поэкспериментировать на отдельном компьютере с приложениямипосле установки обновления. Не забудьте, что если инсталляция пройдетнекорректно, то пользователи могут столкнуться с проблемами во всехприложениях.Далее нужно решить, к какой организационной единице в домене ActiveDirectory будем применять объект групповой политики инсталляции об-411

Microsoft Windows Server 2003новления. Уровень домена не подходит, так как в нашем случае инсталляциякоснулась бы также сервера SRVR001 с системой Windows Server2003. Однако ранее мы создали организационную единицу «Компьютеры»,содержащую все рабочие станции. Ее мы и можем использовать.Если в вашей сети присутствуют компьютеры не только с системойWindows XP Professional, вам необходимо произвести разделение контейнера,содержащего все компьютеры сети. В этом случае установкасоответствующих обновлений для каждого вида операционной системыне вызовет сбоев в работе сети.Таким образом инсталляция обновления SP произойдет при следующемвключении компьютера. Так как данный процесс займет некоторое время,об этом необходимо сразу предупредить пользователей, и если у васв сети достаточно большое количество компьютеров, надо обеспечитьраспределение установки приложения по времени, чтобы не произошлоперегрузки инсталляционного сервера.Подготовка инсталляционной папкиНа сервере SRVR001 у нас создана общая папка InstallАрр пока что с однойподпапкой, содержащей инсталляционные файлы пакета Office. Почемубы не использовать эту папку для размещения инсталляционных файловобновления SP системы Windows XP Professional? Однако нужно убедиться,что к инсталляционным файлам имеют доступ компьютеры в сети.Распаковка инсталляционных файлов1. Зарегистрируйтесь на компьютере SRVR001 как администратор.2. Установите компакт-диск с обновлением SP для системы WindowsXP Professional.3. В диалоговом окне Пуск —> Выполнить введите командуF:\XPSP_.EXE/X: C:\InstallApp\XPSP_.EXE /UOK(F: здесь — обозначение компакт-диска).Примечание.Если в пути к инсталляционной папке есть пробел, необходимо весь путь заключитьв кавычки.4. Автоматически откроется папка XPSP_. Отобразите ее свойства иперейдите на вкладку Безопасность. Добавьте в список субъектовдоступа группу Domain Computers с правами Чтение и Чтение ивыполнение.412

Глава 20. Устанавливаем обновление Service PackСоздание объекта групповой политикиДля создания объекта групповой политики:1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Запустите Active Directory — пользователи и компьютеры.3. Отобразите свойства контейнера Computers.4. На вкладке Групповая политика щелкните на Создать и дайте названиеновому объекту групповых политик Install XPSP_.5. Щелкните на новый объект и нажмите Изменить. Перейдите в папкуКонфигурация компьютера\Конфигурация программ\Установкапрограмм.6. Правой кнопкой мыши щелкните на Установка программ и в пунктеСоздать щелкните на Пакет.7. В окне Открыть перейдите в папку на сервере, где находится распакованныйфайл UPDATE.MSI.8. В диалоговом окне Развертывание программ оставьте режим назначенныйи нажмите ОК.9. Закройте окно групповых политик и откройте свойства организационнойединицы «Компьютеры».10. Перейдите на вкладку Фильтр WMI, установите переключатель вположение Следующий фильтр и нажмите кнопку Обзор и управление.Откроется диалоговое окно Управление фильтрами WMI(рис. 20.1). Нажмите Подробно.Управление фильтрами WMIш;T^v Можно добавлять изменить и удалять любыелИмя 1 Описание'Ниьыи . ЩпЩ'ПШШя1 Автор4ndt3ij Дагамоди... ] Дзтасозда...04Ч01Ч2005 О4\01\2005GK |1.; Отмена |Справка • !С1олбцы...Подробно« jI"Изменить Фильтр^1Имя]^писание: ]. Запросы:Рис. 20.1. Диалоговое окно Управление фильтрами WMI413

Microsoft Windows Server 200311. Нажмите кнопку Создать. В части Изменить фильтр (нижняячасть диалогового окна) укажите имя Only Windows XP Professionalи в поле Описание задайте описание фильтра (например ForWindows XP Professional). В поле Запросы затем укажите следующийфильтр:Root\CimV2; Select * from Win32_OperatingSystemwhere BuildNumber = "2600"12. Нажав на кнопку Сохранить, сохраните фильтр. Закройте диалоговоеокно.13. Щелчком на ОК закройте диалоговое окно свойств объекта групповойполитики Install XPSP_.14. Закройте все диалоговые окна.Объект обновления Service Pack для системы Windows XP Professionalтеперь готов к использованию. После перезагрузки компьютера РС001должна произойти инсталляция программного обеспечения.По окончании инсталляции появится обычное окно регистрации пользователя.В окне Установка и удаление программ можете увидеть наличиеобновления Windows XP Service Pack _. Информация об обновлениисистемы так же будет изображаться в диалоговом окне свойств системы —в панели управления выберите элемент Система.20.3. Обновление инсталляционных файловЭтот метод относится к интегрированной установке. Если инсталлируютсяоперационные системы на «чистые» компьютеры через сеть, возможнопростым способом произвести обновление не установленной системы, аисходных инсталляционных файлов. Итоговая интегрированная инсталляциязатем будет длиться так же долго, как инсталляция необновленнойоперационной системы.Если в вашей сети есть общая папка с инсталляционными файлами системыWindows, проведите ее обновление следующим образом:1. В общую папку на сервере, где размещены инсталляционные файлысистемы Windows XP Professional, распакуйте файлы обновленияService Pack. Для этого в окне Выполнить введите командуD:\XPSP_.exe /X C:\TEMPSP_ /U(папка TEMPSP_ — это временная папка для размещения распакованныхфайлов).2. После распаковки введите команду:С:\TEMPSP_\update.exe/S:C:\WXPPRO414

Глава 20. Устанавливаем обновление Service Pack(папка WXPPRO содержит инсталляционные файлы системы WindowsХР Professional.).3. Удалите папку TEMPSP_.Каждая следующая инсталляция операционной системы будет включатьобновление Service Pack.20.4. Обновление образа системы службыУдаленной установкиСлужба Удаленной установки, которой мы посвятили главу 19, не предполагаетвключения обновления Service Pack в существующие образы.20.4.1. Образ RisetupЭтот источник установки невозможно напрямую обновить при помощиService Pack. Но можно сделать новый образ из обновленных инсталляционныхфайлов Windows XP.20.4.2. Образ RiprepОбраз Riprep точно отвечает конфигурации некоторого компьютера издесь тоже нельзя просто провести обновление. Нужно заново сделатьобраз с компьютера, на котором было установлено обновление SP.Не забудьте после добавления обновленного образа удалить предыдущуюверсию. Основное правило и требование службы Удаленной установки:на сервере для удаленной инсталляции должен существовать хотя быодин образ Risetup (в противном случае служба Удаленной установкине будет работать).20.5. Обновление SP для пакета OfficeПакет Office не является операционной системой и устанавливается онне средствами службы Удаленной установки, а через объект групповойполитики.Обновления SP операционной системы компания Microsoft создает какнакопительный пакет. Каждое последующее обновление включает в себявсе предыдущие. Такое положение во многом облегчает работу администраторами экономит время. Подобным образом созданы обновления415

Microsoft Windows Server 2003операционных систем и серверных продуктов. К сожалению, это не касаетсяобновлений пакета Office.Разностные обновления являются полной противоположностью накопительным.Если у вас будет продукт, к которому прилагается 5 разностныхобновлений, приготовьте себе кроме всех инсталляционных дисков чашкукофе и хорошую книгу. У вас будет достаточно времени на все это вовремя инсталляции.В первую очередь вам нужно будет проинсталлировать сам продукт и затемодно обновление за другим. Типичным представителем продукта, для которогоне выпускаются накопительные обновления, является пакет Office.На сегодняшний день для пакета Office 2003 существует одно обновлениеService Pack (в предыдущей версии Office оно называлось ServiceRelease).20.5.1. Где взять обновлениеЭти действия очень похожи на приведенные выше. Самым простым способомбудет скачать обновление Service Pack из Интернета. Вот адрес,где найдется все необходимое: http://office.microsoft.com/download. Скачивайтеправильные обновления. Так же, как и с операционной системой,у обновления пакета Office есть свои языковые версии.20.5.2. Тип обновленияВсе обновления выполнены в двух различных версиях. Одна из них —клиентская, другая — администраторская.Клиентское обновлениеЭтот тип обновления предназначен для прямого запуска на конкретномкомпьютере, где вы регистрируетесь под именем администратора. Во времяинсталляции может потребоваться наличие инсталляционного компактдискас пакетом Office 2003. Принцип действия такой, что после запускапроизойдет обновление всех важных файлов на компьютере клиента.Администраторское обновлениеЭтот тип обновления предназначен для больших сетей, где была проведенаинсталляция приложений пакета Office из подготовленной администраторскойинсталляции. Это обновление содержит, кроме клиентскойчасти, еще и другие возможности, которые позволяют обновить администраторскуюинсталляцию на сервере.416

Глава 20. Устанавливаем обновление Service PackЧто необходимо для инсталляции обновленияКроме знания, как все провести, вам потребуется сама администраторскаяверсия обновления Service Pack в нужной языковой версии, и физическийдоступ к компьютеру SRV001.Необходимость тестированияРабота с приложениями пакета Office для многих администраторов составляетсущественную часть их обязанностей. Поэтому очень важно,чтобы действия по инсталляции были хорошо освоены, проверены влабораторных условиях и с точки зрения их влияния на работу пользователей.Поэтому не проводите сразу инсталляцию на рабочем месте, апротестируйте ее сначала на паре выделенных компьютеров.Обновление приложений Office невозможно удалить. Поэтому оченьважно перед проведением инсталляции все тщательно протестировать.Единственная возможность вернуть назад исходную версию, — это зановосоздать администраторскую инсталляцию.Подготовка к инсталляции обновления1. Зарегистрируйтесь на компьютере SRV001 как администратор.2. Создайте временную папку (например, TEMPSP_, где _ — номеробновления). Не важно, где она будет расположена, главное, чтобыне на системном диске.3. Поместите в нее файл Office2003SP_.EXE.4. В окне Пуск -> Выполнить введите путь к файлу обновления сключом /с. На экране должно появиться окно лицензионного соглашения.5. Затем укажите место для распаковки файлов — рекомендуем такуюже временную папку (C:\TEMPSP_).В эту папку будут распакованы файлы для обновления. Главные установочныефайлы имеют расширение MSP.20.5.3. Применение обновленияк администраторской инсталляцииЕсли у вас есть файл MSP и вам нужно его применить к инсталляционномуресурсу, принцип действия везде будет одинаковым. Поэтомупомните об этом, он может понадобиться и при инсталляции совсемдругих продуктов.1. Зарегистрируйтесь на компьютере SRVR001 как администратор.14 Зак. 446 417

Microsoft Windows Server 20032. В окне Пуск —> Выполнить введите:msiexec /р "C:\TEMPSP1\OWC11SP1FF.MSP" /a "\\SRVR001\InstallApp\Office 2003\OWC11.MSI" SHORTFILENAMES=TRUE3. Откроется диалоговое окно установки Microsoft Office 2003 WebComponents с лицензионным соглашением. Согласитесь с условиямилицензии и продолжите нажатием на кнопку Инсталлировать(Install).4. В инсталляционной папке D:\InstallApp\Office 2003 некоторые файлыобновятся. После окончания инсталляции откроется диалоговоеокно, которое закройте кнопкой ОК.5. В окне Пуск -> Выполнить введите:msiexec /p "C:\TEMPSP1\MAINSP1FF.MSP" /a "\\SRVR001\InstallApp\Office 2003\PROll.MSI" SHORTFILENAMES=TRUEИсходя из размера этого файла, можно ожидать, что теперь обновлениезаймет больше времени, чем в предыдущем случае. Инсталляция пройдетавтоматически. По ее окончании откроется диалоговое окно, котороезакроете кнопкой ОК.20.6. Внедрение программного обеспеченияМы произвели обновление администраторской инсталляции пакетаMicrosoft Office 2003, с которой уже инсталлируются другие компьютеры.Не важно, сколько компьютеров-клиентов, 10,100 или 1000, инсталляционныйисточник у них один. Но нужно сделать еще один шаг — пользователям,которые свои приложения уже проинсталлировали, нужносказать, что их нужно проинсталлировать снова. Это можно сделать вдомене Active Directory следующим образом:1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Запустите Active Directory — пользователи и компьютеры.3. Отобразите свойства подразделения Shop.4. На вкладке Групповая политика выберите объект групповой политики,при помощи которого инсталлируются приложения пакетаOffice 2003 для пользователей из этого подразделения, и нажмитеИзменить.5. Перейдите в папку Конфигурация пользователя\Конфигурация программи нажмите на Установка программ.6. Правой кнопкой мыши щелкните по значку инсталлируемого программногообеспечения и в части Все данные нажмите на Снова загрузитьприложение. На следующий вопрос ответьте щелчком на Да.418

Глава 20. Устанавливаем обновление Service Pack7. Эти действия повторите для всех остальных групповых политик,использующих одинаковый инсталляционный источник (в другихподразделениях или на уровне всего домена).Если на компьютере пользователя приложение уже было инсталлировано(то есть пользователь уже запускал его), его обновление будет установленово время следующей регистрации пользователя в системе. Из-за этогопроцесс регистрации займет несколько больше времени. По окончаниирегистрации пользователь может загрузить приложение и сразу работать.Если в обновлении нет новых возможностей, пользователь может дажене увидеть никаких изменений в своей работе.Если пользователь запустит приложение первый раз, то запустится егоинсталляция. Разница будет в том, что теперь инсталлироваться будетуже обновленное приложение.20.7. Поддерживайте приложения пакетаOffice в актуальном состоянииЕсли вы хотите иметь свои приложения полностью функциональнымии безопасными, необходимо устанавливать новые обновления. Однакодля поддержания приложений в этом состоянии ежедневно требуетсяустанавливать не только обновления Service Pack, но и текущие исправленияHotfix.Текущие исправления нельзя найти нигде кроме как в Интернете настраницах компании Microsoft. Подобно обновлению Service Pack, и этиисправления существуют в двух формах. Первая — клиентская — предназначенадля прямой инсталляции на конкретный компьютер, вторая —администраторская — предназначена для применения к установочнымфайлам приложения. Прежде чем вы решите установить исправления,проверьте их сначала на отдельном компьютере.Здесь тоже нужно следить за правильностью языковой версии. Если выпо ошибке попытаетесь установить исправление на другом языке, инсталляционнаяпрограмма автоматически остановится.20.8. ИтогиИнсталляция обновления Service Pack является необходимостью дляадминистратора, который заинтересован поддерживать программноеобеспечение в локальной сети в безопасности, функциональным и актуальным.Эти обновления компания Microsoft выпускает как для опе-419

Microsoft Windows Server 2003рационных систем клиентских машин, так и для серверных продуктов идругих приложений.У обновления SP есть несколько способов инсталляции. Один из самыхпростых методов — инсталляция программного обеспечения при помощигрупповой политики. Речь идет об изменении объекта групповойполитики (подходит и для обновления операционной системы), либо обобновлении администраторской инсталляции (для пакета Office).Тогда как обновление SP для системы Windows XP Professional можноудалить, обновление для пакета Office удалить нельзя. Поэтому требуетсятщательное тестирование перед его применением.Компания Microsoft выпускает, кроме того, также текущие исправления.Тогда как у этого типа обновлений, предназначенных для операционнойсистемы, не существует возможности ее инсталляции при помощи объектагрупповой политики, у исправлений для пакета Office это возможно. Дляэтого есть файл MSP для администраторской инсталляции.Состояние сетиВ сети существует обновленная администраторская инсталляция приложенийпакета Office на сервере SRVR001. Все пользователи систем WindowsXP Professional, таким образом, имеют инсталлированное обновление SP1и пользуются приложениями пакета Office с обновлением SP2.420

Временныеподключения к сетиИспользованиепортативныхкомпьютеров(ноутбуков)Автономные файлыОсобенности применения групповыхполитик при подключениипо медленной линииНастройка портативногокомпьютера в нашей сетиMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Наше предприятие решило закупить переносные компьютеры. Надеемся,для администраторов.Эта глава не ставит перед собой цели рассмотреть преимущества портативногокомпьютера перед классическим устройством под столом смонитором на три четверти стола. Намного важнее знать то, с чем могутстолкнуться пользователи портативных компьютеров и как оптимальноработать с ними.Операционной системой в портативных компьютерах должна быть классическаяMicrosoft Windows XP Professional или Windows 2000. С портативнымикомпьютерами под управлением других Windows-подобныхсистем типа Windows NT вы, вероятно, не встретитесь, потому что системаWindows NT4.0 не располагает необходимыми функциями, а системы типаWindows 9x/ME не предназначены для корпоративной среды. Серверныеоперационные системы Windows 2000/2003 в портативных компьютерахскорее составляют исключение.21.1. Автономные файлыС тех пор, как у пользователей появилась возможность работать с документамив общих папках, расположенных на сервере, у них появилосьи желание продолжать работу над ними и в отсутствие подключения ксерверу. Пока утилит, облегчающих эту задачу, не существовало, пользователибыли вынуждены придумывать собственные способы.422

Глава 21. Временные подключения к сети. Использование портативных компьютеровОдин из таких способов — копирование необходимых файлов с серверана локальный (портативный) компьютер, работа над ними у себя и копированиеготовых документов обратно на сервер. Совместную работу наддокументом этот способ, понятно, сильно затрудняет: приходится искатьспособы согласования изменений, внесенных в один и тот же документразными пользователями независимо друг от друга.21.1.1. ПортфельПозднее в системах Windows появился инструмент Портфель, основнойзадачей которого было упростить процесс извлечения файлов с сервераи копирования их обратно после редактирования.Этот инструмент отвечал своему времени и возможностям тогдашнихтехнологий. Рядовым пользователям предлагалось применять Портфельсамостоятельно, администратор помочь им не мог. В результате всезнали, что в системе есть такой Портфель, приблизительно знали, длячего он служит, но практически никто (включая администраторов) егоне использовал.Для обеспечения совместимости (в интересах горстки пользователей,достаточно продвинутых, чтобы научиться с ним работать, и слишкомконсервативных, чтобы переключиться на другое средство) инструментПортфель был включен в систему Windows XP Professional. Новым пользователямне обязательно учиться работать с ним, потому что начиная сWindows 2000 у них в распоряжении есть более мощное средство — Автономныефайлы. Благодаря этому о Портфеле можно уже забыть.21.1.2. Что такое Автономные файлы?Эта функция предназначена для пользователей портативных компьютеров,которые работают над своими документами в дороге — разумеется,отключившись от файлового сервера. Одновременно она оченьэффективно решает задачу синхронизации файлов, отредактированных«в дороге» (то есть вне сети), с соответствующими им файлами на сервере.Автономный файл представляет собой автоматически создаваемуюлокальную копию файла из общей папки на сервере.По умолчанию функция Автономные файлы в клиентских операционныхсистемах включена, но ее еще требуется настроить, причем в этомпроцессе должны участвовать как администратор, так и пользователь.Администратор отвечает за то, чтобы пользователю были доступны вседокументы, которые необходимы ему в дороге; пользователи отвечаютза подготовку своих документов к отключению от сети и за правильную423

Microsoft Windows Server 2003синхронизацию при обратном подключении в случае конфликта междуфайлами в их компьютере и на сервере.Функция Автономные файлы доступна в ОС семейства Windows 2000, всистемах Windows XP Professional и Windows Server 2003 она расширенанекоторыми интересными возможностями.ОС этого семейства должна быть установлена на клиентской стороне.Возможность автономного доступа к файлам не зависит от того, какаяоперационная система стоит на компьютере, который открыл сетевойдоступ к папке: там может быть как Windows 2000/XP/2003, так и однаиз ранних версий — Windows 9х/МЕ или Windows NT 4.0.Рассмотрим нашу сеть. Весьма вероятно, что функция Автономные файлынужна только некоторым из наших пользователей.1. Зарегистрируйтесь на РС001 как рядовой пользователь (например,Shop3).2. Создайте новый документ в папке «Мои документы» (его названиеи содержание не имеют значения).3. Завершите сеанс работы. Пока компьютер будет готовиться к выключению,обратите внимание на процесс синхронизации содержанияпапки «Мои документы».Этот процесс в целом понятен. Для всех пользователей нашей сети припомощи групповых политик папка «Мои документы» перенаправленана сервер, то есть в профиле пользователя хранится не содержание этойпапки, а только путь к ней. В отличие от Windows 2000, в Windows XPProfessional для всех перенаправленных папок по умолчанию настраиваетсярежим Автономные файлы. Это значит, что, несмотря на перенаправление,новый файл в папке «Мои документы» создается на локальномжестком диске и только при выключении компьютера или завершениисеанса пользователя содержимое этой папки будет синхронизировано насервер. В предыдущих версиях Windows новый файл в перенаправленнойпапке создавался прямо на сервере.Таким образом, хоть мы ничего не настраивали специально, все пользователи,у которых папка «Мои документы» перенаправлена на сервер,незаметно для себя пользуются функцией Автономные файлы.Разумеется, папка личных документов — не единственная из тех, к содержимомукоторых пользователям нужен автономный доступ в случаенедоступности сети. Другие очевидные кандидаты — это папки подразделенийв хранилище документов предприятия. Сейчас мы настроимавтономный режим и для этих папок.424

Глава 21. Временные подключения к сети. Использование портативных компьютеров21.1.3. Включение автономного режимана рабочей станцииТолько что мы убедились, что эта функция включена без каких-либо действийсо стороны пользователя. Но вам, как администратору, необходимознать, где именно она включается.1. Зарегистрируйтесь на РС001 как администратор.2. Запустите Проводник и выберите из строки меню команду Сервис-» Свойства папки.3. Перейдите на вкладку Автономные файлы. Автономный режимвключается флажком Использовать Автономные файлы. Если вывидите этот флажок деактивированным, значит, вы зарегистрировалисьпод именем рядового пользователя. Включить автономныйрежим имеет право только администратор. После этого этот режимбудет доступен всем пользователям данного компьютера.В клиентских операционных системах Windows XP Professional и Windows2000 автономный режим разрешен сразу после установки. В серверныхоперационных системах (Windows 2000 Server и Windows Server 2003)он, наоборот, запрещен. В конце концов, кто будет путешествовать ссервером?21.1.4. Настройка автономного режимаТребования пользователей к возможностям автономной работы различны.Одним необходим доступ ко всем файлам из папки, когда вздумается;другим достаточно иметь доступ только к некоторым файлам, но тожевсегда, а третьим достаточно доступа только к недавним документам(файлам, открывавшимся в последнее время). Это три разных вариантаавтономного режима, настройка которых входит в обязанности администраторасервера.Автономные файлы сразу же после открытия помещаются в кэш — частьдискового пространства, доступ к которой возможен в любом состояниисоединения с сетью. Файлы, находящиеся в кэше, не имеют собственногозначка, и автоматически удаляются из него, когда не хватает места на диске.В Windows Server 2003 имеются три варианта кэширования автономныхфайлов: автоматическое кэширование, ручное и запрет кэширования. Есликэширование для данной разделяемой папки запрещено, то пользователивообще не смогут получить автономный доступ к ее файлам.Автоматическое кэшированиеВ этом режиме в кэш помещается каждый открываемый пользователемфайл из сетевой папки. Размер кэша для автономных файлов на клиент-425

Microsoft Windows Server 2003ском компьютере зависит от емкости диска. Значение по умолчанию —10% от размера системного раздела. Отредактировать это значение можнона вкладке Автономные файлы окна свойств папок, и для этого нужныпривилегии администратора.Когда кэш заполнен, помещение в него новых файлов приводит к автоматическомуудалению старых. Отсюда следует, что этот режим непригодендля файлов, автономный доступ к которым требуется всегда.1. Зарегистрируйтесь на SRVR001 как администратор.2. Создайте папку С: \Automatic, а в ней текстовый файл. Откройтек этой папке сетевой доступ, оставив сетевое имя и права, предложенныепо умолчанию.3. Откройте окно свойств созданной папки и перейдите на вкладкуДоступ. Нажмите кнопку Кэширование и установите переключательв положение В автономном режиме будут доступны все файлыи программы из этой папки. Потом снимите флажок Оптимизироватьпо производительности и закройте диалоговое окно нажатиемкнопки ОК.4. Зарегистрируйтесь на РС001 как рядовой пользователь (например,Shop2).5. Проверьте, включен ли режим Автономные файлы.6. Откройте папку \\SRVR001\Automatic в Проводнике, после чего откройтеимеющийся в ней текстовый файл.7. В меню Проводника выберите команду Сервис —> Свойства папки,перейдите на вкладку Автономные файлы и нажмите кнопку Просмотр.Откроется окно папки автономных файлов, в котором выувидите свой текстовый файл.8. Закройте текстовый файл и убедитесь, что в папке автономныхфайлов он остался.Обычно на сервере хранятся приложения, нужные для работы многимпользователям (речь идет не о сетевом приложении, а об обычном,только запускаемом из общей папки). Тогда для папки с этим приложениемвыгодно будет настроить режим автоматического кэширования,оптимизированный по производительности. В этом случае при первомзапуске такого приложения его исполняемый файл помещается в кэш, иследующий запуск происходит из кэша на локальном компьютере.Таким образом снижается нагрузка на сеть и уменьшается время, затрачиваемоена второй и последующие запуски программы.Ручное кэшированиеВ этом режиме в кэш помещаются только специально запрошенные пользователемфайлы, то есть те, сохранение которых в памяти его интересует.426

Глава 21. Временные подключения к сети. Использование портативных компьютеровПри этом файл помещается в кэш в ходе синхронизации. Как и в предыдущемслучае, при нехватке места на диске файлы удаляются из кэшаавтоматически, но в данном режиме их можно удалять и вручную.Чтобы автономные файлы были доступны пользователю, отключенномуот сети, он должен перед отключением выполнить синхронизацию. Можнонастроить и регулярную синхронизацию — по умолчанию раз в час.Этот режим удобнее, чем предыдущий, поскольку при автоматическомкэшировании пользователю, чтобы обеспечить автономный доступ ко всейпапке, нужно перед отключением от сети открыть все документы в ней.1. Зарегистрируйтесь на SRVR001 как администратор.2. Откройте окно свойств папки С: \Automatic и перейдите на вкладкуДоступ. Нажмите кнопку Кэширование и установите переключательв положение В автономном режиме будут доступны только файлыи программы, указанные пользователем. Закройте диалоговое окнонажатием кнопки ОК.3. Создайте в папке С : \Automatic другой текстовый файл.4. Зарегистрируйтесь на РС001 как рядовой пользователь.5. Проверьте, включен ли режим Автономные файлы, и перейдите впапку \\SRVR001\Automatic.6. Откройте второй текстовый файл в этой папке.7. В меню Проводника выберите команду Сервис —> Свойства папки,перейдите на вкладку Автономные файлы и нажмите кнопку Просмотр.В папке автономных файлов вы не увидите второго текстовогофайла, потому что синхронизации еще не было.Режим ручного кэширования предъявляет к пользователям самые высокиетребования: они должны сами отмечать и синхронизировать нужныеим файлы. Преимуществом этого режима является то, что заказанныефайлы будут автономно доступны всегда.Синхронизация файлаСинхронизация файла производится следующим образом:1. Откройте папку \\SRVR001\Automatic.2. Щелкните правой кнопкой мыши по текстовому файлу, который выхотите синхронизировать, и из контекстного меню выберите командуСделать доступными автономно. Запустится Мастер автономныхфайлов. Нажмите Далее.3. В следующем окне установите флажок Автоматически синхронизироватьавтономные файлы при входе в систему и при выходе из нее.Нажмите Далее.4. В следующем окне оставьте настройки по умолчанию и завершитеработу Мастера нажатием кнопки Готово. Произойдет первая синхронизацияфайла.427

Microsoft Windows Server 20035. Обратите внимание на изменение значка файла (автономные файлы,синхронизированные вручную, отличаются иконкой от остальных).В меню Проводника выберите команду Сервис -» Свойства папки,перейдите на вкладку Автономные файлы и нажмите кнопку Просмотр.В папке автономных файлов вы увидите только что синхронизированныйфайл.В табл. 21.1 приведено соответствие названий вышеперечисленных режимовв операционных системах Windows 2000/XP и Windows Server 2003.Режимы кэширования Таблица 21.1Windows 2000/XPРучное кэшированиеАвтоматическое кэшированиеАвтоматическое кэшированиепрограмм и документовWindows Server 2003В автономном режиме будут доступны только файлы и программы,указанные пользователем (Only the files and programs that usersspecify will be available offline)8 автономном режиме будут доступны все файлы и программы изэтой папки (All files and programs that users open from the share willbe automatically available offline)To же + флажок Оптимизировать по производительности21.1.5. Настройка синхронизациис помощью групповых политикМетодика настройкиФункция Автономные файлы — очень полезное свойство систем Windows2000/ХР/2003, и рекомендуется использовать ее везде, где это можетпотребоваться. Недостатком ее является необходимость настройкина стороне пользователя, предъявляющая определенные требования кего квалификации. Для опытного пользователя не составляет трудностивручную синхронизировать нужные ему файлы, а для всех остальныхадминистратор домена может настроить автономный режим при помощигрупповых политик.Пользователям из разных подразделений нашего предприятия необходимообеспечить автономный доступ к папке их подразделения в хранилищедокументов предприятия. Тогда они смогут работать с документамисвоего отдела на своих портативных компьютерах.Политики управления автономными файлами находятся в обеих ветвяхобъекта групповой политики — ив Конфигурации компьютера, и в Конфигурациипользователя. В случае противоречия между ними приоритетимеют политики Конфигурации компьютера. Мы же будем настраиватьКонфигурацию пользователя, поскольку требования к автономным файламсоответствуют организационной структуре нашего предприятия.428

Глава 21. Временные подключения к сети. Использование портативных компьютеровРассмотрим настройку для отдела продаж.1. Зарегистрируйтесь на РС001 как администратор и запустите консольActive Directory — пользователи и компьютеры.2. Щелкните правой кнопкой мыши по контейнеру подразделенияShop и из контекстного меню выберите команду Свойства.3. Перейдите на вкладку Групповые политики и создайте новый объектгрупповой политики. Дайте ему имя Offline Files (Shop).4. В новом объекте раскройте ветвь Конфигурация пользователя\Административныешаблоны управления\Сеть\Автономные файлы.5. В правом окне консоли вы увидите политики, относящиеся к автономнымфайлам. Включите из них следующие:• Синхронизировать автономные файлы при входе в систему;• Синхронизация всех автономных файлов перед выходом из системы;• Синхронизировать автономные файлы перед приостановкой (изсписка Действие выберите «Полная»). Эта политика требуетсинхронизации перед переходом в спящий режим;• Административно назначенные автономные файлы (нажмитекнопку Показать и укажите путь \ \SRVR001 \Библиотеках Продажи).6. Зарегистрируйтесь на РС001 как пользователь из отдела продаж (например,Shopl). В ходе регистрации произойдет синхронизация файловиз подпапки «Продажи» хранилища документов предприятия.7. Запустите Проводник и в адресной строке введите путь \ \SRVR001 \Библиотеках Продажи. Обратите внимание на изменившиеся значкифайлов в папке «Продажи».8. Выберите из меню Проводника команду Сервис -> Свойства папки иперейдите на вкладку Автономные файлы. Теперь настройки на этойвкладке изменить нельзя, потому что они регулируются групповымиполитиками.Повторите описанную процедуру для всех подразделений, кроме дирекции.Имейте в виду, что эта функция предназначена в основном для пользователейпортативных компьютеров. Пользователи настольных компьютеровполучают к ней доступ только тогда, когда недоступен файловый сервер.Для пользователей из дирекции поступайте аналогичным образом, только вполитике Административно назначенные автономные файлы укажите путьХотя для каждого подразделения мы задали принудительную синхронизациютолько одной папки, это не означает, что будет синхронизироватьсятолько она. Каждый пользователь сможет самостоятельно добавить синхронизациюдругих папок или файлов. Групповая политика запрещает толькоотменять синхронизацию указанной папки.429

Microsoft Windows Server 2003Полная или частичная синхронизация?В ходе работы с синхронизированными папками вы можете встретитьсяс понятиями «быстрая» и «полная» синхронизация. Что означают этипонятия?При полной синхронизации происходит синхронизация всего содержимогопапки. Это означает, что в автономном режиме вам всегда будутдоступны текущие версии всех документов.Быстрая синхронизация синхронизирует только файлы, которые присутствуютна обеих сторонах (в локальной папке и на сервере), причемс момента последней синхронизации их содержимое стало различным.Другие файлы (например, новые) остаются нетронутыми. Быстрая синхронизацияпроисходит, когда на вкладке Автономные файлы снятыфлажки Синхронизировать.Поскольку применение только быстрой синхронизации может привести крассогласованию между содержимым кэша и сетевой папки, необходимовремя от времени выполнять полную синхронизацию. Для этого выберитеиз меню Проводника команду Сервис —> Синхронизировать. Отобразитсядиалоговое окно со значками всех папок, для которых возможна синхронизация.Выберите нужную и нажмите кнопку Синхронизация.Всегда полная синхронизация происходит, если на вкладке Автономныефайлы окна Свойства папки установлены флажки Синхронизировать.Того же эффекта можно добиться, включив групповые политики Синхронизироватьавтономные файлы при входе в систему и Синхронизациявсех автономных файлов перед выходом из системы.21.1.6. Размещение автономных файловРазмещение автономных файлов нельзя определить ни в одном диалоговомокне. Обычно эти файлы располагаются в скрытой папке%Systemroot%\Client Side Caching. Локальные копии документовнаходятся там в форме, непригодной для чтения, потому что вместе вними хранится служебная информация.Когда вы освобождаете место на диске, никогда не удаляйте файлы непосредственноиз этой папки! Прямое вмешательство в ее содержимоеможет привести к потере данных на файловом сервере.Удаление автономных файловЧтобы освободить место на диске, локальные копии сетевых файловможно удалить. Для этого поступайте следующим образом:430

Глава 21. Временные подключения к сети. Использование портативных компьютеров1. Из меню Проводника выберите команду Сервис -> Свойства папкии перейдите на вкладку Автономные файлы.2. Нажмите кнопку Удалить файлы. Отобразится диалоговое окноПодтверждение удаления файла.3. В списке папок оставьте отмеченными только те сетевые папки, копиифайлов из которых вы собираетесь удалить. Если в нижней частиокна вы поставите переключатель в положение Удалить только временныеавтономные файлы, то из кэша будут удалены только файлы,помещенные туда автоматически. Другое положение переключателяприведет к удалению всех файлов, в том числе синхронизированныхвручную.Иногда вышеописанным способом удалить локальные копии сетевыхфайлов не удается. В этом случае поможет переинициализация кэшаавтономных файлов: нажмите кнопку Удалить файлы при нажатой комбинацииклавиш Ctrl+Shift, после чего перезагрузите компьютер.Перемещение автономных файловИногда оказывается необходимо переместить кэш автономных файловна другой дисковый раздел того же компьютера (например, в целяхоптимизации использования места на диске). Перемещение папки%Systemroot%\Client Side Caching здесь не поможет.Следует воспользоваться утилитой Offline Files Cache Mover (cachemov.exe)из пакета Resource Kit для системы Windows 2000 Professional.21.1.7. Шифрование автономных файловРежим автономного доступа чаще всего используется на портативныхкомпьютерах — тех самых компьютерах, которые чаще всего воруют. Есливор доберется не только до личных документов хозяина компьютера, нои до документов предприятия, автоматически синхронизированных изсетевых папок, то ущерб может намного превзойти стоимость компьютера.Поэтому автономные файлы следует шифровать (эта возможностьдоступна только в Windows XP).Чтобы включить шифрование файлов, помещаемых в кэш, установитефлажок Шифровать автономные файлы для защиты данных на вкладкеАвтономные файлы окна Свойства папки.Дальнейшую информацию о шифровании файлов вы найдете в 22 главе,посвященной безопасности сервера и сети.431

Microsoft Windows Server 200321.1.8. Безопасность автономных файловЧто, если системный раздел на компьютере пользователя отформатированв файловой системе FAT32, не поддерживающей разрешений NTFS? Еслитакой пользователь синхронизирует файл, к которому он в сети предприятияимеет доступ только на чтение, отключится от сети и отредактируетего, то не сможет ли он таким образом изменить содержимое сетевогофайла в процессе обратной синхронизации?Нет, не сможет. В корпорации Microsoft об этом тоже подумали. Хоть локальнаякопия файла и будет помещена в раздел FAT32, пользователь несможет редактировать этот файл: функция Автономные файлы умеет работатьс исходными разрешениями, настроенными для сетевой папки.21.1.9. Разрешение конфликтовПри редактировании автономных файлов может возникнуть конфликтмежду содержимым локальной копии и содержимым оригинального файлана файловом сервере. В таблице 21.2 перечислены возможные конфликтыи способы их разрешения в процессе синхронизации.Разрешение конфликтов при синхронизации файлов Таблица 21.2КонфликтФайл на сервере изменен другимпользователемФайл на сервере удален другим пользователемАдминистратор изменил права доступак оригинальному файлу или папке насервереРезультатСинхронизация прерывается. Пользователю предоставляетсявозможность выбрать между своей версией файла,версией на сервере (своя в результате удаляется) илисохранить свою под другим именемСинхронизация прерывается. Пользователю предоставляетсявозможность выбрать между своей версией (файлкопируется на сервер) и версией на сервере (свой файлудаляется)Если новые права доступа ограничивают пользователясильнее, чем старые, то синхронизация прерывается, ипользователю показывают диалог авторизации, в которомон должен ввести регистрационные данные пользователя,имеющего необходимые полномочия. Если попытка авторизациине удалась, то синхронизации не произойдет21.1.10. Групповые политики,управляющие автономными файламиМы уже назвали несколько политик, управляющих синхронизацией автономныхфайлов. Напоминаю, что эти политики находятся в обеих ветвяхобъекта групповой политики, причем в случае конфликта приоритет отдаетсяполитикам в ветви Конфигурация компьютера.432

Глава 21. Временные подключения к сети. Использование портативных компьютеровПеречислим еще несколько важных политик (табл. 21.3). В столбце Ветвьбуква к обозначает ветвь Конфигурация компьютера, П — Конфигурацияпользователя.Политики, управляющие автономными файлами Таблица 21.3ПолитикаРазрешить или запретитьиспользование автономных файловЗапретить пользовательскуюнастройку автономных файловРазмер кэша по умолчаниюДействия при отключенииот сервераНестандартные действияпри отключении от сервераУдалить «Сделать доступнымиавтономно»Запретить использование папки«Автономные файлы»Некэшируемые файлыПри выходе из системыудалять локальную копиюавтономных файловСделать подпапки всегдадоступными в автономном режимеШифровать кэш автономных файловЗапретить применение «Сделатьдоступными автономно» для этихфайлов и папокНастроить скорость медленногоподключенияНазначениеСоответствует флажку Использоватьавтономные файлыОтключает вкладку Автономные файлыв окне Свойства папкиДоля места на диске, умноженная на 10000(например, 1000=10%)Определяет, перейдет ли клиент в автономныйрежим, то есть будут ли копии сетевых файловдоступны локальноНастройка действий при отключенииот конкретных серверовУдаляет эту команду из контекстных меню файлови папокОтключает кнопку Просмотр на вкладкеАвтономные файлыЗапрет кэширования файлов определенныхтипов. По умолчанию не кэшируются файлыс расширением SLM, MDB, LDB.MDW.MDE,PST и DBКэшированные файлы сохраняются толькона протяжении сеанса пользователя.При выходе из системы файлы удаляютсябез синхронизацииЕсли делается доступной папка, то и все ееподпапки тожеКэшируемые файлы автоматически шифруютсяЗапрещает делать доступными в автономномрежиме конкретные файлы и папкиКогда сетевое подключение считается медленным(по умолчанию меньше 64 Кбит/с), при обнаружениисервера в сети автоматического подключенияк нему не происходит с целью уменьшениятрафикаВетвьКк, пкк, пк, пк, пк, пккккк, пк21.2. Особенности применениягрупповых политик при подключениипо медленной линииВ 17 главе мы настраивали групповые политики, управляющие рабочейсредой на клиентских компьютерах и ограничивающие возможностипользователей по ее настройке. Пользователи портативных компьютеровобычно подключаются к сети предприятия по медленным линиям. Не433

Microsoft Windows Server 2003создаст ли в этом случае применение групповых политик избыточноготрафика?В 18 главе мы при помощи групповых политик установили в сети пакетMS Office, а в 20 главе установили пакеты обновления Service Pack. Будутли приложения или пакеты обновления устанавливаться автоматическина портативные компьютеры? Ведь при такой установке по сети передаетсянесколько мегабайт данных, что на медленной линии может занятьнесколько часов, а то и дней!Вопросов по этому поводу достаточно, хорошо бы знать правильныеответы на них, чтобы при применении технологий IntelliMirror не былосюрпризов.21.2.1. Что такое медленная линия?Пользователи мобильных устройств отличаются от остальных пользователейдомена прежде всего тем, что обычно они подключаются к сетинерегулярно и по медленной линии. Причем «недостаточная скоростьсвязи» для каждой конкретной задачи своя: так, скорости линии можетбыть достаточно для повседневной работы пользователя, но совершеннонедостаточно для установки по сети программного обеспечения.Разработчики Windows 2000 позаботились о пользователях портативныхкомпьютеров, разделив объект групповой политики на несколько частей.Если линия, по которой подключился пользователь, считается медленной,то ряд политик просто не применяется.Пороговое значение, при скорости ниже которого линия считаетсямедленной, настраивается через политики Обнаружение медленныхподключений для групповой политики в ветвях Административные шаблоны\Система\Групповаяполитика в обеих частях объекта групповойполитики. Значение, установленное в части Конфигурация компьютера,влияет на применение политик из этой части, а значение в части Конфигурацияпользователя — независимо от него влияет на политики всоответствующей части.Пороговое значение по умолчанию в обеих частях равно 500 Кбит/с.На медленной линии по умолчанию применяются следующие политики:• Настройка реестра (Административные шаблоны).• Параметры безопасности.• Политики восстановления EFS.• Политики безопасности протокола IP.434

Глава 21. Временные подключения к сети. Использование портативных компьютеровНаоборот, по умолчанию не применяются:• Установка программного обеспечения.• Сценарии.• Перенаправление папок.• Дисковые квоты.• Настройка Internet Explorer.Если поведение на медленной линии по умолчанию вас не устраивает,вы можете разрешить или запретить применение других политик. Этоделается установкой флажка Разрешить обработку через медленное сетевоеподключение, активирующегося при включении соответствующейполитики. Политики, для которых предусмотрена эта возможность, приведеныв таблице 21.4.Исключения из принципа обработки политик на медленных линиях Таблица 21.4ПолитикаОбработка политикинастройки InternetExplorerОбработка политикиустановки программОбработка политикиперенаправления папкиОбработка политикисценариевОбработка политикидисковой квотыРезультатПрименяются политики, определенные в ветвиКонфигурация пользователя\Конфигурация Windows\Настройка Internet ExplorerПрименяются политики, определенные в ветвяхКонфигурация компьютерах Конфигурация программи Конфигурация пользователя\Конфигурация программПрименяются политики, определенные в ветвиКонфигурация пользователя\Конфигурация Windows\Перенаправление папкиЗапускаются сценарии, определенные в ветвиКонфигурация пользователях Конфигурация Windows\CneHapnHПрименяются политики, определенные в ветвиКонфигурация компьютера\Административные шаблоны\Система\Дисковые квоты21.2.2. Как это повлияет на нашу сеть?До сих пор мы подключали новые компьютеры к нашему домену толькопо локальной сети. Это подключение считалось быстрым, и все нашигрупповые политики применялись.Пусть теперь одно из наших подразделений подключено к головномуофису линией со скоростью 128 Кбит/с. В этом подразделении собственногоконтроллера домена нет. Если пользователь приехал в этот отделсо своим ноутбуком и подключился к сети предприятия оттуда, то контроллердомена обнаружит, что подключение происходит по медленнойлинии, и применит групповые политики так, что:• Пользователю не будет предложено установить пакет MS Office (вглавном меню не появятся соответствующие значки).435

Microsoft Windows Server 2003• Папка «Мои документы» не будет перенаправлена на сервер, а станетчастью локального профиля.Нужно ли изменить пороговое значение, ниже которого линия считаетсямедленной (сейчас установлено 500 Кбит/с)? Нет. Рекомендуется никогдане устанавливать порог в точности равным номинальной пропускнойспособности линии: может случиться так, что в момент подключениякомпьютера скорость соединения окажется на самую чуточку больше,и контроллер домена мгновенно посчитает линию быстрой. В итоге онприменит все политики, и по медленной линии пойдут мегабайты данных.Для нашей линии 128 Кбит/с значение 500 Кбит/с представляет вполнедостаточный запас прочности.21.2.3. Что произойдет с профилями пользователей?Порог определения медленной линии используется также для определения,можно ли применять перемещаемые профили. Когда пользователь сперемещаемым профилем впервые регистрируется на некотором компьютере,весь его профиль копируется с сервера. Если компьютер подключенпо медленной линии, а профиль велик, то процесс копирования можетпродолжаться несколько часов. Поэтому на медленных линиях следуетотключить применение перемещаемых профилей.Сделать это можно через политику Таймаут для профилей пользователейдля медленных сетевых подключений в ветви Конфигурация компьютера\Административныешаблоны\Система\Профили пользователей.В окне настройки этой политики можно указать не только пороговоезначение скорости, но и время отклика. Это время применяется длясерверов, работающих не по протоколу TCP/IP.Если пользователь с перемещаемым профилем впервые регистрируетсяна компьютере, где применение перемещаемых профилей запрещено, тодля него создается локальный профиль, включающий локальную же папку«Мои документы». К своим документам на сервере он сможет получитьдоступ, только указав UNC-путь к «бывшей своей» сетевой папке, то естьтот путь, который он видел в окне свойств папки «Мои документы» приподключении по быстрой линии.Во избежание такой неприятности рекомендуется создать локальнуюкопию перемещаемого профиля, то есть впервые зарегистрироваться насвоем портативном компьютере тогда, когда он подключен по локальнойсети. Тогда же следует и установить по сети все нужные приложения.Не забудьте только отключить политику Удалять кэшированные копииперемещаемых профилей в ветви Конфигурация компьютера\Административныешаблоны\Система\Профили пользователей. Если эта политика436

Глава 21. Временные подключения к сети. Использование портативных компьютероввключена, то локальная копия будет удалена при завершении сеансаработы, и при подключении по медленной линии пользователь останетсябез профиля.При первой регистрации пользователя его регистрационные данные такжепомещаются в локальный кэш. Это обеспечивает возможность в дальнейшемрегистрироваться и тогда, когда контроллер домена недоступен.21.3. Настройка портативного компьютерав нашей сетиДопустим, что РС002 — это ноутбук. Его учетная запись находится вконтейнере Компьютеры. Кроме политик, общих для всех компьютеровдомена, мы собираемся применить к нему политики, специфичные дляпортативных компьютеров, поэтому переместим его учетную запись вконтейнер Портативные, который создадим внутри контейнера Компьютеры.На уровне организационной единицы Портативные создайте новыйобъект групповой политики и дайте ему имя, к примеру, Portable Computers.В этом объекте мы будем настраивать только политики в разделеКонфигурация компьютера, поскольку нам безразлично, кто именно изпользователей будет за данным компьютером работать удаленно.Включите следующие политики:В ветви Административные шаблоны\Сеть\Автономные файлы:• Разрешить или запретить использование автономных файлов;• Шифровать кэш автономных файлов.В ветви Административные шаблоны\Система\Группповая политика:• Обработка политики перенаправления папки (включите флажок Разрешитьобработку через медленное сетевое подключение).Отключите следующую политику:Административные шаблоны\Система\Профили пользователей\Удалятькэшированные копии перемещаемых профилей.21.4. ИтогиС точки зрения управления доменом группа пользователей портативныхкомпьютеров является особой и требует отдельного администрирования.437

Microsoft Windows Server 2003Основная особенность ее заключается в том, что эти пользователи подключенык сети не постоянно и чаще всего по медленным линиям.Пользователю, подключающемуся у сети предприятия издалека, тоженужен доступ к документам в общих папках на файловом сервере. Посколькуоткрывать эти папки вручную не всегда выгодно и возможно,следует настроить режим автономного доступа к этим папкам, автоматическисинхронизирующий состояние сетевых файлов с их локальнымикопиями при подключении и отключении от сети. Функция Автономныефайлы умеет сохранять разрешения NTFS, даже если кэширование производитсяв раздел FAT. Дополнительно защитить автономные файлыможно шифрованием кэша.К компьютерам, подключенным к сети по линии, считающейся медленной,во избежание лишнего трафика применяются не все групповые политики.По умолчанию пороговым значением скорости соединения является 500Кбит/с. В частности, по медленной линии отменяется автоматическаяустановка программного обеспечения и применение перемещаемогопрофиля. Чтобы пользователь портативного компьютера получил привычнуюрабочую среду (локальную копию профиля), он должен впервыезарегистрироваться на этом компьютере тогда, когда тот подключен ксети по быстрой линии.Состояние сетиМы настроили автономный доступ к общим папкам. Теперь каждыйпользователь сможет самостоятельно синхронизировать нужные емусетевые файлы. Кроме того, для каждого подразделения мы настроилипринудительную синхронизацию соответствующей подпапки в хранилищедокументов предприятия — на тот случай, если пользователи синхронизироватьфайлы не умеют.Все портативные компьютеры мы настроили для удаленной работы помедленным линиям, объединив их в отдельную организационную единицувнутри контейнера Компьютеры и создав для нее отдельный объектгрупповой политики.438

Безопасностьсервера и сети.Защита данныхЗадумаемся о безопасностиШифрующая файловая система EFSОбщий доступ к зашифрованномуфайлу (только Windows XP/2003)Защита зашифрованных файловВосстановление доступак зашифрованному файлуСтруктура зашифрованного файлаАгент восстановления данныхMICROSOFT WINDOWS SERYEFt 2003Практическое руководство по настройке сети

Слова «защита» или «безопасность» сегодня в области информационныхтехнологий повторяются очень часто. Удивляться не нужно. Учитывая,что разные области пользуются возможностями информационных технологийвсе больше и больше, данные приобретают все большую ценность.Каждый, кто владеет важными данными, хорошенько подумает, как сохранитьих и защитить.С другой стороны, нужно сказать, что ценность данных многие пользователи(а часто и администраторы) понимают только в тот момент, когдатеряют их. Как сохранить информацию, мы рассказали в главе 16. Намногохуже осознание того, что информацией пользуется кто-то другой.От таких вмешательств нужно защищаться днем и ночью.Очень мало пользователей, подключающихся к сети по обычному модему,понимает, что когда они просматривают веб-страницы, данные, передаваемыепо протоколу HTTP, никак не шифруются. Это касается и электроннойпочты, если пользователь сам не позаботится об использованиимодулей шифрования. Самое неприятное в этом то, что компьютер, черезмодем с Интернетом, становится доступным для других, и не нужно бытьхакером, чтобы получить доступ к некоторой информации. А почему быи нет, если сам пользователь фактически предлагает это сделать.Мы не можем себе этого позволить. Поэтому рассмотрим возможности,которые обеспечат высокую безопасность всей сети.22.1. Задумаемся о безопасностиБезопасны ли продукты Microsoft?Это смотря какие продукты. Если спросить, безопасны ли операционныесистемы Windows 2000/XP/2003 компании Microsoft, то ответ будет — да,эти продукты высоко надежны. Но при этом нужно добавить, что не всвоем исходном состоянии.440

Глава 22. Безопасность сервера и сети. Защита данныхПредставьте ситуацию, что вам нужно передать посредством электроннойпочты заказчику данные (имя и пароль) для подключения к торговойсистеме. Электронная почта в изначальном состоянии не защищена, иданные, отправленные с ее помощью, может прочитать любой администратор,имеющий доступ к серверу электронной почты.Так поступать не рекомендуется. Нужно представить себе, что можетслучиться в том случае, если отправленные данные получит совсем другойчеловек. Речь идет о потенциальном риске, и необходимо хорошопродумать, допустим ли он для вас.Какие же еще есть возможности передачи информации? Несколько безопаснеебудет отправление имени и пароля в двух отдельных сообщениях,или, например, отправление пароля другим способом (по факсу). Ещебезопаснее будет зашифровать сообщения электронной почты.Как видите, возможностей предостаточно. Если вы решите зашифроватьэлектронное письмо, вам нужно будет отправить ключ шифрования получателю.Если вы собираетесь защитить свои данные, то не думайте,что вам это удастся на 100%. Всегда найдется способ получить доступ кинформации. Иногда может получиться, что нежеланным «гостем» станетваш коллега — администратор, у которого есть такой же доступ ко всему,как и у вас. О максимальной защите информации можно говорить толькотогда, когда риск сведен к минимуму.Вернемся к защищенности операционных систем компании Microsoft. Всвое время системы Windows 2000 появились на рынке как совершенноновая разработка с широкими возможностями. И многие элементы, окоторых пользователи даже и не подозревают, устанавливаются автоматически.В результате на каждом сервере с системой Windows 2000Server устанавливался, например, веб-сервер. А если через некотороевремя в нем обнаруживалась ошибка, то возникала угроза безопасностисистемы.Система Windows Server 2003 в этом плане радикально отличается отWindows Server 2000.Еще до ее появления на рынке компания Microsoft выступила с лозунгом"Trustworthy Computing" («надежный компьютер»). Результатом явилосьто, что после инсталляции системы не работает ничего. Все, что администраторунеобходимо, он должен настроить сам, например, запретитьпри открытии сетевого доступа к папке предоставлять по умолчаниюразрешение «Полный доступ» группе «Все».Вместе с тем создатели системы Windows Server 2003 подумали о множествеадминистраторов и сделали настройки безопасности по умолчаниютакими, чтобы они подходили всем. Это привело к тому, что настройки поумолчанию не подходят никому. Ведь кто-то может использовать систе-441

Microsoft Windows Server 2003му Windows Server 2003 как файловый сервер, другие — как контроллердомена. И ясно, что в каждом случае будет необходима разная степеньзащиты и параметры безопасности будет необходимо настроить именнопод свои требования.Итак, операционные системы, с которыми мы работаем в этой книге, теоретическибезопасны, но чтобы они стали таковыми на практике, нужнопредпринять некоторые действия.От кого нужно защищаться?Не нужно думать, что сеть может подвергнуться нападению только извне.Обеспечение безопасности на уровне пользователей сети является такжеобязательным. Многие, отвечающие за безопасность, могут заметить, чтоэто не нужно, так как:• Все пользователи подписали соглашение о том, как будут использоватькомпьютер, и их противоправные действия будут поводом дляувольнения. Поэтому каждый думает о том, что он делает.• Серверы защищены, поскольку на них установлены все выпущенныеобновления Service Pack.Нужно, чтобы администраторы понимали следующее:• В любой момент в операционной системе может быть обнаружена«дырка», и любознательный пользователь может ею воспользоваться.Необязательно злонамеренно — просто по незнанию он может причинитьвред системе. Обновление Service Pack латает эти дыры, носамо по себе не может обеспечить защиту.• Далеко не всегда пользователи увольняются за «покушение» на сервер.Может случиться, что работника увольняют, как он считает, незаслуженно,и перед уходом он может так «отомстить».Ясно, что самая большая угроза для серверов — это пользователи изИнтернета. Но нельзя забывать и про внутренних пользователей.Защита данныхДанные, которые находятся в компьютере, можно разделить на более илименее важные. Как уже говорилось, часто ценность данных пользовательопределяет в тот момент, когда они пропадут. Еще большую ценностьприобретают те данные, которые не пропали, а попали в руки того, ктоне должен был иметь к ним доступ.Системы Windows 2000/XP/2003 относятся к группе защищенных систем.Это означает, что эти системы способны защитить данные в компьютеретак, чтобы к ним имел доступ только пользователь-владелец. Однако дляэтого нужно кое-что сделать.442

Глава 22. Безопасность сервера и сети. Защита данныхФайловая система и способы защитыПри инсталляции сервера (глава 1) и компьютеров пользователей (глава 2)мы без долгих размышлений выбрали файловую систему NTFS. Толькоэта система способна обеспечить безопасность данных, однако для этогонеобходимы определенные действия.Если решите форматировать жесткий диск в другой файловой системе(FAT или FAT32), его можно будет позже конвертировать в систему NTFS.Однако назад вернуться без потери данных уже нельзя.Единственной причиной для форматирования дисков в другой файловойсистеме, не NTFS, может быть наличие на компьютере альтернативнойоперационной системы (так называемая dual-boot или multi-boot конфигурация,система с двойной загрузкой), не поддерживающей NTFS.Основное преимущество NTFS — это возможность настройки разрешенийна доступ к ресурсам. Но этого не всегда достаточно. Представьте,что ваши данные украли вместе с компьютером. Не зная вашего имении пароля, злоумышленник не сможет зарегистрироваться, чтобы прочитатьэти данные, но никто не мешает ему извлечь ваш жесткий диски переставить его на свой компьютер, где он получит доступ ко всемвашим файлам.То же самое произойдет, если вы оставите включенный компьютер безприсмотра и злоумышленник будет иметь доступ на уровне вашей учетнойзаписи.Поскольку стопроцентно гарантировать физическую недоступностьваших данных для злоумышленника невозможно, следует найти способсделать так, чтобы он не смог их прочитать. За решением, к счастью, далекоходить не нужно — частью операционной системы, точнее файловойсистемы NTFS, является система шифрования.22.2. Шифрующая файловая система EFSШифрующая файловая система (Encrypting File System, EFS) являетсяодним из свойств системы NTFS в ОС Windows, начиная с Windows 2000.Шифровать можно отдельные файлы или целые папки. Если зашифроватьвсю папку, то, естественно, зашифруются и все содержащиеся в ней 0файлы.С точки зрения пользователей процесс шифрования происходит быстрои просто. Подробностей процесса (как и когда происходит шифровка ирасшифровка файлов) им знать не нужно. Боле того, сам процесс шифрованияостается для них незаметным: они даже не увидят разницы между443

Microsoft Windows Server 2003открытием в приложении зашифрованного файла и нешифрованного. Ксожалению, и здесь есть свои подводные камни. Проще говоря — какбыстро и без проблем можно зашифровать файл, так же быстро и легкоможно лишиться возможности его декодировать.Было бы замечательно, если бы пользователи знали принципы шифрования,используемые системой EFS, но их квалификация не всегда позволяетна это надеяться. Поэтому проще предположить, что пользователи этогознать не будут (и не нужно их винить в этом), а к неожиданностям придетсяготовиться администратору.Для начала немного теории.22.2.1. Принципы шифрованияЦелью шифрования является перенос важного документа адресату в тойформе, которую он будет способен расшифровать. Исходный файл необходимозашифровать так, чтобы расшифровать его смог только адресат.Для этого у адресата должен иметься ключ.На практике можно встретиться с двумя способами шифрования — симметричными асимметричным. Различаются эти способы использованиемключа.Симметричное шифрованиеЭтот способ характеризуется тем, что для шифровки и дешифровки данныхслужит один и тот же (симметричный) ключ. Проблема заключаетсяв том, как передать этот ключ адресату. Эта передача должна быть безопасной,так как кто угодно, получивший ключ в свое распоряжение,получит и доступ к зашифрованным файлам.Решите вопрос безопасной передачи ключа шифра. Телефонный разговор?Электронное письмо? Шифрование самого ключа? Вряд ли: все этиспособы известны и не дают необходимой гарантии безопасности.С другой стороны, если мы решили вопрос передачи ключа шифрования,у симметричной шифровки по простоте, быстроте и нагрузке на компьютернет конкурентов.Подведем итог — симметричная шифровка проста и быстра; единственнойпроблемой остается передача ключа шифрования.Асимметричное шифрованиеЭто способ шифрования при помощи пары ключей, один из которыхслужит только для шифровки данных, а другой только для расшифровки.444

Глава 22. Безопасность сервера и сети. Защита данныхКлючи в этой паре связаны математическим алгоритмом так, что ключот другой пары для расшифровки непригоден.Названия этих ключей подсказывают способ обращения с ними. Один изключей называется закрытым, то есть его нужно хранить как зеницу ока.Другой называется открытым, и его можно сообщать кому угодно.Процесс асимметричного шифрования сложнее симметричного, так какздесь фигурирует больше ключей. Кроме того, требуется больше местана жестком диске и весь процесс занимает больше времени.Комбинированное шифрованиеСравнивая два способа шифрования, сделаем вывод, что лучше всегоиспользовать симметричную шифровку, которая проще и быстрее, нонужно придумать механизм для передачи ключа. И именно для этойцели будем использовать асимметричную шифровку. Порядок действийбудет следующим:Как отправитель важного документа придумайте симметричный ключ,с помощью которого будете в дальнейшем шифровать документ (например,АВС123).Затем попросите адресата, чтобы отправил вам открытый ключ. Вы можетеего требовать, и партнеру нечего бояться.Открытый ключ адресата используйте для шифрования ключа, которыйвы перед этим придумали (симметричного). Результат отправьте адресату,например, по электронной почте (допустим, после шифровки получилосьXYZ567).Этот результат сможет правильно расшифровать только тот, кто владеетвторым из пары ключей. Понятно, что это может быть только адресат,который передал вам свой открытый ключ. Используя закрытый ключ,он откроет полученное сообщение и получит исходный ключ АВС12 3.Приведенный способ представляет собой безопасную передачу ключадля симметричного шифрования. Затем, когда обе стороны владеютсимметричным ключом, они могут перейти на симметричную шифровкуи обмениваться зашифрованными документами.Теории пока достаточно, перейдем к практике. Комбинация симметричнойи асимметричной шифровки используется и в системе EFS. Оченьважно понять, что возможность расшифровывать файл связана напрямуюне с учетной записью пользователя, а только с наличием необходимогоключа.Эта технология, впервые представленная в системе Windows 2000, уженесколько лет находится на рынке, и уже можно встретить жертв ее не-445

Microsoft Windows Server 2003осторожного применения. Представим, что на диске D: была примененафункция шифрования файлов. В один прекрасный момент пришлось переустановитьоперационную систему, установленную на диске С:. В итогедоступ к содержимому зашифрованных файлов тотчас был потерян.Чтобы не попасть в такую неприятную ситуацию или, точнее, чтобы втакую ситуацию не попали ваши пользователи, нужно знать, как работаетключ шифрования в системах Windows 2000 и Windows XP Professional и какиеесть возможности возобновления доступа к шифрованным файлам.Примечание.Шифрующая файловая система EFS не поддерживается в версии Windows XPHome Edition.22.2.3. Шифрование на практике,или первая встреча с EFSСогласно вышеприведенной информации, система EFS использует комбинациюдвух типов шифрования — симметричную и асимметричную.Таким образом, ясно, что будет необходимо иметь несколько ключей.Заботиться нужно только об асимметричных ключах: ключ для симметричнойшифровки генерируется операционной системой автоматическии пользователю (администратору) его вообще знать не нужно.Так как возможности шифрования файловой системы в системе WindowsXP Professional расширены по сравнению Windows 2000, некоторые изприведенных ниже сведений действительны в обеих операционных системах,а другие верны только в Windows XP Professional.22.2.4. Ключи и сертификатыВ связи с использованием пары ключей для асимметричной шифровкиможно столкнуться с понятием сертификат. Что это такое? В примеревыше были описаны действия по обмену ключами при помощи асимметричногошифрования. Все начинается с того, что адресат передаетотправителю свой открытый ключ.На это надо обратить внимание. Учитывая, что партнеры хотят обменятьсяважной информацией (используя ключ, которым потом можно будетрасшифровывать ваши файлы), нужно быть уверенным, что этот ключ выбудете шифровать открытым ключом, которым владеет «нужный» партнер.Поэтому нужно быть уверенным в том, от кого пришло это сообщение.Каждый, кто рассчитывает на ваше доверие, не будет посылать вамсвой открытый ключ просто так, а подпишет его в сертифицирующей446

Глава 22. Безопасность сервера и сети. Защита данныхорганизации (Certification authority, CA). Эта организация отвечает зато, что подписанный открытый ключ действительно принадлежит тому,чьи данные в этом ключе записаны.Если вы подписываете свой открытый ключ в сертифицирующей организации,вы получаете Сертификат. Сертификат — это не что иное, какподписанный открытый ключ.Всю эту область, которая занимается асимметричной шифровкой и сертификатами,называют инфраструктурой открытого ключа (Public KeyInfrastructure, PKI).В дополнение к основной информации и для упрощения представления ошифровании EFS нужно сказать, что получатель и отправитель в данномслучае меняются ролями.22.2.5. Первый зашифрованный файлМетодика шифрованияЧтобы не заполнять место лишними ключами и сертификатами, используемдля первой шифровки экспериментальную учетную запись пользователя,которую создадим специально для этой цели:1. Зарегистрируйтесь на РС001 как администратор и запустите оснасткуActive Directory — пользователи и компьютеры.2. В контейнере Users создайте экспериментальную учетную запись сименем ef suser.3. Зарегистрируйтесь на компьютере как пользователь ef suser.4. Запустите Проводник и создайте папку С • \EFSUSER. В ней создайтеновый текстовый файл. Запишите в него несколько слов и сохранитефайл.5. Откройте окно свойств этого файла и перейдите на вкладку Общие.6. Нажмите кнопку Дополнительно и затем в диалоговом окне Дополнительныеатрибуты установите флажок Шифровать содержимоедля защиты данных.7. Закройте диалоговые окна нажатием кнопки ОК.8. В диалоговом окне Предупреждение при шифровании выделите полеЗашифровать только файл и нажмите ОК.Теперь текстовый файл зашифрован. В этом вам легко убедиться какадминистратору компьютера:1. Зарегистрируйтесь на компьютере РС001 как администратор.2. Запустите Проводник и перейдите в папку С: \EFSUSER. Попытайтесьоткрыть зашифрованный файл (в Windows XP он отображается447

Microsoft Windows Server 2003зеленым цветом, в Windows 2000 цветного выделения нет). Вы увидитесообщение о том, что доступ к файлу закрыт.Таким образом, пользователь ef suser зашифровал собственный файл,скрыв его содержимое даже от администратора, по идее имеющего доступко всему. Если бы при шифровке отображалась вся информация (которуюему знать не обязательно), он бы увидел, что создалась пара ключей, которыепринимают участие в шифровке и расшифровке. Открытый ключбыл подписан, и ключи стали частью профиля пользователя.Теперь пользователь абсолютно спокоен, потому что уверен, что никтоне откроет его файл. Администратор не был бы так спокоен, так как весьпроцесс шифрования еще недостаточно надежен. Мы видели, что дажеадминистратор не сможет прочитать файл, а что скажет пользовательef suser, который зашифровал файл и теперь не может открыть? Можноли ему как-то помочь? Далее в этой главе мы расскажем о том, какиеизменения произошли в системе и что нужно сделать для обеспечениябезопасности последующего открытия зашифрованных файлов.Проверка существования ключей пользователяСоздание необходимых ключей для пользователя ef suser прошло незаметнона фоне процесса шифрования. Это происходит только в томслучае, когда еще не существует ни один ключ шифрования. Когдапользователь захочет зашифровать очередной файл, для этого будет использовануже готовый ключ. Где сохранен этот ключ и как можно егопросмотреть, мы сейчас узнаем.1. Зарегистрируйтесь на компьютере РС001 как пользователь ef suser.2. Запустите пустую консоль ММС.3. Выполните команду Консоль —» Добавить или удалить оснастку идобавьте оснастку Сертификаты.4. Разверните ветвь Сертификаты — текущий пользователь\Личные\Сертификаты и в правом окне консоли щелкните по сертификатуefsuser.В сертификате можно найти много полезной информации. На вкладке Составузнайте, когда именно сертификат был создан (поле Действителен с).Дата и время создания сертификата должны соответствовать временишифрования файла. Затем убедитесь, что сертификат действителен втечение 100 лет, и можете проверить открытый ключ.Кто создал сертификат? Иными словами, кто подписал открытый ключ?Это вы увидите на вкладке Путь сертификации.Здесь приведена единственная запись — efsuser — более того, обведенакрасным цветом. Речь идет о нестандартных ситуациях, когда448

Глава 22. Безопасность сервера и сети. Защита данныхСведения о сертификатеНет доверия к этому корневому сертификатуцентра сертификации. Чтобы включить доверие,установите зтот сертификат в хранилищедоверенным корневых сертификатов центровсертификации.Кому выдан:EFSUSERКем выдан:EFSUSERДействителен с 20.06.2005 по 27.05.2105Есть закрытый ключ, соответствующий этому сертификату.Рис. 22.1. Сертификат пользователя efsuserсертификат подписан «сам собой». Выделение красным цветом означает,что сертификат не заслуживает доверия, так как его не подписала ниодна сертификационная служба. Так ведут себя сертификаты корневыхсертификационных служб и сертификаты, созданные для особых целей(например, для файловой системы EFS). Остальные сертификаты бываютподписаны сертификационными службами — к этому мы еще придем.На вкладке Общие в нижней части указано «Есть закрытый ключ, соответствующийэтому сертификату». Это означает, что где-то на компьютерехранится закрытый ключ пользователя efsuser, который составляет парус его открытым ключом. «Где-то» в данном случае означает «в профилепользователя». Это важно, так как при попытке пользователя efsuserоткрыть зашифрованный файл он тут же откроется.22.3. Общий доступ к зашифрованномуфайлу (только Windows XP/2003)Обычно доступ к файлу имеет только пользователь, который его зашифровал.Однако система Windows XP Professional предлагает еще большиевозможности — сделать зашифрованный файл общим для доступа другихпользователей. В Windows 2000 это невозможно.15 Зак. 446 449

Microsoft Windows Server 20031. Зарегистрируйтесь на РС001 как пользователь efsuser.2. Откройте свойства зашифрованного файла. Затем на вкладке Общиенажмите кнопку Дополнительно и в диалоговом окне Дополнительныеатрибуты рядом с флажком шифрования нажмите кнопкуПодробно. Откроется диалоговое окно Подробности шифрования.3. В список Пользователи, которым разрешен доступ к этому файлупо умолчанию входит только тот пользователь, который зашифровалфайл. Только он может добавить других пользователей. Если вы хотитедобавить других пользователей, нажмите Добавить. Откроетсядиалоговое окно Выбор пользователя. Если на компьютере РС001ни один пользователь не шифровал файлов и не выполнял другихдействий, требующих сертификата, в этом окне будет отображентолько сертификат пользователя efsuser.4. Нажмите на Найти пользователя и в диалоговом окне Выбор: Пользовательнажмите кнопку Дополнительно. В открывшемся окненаберите, например, Shopl и нажмите Поиск.5. Щелкните ОК. Появится сообщение о том, что необходимый сертификатне был найден.Оказывается, разделить зашифрованный файл возможно только с темпользователем, у которого есть сертификат. Чтобы другой пользовательполучил свой сертификат, ему нужно зашифровать какой-нибудь файлна компьютере РС001.Требовать от другого пользователя, чтобы он зашифровал что попалодля того, чтобы мы смогли открыть ему доступ к действительно важнымзашифрованным данным, достаточно неудобно. Если бы можно былоиметь открытый ключ (сертификат) другого пользователя независимоот того, шифровал ли он что-нибудь на данном компьютере, то вы, каквладелец зашифрованного файла, не были бы связаны действиями другихпользователей и могли бы организовать общий доступ к этому файлуединолично.Это возможно, но в нашей сети мы настраивать такую возможность небудем, потому что для этого нужно установить сертификационную службуна компьютер под управлением ОС Windows Server 2003 Enterprise Edition,которой у нас в сети нет.Однако кое-что мы можем сделать. Сертификационная служба нашейоперационной системы, Windows Server 2003 Standard Edition, автоматическипубликует все открытые ключи в домене Active Directory. Toесть пользователь сможет передать свой зашифрованный файл другомупользователю, если тот уже шифровал что-либо на любом компьютередомена.450

Глава 22. Безопасность сервера и сети. Защита данныхТипы сертификационных служб в системе Windows 2000/2003Сертификационные службы в серверных операционных системах Windows2000/2003 можно разделить на две группы:• Сертификационная служба для больших сетей. Эта сертификационнаяслужба (в выпуске Enterprise CA) предназначенадля пользователей домена. Каждая сертификационная службаперед тем, как подписать открытый ключ, проверяет пользователя.Так как сертификационной службе больших сетейдля проверки пользователя достаточно наличия его доменнойучетной записи, эта служба создает сертификат автоматически.Для наших целей — автоматического создания сертификата при попыткешифрования — этот тип сертификационной службы являетсяне просто оптимальным, а единственно возможным.• Самостоятельная сертификационная служба. Эта сертификационнаяслужба способна создать сертификат (подписать открытый ключ) какпользователям домена, так и пользователям, не входящим в домен. Вэтом случае нет возможности автоматически создавать сертификаты,потому что пользователь должен подтвердить свою личность вручную.Это могут сделать только авторизованные пользователи, которые и несутответственность за достоверность данных, указанных в сертификате.Для нашей цели этот тип службы непригоден, но на практике он используетсячаще всего. Именно таким способом рядовой пользовательполучает так называемый самоподписанный сертификат.Сертификационные службы можно объединять в иерархические структуры,и на практике с этим можно встретиться. Этому соответствуютатрибуты сертификационных служб — корневая и подчиненная. Если выхотите установить подчиненную сертификационную службу, нужно «приобрести»сертификат, подписанный корневой службой. Корневая службаподпишет открытый ключ сама — иначе это не будет корневая служба.Итог — нашим требованиям подходит Корневой сертификат для большойсети.Установка сертификационной службыУстановка сертификационной службы может существенно повлиять наработу сети, тем более, если речь идет о корневой службе. Ее настройка,которая происходит во время установки, так же повлияет на все имеющиесясертификаты. Если вы не уверены в значении отдельных настроек,лучше прервать процесс установки и посмотреть описание.1. Зарегистрируйтесь на компьютере SRVR001 как администратор.2. Запустите апплет Установка и удаление программ и выберите задачуУстановка компонентов Windows.451

Microsoft Windows Server 20033. В диалоговом окне Установка компонентов Windows отметьте флажкомСертификационная служба (Certificate Services). Отобразитсясообщение о том, что после установки этого компонента нельзябудет изменить имя компьютера и его членство в домене. НажмитеДа и затем Далее.4. В диалоговом окне Тип ЦС выделите окошко Корневой ЦС предприятияи нажмите Далее.5. В диалоговом окне Сведения о центре сертификации в поле Общееимя для этого ЦС введите имя сертификационного центра (например,Study CA). В названии не используйте символов кириллицы,иначе вы можете вызвать несовместимость сертификатов с некоторыми(старыми) приложениями. В части Срок действия задайтезначение 5 лет. Продолжите нажатием кнопки Далее. Будет созданапара ключей для этой службы.6. В диалоговом окне Параметры базы данных сертификатов сохранитеисходные пути к базе данных сертификатов и протоколу и нажмитеДалее. Начнется установка сертификационной службы, в ходекоторой у вас потребуют вставить инсталляционный компакт-дискWindows Server 2003.7. Завершите работу Мастера установки нажатием кнопки Готово.Компьютер не требует перезагрузки.Примечание.Получить сертификат у сертификационной службы можно также с помощью веббраузера.В таком случае на компьютере должен быть установлен сервер IIS. Еслиего нет (как у нас сейчас), во время установки сертификационной службы появитсяпредупреждающее сообщение.Мастер компонентов windowsТипЦСВыберите нужный тип устанавливаемого ЦС.& [кормееои ЦСг^ецприягнд • .СfПодчиненный ЦС предгриятияЙзоячрованньй корневой ЦСС" Изадированный подчиненный ЦС •1г Описание тиги UC " "" : •" • ~ •I Наиболее доверенный ЦС на предприятии; Он должен быть установленI • ранее всех других UC • :Г" Измененные параметры создания пары ключей и сертификата НС< Назад I Далее > ] Отмена СправкаРис. 22.2. Выбор типа сертификационной службы452

Глава 22. Безопасность сервера и сети. Защита данныхМастер компонентов WindowsСведения о центре сертификацииВведите сведения об этом центре сертификации. Qdmee имя для этого UDразличающегося имени:DC=study.DC»localПросмотр различающегося имени:Срок действияИстекает;20.0S. 201020:35Рис. 22.3. Задание основных параметров сертификационной службыОткрытие доступа к зашифрованному файлуОткрытие доступа к зашифрованному файлу производится следующимобразом:1. Зарегистрируйтесь на РС001 как пользователь ef suser.2. Откройте свойства зашифрованного файла. Затем на вкладке Общиенажмите кнопку Дополнительно и в диалоговом окне Дополнительныеатрибуты около атрибутов шифрования нажмите кнопкуПодробно. Откроется диалоговое окно Подробности шифрования.В части Пользователи, которым разрешен доступ к этому файлуобычно указан только пользователь, который зашифровал файл.Только он может добавить следующего пользователя.3. Нажмите кнопку Добавить. В диалоговом окне Выбрать пользователянажмите Найти пользователя и наберите в поле поискаiTManagerl. Щелкните на Проверить имена, чтобы начать поискпользователя ITManagerl.4. Выделите сертификат пользователя ITManagerl и нажмите ОК.Сертификат будет внесен в список, и пользователь ITManagerl получитдоступ к файлу.Если вы будете пользоваться возможностью предоставления доступа посети к зашифрованным файлам на практике, помните, что каждый пользователь,у которого есть доступ к зашифрованному файлу, может удалитьвас из списка пользователей, имеющих доступ к этому файлу.453

Microsoft Windows Server 2003У этого способа есть один минус — чтобы добавить в список доступаследующего пользователя, вы должны иметь его сертификат. Его можнополучить из компьютера, на котором есть профиль данного пользователя,или из домена Active Directory. Но чтобы сертификат открылся, пользовательсначала должен зашифровать какой-нибудь файл.Следующий способ делает так, что сертификаты в Active Directory сохраняютсяавтоматически. Для его функционирования вам понадобитсяследующее:• Домен Active Directory под управлением Windows Server 2003.• Шаблон сертификата EFS с разрешенной автоматической записью.• Сертификационная служба для больших сетей системы Windows Server2003 Enterprise Edition.• Настроенный объект групповой политики для автоматической записисертификата пользователями.• Компьютер пользователя с системой Windows XP Professional.Хотя мы и предполагаем, что у нас версия операционной системы WindowsServer 2003 Standard Edition, все же давайте рассмотрим, хотя бытеоретически, действия для автоматического размещения сертификатовв Active Directory.Действия будут следующие:• Установка сертификационной службы большой сети — это мы ужепроделали выше.• Настройка сертификационной службы — состоит из создания и настройкишаблона сертификата.• Настройка объекта групповой политики для автоматической записисертификата.Настройка сертификационной службыУстановленная нами сертификационная система способна создать любойсертификат для любого члена домена — не только пользователя, но и, например,компьютера или службы. Ее возможности очень обширны, но мыбудем их использовать в достаточно малой степени. Сертификационнуюслужбу настроим таким образом, что она будет создавать сертификатытолько для системы EFS и делать это автоматически.Настройка шаблона сертификата:4541. Зарегистрируйтесь на SRVR001 как администратор.2. Откройте пустую консоль ММС и добавьте оснастку Шаблоны сертификатов.3. Раскройте контейнер Шаблоны сертификатов и в правом окне консолиубедитесь, что у шаблона Базовое шифрование EFS в столбце

1Глава 22. Безопасность сервера и сети. Защита данных"рп Консоль! - [Корень коншлиЧШблоны сер1ификаюв]• •'$} Консоль Действие Вид Избранное • Qfina Справка •••• .о •* j т\Ш Ш М Ш £ 2 ^ : : : : л:шШШ2 Корень консоли1 .•- Щ Шаблоны сертификатов ЗаАгент восстановления ключейздАгент подачи заявокЗ^Дгент подачи заявок (компьютер)ЩАгент подачи заявок Exchange (автономн...3Jj| АдминистраторWidows Server 2003 лEn,.,Windows 2000Whdows 2000Windows 2000Windows 2000j P?f.aw105.04.15.14.14.1,РазрешеноHe разрешеноHe разрешеноHe разрешеноHe разрешено

Microsoft Windows Server 2003Свойства нового шаблонеТребования выдачи ] Вытесняемые шаблоны { Расширения } БезопасностьОбщие | Обработка запроса | Имя субъекта:Дтобрйжаемое имя шаблона:^Автоматическая запись сертификатов для (EFSМинимально поддерживаемые ЦС;Windows Server 2003, Enterprise EditionПосле применения изменений, сделанный на этой вкладке,из!4енить имя шаблона будет невозможно.имя шаблона: . .[АвтоматическаязаписьсертиФИкато&йЛяЕРЗ. Период действия: Период обновления:6 (недель JJM; р" Опубликовать сертификат в AГ~ Hg использовать автоматическую перезаявку, если такойсертификат уже существует в Active DirectoryПрименитьРис. 22.5. Окно свойств шаблонадля автоматической записи сертификатов, вкладка ОбщиеСвойства нового шаблонаТребования выдачи j Вытесняемые шаблоны | Расширения] Безопасность;: ОбщиеОбработка запроса • : | ИмяЬ^ьектаГ" Арйивироеать закрыть^ ключ субъектаГ7 Включить симметричные алгоритмы разрешенные субъектомГ~ !д М) с ( ( ] • ••'.: -,I:;AS ц-мр.&' Минимальнъ(й раэ-iep ключа'' J1024_^jW разрешить экспортировать закрытый ключПри подаче ззяек и для субъекта и использовании закрытого ключаего сертификата следует;:•••••,„•(* Цсздавать заяви у для субъекта, не требуя ввода данные*"*" Допрашивать пользователя во время подачи заявки>- ^прашивать пользователя и требовать ответа прииспользовании закрытого ключа .Для Настройки списка поставщиков службкриптографии (CSPJ нажмите кнопку -"Посташщики",Поставщики..РИС. 22.6. Окно свойств шаблона для автоматической записисертификатов, вкладка Обработка запроса456

Глава 22. Безопасность сервера и сети. Защита данныхСвойства нового шаблонаОбщие . | Обработка запроса | Имя субъекта j.Требования выдачи \ Вытесняемые шаблоны} Расширения ..Безопасносп£рдппы или пользователи:63AuthenticatedUsersЙ2 Domain Admins (STUDY\Domain Admins)fJ3 Domain Users (STUDYSDomain Users)63 Enterprise Admins (STUDYVEnterprise Admins)Добавить,.,^азрешенмядля а Ь. сПолный доступЧтениеЗаписьЗаявкаАвтоматическая подача заявокРазрешить Запретить•ш 0• •D •D•DЧтобы задать особые разрешения илипараметры, нажмите эту кнопку;.".'.Дополнительно IОК Отмена ПрименитьРис. 22.7. Окно свойств шаблона для автоматическойзаписи сертификатов, вкладка БезопасностьНастройка групповой политики1. Зарегистрируйтесь на РС001 как администратор и запустите консольActive Directory — пользователи и компьютеры.2. На уровне домена создайте новый объект групповой политики сименем «Автоматическая запись сертификатов EFS».3. В новом объекте раскройте ветвь Конфигурация пользователя\КонфигурацияWindows\IIapaMeTpbi безопасности\Политики открытогоключа.4. Щелкните по политике Параметры автоматической подачи заявоки в диалоговом окне Параметры установите флажки Подавать заявкина сертификаты автоматически, Обновлять сертификаты систекшим сроком действия... и Обновлять сертификаты на основешаблонов сертификатов.5. Закройте все диалоговые окна.Теперь необходимо добавить этот шаблон к шаблонам центра сертификации.Это можно сделать только с помощью утилиты Сертификационныйцентр, из сертификационной службы системы Windows Server 2003, EnterpriseEdition. Следующее действие в нашей учебной сети осуществитьнельзя:1. Зарегистрируйтесь на компьютере с системой Windows Server 2003,Enterprise Edition как администратор.457

Microsoft Windows Server 20032. Запустите утилиту Сертификационный центр.3. Щелкните правой кнопкой мыши по пункту Шаблоны сертификатови из контекстного меню выберите команду Создать —> Выдаваемыйшаблон сертификата.4. В диалоговом окне Включение шаблонов сертификатов выберитесозданный шаблон и нажмите ОК.Все остальное теперь зависит от используемых технологий. В ходе применениягрупповых политик будет подана автоматическая заявка на сертификат,она будет утверждена и опубликована в домене Active Directory.22.4. Защита зашифрованных файловТри возможности, рассмотренные выше, различаются способом созданияи записи сертификата. Сертификат — это подписанный открытый ключ,а открытый ключ — средство, необходимое для шифрования файла.Если для шифрования применяется открытый ключ пользователя, то дляпоследующего дешифрования (которое невидимым образом протекает назаднем плане при любых манипуляциях с файлом) применяется закрытыйключ пользователя.Где хранится закрытый ключ пользователя? Это вопрос, который требуетпонимания процессов шифрования и дешифрования. Закрытый ключпользователя является неотъемлемой частью его профиля.Это означает следующее:• Если пользователь лишится профиля, то он потеряет также свой закрытыйключ.• Для пользователя с локальным профилем на каждом компьютере, гдеон шифрует данные, создается отдельный закрытый ключ.• Если пользователь копирует зашифрованный файл на другой компьютерс файловой системой NTFS, в компьютере назначения будетсоздан его профиль с закрытым ключом.Давайте посмотрим, какие последствия на практике может иметь потерязакрытого ключа. Прежде чем удалить закрытый ключ, архивируем его:4581. Зарегистрируйтесь на компьютере РС001 как пользователь ef suser.2. Откройте пустую консоль ММС и добавьте в нее оснастку Сертификатыдля своей учетной записи.3. Раскройте ветвь Сертификаты — текущий пользователь\Личные\Сертификаты. В правом подокне консоли щелкните правой кнопкоймыши по сертификату ef suser, у которого в столбце Кем выданстоит также значение ef suser, и из контекстного меню выберите

Глава 22. Безопасность сервера и сети. Защита данныхкоманду Все задачи —» Экспорт. Запустится Мастер экспорта сертификатов.Нажмите Далее.4. В диалоговом окне Экспортирование закрытого ключа поставьтефлажок в поле Да, экспортировать закрытый ключ и нажмите Далее.Переключатель Экспортирование закрытого ключа становится активнымтолько в случае, если вы являетесь собственником закрытогоключа. В противном случае он будет серого цвета.5. В диалоговом окне Формат экспортируемого файла оставьте предложенныезначения и нажмите Далее.6. В диалоговом окне Пароль введите и подтвердите пароль для защитызакрытого ключа и продолжайте нажатием Далее.7. В диалоговом окне Имя файла экспорта укажите путь к папке, гдевы хотите сохранить свой закрытый ключ (например, С: \ef suser\key). Нажмите Далее.8. В диалоговом окне Завершение мастера экспорта сертификатов просмотритеуказанную информацию и нажмите Готово. Отобразитсясообщение об успешном завершении экспорта.Нужно отметить, что теперь экспортированный закрытый ключ находитсяв таком месте, до которого злоумышленнику добраться значительно проще,чем до профиля пользователя. Реальный ключ следует тут же записатьна компакт-диск, спрятать диск в сейф и удалить файл с компьютера.Теперь попробуем получить доступ к зашифрованному файлу:1. Если вы зарегистрированы на компьютере РС001 как пользовательef suser, убедитесь, что у вас нет проблем с открытием зашифрованногофайла.2. Перерегистрируйтесь на компьютере РС001 как администратор.3. Правой кнопкой мыши щелкните по значку Мой компьютер и откройтеего свойства. Затем на вкладке Дополнительно в секцииПрофили пользователей нажмите кнопку Параметры.4. В диалоговом окне Профили пользователей выберите профиль пользователяSTUDY\ef suser и нажмите кнопку Удалить. Подтвердитеудаление нажатием кнопки Да.5. Снова перерегистрируйтесь как пользователь ef suser. Регистрациязаймет некоторое время, так как создается новый профиль пользователя.6. Попробуйте открыть собственный зашифрованный файл в папкеС: \efsuser. Естественно, у вас это не получится и появится сообщениеоб ошибке «Отказано в доступе».Это доказательство того, что:• Для расшифровки файла вам нужен ваш закрытый ключ.• Закрытый ключ является частью профиля пользователя.459

Microsoft Windows Server 2003Какие же есть возможности доступа к зашифрованному файлу? Еслизакрытый ключ пользователя ef suser хранится где-то в сейфе, то достаточнобудет импортировать его обратно в профиль. Если же закрытыйключ пропал совсем, то восстановить доступ будет значительно труднее:придется воспользоваться так называемым Агентом восстановленияключей.22.5. Восстановление доступак зашифрованному файлу1. Зарегистрируйтесь на компьютере РС001 как пользователь ef suser.2. Запустите консоль ММС и добавьте к ней оснастку Сертификаты.3. Раскройте ветвь Сертификаты — текущий пользователь\Личные.Убедитесь, что здесь нет ни одного сертификата (так как профильef suser создан только что).4. В правом окне консоли щелкните правой кнопкой мыши и из контекстногоменю выберите команду Все задачи —> Импорт. ЗапуститсяМастер импорта сертификатов. Нажмите Далее.5. В диалоговом окне Импортируемый файл нажмите кнопку Обзор инайдите файл KEY . PFX (ЭТО КЛЮЧ, экспортированный в предыдущемпараграфе). Нажмите Далее.6. В диалоговом окне Пароль введите пароль, который вы использовалипри экспорте ключа и отметьте Пометить этот ключ как экспортируемый...,нажмите Далее.7. В диалоговом окне Хранилище сертификатов оставьте предложенныезначения и нажмите Далее.8. В диалоговом окне Завершение мастера импорта сертификатов нажмитеГотово. Отобразится сообщение об успешном выполненииимпорта.9. В окне консоли теперь вы снова увидите собственный сертификатдля шифрования.10. Попробуйте открыть зашифрованный файл. Теперь это вам удастся.Мы видим, что получить доступ к зашифрованным файлам несложно.Чтобы не столкнуться с проблемами доступа к зашифрованным файлам,достаточно заранее экспортировать свой закрытый ключ.Проблема в том, что спасение своих файлов требует от пользователейнекоторой квалификации, на которую вы, как администратор, рассчитыватьне можете. Вам придется самому экспортировать закрытые ключипользователей при помощи Агента восстановления.460

Глава 22. Безопасность сервера и сети. Защита данных22.6. Структура зашифрованного файлаДля правильного понимания принципа действий необходимо знать, чтопроисходит «внутри» при шифровании и расшифровывании файла:1. Пользователь (например, efsuser) отдает команду зашифроватьфайл.2. Система Windows XP Professional генерирует случайный ключ (FEK,File Encryption Key), которым зашифрует содержимое файла.3. Система берет открытый ключ пользователя, шифрует им ключFEK и результат сохраняет в поле расшифровки данных (DDF, DataDecryption Field).4. Далее система берет общий ключ Агента восстановления данных,шифрует им ключ FEK и результат сохраняет в поле восстановленияданных (DRF, Data Recovery Field).5. Эти действия повторяются для всех Агентов восстановления данных.6. Система закрывает файл и сохраняет его на диске.Возможно, вас удивила информация о том, что при помощи открытогоключа шифруется ключ FEK вместо содержимого файла. Это логично,так как в противном случае к файлу не смог бы получить доступ никто,кроме пользователя, который его зашифровал. Все бы работало, но толькодо потери закрытого ключа пользователя.Ключ FEK, зашифрованный открытымключом пользователя 1Ключ FEK, зашифрованный открытымключом пользователя 2Ключ FEK, зашифрованный открытымключом Агента восстановления 1Ключ FEK, зашифрованный открытымключом Агента восстановления 2Поле расшифровкиданныхПопе восстановленияданныхСодержимое файла, зашифрованноеключом FEKРис. 22.8. Структура зашифрованного файла461

Microsoft Windows Server 2003Если пользователю нужно открыть файл, он использует закрытый ключ,расшифрует с его помощью ключ FEK, которым затем расшифрует файл.22.7. Агент восстановления данныхАгент восстановления данных в исходной установке один на весь домен.1. Зарегистрируйтесь на РС001 как пользователь ef suser.2. Откройте свойства зашифрованного файла, нажмите кнопку Дополнительнои в диалоговом окне Дополнительные атрибуты нажмитеПодробно. Отобразится сообщение о том, какие ключи являютсячастью поля расшифровывания данных (верхняя часть) и поля восстановленияданных (нижняя часть).3. В нижней части диалогового окна приведен сертификат Агента восстановленияданных. Запомните его так называемый отпечаток.Агент восстановления данных автоматически пропишется в каждый зашифрованныйфайл, как этого требует объект групповой политики поумолчанию.Поиск Агента восстановления1. Зарегистрируйтесь на РС001 как администратор и запустите консольActive Directory — пользователи и компьютеры.2. Откройте объект групповой политики по имени «Default DomainPolicy».3. Раскройте ветвь Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики открытого ключа\Файловая системаEFS и в правом подокне щелкните на открытый сертификат.4. На вкладке Состав сравните отпечаток с отпечатком из предыдущегопримера. Они должны быть одинаковыми, так как речь идет ободном сертификате.Сертификат Агента восстановления данных не вызывает доверия, таккак подписан сам собой. Это понятно, потому что его определение происходитво время установки домена, когда в сети еще не установленасертификационная служба. Поскольку сертификат служит только длявосстановления файлов, недоверие к нему не важно.Закрытый ключ Агента восстановления данныхАгент восстановления данных является последним средством, к которомупользователи могут в случае необходимости обратиться. Чтобы быловозможно расшифровать файл пользователя, необходим закрытый ключ.462

Глава 22. Безопасность сервера и сети. Защита данныхОбщие Состав | Путь сертификации |Показать: :|П. кЕЁ ПоставщикЦ Действителен сЦ Действителен поЭсубъект^Открытый ключйЦ Улучшенный ключEFS File Encryption Certificate.,.24 марта 2005 г. 2:49:1523 марта 2008 г. 2:49:15EFSFile Encryption Certificate...RSA (1024 Bits)Восстановление файлов (1.3,.17 ba 6d e6 it £a fd 23 dl 85 ?t 51 cc Ob SdaO df 90 03 14Свойства.,. I Копировать в файл.,, jРис. 22.9. Сертификат Агента восстановления данных и его отпечатокПоэтому очень важно как можно раньше провести экспорт закрытогоключа, так как в противном случае Агент восстановления данных можетбыть похоронным агентом.Закрытый ключ Агента восстановления данных хранится в профиле администраторана первом из установленных контроллеров домена, и большенигде. Чтобы обезопасить этот ключ от несанкционированного доступа,настоятельно рекомендуется экспортировать его на съемный носитель истереть из компьютера.Экспорт ключа — это понятно. Зачем, однако, удалять ключ из компьютера?Для этого есть две причины.Первая причина — это обеспечение конфиденциальности данных пользователей.Если оставить ключ Агента восстановления данных на компьютере,его может найти любой администратор домена и просмотретьс его помощью любой зашифрованный файл в домене.Другой причиной является безопасность самого ключа. Если ключ хранитсятолько в сейфе, злоумышленнику будет труднее до него добраться.463

•Microsoft Windows Server 2003Экспорт и удаление закрытого ключа Агента восстановления данныхЭкспорт и удаление закрытого ключа Агента восстановления данныхпроизводится следующим образом:1. Зарегистрируйтесь на SRVR001 как администратор и запуститепустую консоль ММС.2. В консоль ММС добавьте оснастку Сертификаты своей собственнойучетной записи и в раскройте ветвь Сертификаты — текущий пользователь\Личные\Сертификаты.В правом окне консоли появитсясертификат Агента восстановления данных. Если в правом окнесертификатов несколько, будем работать с тем, у которого в столбцеНазначения есть Восстановление файла.3. Правой кнопкой мыши щелкните по сертификату и из контекстногоменю выберите команду Все задачи —> Экспорт. Запустится Мастерэкспорта сертификатов. Нажмите Далее.4. В диалоговом окне Экспортирование закрытого ключа поставьтефлажок в поле Да, экспортировать закрытый ключ и нажмитеДалее.5. В диалоговом окне Формат экспортируемого файла оставьте предложенныезначения и установите флажок Удалить закрытый ключпосле успешного экспорта. Продолжайте нажатием Далее.6. В диалоговом окне Пароль введите и подтвердите пароль. Затемщелкните на Далее.9. В диалоговом окне Имя файла экспорта укажите путь к папке, гдевы хотите сохранить свой закрытый ключ (например, с : \RA), И ИМЯфайла (например, RA . PFX). Затем нажмите Далее.Частер экспорта сертификатовФормат экспортируемого файла •.:•:•..•Сертификаты могут быть экспортированы в различных форматах,Выберите формат файла сертификата;Г ф.,,\ш a ;••; : . ,. (ХОДС Файлы в На*ЕН)С ааиаам г ., - сергифиигы РКС5 #f (,p7l)j; . . : ;Г" gjOToWb m етомояности ВСЕ сертифжзты Е путь серт.*вд>та •(*" Файл обмена личной информацией - PKCS #12 (.PFX)Г" Вкгщчить по возможности все сертификаты в путь сертификата!7 Включить усиленную защиту (требуется IE 5.0, NT 4.0 SP4 или выше)< Цазад 1 Далее > I ОтменаРис. 22.10. Диалоговое окно Формат экспортируемогофайла464

Глава 22. Безопасность сервера и сети. Защита данных7. В диалоговом окне Завершение мастера экспорта сертификатов просмотритеуказанную информацию и нажмите Готово. Отобразитсясообщение об успешном завершении экспорта.8. Файл RA. PFX скопируйте на дискету (а еще лучше — на компактдиск)и удалите из компьютера (в том числе и из Корзины). Диск илисток с паролем, защищающим закрытый ключ, положите в конверт,запечатайте и спрячьте в сейф.Порядок восстановления зашифрованных данныхЕсли пользователь лишится закрытого ключа и таким образом потеряетдоступ к зашифрованному файлу, он попросит вас о помощи. В такомслучае действуйте следующим образом:1. Достаньте из сейфа закрытый ключ Агента восстановления данныхи запишитесь в журнале безопасности.2. На компьютере пользователя зарегистрируйтесь как администратор.3. Запустите консоль ММС и добавьте в нее оснастку Сертификатысвоей учетной записи. В сертификат импортируйте закрытый ключАгента восстановления данных.4. Теперь перейдите к свойствам зашифрованного файла и снимитеатрибут шифровки.5. При помощи консоли сертификата проведите экспортирование закрытогоключа и последующее удаление из компьютера.6. Диск с закрытым ключом Агента верните в сейф и сообщите пользователюо перешифровке файла.22.8. ИТОГИОперационные системы Microsoft безопасны, даже в исходной конфигурации.При переходе от системы Windows 2000 к Windows Server 2003произошли большие изменения, и безопасность новой системы намноговыше.Сразу после инсталляции домена необходимо провести некоторые действия,связанные с системой шифровки файлов EFS. Имеется в виду пропискаАгента восстановления данных, экспорт и последующее удалениеиз системы закрытых ключей.Если пользователи работают в Windows XP Professional и хотят делитьдоступ к зашифрованным файлам, нужно установить в сети сертификационнуюслужбу Windows Server 2003 Enterprise Edition, которая будетавтоматически создавать нужные сертификаты.Также хорошо запретить шифрование там, где это не нужно. Это общиепапки и документы, к которым должно иметь доступ несколько пользо-465

Microsoft Windows Server 2003вателей. Если необходимо запретить шифрование только на одном компьютере,можно это сделать при помощи объекта групповой политики.Обычно в системе EFS нужно думать о том, что речь идет об очень сильноммеханизме безопасности данных. Точно так же, как файлы можнопросто и быстро зашифровать, их можно быстро потерять. Об этом помнитевсегда и защищайте свои ключи.Состояние сетиСамым заметным изменением в сети стала установка сертификационнойслужбы, которая используется для выдачи сертификатов и генерированияключей для шифрования и дешифрования. Затем мы экспортировали закрытыйключ Агента восстановления данных и удалили его из домена.466

Когда одногосерверанедостаточноПодготовка к переносу файловПереносим хранилищедокументов предприятияПеренос файлов с использованиемсистемы DFSРепликация библиотекина сервер SRVR002Дальнейшие рекомендуемые шагиMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

С ростом организации (и количества пользователей сети) неизбежнопридёт день, когда передача данных в сети станет замедленной, сетевыеприложения станут «тормозить» и т.д.В этом случае, если сервер выполняет не только роль контроллера домена,но и другие серверные роли, то при перегрузке домена следуетпередать данные роли другим серверам. Это касается как системныхслужб (серверов DNS, DHCP или WINS, сертификации и других), так идругих серверных задач (файлового сервера, сервера приложений, серверабазы данных).Процесс самого перенесения нужно тщательно спланировать. При необдуманныхдействиях вам грозит потеря данных и нарушение функционированияне зависящих друг от друга служб. Вспомните переход состатической адресации протокола IP на службу DHCP: там не шло речио переносе службы на другой компьютер, но даже там последствия плохоспланированных действий могли существенно нарушить работу сети.В рассматриваемом нами примере, сеть организации ещё не созрела допрямой потребности в расширении количества серверов. Но если этовсё-таки случится в будущем, лучше всего быть к этому готовым. Какименно нужно подготовиться, расскажет эта глава.23.1. Подготовка к переносу файловЕсли вы решили перенести всю систему разделяемых папок на другойкомпьютер, мы можем назвать такой процесс перенесением файловогосервера. В этом параграфе мы перечислим вопросы, которые нужно продуматьзаранее.468

Глава 23. Когда одного сервера недостаточно23.1.1. Производительность компьютераСамой распространённой причиной перенесения любой функции с одногокомпьютера на другой является низкий уровень производительности исходногокомпьютера. При оценке производительности компьютера обычнопринимают во внимание следующие компоненты оборудования:• Процессор• Память• Дисковая подсистема• Сетевой интерфейс.В большинстве случаев администраторы забывают о быстродействиидисковой подсистемы. При покупке нового оборудования их интересуетобъём и количество дисков. Этого недостаточно, поскольку важную рольиграет также способ организации дисков в массив RAID, размер дисковогокэша и многое другое.Указанные составляющие существенны для всех компьютеров. На серверах,однако, в зависимости от выполняемой сервером роли на однихарактеристики следует обратить особое внимание, а другими можнопренебречь. Например, в то время как для файлового сервера будетважен размер памяти и производительность дисковой подсистемы, длясервера DNS или DHCP будет гораздо важнее скорость процессора исетевого интерфейса.Гораздо хуже обстоит дело в случае, когда один сервер совмещает несколькоролей. Что выгоднее для повышения производительности — купитьболее быстрый процессор или добавить памяти? Добавить еще одинсетевой адаптер или ещё один диск? Однозначного ответа на эти вопросыне существует.У файлового сервера необходимо обращать особое внимание на достаточныйразмер оперативной памяти и на объем и быстродействиежёстких дисков. Здесь не играет особой роли скорость процессора, и,если файлы не требуют высокой скорости передачи по сети, то и сетевойинтерфейс. Какой размер оперативной памяти считать достаточным,сказать заранее невозможно: минимальный размер определяется системнымитребованиями, максимальный — чаще всего техническими илифинансовыми возможностями предприятия.Под быстродействием жёстких дисков подразумевается не только времядоступа, но также и способ организации дискового массива. Дополнительнаяинформация о возможностях организации дисков приведена вглаве 24.469

Microsoft Windows Server 200323.1.2. Перенос файлов и разрешения NTFSРазрешения NTFS определяют, кто и как может работать с данным объектом.Это свойства конкретного объекта (файла, папки, принтера...),и важно, чтобы при переносе объекта его разрешения не изменились.Поэтому администратор обязан твердо знать, что происходит с разрешениямипри манипуляциях с файлами.Разрешения NTFS и копированиеКопия объекта не сохраняет разрешений оригинала, а наследует их оттой папки, в которую скопирован объект. То есть, если вы скопировалифайл, к которому некоторый пользователь имел доступ только на чтение,в папку, к которой у него есть полный доступ, то он получит полный доступк копии файла.Разрешения NTFS и перемещениеЕсли объект перемещен с одного раздела NTFS на другой, то с его разрешениямипроисходит то же, что при копировании: они наследуютсяот родительской папки.Если объект перемещен в пределах раздела, то он сохраняет разрешениявне зависимости от разрешений родительской папки назначения.Из сказанного выходит, что и копирование, и перемещение объектов междукомпьютерами приведут к одному и тому же — файлы лишатся изначальныхправ доступа и унаследуют полномочия родительской папки.23.1.3. Перемещение зашифрованных файловС зашифрованными файлами может манипулировать только тот, кто ихзашифровал. Остальные пользователи, какие бы полномочия они ни имели,перемещать этот файл не могут. Исключением может служить развечто Агент восстановления, но в хорошо защищенной сети его закрытыйключ удалён из домена, и он тоже не сможет ничего сделать.При копировании на другой компьютер зашифрованный файл сначаладешифруется, потом передается по сети и в компьютере назначения сновазашифровывается. Там создается профиль пользователя, которому принадлежитзашифрованный файл, поскольку закрытый ключ является егочастью. Чтобы разрешить шифровать файлы на удалённом компьютере,в свойствах исходного компьютера должен быть установлен флажокДоверять компьютеру делегирование (рис. 23.1). Обычно этот флажокустановлен только у контроллера домена.470

Глава 23. Когда одного сервера недостаточноЛ1*1Управляется ] Вводящие звонки } Удаленная установка |Общие I 0перациожаясистема | Членгр^пп | Размещение(piP0002• Имя бомпьютера trpeft-Windows 2000): ЩШ ' : '""Рояь: . .' ". ' ^Рабочая станция иш сервер • . ; • • "- ГкДйаерятъ компьютеру делегированиебеэдгдсиости и.*н.т

Microsoft Windows Server 2003Инструменты от сторонних производителейСуществуют утилиты от сторонних производителей, умеющие копироватьфайлы вместе с разрешениями при условии, что компьютер назначениявходит в тот же домен. В противном случае в списке субъектов доступана вкладке Безопасность свойств скопированного объекта будут лишькоды SID несуществующих учётных записей.Если в списке субъектов доступа к файлу числятся локальные группы,необходимо различать, идёт ли речь о встроенных или собственных группах.Встроенные группы присутствуют на каждом компьютере, и все ониимеют одинаковый код SID, поэтому разрешения, настроенные для них,будут действительны и на компьютере назначения. Собственных группна другом компьютере может не оказаться.Достоинством средств от других производителей является возможностьсравнительно легко скопировать разрешения. Недостатком является необходимостьих покупки, установки и администрирования.Системные средстваВ главе 16 вы познакомились с утилитой архивации (NTBackup.exe).Многие администраторы недооценивают ее возможности и используют еетолько для резервного копирования системы, а ведь она позволяет убитьвсех зайцев, о которых говорится в этом параграфе. Если можно архивироватьи восстанавливать файлы вместе с их разрешениями и другимиатрибутами, а также зашифрованные файлы, то что мешает восстановитьих на диск другого компьютера?Напомним, что для архивирования системы необходимы полномочиячлена группы администраторов домена или операторов архива (BackupOperators).23.1.6. Общие папкиЕсли вам нужно переместить разделяемые папки на другой сервер, вынаверняка не захотите лишиться настроенных прав сетевого доступа. Этиправа являются свойством не папки, а компьютера, который открыл еедля доступа по сети. Вы найдёте их в ветви реестра HKEYLOCALMA-CHINE (рис. 23.2).В ключе Shares хранится информация о свойствах объекта, разрешенногодля доступа через сеть, т.е. о его названии, максимальном количествеподключаемых одновременно пользователей и т.п. В подключе Securityхранится информация о правах доступа.472

•Глава 23. Когда одного сервера недостаточноКак всю эту информацию перенести на другой компьютер? Однозначно,не с помощью архивации состояния системы (System State). Ее можновосстановить только как единое целое, так что новый компьютер у насбы был всего лишь копией старого (включая то же название, те же кодыSID и тому подобное). Это нам, конечно, не годится, так что будем искатьиной способ. Например, можно записать данные из ключа Shares, а накомпьютере назначения ввести их, вручную редактируя реестр. Если у васодна-две разделяемые папки, то это достаточно быстрая процедура.Если же у вас их десятки, то проще будет на исходном компьютере экспортироватьключ Shares в файл REG, при необходимости отредактироватьэтот текстовый файл и импортировать его в реестр на компьютереназначения.Следует спланировать время перемещения общих папок с учетом того,что на это время они окажутся недоступны для пользователей.ШШЯШШШФайл Правка йед Избранное Справка .:j I SI-CU isapnp *|Имя ,:;,: :•;,„! j Й-Ш IsmServ •га-Ш KbdclassBCD kdcЙ-CjKSecDD . "iiffl-Qj lanmanwork:|-ШЫарElGj LicenselnfoЩ"(23 LicenseServiЁ1-Ш LmHostsЙ-Ш Ip6nds35*•,:1 ; ffl-Qj Messengerт ('

Microsoft Windows Server 200323.2. Переносим хранилищедокументов предприятияПроцесс перенесения хранилища будет состоять их следующих шагов:• Установка и настройка второго сервера (SRVR002).• Архивация структуры папок и важных ключей реестра.• Запрещение доступа к файлам на прежнем месте.• Восстановление структуры на новом сервере.• Разрешение доступа к структуре на новом сервере.Альтернативный подход:• Установка и настройка второго сервера.• Использование системы DFS (Distributing File System) для перенесениясодержимого общих папок.23.2.1. Установка и настройка второго сервераУстановка сервера была подробно описана в главе 1, поэтому здесь мыочертим необходимые шаги только пунктирно. За недостающими сведениямиоб установке обращайтесь к первой главе.1. Установите второй сервер с системой Windows Server 2003 и добавьтеего в домен study.local. Это будет рядовой сервер, в домене он будетисполнять роль только файлового сервера. Существенными будутследующие параметры:• Имя сервера: SRVR002• Член домена: study . local• Адрес IP: 192.168.10.3• Маска подсети: 255.255.255.0• Сервер DNS: 192.168.10.2Остальным параметрам можете оставить значения по умолчанию.2. Запустите консоль Active Directory — пользователи и компьютерыи переместите объект сервера SRVR002 в домене study, local всоответствующую организационную единицу.После установки проверьте безошибочную коммуникацию сервера всети.23.2.2. Перенесение файлов способомархивации и восстановленияЭтот метод планируйте на то время, когда пользователи не будут работатьс файлами. Весь процесс будет состоять из нескольких отдельных шагов,474

Глава 23. Когда одного сервера недостаточнооптимизированных таким образом, чтобы он был как можно более простыми как можно меньше ограничивал пользователей.Архивация ключей реестраАрхивация ключей реестра производится следующим образом:1. Зарегистрируйтесь на SRVR001 как администратор.2. Запустите редактор реестра REGEDIT.EXE и перейдите в ветвьHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares.3. Выполните команду Файл -> Экспорт и в диалоговом окне Экспортфайла реестра задайте название файла LIB.REG И сохраните еговременно на диске С:.Редактирование ключей реестраПоскольку из всех разделяемых папок нас будет интересовать толькопапка Library (известная в сети как «Библиотека»), необходимо отредактироватьэкспортируемый файл так, чтобы в компьютере назначениялишний раз не появлялись сообщения о недостающих общих папках.1. Откройте файл LIB . REG в Блокноте. Это обычный текстовый файл,фрагмент которого приведен ниже.2. Удалите из файла LIB. REG все записи, кроме относящихся к папкеLibrary, и сохраните файл под тем же именем.«SYSVOL»=hex:01,00,04,80,5c,00,00,00,6с,00,00,00,00, 00,00,00,14,00,00,00,02,00,\48, 00, 03, 00,00, 00, 00, 00,14, 00, а9, 00,12,00, 01, 01, 00, 00, 00, 00, 00, 01, 00, 00, 00, \00,00, 00,18, 00, ff, 01, If, 00,01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 20, 02, 00, 00, \00, 00,14, 00, ff, 01, If, 00, 01, 01, 00, 00, 00, 00, 00, 05, 0b, 00, 00, 00, 01, 02, 00, 00, 00, \00,00,05,20,00,00,00,20,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00«NETLOGON»=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,14,00,00,00,02,\00, 34, 00, 02, 00, 00, 00,00, 00,14, 00, a9, 00,12, 00, 01, 01, 00, 00, 00, 00, 00, 01, 00, 00, \00, 00, 00, 00,18,00,ff,01,If,00,01,02,00,00,00,00,00,05,20,00,00, 00,20, 02, 00, \00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 20, 02, 00, 00, 01, 01, 00, 00, 00, 00, 00, 05, \12,00,00,00«Library»=hex:01,00,04,80,30,00,00,00,40,00,00,00,00,00,00,00,14,00,00,00,02,\00, lc, 00, 01, 00, 00, 00, 00, 00,14, 00, ff, 01, If, 00, 01, 01, 00, 00, 00, 00, 00, 05, 0b, 00, \00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,05,00,00,00, 00,00, \05,15,00,00,00,0d,a5,06,54,aa,36,59,b7,7d,2a,e2,fe,01,02,00,00475

Microsoft Windows Server 2003Запрещение доступа к папке и архивация ее содержимогоДаже если вы предупредили пользователей о своих действиях и объяснилиим, как себя вести, вполне возможно, что некоторые пользователи вас непослушаются и продолжат работу с сетевыми файлами.Чтобы предупредить их еще раз о своей работе с этими файлами, можетепоступить следующим образом:1. Зарегистрируйтесь на SRVR001 как администратор.2. Щелкните правой кнопкой мыши по значку Мой компьютер и запуститеконсоль Управление компьютером. Правой кнопкой мышищелкните по контейнеру Общие папки и из контекстного меню выберитекоманду Все задачи -» Отправка сообщения консоли. Отобразитсядиалоговое окно, в котором вы введете текст сообщения отом, что начинаете работать с файлами и не отвечаете за возможнуюпотерю данных. Разошлите это сообщение нажатием кнопки Отправить.Примечание.Успешная отсылка и доставка сообщения компьютерам требует функционирующейслужбы Messenger. Поскольку эта служба в исходном состоянии в системах WindowsServer 2003 отключена, рассылка сообщений может стать невозможной.3. Отобразите свойства папки С: \Library и снимите флажок Открытьобщий доступ к этой папке.4. Запустите утилиту Архивация (NTBackup.exe) и проведите полнуюархивацию папки «Library». Архив сохраните локально на компьютерев файле LIBRARY.BKF.Восстановление содержимогои разрешение доступа к нему на новом местеВосстанавливать архив папки Library мы будем на новый сервер. Потоммы проверим, сохранились ли разрешения NTFS, и, добавив данныев реестр, сделаем папку общей.4761. Зарегистрируйтесь на SRVR002 как администратор.2. Запустите утилиту Архивация.3. Восстановите файл LIBRARY.BKF С диска С: компьютера SRVR001( п у т ь к ф а й л у \ \ S R V R O O I \ C $ \ L I B R A R Y . B K F ) .4. Щелкните правой кнопкой мыши по только что восстановленнойпапке C:\Library, выберите команду Свойства и перейдите навкладку Безопасность. Поскольку восстановились также разрешенияNTFS, список субъектов доступа и их прав должен совпадать с такимже списком на компьютере SRVR001.

Глава 23. Когда одного сервера недостаточноСетевые имена и права сетевого доступа для папки Library и ее подпапокскопируем путем экспорта соответствующего ключа реестра накомпьютере SRVR001 и импорта его в реестр на компьютере SRVR002:1. В компьютере SRVR002 откройте папку \\SRVR00l\c$ . Найдитефайл LIB . REG и запустите его.2. На вопрос, хотите ли вы импортировать информацию в реестр, ответьтенажатием кнопки Да. Нажатием ОК закройте сообщение синформацией об успешной записи информации из файла LIB . REGв реестре.3. Перезагрузите компьютер SRVR002. После перезагрузки папкаLibrary получит те же права сетевого доступа, что на старом месте.Примечание.Перезагрузка после изменения реестра необходима только тогда, когда новыеключи и значения вы импортировали. Если вы вводили их вручную с помощьюутилиты REGEDIT, изменения вступят в силу немедленно.Что получилось? До сих пор хранилище документов предприятия былодоступно по UNC-пути \ \SRVR00l\Library, теперь же мы задали длянего путь \\SRVR002\Library. Осталось переучить пользователей «ходитьдругим путем».Если пользователи подключают сетевой диск через сценарий регистрации,достаточно заменить путь в сценарии, и они даже не заметят переходана новый файловый сервер.23.3. Перенос файловс использованием системы DFSНастройка автоматической репликациимежду двумя общими папкамиФайловая система DFS была впервые представлена в системах Windows2000. В системе Windows Server 2003 она была расширена несколькимифункциями, которые, однако, нам в дальнейшем не понадобятся. Ее можносчитать своего рода «дорожной картой», упрощающей ориентацию идоступ пользователей к общим папкам, которые могут быть разбросаныпо разным серверам в сети.Файловая система DFS имеет всегда так называемый корень — общуюпапку, в которой находятся ярлыки к локальным и удаленным общим477

Microsoft Windows Server 2003папкам. Пользователям, таким образом, достаточно при использованиисистемы DFS помнить всего лишь один путь к общей папке, через которуюони получают доступ ко всем папкам, которые им нужны.Эту главную функцию системы DFS мы и используем. Впоследствии мыреализуем и дальнейшие возможности, коими являются автоматическаярепликация содержимого между двумя общими папками.Если вы захотите опробовать это в нашей сети, необходимо сделатьследующее:1. Снова открыть сетевой доступ к папке Library на сервереSRVR001.2. На сервере SRVR002 создать пустую общую папку Library и установитьдля нее такие же разрешения NTFS, как у папки Libraryна компьютере SRVR001.Далее поступайте следующим образом:1. Зарегистрируйтесь на SRVR002 как администратор.2. Запустите утилиту Распределенная файловая система DFS. Этаутилита устанавливается при установке операционной системы, иудалить ее невозможно.3. В окне консоли щелкните правой кнопкой мыши по значку Распределеннаясистема файлов DFS (Distributed File System) и изконтекстного меню выберите команду Создать корень. ЗапуститсяМастер создания нового корня. Нажмите Далее.4. В диалоговом окне Тип корня выберите Доменный корень и нажмитеДалее.Мастер создания нового корняНесущий серверУкажите имя несущего сервера для этого корня.Имя сервер*SRVR002

Глава 23. Когда одного сервера недостаточно5. В диалоговом окне Несущий домен оставьте предложенное значение —домен study . local и нажмите Далее.6. В диалоговом окне Название сервера введите название сервера,который будет управлять корнем системы DFS (SRVR002). Продолжайтенажатием кнопки Далее.7. В диалоговом окне Имя для корня введите имя корневой папки (DFS),UNC-путь к ней (\\study. local\DFS) и произвольный комментарий.После этого нажмите Далее. Если отобразится сообщение о том,что папка не существует, в поле Общая папка введите путь C:\DFS инажмите Далее. Подтвердите свои действия нажатием кнопки Да.Частев создания новогх]Имя для корняУкажите уникальное имя для каждого корня DFS.Введите уникальное имя для этого корня,ймякорня: ;|DFSПредварительный просмотр UNC-пуги к этому корню:Комментарий:JKopeHbDFSОбщий ресурс:< Назад J Далее > | Отмена |Рис. 23.4. Параметры корневой папки DFSВ диалоговом окне Завершение мастера создания нового корня DFSещё раз просмотрите введённую информацию и нажмите Готово. Вконсоли Распределенная файловая система DFS отобразится новыйкорень.Примечание.В системе Windows Server 2003 вы бы могли создать несколько доменных корней.Возможности системы Windows 2000 ограничиваются одним корнем.Настройка новой ссылкиСсылкой DFS в системе Windows Server 2003 называется ярлык к сетевойпапке. Создадим ссылку на папку Library, находящуюся на сервереSRVR001:479

Microsoft Windows Server 20031. В консоли Распределенная файловая система DFS щелкните правойкнопкой мыши по значку доменного корня и из контекстного менювыберите команду Создать ссылку.2. Заполните поле в диалоговом окне Новая ссылка по рисунку23.5. Изучите путь, указанный в поле Предварительный просмотрUNC -пути к ссылке. Продолжите нажатием на ОК.Новая ссылкаУкажите имя и путь для новой ссылки. При открытии ссылкипользователем будет выполняться перенаправление запроса кцелевой папкаИмя ссылки:JLibfaryПредварительный просмотр UNC-лути к ссылке:1\4STUDY\DFS\Libfafii • • 'Путь к целевой общей папке:\\SRVR001SLibraryДбзор,.Комментарий::Время (сек) кэширования этой ссылки клиентами:|i800OKОтменеРис. 23.5. Диалоговое окно со ссылкой на папку \\SRVR001\LibraryВ доменном корне DFS была создана ссылка на папку WSRVROOIXLibrary. По стечению обстоятельств эта ссылка также носит название«Library», хотя это не является обязательным. Существенным является итот факт, что пользователи могут теперь получить доступ к документампри помощи пути Wstudy . local\DFS\Library.Может, вам покажется несколько странным использовать в UNC-путиимя домена вместо имени компьютера, но это выгодно тем, что позволяетв дальнейшем переместить корневую папку на другой компьютер незаметнодля пользователей.Что изменится для пользователейТеперь у вас появилось достаточно времени для того, чтобы научитьпользователей использовать вместо UNC-пути \\SRVR001\Library путьWstudy . local\DFS\Library. Несмотря на то, что первый путь до сихпор активен, желательно, чтобы пользователи привыкли к новому пути,который не зависит от имени компьютера.480

Глава 23. Когда одного сервера недостаточноПосле того, как пользователи полностью перейдут на использованиенового UNC-пути, мы можем продолжать перемещать библиотеку насервер SRVR002.Примечание.Системы Windows 9X/ME/NT не могут использовать систему DFS.23.4. Репликация библиотекина сервер SRVR00223.4.1. Последовательность действийпо репликацииПосле того, как пользователи начнут использовать UNC-путь системыDFS, необходимо, чтобы вы хорошо спланировали перенос структурытаким образом, чтобы для пользователей папка Library целиком находиласьна одном компьютере. Система DFS не умеет разрешать конфликты ив случае доступности обеих реплик (копий) одной папки перенаправляетодних пользователей на один сервер, а других — на другой, выравниваятаким образом нагрузку. Это может привести к ошибкам, если два пользователяоткроют в хранилище один и тот же файл, причём каждый — насвоём сервере.Понятие реплики в консоли DFS отображается как Цель. Добавим к существующейссылке ещё одну цель — папку Library на сервере SRVR002.Поступайте следующим образом:1. В консоли Распределенная файловая система DFS щелкните правойкнопкой мыши по ссылке Library и из контекстного меню выберитекоманду Создать целевую папку.2. В диалоговом окне Новая целевая папка задайте в поле Путь кобщей целевой папке путь SRVR0 02\\Library. Флажок Добавитьэту целевую папку к набору репликации оставьте установленным инажмите ОК.3. Отобразится вопрос, нужно ли настроить репликацию: ответьте Да. Есливопрос не отобразится или если вы по ошибке нажали Нет, выберите изконтекстного меню ссылке Library команду Настроить репликацию.Запустится Мастер настройки репликации. Нажмите Далее.4. В следующем диалоговом окне Мастера выберите пункт SRVR001XLibrary и нажмите кнопку Промежуточное хранение. Откроется16 Зак. 446 481

Microsoft Windows Server 2003диалоговое окно Промежуточная папка, в котором вы можете вполе Промежуточная папка задать локальную папку (например,С: \DFS-Temp). Нажмите ОК и укажите ту же промежуточную папкудля другой целевой папки на компьютере SRVR002.5. Потом выберите из списка SRVR001\Library и нажмите Далее. Выопределили, что первая репликация произойдёт из папки Libraryна сервере SRVR001 в папку Library на сервере SRVR002. Обратныйпорядок мог бы иметь нежелательные последствия.6. В диалоговом окне с выбором топологии оставьте исходные параметрыи нажмите Готово.В течение 15 минут должна произойти репликация папки Library накомпьютер SRVR002. Для первой репликации необходимо указать ее направление(с какого сервера на какой), а для последующих репликацийэтого делать не нужно. Это значит, что изменение файла на любом изсерверов будет скопировано (реплицировано) на все остальные цели. Этосвойство мы можем очень просто проверить:1. В одной из папок библиотеки документов на компьютере SRVR001создайте какой-нибудь файл.2. Откройте ту же папку на компьютере SRVR002 и проверьте, чтоновый файл появился (подвергся репликации).3. Следующий новый файл создайте в одной из папок библиотеки накомпьютере SRVR002.4. Проверьте, что файл подвергся репликации на компьютерSRVR001.Эту возможность мы использовать не собираемся именно потому, чтосистема DFS не умеет разрешать конфликты: единственной версиейфайла она считает последнюю по времени сохранения. Поэтому послезавершения начальной репликации удалите целевую папку SRVR0 01NLibrary из распределенной файловой системы DFS.23.4.2. Остановка репликации и удалениепервоначальной папки из репликации1. В левой части консоли Распределенная файловая система DFS щелкнитеправой кнопкой мыши по ссылке Library и из контекстногоменю выберите команду Остановить репликацию. Подтвердите нажатиемДа.2. В правом подокне щелкните правой кнопкой мыши по объектуSRVR001\Library и из контекстного меню выберите команду Удалитьцелевую папку.3. Отобразится запрос на подтверждение удаления. Нажмите Да.482

Глава 23. Когда одного сервера недостаточноЕсли теперь пользователь введет UNC-путь в виде \ \ study . local \DFSXLibrary, то отобразится папка, расположенная на сервереSRVR002. Не все пользователи, однако, уже привыкли к новому пути,и может найтись пользователь, который по привычке попробует путь\\SRVR0 01\Library. Этот пользователь попадет в устаревшую папкуна сервере SRVR001. Чтобы он потом не удивлялся, почему никто необращает внимания на его исправления в документах, запретите доступк устаревшей папке.23.4.3. Закрытие доступа к папкена сервере SRVROO1Для закрытия доступа к папке на исходном сервере SRVR001:1. Зарегистрируйтесь на SRVR001 как администратор.2. Запустите Проводник и перейдите к диску С:.3. Отобразите свойства папки Library, перейдите на вкладку Доступи снимите флажок разрешения сетевого доступа.4. Можете совсем удалить папку Library.Система DFS проделала массу работы автоматически. Она перенесла наSRVR002 содержимое всех подпапок хранилища документов со всеми ихразрешениями и атрибутами. В то же время она предоставляет возможностьиспользовать доступ к файлам через UNC-путь, не зависящий отконкретного компьютера.Эта система имеет и свои минусы по сравнению с предыдущим (ручным)способом переноса. Она не умеет подвергать репликации зашифрованныефайлы и в течение репликации (особенно начальной) создаетогромный трафик в сети. Невозможность репликации зашифрованныхфайлов в хранилище документов нам не слишком мешает, поскольку приего создании мы запретили шифровать общие файлы (вспомните файлDESKTOP.INI).Чтобы мы полностью использовали возможности службы DFS, необходимодополнить информацию о сохранении созданного доменногокорня. Его мы создали на компьютере SRVR002 в папке DFS. Если всети установлена система DFS, обычно в ней создаются также ссылкина все сетевые папки. Предположим, что мы хотим добавить DFS-ссылкуна папку Протоколы, предоставленную в общий доступ с компьютераSRVR001.1. В консоли Распределенная файловая система DFS щелкните правойкнопкой мыши по корню (study. local\DFS) и из контекстногоменю выберите команду Создать ссылку. Откроется диалоговоеокно Новая ссылка.483

Microsoft Windows Server 20032. Поля в диалоговом окне Новая ссылка заполните согласно рис. 23.5,только вместо имени папки Library укажите Протоколы. Нажмитекнопку ОК.3. С любого компьютера проверьте доступ к папке протоколы поUNC-пути \\study. local\DFS\npoTOKonbi.Несмотря на то, что файловая система DFS значительно упрощает доступпользователям к общим файлам (поскольку пользователи не обязаныпомнить, какой компьютер открыл общий доступ к какой папке), внашей сети существует в эту минуту слабое место, от которого зависитработа системы DFS. Это слабое место — корень DFS. Не объект корнякак таковой, который записан в базе данных Active Directory, но папка,в которой содержатся отдельные ссылки. В нашем случае — папка DFSна компьютере SRVR002.Если SRVR002 выйдет из строя, то доступ через ссылки DFS не будетработать. Конечно, адресация через имена компьютеров (например,\ \SRVR0 01 ХПротоколы) работать по-прежнему будут, но пользователиток тому времени забудут эти имена.Выходом из этой ситуации будет репликация корня на еще один компьютерс серверной операционной системой Windows 2000/2003. Поступайтеследующим образом:1. В консоли Распределенная файловая система DFS щелкните правойкнопкой мыши по корню (study. local\DFS) и из контекстногоменю выберите команду Создать целевую корневую папку.2. В диалоговом окне Несущий сервер в поле Имя сервера введитеSRVR001 и нажмите Далее.3. В диалоговом окне Корневая общая папка в поле Путь к целевойобщей папке введите путь С: \DFS (обычно путь, в котором будетсохранена реплика DFS). Продолжайте нажатием кнопки Далее.4. Если заданная папка не существует, отобразится сообщение с предложениемеё создать. Нажмите Да.5. В диалоговом окне Завершение мастера добавления коренного адресатапросмотрите заданные параметры и нажмите Готово. В консолиотобразится новая реплика (цель) DFS.6. На компьютере SRVR001 откройте папку с: \DFS и убедитесь, чтобез настройки какой-либо репликации произошло копированиессылок в корневую папку DFS с компьютера SRVR002.Этим шагом мы исключили возможность недоступности сетевых папокв случае поломки компьютера SRVR002. Если у вас есть возможность,выключите компьютер SRVR002 и потом попробуйте с любой рабочейстанции открыть сетевую папку по ее DFS-ссылке, начинающейся соWstudy . local.484

Глава 23. Когда одного сервера недостаточно23.5. Дальнейшие рекомендуемые шагиПосле перенесения документов на другой файловый сервер и установкислужбы DFS ещё далеко не всё готово. На исходном компьютере существовалиеще другие параметры, которые влияли на возможности пользователей,но автоматически они перенесены не были. После переносафайлов хорошо будет сделать следующее:• Теневое копирование. Если вы перенесли хранилище документов надиск С:, не забудьте настроить теневое копирование этого раздела.Тем самым вы обеспечите пользователям доступ к предыдущим версиямдокументов, который может понадобиться в случае ошибочногоизменения или удаления файла.• Настройка автоматической архивации. Нужно архивировать файловыйсервер. Однако, чтобы вам не приходилось всё время об архивациидумать, лучше всего настроить архивационные задания для автозапуска.Дальнейшая информация о стратегиях архивации и конфигурацииавтоматической архивации находится в главе 16.• Настройка дисковых квот. На сервере SRVR001 мы настроили дисковыеквоты при помощи объекта групповой политики по имени «Diskquotas», который применяется к организационной единице DomainControllers. Нет смысла перемещать учётную запись рядового сервераSRVR002 в эту организационную единицу. Нужно связать объект«Disk quotas» с той организационной единицей, в которой находитсяSRVR002, или применить фильтрацию объектов групповой политики(глава 17). В крайнем случае можно настроить квоты локально — прямов свойствах дисковых разделов на SRVR002.23.6. ИтогиЕсли вы собираетесь установить в сети еще один сервер, переложив нанего те обязанности, которые чрезмерно перегружают контроллер домена,то необходимо учесть возможности оборудования нового сервера.Перенос файлов следует тщательно спланировать. Пользователи не должнылишиться данных и прав доступа к файлам с учетом дополнительныхатрибутов (шифровки, сжатия) и после переноса должны быть способныработать с ними.Существует несколько вариантов переноса. Если вы будете переноситьданные вручную, самым разумным будет использовать механизм архивациисистемы (NTBackup.exe). Вы тем самым обеспечите безопасноеперенесение всех атрибутов. Если вы будете копировать или перемещатьфайлы, вы можете потерять разрешения NTFS, атрибуты сжатия и шиф-485

Microsoft Windows Server 2003рования. Более того, право копировать или перемещать зашифрованныефайлы имеет только их хозяин, причём нужно помнить, что зашифрованныефайлы перед переносом дешифруются. Единственным безопаснымспособом переноса зашифрованных файлов будет использование утилитыархивации.Альтернативным решением переноса будет использование распределеннойфайловой системы DFS. Она изначально предназначена дляоблегчения доступа к сетевым папкам и делает возможным также автоматическуюрепликацию корня и содержимого конкретных файлов. Еёиспользование для переноса содержимого общих папок — только малаячасть ее возможностей. Зашифрованные файлы она реплицировать неумеет, разрешать конфликты тоже.Состояние сетиВ домен study. local добавлен новый компьютер SRVR002, выполняющийроль файлового сервера. Создан доменный корень распределеннойфайловой системы DFS. Его реплики находятся в папках с : \DFS насерверах SRVR001 и SRVR002 и таким образом делают некритичнымвыход из строя сервера SRVR002.Хранилище документов предприятия перенесено на сервер SRVR002, ас SRVR001 после этого все файлы были удалены. Пользователи теперьоткрывают библиотеку не по пути \\SRVR002\Library, а используютвозможности системы DFS и указывают путь в формате \ \study. 1оса1\DFSXLibrary.На сервере SRVR002 настроена регулярная архивация, теневое копированиеи дисковые квоты раздела С:.486

УправлениедискамиПокупайте серверыс несколькими дискамиНужно ли что-то делатьс дисками на рабочих станциях?Типы дисковУскорение дисковой подсистемыДисковые массивы,устойчивые против ошибокMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Жесткий диск — это, бесспорно, одна из важнейших частей компьютера.Для того чтобы оценить его значимость, достаточно всего лишь представить,что бы произошло в случае его выхода из строя и потери рядаважных данных. Проще говоря, к диску как к главному носителю информации,нужно относиться с большой аккуратностью и использовать вседоступные средства системы, которые обеспечивают сохранность данныхпри возможных неполадках. Кроме всего прочего, можно смотреть надиск и как на составную часть системы, которая в значительной степенивлияет на скорость и производительность всего компьютера.Эта глава исследует возможности систем Windows 2000/XP/2003 по управлениюжесткими дисками и представляет возможные решения ситуаций,с которыми могут столкнуться пользователи.24.1. Покупайте серверыс несколькими дискамиПредставьте ситуацию, что в вашем компьютере два физических диска.Речь идет о физических дисках, а не о разбиении одного физического надва логических раздела. На диске С: у вас расположен файл в 400 Мб.Какая операция пройдет быстрее — копирование этого файла в другуюпапку на том же диске С: или его копирование на второй диск D:?Конечно, быстрее будет скопировать его на диск D:. Если речь идет о двухфизических дисках, операции чтения с одного диска и запись на другоймогут осуществляться одновременно. Если речь идет о копировании врамках того же физического диска, операции чтения и записи должныпроходить поочередно. Во втором случае совершенно не важно, копируетевы файл в пределах одного раздела или с раздела на раздел.Всегда подразумевается один и тот же физический диск, и это являетсярешающим фактором. Подобным образом это происходит в реальнойработе сервера. В то время как пользователи требуют от сервера, например,обработать вызов базы данных, сервер считывает и размещаетсистемные файлы, данные приложений, базу данных, содержимое памяти,выгруженное в файл подкачки и т. п.488

Глава 24. Управление дискамиТеперь вы определенно ощущаете, что если все эти файлы находятся наодном физическом диске, то это, с точки зрения производительности, худшееиз возможных решений. Самый простой шаг, который вы можете сделатьдля повышения производительности сервера, это добавить дисков.24.1.1. Сколько дисков должно быть на сервере?Сперва необходимо отметить, что однозначного ответа на этот вопросне существует.В целом к серверам применяются следующие правила:• Файл подкачки должен быть отделен от системных файлов.• Файлы приложений должны быть отделены от системных файлов.• Данные приложений должны быть отделены от файлов приложений.• База данных приложений и системных служб должна быть отделенаот журналов этих приложений и служб.Остальные файлы размещаются отдельно по необходимости.Что же сервер SRVR001? В соответствии с приведенными правиламиможете назначить его дискам следующие функции (таблица 24.1).Назначение физических дисков сервера SRVR001 Таблица 24.1ДискС:D:Е:RG:Н:I:J:НазначениеОперационная системаФайл подкачкиФайлы службы Удаленной установкиДвоичные файлы приложенийБаза данных Active DirectoryПротоколы базы данных Active DirectoryРазделяемые папкиОчередь печатиНазначение физических дисков сервера SRVR002 приведено в таблице 24.2.Назначение физических дисков сервера SRVR002 Таблица 24.2ДискС:D:Е:НазначениеОперационная системаФайл подкачкиФайлы файлового сервераСервер SRVR001 не является специальным сервером и, несмотря на это,должен был бы содержать 7 дисков? Возможно ли вообще подключить к489

Microsoft Windows Server 2003нему столько дисков? Не всегда. Поэтому встает вопрос об оптимизацииколичества дисков, то есть отступлении от оптимального решения под давлениемфизических возможностей сервера с одной стороны и финансовыхвозможностей предприятия — с другой. Результатом может быть, например,следующее разделение дисков сервера SRVR001 (таблица 24.3).Назначение имеющихся физических дисков сервера SRVR001 Таблица 24.3ДискС:D:Е:НазначениеОперационная система, двоичные файлы приложений, база данных ActiveDirectoryФайл подкачкиФайлы службы Удаленной установки, очередь печати, разделяемые папки,протоколы базы данных Active DirectoryНекоторые данные можно перенести легко. Другие нужно инсталлировать(например, приложения), а некоторые требуют использованияспециальных настроек.24.1.2. Перенос файла подкачкиФайл подкачки не является стандартным файлом, от содержимого которогозависит работоспособность системы. Это всего лишь место храненияданных, которые были загружены в оперативную память компьютера, но вданный момент не используются. В целях безопасности можно настроитьгрупповые политики так, чтобы при выключении компьютера этот файлуничтожался, а при включении создавался заново.Файл подкачки нельзя перемещать как обычный файл. Перенос файлаподкачки означает вмешательство в функционирование операционной системы.Перенос на диск D: можно осуществить следующим способом:4901. Зарегистрируйтесь на SRVR001 как администратор.2. В меню Пуск или на рабочем столе щелкните правой кнопкой мышипо значку Мой компьютер и из контекстного меню выберите командуСвойства.3. В диалоговом окне Свойства системы перейдите на вкладку Дополнительнои там в части Быстродействие нажмите на кнопку Параметры.Появится диалоговое окно Параметры быстродействия.4. Перейдите на вкладку Дополнительно и в области Виртуальнаяпамять нажмите кнопку Изменить. Появится диалоговое окно Виртуальнаяпамять.5. Выберите из списка диск D: и поставьте переключатель в положениеОсобый размер. В поле Исходный размер (Мб) введите величинуфайла подкачки, равную или в полтора раза превышающую размер

Глава 24. Управление дискамиВиртуальная памяти;Диск [метка тома]Файл подкачки (МБ)[ Размер файла полкачки для выбранного д^\ Диск: • D; .I. Свободно: • . 6330 МБ& Указать размер: :. .. .^! ^сходный размер (МБ): . J 512| Максимальный размер (МБ): J 1С)2- *| С Размер по выбору системы ••...Р gp? файла п6дкдчкм "Общин обгем фЫла подкачки иа всех дискахМинимальный puit-iep; 2 Мбл '. i;Рекомендуется; • 3S2 МБТекущий размер;• 384 МБРис. 24.1. Настройка файла подкачки (виртуальной памяти)оперативной памяти, в поле Максимальный размер (Мб) введитеудвоенную величину оперативной памяти.6. Нажмите кнопку Задать. Заданный размер файла подкачки появитсяв верхней части окна.7. Потом выберите диск С: и поставьте переключатель в положениеБез файла подкачки. Нажмите кнопку Задать. Может появитьсяокно предупреждения о возможной ошибке при загрузке. Ответьтеутвердительно на вопрос о применении параметра.8. Щелкнув на кнопке ОК, закройте диалоговое окно Виртуальнаяпамять.Вы можете также, отметив Размер по выбору системы, поручить принятиерешения о размере файла подкачки операционной системе.Примечание редактора.Не рекомендуется использовать этот режим, т. к. он требует от системы отслеживатьнеобходимый размер файла, что будет отнимать процессорное время.В некоторых случаях при определении размера файла подкачки будетуместным использовать одинаковые величины в поле Исходный размер ив поле Максимальный размер. Если файл подкачки достигнет большегоразмера, чем исходный, система должна его увеличить. Для этого, однако,потребуется процессорное время и система некоторое время будетзанята. Если вы зададите одинаковые величины, системе не нужно будетувеличивать файл подкачки и эта проблема не возникнет.491

Microsoft Windows Server 200324.1.3. Перенос базы данныхи протокола транзакций Active DirectoryВ этой части мы покажем перенос базы данных Active Directory на другойдиск, хотя в нашем случае нет никаких предпосылок к этому действию.Подобным же образом происходит перенос протоколов транзакций.При переносе базы данных Active Directory или протоколов транзакцийвыполняйте следующие действия:1. Проведите архивацию состояния системы контроллера домена, гдевы будете переносить файлы.2. Перезагрузите компьютер и запустите его в режиме Восстановленияслужбы каталогов (Directory Services Restore Mode).3. Зарегистрируйтесь как Администратор с паролем для режима восстановленияслужбы каталогов, который вы определили при инсталляцииконтроллера домена.4. Запустите утилиту командной строки NTDSUTIL.5. Введите команду FILES, чтобы перейти в режим File Maintenance.6. Если вы хотите перенести протоколы операций базы данных ActiveDirectory, введите команду move logs to e:\ntds. Произойдетперенос протоколов.7. Если вы хотите перенести базу данных Active Directory, введитев режиме File Maintenance команду move db to путь, где путьпредставляет собой место для размещения базы данных Active Directory.8. Введите команду INFO и убедитесь, что протоколы перенесены внужные места.9. Два раза подряд введите команду quit, чтобы вернуться в обычнуюкомандную строку.10. Перезагрузите компьютер.Сразу после перезагрузки компьютера вам следует провести архивацию,потому что, если через несколько часов вам придется восстанавливатьсистему из архивной копии, то протоколы базы данных (или сама базаданных) вернутся на прежнее место.24.2. Нужно ли что-то делатьс дисками на рабочих станциях?Рабочие станции — это, как правило, обычные компьютеры, не обладающиеширокими возможностями. Исключение могут составлять, например,графические рабочие станции, в которых наличие нескольких дисков,несомненно, найдет себе применение.492

Глава 24. Управление дискамиОбычные станции, с точки зрения быстродействия, не имеют большихтребований к дисковой подсистеме, и одного диска будет достаточно. Впредыдущих главах мы перенесли на серверы почти все данные пользователя,включая профили. На жестких дисках клиентских компьютеров,таким образом, остались только файлы операционной системы и двоичныефайлы приложений.В следующих параграфах мы посмотрим на возможности оптимизациидисков у высокопроизводительных рабочих станций и на решение проблемс пользователями, которые обязательно потребуют добавить свободногоместа на уже заполненном диске.Речь пойдет о так называемых динамических дисках.24.3. Типы дисковСистемы Windows 2000/XP/2003 могут работать с двумя типами дисков.Первый тип — это так называемые обычные диски. Эти диски отличаютсяограничениями, которые уже сегодня могут в некоторых случаях мешатьразумной работе. Решением данной проблемы является преобразованиев динамические диски, у которых нет ограничений, свойственных обычнымдискам, однако они применимы только к системам Windows 2000 иболее новым.24.3.1. Обычные дискиОбычные диски хранят свою конфигурацию в так называемых таблицахразмещения файлов (Master File Table, MFT). В этой таблице может бытьне более четырех записей — каждая запись соответствует разделу.Разделы подразделяются на первичные и расширенные. Первичныйраздел соответствует одному логическому диску, а расширенный разделможет содержать несколько логических дисков. Логические диски именуютсябуквами английского алфавита.Главным ограничением обычных дисков является как раз количестворазделов и невозможность создавать более сложные структуры, которые,например, могли бы увеличить быстродействие компьютера. Однако, сдругой стороны, большинство рабочих станций клиентов инсталлируетсяс одним диском, разбитым на два раздела, и это ограничение не играетбольшой роли.493

Microsoft Windows Server 200324.3.2. Динамические дискиДинамические диски — это лучшее решение в том случае, если при использованииобычных дисков вы столкнетесь с их ограничениями. Таккак речь идет о новом типе дисков, они не совместимы с системами болеестарыми, чем Windows 2000. Это не означает, что остальные системыв сети не смогут с ними общаться (это определяют другие службы);динамические диски невозможно будет использовать в операционныхсистемах, установленных на этом же компьютере (система с двойной илимножественной загрузкой).Динамические диски могут использовать как клиентские, так и серверныеоперационные системы.24.4. Ускорение дисковой подсистемыПредположим, что в компьютере, кроме системного диска, на которомустановлена Windows Server 2003, есть еще два физических диска. Еслидиски будут в компьютере уже с самой инсталляции операционной системы,они будут сразу отображены в консоли Управление дисками. Есливы вставите в компьютер диски только после инсталляции операционнойсистемы, при первом запуске консоли Управление дисками запуститсяМастер подключения новых дисков (рис. 24.2). Нажмите Далее.1. В диалоговом окне Выбор диска для инициализации оставьте отмеченнымивсе диски, которые вы хотите добавить в систему, инажмите Далее.Мастер инициализации ипреобразования дисковI Этот мастер помогает инициализировать новыедиски и преобразовать пустые базовые диски в1 динамические диски.Динамические диски могут использоваться длясозданий программных томов, которые могут бытьзеркальными или распределены по несколькимдискам. Вы можете расширить одиночный диск илисоставные тома без перезагрузки системыПосле преобразования диска в динамический налюбом его томе можно будет использовать толькоWindows 2000 или более позднюю версию| операционной системы Windows.Для продолжения нажмите кнопку "Далее".494Рис. 24.2. Мастер инициализации и преобразований дисков

Глава 24. Управление дисками2. В диалоговом окне Выбор дисков для преобразования не отмечайтеничего и сразу нажмите Далее. Преобразование дисков мы проведемпозже.3. Нажмите Готово. Новые диски теперь отобразятся в консоли Управлениедисками.На компьютер под управлением Windows XP Professional новые дискиустанавливаются точно так же.Преобразование дисков в динамическиеТолько что добавленные диски преобразуем в динамические. Это условиедальнейшей возможности работы с дисками. С первым физическимдиском, содержащим инсталляцию операционной системы, этого сделатьне удастся, поэтому оставим его как обычный диск. Перед преобразованиемне рекомендуется создавать на дисках другие разделы. Выполнитеследующие действия:1. В консоли Управление дисками щелкните правой кнопкой мыши покнопке того физического диска, который вы хотите преобразовать вдинамический (рис. 24.3) и из контекстного меню выберите командуПреобразовать в динамический диск.О Computer Management.Hj Kot .енстеие Вид Окнс-! с?:Я| Управление компьютером (локальI.:.: ;•$£ Служебные программыЩ -]|1 Просмотр событий; $1" ьУ Общие папкиШ-Щ[ Журналы и оповещения прj ' 1 ---Щ Диспетчер устройств;ч-'$ШЗапоминающие устройства\ щ Ш Сгемные ЗУ; ^ Дефрагмемтация диска'^ Управление дискамиЦ] ^^ Службы и приложенияОсновнойОсновнойОсновнойNTF5NTFSNTFSсистема 1 СостояниеИсправен (Система)Исправен (Файл подкачки)ИсправенДОСНОВНОЙ1 < >| 4,89rBWTFS[j Исправен (Систем.j №)б,84ГБЛт=5Исправен (файл п( jj Исправенной' |CeotjcTeaРис. 24.3. Для преобразования диска в динамическийнужно щелкнуть мышью в довольно неожиданном месте495

Microsoft Windows Server 20032. В диалоговом окне Преобразовать в динамический диск отметьтеДиск 1 и Диск 2 и нажмите ОК.3. Произойдет преобразование дисков в динамические. Если в этотмомент не был открыт никакой файл, компьютер не будет требоватьперезагрузки.4. У преобразованных дисков теперь в консоли Управление дискамиесть отметка Динамический.Эти два диска будут теперь использоваться для размещения информации.Чтобы работа с данными, насколько это возможно, ускорилась, создадимтак называемый чередующийся том величиной в 1 Гб.1. В консоли Управление дисками щелкните правой кнопкой мыши полюбому месту на диске и из контекстного меню выберите командуСоздать том. Появится Мастер создания тома. Нажмите Далее.2. В диалоговом окне Выбрать тип тома есть больше возможностей.Однако нас будет интересовать Чередующийся том (рис. 24.4). Установитепереключатель в это положение и нажмите Далее.3. В диалоговом окне Выбор дисков отметьте в левой части Диск 2 и,нажав кнопку Добавить, присоедините его к тем дискам, которыеуже есть в этом томе. В поле Выберите размер выделяемого пространства(МБ) введите число 500. Обратите внимание на величины,приведенные в поле Общий размер тома (МБ), и нажмите Далее.Рис. 24.5. Определение дисков, которые станут составной частью тома4. В диалоговом окне Назначение буквы диска или пути оставьте предложеннуюбукву диска и нажмите Далее.5. В диалоговом окне Форматирование тома отметьте Быстрое форматированиеи в поле метка тома введите текст «Data». НажмитеДалее.Мастер создания томовВыбор типа томаСуществуют пять типов томов: простой, составной, чередующийся,зеркальный и RAID-5.Выберите тип создаваемого тома'• ** Простой том ***">• Г £oer«SHofitOMГ( я том|Ч ередующнйся том кранит данные, равномерно распределяя их нанескольких динамических дисках. Чередующийся том обеспечивает болеебыстрой доступкданньы, чем простой или составной том :< Назад ] ДалааУ | • ОтменаРис. 24.4. Определение чередующегося тома496

Глава 24. Управление дисками6. В последнем диалоговом окне просмотрите заданную информациюи нажмите Готово.7. Теперь на обоих дисках появились разделы одинаковой величины,образующие Чередующийся том. Диск Е: теперь готов к использованию.Как работает чередующийся том?Если пользователь, например, разместит на диске Е: файл размером в 1Мб, это будет выглядеть следующим образом.Первые 64 Кб файла разместятся на первом диске (Диск 1). Вторые 64Кб — на втором диске (Диск 2). Следующие 64 Кб разместятся опять напервом диске, следующие — опять на втором и т. д. Так как информацияодновременно пишется на два диска, этот процесс происходит намногобыстрее, чем обычная последовательная запись на один диск. То же самоеотносится и к считыванию. Величину блока данных, равную 64 Кб,нельзя изменить.Если один из дисков, составляющих чередующийся том, выйдет из строя,пользователь потеряет все данные. Чередующийся том — это толькоспособ ускорения процесса записи и считывания информации с диска,однако если вы решитесь его использовать, позаботьтесь о постоянномдублировании информации, которая на нем размещена.Упрощение работы пользователейВ этом параграфе мы покажем, как пользователи, которые привыклизаписывать информацию только на один том, могут создать дальнейшеепространство для записи.Следующая последовательность может быть использована только в томслучае, когда:1. Пользователь хранит свои данные не на системном диске (обычноэто диск С:).2. Диск, на котором пользователь хранит данные, преобразован вдинамический еще до создания раздела, который использует пользователь.Чтобы смоделировать это состояние, создадим на Диске 1 другой томразмером в 100 Мб. Том создайте согласно предыдущим указаниям соследующими изменениями:• В пункте 2 выберите Простой том;• В пункте 3 оставьте отмеченным только Диск 1, а в поле Выберитеразмер выделяемого пространства (МБ) введите число 100.497

Microsoft Windows Server 2003• Теперь пользователь имеет для записи 100 Мб свободного места натоме F:, которое когда-нибудь закончится. Что делать потом?Расширение томаЕсли вы на динамическом диске, все очень просто — вы можете расширитьтом. Условием для этого будет использование на.расширяемом дискефайловой системы NTFS. Действуйте согласно следующим указаниям:1. Правой кнопкой мыши щелкните по значку диска F: и из контекстногоменю выберите команду Расширить том. Запустится Мастеррасширения тома. Продолжайте, нажав кнопку Далее.2. В диалоговом окне Выбор дисков введите в поле Выберите размервыделяемого пространства (МБ) число, на которое вы хотите расширитьтом (например, 50 Мб). В поле Общий размер тома (МБ)потом появится сумма текущего размера и заданной величины. НажмитеДалее.3. В последнем диалоговом окне нажмите Готово.Если вы теперь посмотрите на состав дисков в консоли Управление дисками,вы увидите, что расширенное место здесь отмечено как новыйтом. Однако учтите, что это изменение откатить назад не удастся. Еслив контекстном меню вы выберете команду Удалить том, то будет удаленвесь том и пользователь лишится своих данных. Расширение томов, такимобразом, нужно хорошо планировать. Разумеется, теперь не составиттруда расширять том дальше и дальше.Мастер расширения томаВыбор дисковМожно использовать место на одном или нескольких динамических дискахдля расширения этого тома.Выберите требуемь*й динзмические диски и щелкните "Добавить",Диск 2496 МБ< Удалить .< Удалить geeОбщий размер тома (МБ):Максимальное доступное пространство (МБ):J338i^^~выберите раэ.мар выделяемого пространства (МБ): •• |50Рис. 24.6. При расширении тома введите число мегабайт,на которое вы хотите его расширить498

Глава 24. Управление дискамиЕсли вам будет нужно расширить том, а на диске, где он сейчас расположен,уже недостаточно места, вы можете выбрать для расширениядругой динамический диск. В этом случае создайте так называемый Составнойтом.Создание составного тома проводится так же, как и расширение существующеготома, с тем отличием, что в диалоговом окне Выбор диска в левойчасти списка Выбранные: будет указан другой динамический диск.Составной том вы можете создать сразу, не обязательно в тот момент,когда на исходном диске закончится место. Выбор только за вами. Однакобудьте осторожны, так может произойти утрата информации, каки в случае с чередующимся томом, если один из дисков, входящих в составнойтом, выйдет из строя.Промежуточные итогиХорошо известно, что клиентские операционные системы могут работатьс динамическими дисками. В некоторых случаях эта возможность можетсильно пригодиться. На практике использование динамических дисков,однако, имеет смысл только на специализированных рабочих станциях,на которых установлено несколько физических дисков. В подавляющембольшинстве случаев Эта функция на клиентских компьютерах не используется.Преобразование дисков в динамические нужно очень хорошо планировать,так как если вы хотите вернуться к обычным дискам, нужно провестиархивацию всех данных, удалить с диска все тома и потом таким жеспособом, как и при преобразовании в динамический диск, преобразоватьв обычный.24.5. Дисковые массивы,устойчивые против ошибокЧто станет с сервером, если из строя выйдет системный диск? Можемли мы вообще допустить такую ситуацию? Можно ли к ней подготовиться?Ответ относительно прост. Это возможно, но требует знаний и достаточногоколичества жестких дисков.В начале этой главы была приведена информация о том, как должно выглядетьоптимальное расположение информации на жестких дисках. Чтоесли бы мы добавили, что лучше всего было бы все удвоить?499

Microsoft Windows Server 2003Если в вашем распоряжении есть достаточное количество дисков, которыеможно подключить к конкретному серверу, не составит никаких проблемсоздать такие тома, которые справятся с выходом из строя одного физическогодиска. Безусловно, здесь предполагается, что одновременно невыйдет из строя больше чем один диск.Поломка большего числа дисков опять бы означала выход из строя всегосервера. К томам, которые могут справиться с поломкой одного диска,относится так называемый RAID-массив (сокращение от Redundant Arrayof Independent Disks) типа 1 или 5.24.5.1. RAID-1, или зеркальный томПринцип зеркального массива очень прост — вся информация будетдублироваться. В случае выхода из строя одного из дисков необходимаяинформация будет предоставлена другим. Для реализации этого принципавам понадобится:• Система Windows Server 2003 или Windows 2000 Server.• Два динамических диска.В случае программной реализации зеркального тома нет ограничения наидентичность дисков. Если зеркалирование дисков реализовано аппаратно,то диски обязаны быть одинаковыми.Что защищать?Обычно рекомендуется использовать зеркалирование для системных изагрузочных томов. Системный том — это тот, в котором расположенызагрузочные файлы, загрузочный том — тот, в котором инсталлированасистема Windows. Запутанно, не правда ли? В большинстве случаев обаназвания относятся к одному и тому же диску С:.Как работает зеркалированиеЗа процесс дублирования информации в системах Windows Server 2003и Windows 2000 отвечает файл FTDISK.SYS (FT = Fault Tolerant, т.е.«устойчивый к ошибкам»). Это драйвер, заботящийся о том, чтобы призаписи данные писались на оба диска синхронно. Рассинхронизацияданных при зеркалировании недопустима.При считывании данных с диска драйвер FTDISK. SYS читает с основногодиска и переключается на другой только при ошибке чтения сосновного.500

Настройка зеркального томаГлава 24. Управление дискамиЗеркальный том — это разновидность составного тома, слегка отличающаясяот него порядком настройки.Предположим, что мы собираемся дублировать системный раздел С:. Нампонадобится новый диск размера не меньшего, чем диск С:.Поступайте следующим образом:1. Запустите консоль Управление дисками и проверьте, являются лиоба диска (системный и новый) динамическими. Если нет, преобразуйтеих. Так как вы преобразуете системный диск, компьютернужно будет перезагрузить.2. После перезагрузки снова запустите консоль Управление дисками.3. Правой кнопкой мыши щелкните по значку диска С: и из контекстногоменю выберите команду Добавить зеркало.4. Появится диалоговое окно Добавить зеркальный том. Отметьте диск,на который вы хотите отразить системный диск, и потом щелкнитена кнопке Добавить зеркальный том.5. Система создаст зеркальный том и проведет копирование данных(синхронизацию). Это может продолжаться несколько минут.После проведения синхронизации можно сказать, что жесткий диск застрахованот поломки, однако не на сто процентов. Может случиться, чтопосле выхода из строя главного жесткого диска (диска С:) произойдетперезагрузка компьютера и будет необходимо его запустить со второгоISComputerManagement£онсольДействие-, re -р а'ВидОкноправление компьютером (локальСлужебные программыЙ Просмотр событийШ"4gJ Общие папки[7i х й* Ш)(С)цвести/ПростсПрсПрост( jЖурналы и оповещения прi5? Data (F:) Разде!§| Диспетчер устройств||jj Запоминающие устройства•1Йтом(Н:) Простс .-ji^ Съемные ЗУ"НК Дефрагментация дискаЩ& Управление дисками- J Службы и приложенияОткрыть[ТроводникРасширить тон,,.у диска или путь к диску..Свойства±1— — •.. • Справка.. .-• ••']•} -.••""•....:.-. "• . ! •Динамический Ц (С:) •'.' • и ',, т .,..j ^щу-.--- 1 - '• .-'. . '.'•... ,• _, xt t16,00 ГБ 14,89 ГБ NTFS -/ I 16,84 ГБ NTFS | 4,27 ГБ NTFSПодключен шГисправвм (Систв! ]Исправен (Файл г ПИсправенДинамический !16,00 ГБ . 1 16,00 ГБЮдкпю*твн | Не распределен| Не распределен Щ Основной раздел | Простой томРис. 24.7. Настройка зеркального массива501

Microsoft Windows Server 2003диска. Для этого, однако, нужно, чтобы существовала запись в файлеBOOT .INI (в противном случае не будет обнаружена операционнаясистема).Для создания записи в файле BOOT, INI выполните следующие действия:1. В меню Пуск или на рабочем столе щелкните правой кнопкой мышипо значку Мой компьютер и откройте его свойства.2. На вкладке Дополнительно в части Загрузка и восстановлениесистемы нажмите кнопку Параметры. Появится диалоговое окноЗагрузка и восстановление системы. Нажмите кнопку Правка. Откроетсяприложение Блокнот, и в нем отобразится этот файл.3. Убедитесь, что в пункте [operating systems] существует не менеедвух записей (если в компьютере одна система). В нашем случаездесь существует следующая строчка:multi(O)disk(O)rdisk(0)partition(1)\WINDOWS="WindowsServer 2003, Standard"/fastdetectЭта запись означает, что операционная система будет загружаться изпапки Windows, которая находится в первом элементе (partition(l))на первом жестком диске (rdisk(O)), присоединенном к первомуканалу контроллера (multi(O)). Теперь многое зависит от способаприсоединения второго диска. Если он будет присоединен к томуже контроллеру, будет нужно в этом файле добавить следующуюстрочку:multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="WindowsServer 2003, Standard(mirror)"Если бы другой жесткий диск был присоединен как мастер к другомуконтроллеру IDE, строка выглядела бы так:multi(1)disk(0)rdisk(0)partition(1)\WINDOWS="WindowsServer 2003, Standard(mirror) "Зеркальные тома — интересное решение в той ситуации, когда выходиз строя диска не угрожает функционированию системы. Темболее интересное, что они реализованы средствами операционнойсистемы Windows Server 2003 (Windows Server 2000). По производительностиэто решение уступает аппаратному, зато выигрываету него по цене.24.5.2. RAID-5Так как зеркалирование расходует дисковое пространство крайне неэкономно,используя только половину дисков, альтернативным решением502

Глава 24. Управление дискамиможет стать том RAID-5 (чередующийся массив с контрольной суммой).Он тоже реализован средствами серверных операционных систем WindowsServer 2003 и Windows 2000 Server.Для настройки тома RAID 5 должны быть выполнены следующие условия:• Операционная система Windows Server 2003 или Windows 2000 Server;• Не меньше трех (максимум 32) динамических дисков.Для чего использовать RAID 5В массиве RAID-5 не может участвовать системный или загрузочныйдиск. Этот массив предназначен для хранения пользовательских данных,но ни в коем случае не данных операционной системы. Массив RAID 5устанавливается в систему как единый том.Как работает том RAID-5Представьте себе 3 жестких диска, на которых созданы разделы одинаковойвеличины (диски не обязательно должны быть одинаковой величины).При записи файла на том RAID-5 первые 64 Кб запишутся на первыйжесткий диск, а другие 64 Кб — на второй диск.На третий диск будет записана контрольная сумма — цепочка данных,полученная из порций данных, уложенных на первый и второй диски.При выходе первого диска из строя блок данных, потерянный на нем,можно будет восстановить по контрольной сумме и блоку данных навтором диске.При записи следующих 128 Кб положение порций данных смещается:первый блок записывается на второй диск, второй блок — на третийдиск, а контрольная сумма — на первый. И так по кругу. В результатепри выходе из строя любого диска по двум оставшимся дискам можновосстановить весь файл.Из принципа работы тома RAID-5 видны и его недостатки — медленныезапись и считывание данных. При реализации RAID-5 средствами операционнойсистемы Windows вам придется с этим смириться.Настройка тома RAID 5Для успешной настройки тома RAID 5 вам понадобится как минимумтри жестких динамических диска (не считая системного). Если они естьу вас в компьютере, действуйте согласно следующим указаниям:503

Microsoft Windows Server 20031. В консоли Управление дисками щелкните правой кнопкой мышина любом месте любого из трех жестких дисков (на нем уже можетбыть создан раздел) и из контекстного меню выберите команду Создатьтом. Запустится Мастер создания тома. Продолжите нажатиемкнопки Далее.2. В диалоговом окне Выбор типа тома отметьте RAID 5 и нажмитеДалее.Примечание.Если элемент RAID 5 неактивен, значит, у вас нет трех динамических дисков иливы работаете не в серверной операционной системе.3. В диалоговом окне Выбор дисков добавьте в список Выбранныехотя бы три жестких диска. В поле Выберите размер места (МБ)автоматически добавится свободное место — минимум из всех выбранныхдисков. Его размер может только уменьшаться, но никакне увеличиваться. Обратите внимание на используемую величину вполе Общий размер тома (МБ) и нажмите Далее.4. В диалоговом окне Назначение буквы диска или пути оставьте изначальныенастройки и нажмите Далее.5. В диалоговом окне Форматировать том выделите Быстрое форматирование,введите описательный текст в поле Метка тома и нажмитеДалее.6. В диалоговом окне Завершение работы мастера создания тома просмотритезаданные параметры и нажмите Готово.7. После создания и форматирования тома пройдет синхронизация содержимогои после этого том будет готов к использованию в полномобъеме.24.6. ИтогиДисковая подсистема — одна из важнейших составных частей, которыевлияют на всю работу системы. Чтобы справиться с недостаточной производительностьюкомпьютера, в некоторых случаях можно добавить ещедисков и перенести некоторые части системы или приложения.Системы Windows 2000/XP/2003 работают с двумя видами дисков — собычными и динамическими. Если при работе с обычными дисками нельзяожидать никаких широких возможностей, то с динамическими дискамиможно конфигурировать следующие тома:504• Простые• Составные

Глава 24. Управление дисками• Чередующиеся• Зеркальные• RAID-5Первые три типа томов есть во всех системах, зеркальные тома и томаRAID-5 — только в серверных системах.На рабочих станциях специальные тома имеют особое значение тольков особых случаях, когда нужно ускорить дисковую подсистему или добавитьпользователям еще свободного места с помощью расширениядействующих дисков.На серверах зеркальные тома и тома RAID-5 используются в качествезащиты от возможного выхода из строя физических дисков. Это так называемыемассивы, устойчивые к ошибкам: при поломке одного дискасервер может продолжать работу без затруднений. В массив RAID-5 нельзяобъединить ни уже существующие тома, ни системный и загрузочныйдиски. Их можно только отразить — создать зеркальный том.С экономической точки зрения, более дешевым выбором является томRAID-5, так как на трех дисках вы используете 66% их пространства (вотличие от 50% у зеркального тома). В составе любого тома (за исключениемзеркального) может находиться не более 32 дисков.Состояние сетиВ этой главе сеть никак не изменилась. Здесь были только представленывозможности дисков и последовательности настройки отдельных типовтомов.505

Соединяемлокальную сетьс ИнтернетомНеобходимо ли дополнительноепрограммное обеспечение?Типы подключения к ИнтернетуВозможности безопасногоподключения к ИнтернетуЧто из этих возможностей можетобеспечить сама Windows?Общий доступ к ИнтернетуТрансляция сетевых адресовMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сета

Дискуссия о том, стоит ли соединять сеть с Интернетом, не имеет смысла.При помощи Интернета коммуникации между компаниями становятсяпроще, дешевле и, прежде всего, быстрее. Пользователи, а главное, администраторыимеют под рукой достаточно информации, которая имнеобходима для работы, а компании получают недорогую возможностьпубликовать свои предложения или продавать свою продукцию черезэлектронные магазины.Однако Интернет также хранит в себе и угрозы для нашей сети (речьидет о сети, в которой все компьютеры могут соединяться друг с другом).Надо помнить, что далеко не все пользователи имеют чистые помыслы.Не надо забывать и о таких вещах, как вирусы. Они появляются не сами,их делают люди и люди же распространяют. Так или иначе, достоинстваИнтернета преобладают над его недостатками.Эта часть главы описывает действия, при помощи которых вы сможетесоединить свою сеть с Интернетом без больших финансовых затрат иочень просто.25.1. Необходимо ли дополнительноепрограммное обеспечение?Когда на практике говорят о сетях и их соединении с Интернетом, большинствоадминистраторов и пользователей использует слово «прокси»(Proxy). Что, собственно, такое этот «прокси»? Действительно ли оннеобходим?507

Microsoft Windows Server 2003Слово «прокси» в переводе с английского означает «заместитель, посредник,доверенный». Применительно к компьютерной технике и сетямупотребляется обозначение «прокси-сервер».Если в сети для подключения к Интернету используется прокси-сервер,это означает, что клиентские компьютеры не соединяются с Интернетомнапрямую, а используют посредника для этого подключения. Например,пользователь хочет подключиться к веб-странице компании Microsoft поадресу http: //www.microsoft.ru. Он запросит об этом подключениипрокси-сервер, который при помощи специального программногообеспечения сохранит запрос клиента и затем попытается установитьсоединение с сервером, на котором расположена веб-страница http: / /www.microsoft.ru.Если такое соединение установить удастся, прокси-сервер передаст ответисходному компьютеру, пославшему запрос. Если же он настроен соответствующимобразом, то прокси-сервер еще и сохранит полученнуюинформацию в своей кэш-памяти; это делается на тот случай, если другойкомпьютер в ближайшее время запросит информацию с той же страницы.Соединение, таким образом, будет более быстрым (компьютер получитинформацию с прокси-сервера) и не будет впустую тратить трафик наскачивание данных из Интернета.Таким образом, прокси-сервер является не просто соединительнымзвеном между компьютером-клиентом и Интернетом, он служит такжеи временным хранилищем для скачанных файлов. Есть еще ряд задач,с которыми он может справиться. Для пользователей и менее опытныхадминистраторов в момент, когда речь заходит о подключении к Интернету,прокси-сервер является практически единственным решением.Остается только выбрать какой-то из них, купить лицензию — и вперед,к установке и настройке.Подключение к Интернету необходимо разделить на две части — возможностьвообще подключиться и безопасность доступа.25.2. Типы подключения к ИнтернетуТипы подключения, определяемые прокси-сервером, часто бывают неточными.В принципе, существуют два варианта, которые различаютсятем, видна или нет внутренняя сеть предприятия извне.508• Подключение при помощи маршрутизатора. В этом случае каждыйкомпьютер во внутренней сети независим и должен иметь собственныйIP-адрес. Соединение с компьютерами в Интернете обеспечиваетсямаршрутизатором.

Глава 25. Соединяем локальную сеть с ИнтернетомНедостатков у такого способа сразу несколько. Первый — необходимостьиметь публичный IP-адрес для идентификации в сети каждогокомпьютера. Аренда такого адреса стоит денег, и чем большеу предприятия компьютеров, тем за большее количество адресовему придется платить. Следующим недостатком является сложностьуправления всей средой. Каждый клиентский компьютер в сети видениз Интернета, и это повышает требования к обеспечению безопасности.Соединение с помощью службы трансляции сетевых адресов. Трансляциясетевых адресов (Network Address Translation, NAT) отличаетсяиспользованием приватных IP-адресов и сокрытием от внешнего миравсей локальной сети за исключением единственного компьютера, обладающегоединственным публичным IP-адресом. Из Интернета, такимобразом, невозможно напрямую связаться с каким-либо компьютеромв сети, пространство сети является более защищенным и простым вуправлении.25.3. Возможности безопасногоподключения к ИнтернетуСпособы защиты делятся на:• Фильтрация портов. Если некто извне по вашему публичному IP-адресубудет запрашивать, например, веб-службу, вы можете запретитьдоступ к этой службе, запретив прием пакетов на порт 80 протоколаTCP. Данные, направленные извне на этот порт, никогда не дойдутдо локальной сети.Единственный веб-сервер, который вы можете использовать, долженбыть размещен вне вашей сети.• Фильтрация по приложениям на уровне протокола IP. Этот сравнительноновый способ фильтрации применяется все чаще. Если в вашейсети имеется веб-сервер, к которому возможен доступ извне, то выможете просматривать тип доступа по протоколу IP. Можно задатьправила, которые пропустят только трафик, адресованный конкретнымвеб-приложениям, а остальные пакеты будут отклонены.25.4. Что из этих возможностей можетобеспечить сама Windows?Возможно, это покажется удивительным, но все описанные возможностиподключения можно реализовать средствами систем Windows Server 2003и Windows Server 2000.509

Microsoft Windows Server 2003Эти операционные системы можно настроить как маршрутизаторы. Темне менее, для подключения к Интернету с использованием публичногоIP-адреса и учетом необходимости защиты эта возможность используетсяочень редко. Однако это не говорит о том, что системы Windows Server2003/Windows 2000 Server совсем не используются как маршрутизаторы.Гораздо более частым вариантом обеспечения соединения с Интернетомпри помощи систем Windows Server 2003 является трансляция сетевыхадресов (NAT). С ней Windows Server 2003 справляется без затруднений,и ее настройка наиболее проста. В наличии имеются, опять-таки, две возможностинастройки, которые зависят от конкретной сети и требованийпредприятия.В области обеспечения защиты доступа к сети из Интернета системаWindows Server 2003 способна лишь обеспечить фильтрацию портов, и тос ограничениями. Для фильтрации приложений на уровне протокола IPнужно устанавливать дополнительное программное обеспечение. Лучшевсего подходит ISA Server 2000, превосходящий аналогичные продуктыпо соотношению цена/качество.В дальнейшем мы рассмотрим возможности подключения сети к Интернетуи фильтрацию трафика. Вместе с этим будем предполагать, чтопостоянное соединение с Интернетом осуществляется при помощи стандартногосетевого адаптера.Примечание редактора.Подключением к Интернету должен заниматься администратор, но в любом случаемонтаж внешнего оборудования будет производить сторонняя организация. Так чтовы будете отвечать за участок до сетевого адаптера вашего сервера.25.5. Общий доступ к ИнтернетуОбщий доступ к Интернету (Internet Connection Sharing) в точностисоответствует своему названию. Он позволяет компьютерам совместноиспользовать существующее подключение. Один из компьютеров являетсяцентральным, он и подключен к Интернету, и это подключениенеобходимо разделить с остальными компьютерами.Способностью организовать общий доступ к сети Интернет (не путатьс общим доступом к модему) располагают все системы Windows 2000/ХР/2003, в том числе клиентские. То есть вы можете организовать общееподключение через обычную рабочую станцию, если ее режим работы изагруженность другими заданиями это позволяют.510

Глава 25. Соединяем локальную сеть с ИнтернетомПодключение к Интернету зависит не только от собственно самогоподключения, в игру вступают также другие службы, которые должныработать в сети. Речь, разумеется, идет о службе DNS и о службе DHCP,раздающей IP-адреса, необходимые для подключения к Интернету клиентскихкомпьютеров.Произведем настройку службы Общий доступ к подключению Интернет внашей сети. Категорически не рекомендуется выходить в Интернет черезтот же сервер, который выполняет роль сервера DNS или контроллерадомена. В нашей сети обе роли выполняет компьютер SRVR001, так чтонастраивать общий доступ к Интернету мы будем на сервере SRVR002.25.5.1. Предварительная подготовкаГотовимсяПредварительная подготовка состоит из следующих этапов:1. Установите на компьютере SRVR002 еще один сетевой адаптер.2. Зарегистрируйтесь на SRVR002 как администратор и откройте окноСетевое окружение.3. Так как перед этим был установлен еще один сетевой адаптер, всетевом окружении появится еще один элемент с именем «Подключениепо локальной сети 2». Для лучшей ориентации переименуемоба подключения следующим образом:«Подключение по локальной сети —> «LAN»«Подключение по локальной сети 2» —> «Internet»4. В свойствах подключения к Интернету настройте параметры протоколаIP в соответствии с информацией, предоставленной провайдером.Примечание.Если вы всего лишь проверяете эти действия вне сети (режим тестирования),настройте IP-адрес, например, на значение 200.200.200.200 с маской подсети255.255.255.240. IP-адрес сервера DNS не настраивайте.Теперь необходимо проверить, что IP-адрес для соединения с Интернетомверный. Без каких-либо дополнительных настроек вы должны получитьдоступ к ресурсам Интернета с локального компьютера (сайтыи файлы).511

Microsoft Windows Server 2003Правильный порядок сетевых подключенийЕсли на компьютере установлено несколько сетевых адаптеров, необходимоустановить правильный порядок их использования. Так как в доменахActive Directory не обойтись без службы DNS и поскольку адресасерверов DNS настраиваются в свойствах протокола IP, неправильныйпорядок сетевых адаптеров в серверах может вызвать ситуацию, в которойне будут применяться объекты групповой политики, могут появитьсясложности, увеличится время входа в систему и запуска приложений. Поэтомупорядок сетевых адаптеров необходимо проверить и, если нужно,исправить:1. Зарегистрируйтесь на SRVR002 как администратор.2. Откройте окно Сетевые подключения и на вкладке Дополнительнонажмите кнопку Дополнительные параметры. Откроется диалоговоеокно Дополнительные параметры, в котором можно настроить порядокпривязки подключений.3. На вкладке Адаптеры и привязки убедитесь в том, что в поле Подключенияна первом месте находится сетевой адаптер LAN, а далееследуют все остальные адаптеры (Интернета и, возможно, другие).4. Нажатием на кнопки со стрелками в правой части диалогового окнаможно изменить не устраивающий вас порядок.5. Нажатием на кнопку ОК подтвердите изменения и закройте диалоговоеокно.Дополнительные параметрын привяжи I Пс

Глава 25. Соединяем локальную сеть с ИнтернетомПримечание.Если в консоли Просмотр событий обнаружится несколько сообщений обошибках, касающихся невозможности применить объекты групповой политики(безотносительно к настройке общего доступа к Интернету), обязательно проверьтепорядок привязок. В большинстве случаев причина ошибок заключается именнов этом.25.5.2. Настройка общего доступа к ИнтернетуДля настройки общего доступа сделайте следующее:1. Зарегистрируйтесь на SRVR002 как администратор и отобразитесвойства подключения к Интернету (сетевого подключения, толькочто переименованного в «Internet»).2. На вкладке Дополнительно отметьте в части Общий доступ к подключениюк Интернету поле Разрешить другим пользователям сетииспользовать подключение к Интернету этого компьютера.3. Нажмите на кнопку ОК. Появится сообщение, приведенное на рисунке25.3. Просто согласитесь с предложенным IP-адресом, нажавкнопку Да.JL Internet - свойстваQdmUe) Проверка подлинности Дополнительно |г Брандмауэр подключения к Интернету —-- ~~:| Г" Защитить мое подключение к Интернету-.Сведения о боандмачэре подютючения к Интернетц.г Общий доступ in подключению к, Интернету| f? разрешить другим пользователям сети использовать]jПодробнее об общем достчпе к. ИнтернетО КОтменаРис. 25.2. Вкладка Дополнительно в диалоговомСвойства подключения к Интернетуокне37 Зак. 446 513

Microsoft Windows Server 2003Локальная сетьZ . Когда общий доступ к подключению к Интернету будет разрешен, сетевой плате\£у локальной сети будет назначен IP-адрес 192.168.0.1. При этом связь скомпьютерами сети ножет быть потеряна. Если другие компьютеры используют:. :: : : статические IP-адреса, следует настроить их на использование динамическихадресов. Разрешить общий доступ к подключению Интернета?Рис. 25.3. Информация о необходимости изменениясетевого адаптера в локальной сетиIP-адреса25.5.3. Как работает общий доступ?Для указанной функции в системах Windows выделена подсеть192.168.0.0/24. Для того чтобы общий доступ начал работать, в уведомлениио смене IP-адреса необходимо нажать кнопку Да.Сетевой адаптер локальной сети будет настроен на адрес 192.168.0.1 смаской подсети 255.255.255.0 (заметьте, что о маске подсети нигде неупоминается) и общий доступ к Интернету будет разрешен. Для того,чтобы все это работало, клиентские компьютеры, которые хотят получитьдоступ к Интернету, должны иметь «подобный» адрес и для них должнабыть настроена служба DNS, которая будет преобразовывать имена вИнтернете.Служба общего доступа к Интернету самостоятельно обеспечивает всефункции для успешного подключения всех компьютеров.25.5.4. Служба DHCP-диспетчерСлужба DHCP-диспетчер предназначена для упрощения настройки рабочихстанций для подключения к Интернету. Поскольку такой способподключения к Интернету определен скорее для одноранговых сетей(peer-to-peer), для которых не характерно наличие сервера DHCP, службаDHCP-диспетчер производит автоматическую настройку IP-протоколана клиентских компьютерах. Служба DHCP-диспетчер является, такимобразом, сервером DHCP с настроенными значениями, которые невозможноизменить. Эти значения следующие:• Диапазон IP адресов: от 192.168.0.2 до 192.168.0.254• Маска подсети: 255.255.255.0• Основной шлюз: 192.168.0.1• DNS сервер: 192.168.0.1Если в сети на самом деле нет стандартной службы DHCP, все в порядке.Однако в нашем случае это не так. В нашей сети помимо службы DHCPдиспетчер,имеется также сервер DHCP, и клиентские компьютеры скорееполучат IP-адрес от него. Однако это может вызвать серьезную нагрузку514

Глава 25. Соединяем локальную сеть с Интернетомна сеть. Стандартный сервер DHCP сейчас выделяет IP-адреса из подсети192.168.10.0/24, с которых клиентские компьютеры не подключатсяк Интернету, а если полностью перейти на службу DHCP-диспетчер, токлиентские компьютеры будут иметь неправильный адрес сервера DNSи не смогут корректно работать в локальной сети.Для нашей сети имеется единственное решение, которое заключаетсяв ручной настройке клиентских компьютеров. Другим способом нельзяразрешить конфликт в выделении адресов сервера DNS. Если для вашейсети это так, действуйте согласно следующим инструкциям:1. Зарегистрируйтесь на SRVR001 как администратор.2. Запустите консоль DHCP и деактивируйте настроенную область.3. Отобразите свойства подключения к локальной сети и настройтепараметры протокола IP следующим образом: IP-адрес 192.168.0.2,маска подсети 255.255.255.0, основной шлюз 192.168.0.1, адресDNS-сервера 192.168.0.2 (должен быть клиентом для себя). Еслииспользуется сервер WINS, задайте следующее значение его адреса;192.168.0.2.4. Поочередно зарегистрируйтесь как администратор на всех клиентскихкомпьютерах и других сетевых устройствах, использующих серверDHCP, и вручную настройте протокол IP следующим образом:• IP-адрес : от 192.168.0.3 до 192.168.0.254• Маска подсети: 255.255.255.0• Основной шлюз: 192.168.0.1• DNS-сервер: 192.168.0.2При присвоении IP-адреса принимайте во внимание план их распределения,описанный в главе 3, «Учим компьютеры общаться в сети», где мыопределили диапазоны IP-адресов, присваиваемых серверам, клиентскимкомпьютерам и сетевому оборудованию. С учетом довольно значительного(глубокого) изменения в настройках целой сети необходимо запланироватьизменение IP-адресов на время, когда пользователи не работаютна компьютерах.Поэтому после окончания ручной конфигурации, подключение к Интернетуеще не будет работать. Здесь не хватает механизма преобразованияимен.25.5.5. Служба прокси DNSПоскольку служба общего подключения к Интернету определена преимущественнодля сетей peer-to-peer, для которых не характерно наличиесервера DNS, ее компонентой является служба Прокси DNS. Прокси DNSопределяет для клиентских компьютеров трансляцию внешних имен, тоесть Интернет-имен. Компьютер с разрешенным общим доступом своего515

Microsoft Windows Server 2003подключения к Интернету работает как ретранслятор, и любые запросы,настроенные на подключение к Интернету, ретранслирует серверуDNS.Если бы в сети работала только служба DHCP-диспетчер и клиентскиекомпьютеры получали IP-адреса от нее, то можно было бы обойтись бездальнейшей настройки. В нашей сети это, однако, невозможно. СерверомDNS является сервер SRVR001, в то время как подключение к Интернетуобеспечивает сервер SRVR002. Если бы все компьютеры использоваликак сервер DNS лишь SRVR002, домен Active Directory перестал бы функционировать.Однако этого позволить нельзя, и необходимо обеспечитьсосуществование служб DNS и Прокси DNS.Вся приведенная выше настройка протокола IP на компьютерах говорит отом, что сервером DNS и в дальнейшем будет являться сервер SRVR001.Для успешной трансляции имен Интернета в настоящий момент существуетдва решения. Первое из них представлено на рисунке 25.4.Пользователь запрашивает веб-страницу, находящуюся по адресуwww.microsoft.com. Первым делом нужно определить IP-адрес, соответствующийимени www в зоне microsoft.com, поэтому рабочая станция отправляетDNS-запрос своему DNS-серверу, которым является компьютерSRVR001. Тот не располагает о зоне microsoft.com никакой информациейи передает запрос на исполнение компьютеру SRVR002.Компьютер SRVR002, который настроен как Прокси-сервер DNS, передастзапрос на исполнение Интернет-серверу DNS, IP-адрес которогоSRVR002 (ICS)516SRVR001 (DNS.DC)Рис. 25.4. Запросы DNS, которые не может выполнить сервер SRVR001,передаются на SRVR002

Глава 25. Соединяем локальную сеть с Интернетомвведён в параметрах подключения к Интернету. После преобразованияимени IP-адрес вернётся на рабочую станцию тем же путем, но в обратномпорядке.Для того чтобы приведенная последовательность работала, на сервере SRVR001необходимо настроить перевод невыполненных запросов DNS серверу SR-VR002. Это можно сделать согласно следующим инструкциям:1. Зарегистрируйтесь на РС001 как администратор и запустите консольDNS.2. Правой кнопкой мыши щелкните по серверу SRVR001 и из контекстногоменю выберите команду Свойства.3. В диалоговом окне SRVR001 — Свойства перейдите на вкладкуПересылка. Убедитесь в том, что в части Домен DNS присутствуетзапись Все остальные домены DNS, а в поле Список IP-адресовсерверов пересылки для данного домена сервера для выбранногодомена введите IP-адрес локального сетевого адаптера компьютераSRVR002. Затем нажмите кнопку Добавить.4. Нажатием на кнопку ОК подтвердите произведенные изменения изакройте диалоговое окно.Приведенная настройка сделана для среды, в которой не используетсяслужба DNS и для локального сетевого адаптера не указан DNS-сервер.Такой локальный адаптер любые приходящие запросы автоматическипередает внешнему сетевому адаптеру. Если компьютер является членомдомена (как в нашем случае), то на его локальном адаптере настроенIP-адрес внутреннего сервера DNS, которому он будет передавать всезапросы, и трансляции имен Интернета не будет происходить.В доменном окружении удобно настроить топологию для трансляцииимен несколько иначе (и возможно, проще). Речь идет о втором возможномрешении, и его принцип представлен на рисунке 25.5.Не дайте рисунку запутать себя. Сервер SRVR002 здесь вынесен лишьпотому, что он не участвует в трансляции имен DNS. Его нельзя совсем непринимать во внимание, поскольку именно он предоставляет соединениес Интернетом. Если клиент запросит сервер SRVR001 о трансляции именикомпьютера в зоне microsoft.com в IP-адрес, сервер SRVR001 попробуетвыполнить данный запрос. Поскольку он не имеет информации о зонеmicrosoft.com, то передаст запрос далее серверу DNS в Интернете. Этонеобязательно должен быть сервер DNS, рекомендованный провайдером(сервер, IP-адрес которого приведен в свойствах сетевого адаптера Internetв компьютере SRVR002). Можно выбрать любой DNS-сервер, которыйбудет отвечать вашим требованиям, но выбор сервера DNS провайдерапредпочтителен.517

Microsoft Windows Server 2003SRVR002 (ICS)обращение к www.microsoft.comSRVR001 (DNS, DC)Рис. 25.5. Трансляция внешних имен DNS в среде доменасо службой Общий доступ подключения к Интернету25.5.6. Безопасность сети и доступк ресурсам ИнтернетаПосле успешной настройки пользователи всех компьютеров в сети смогутподключаться к Интернету. Их доступ никоим образом не ограничен.Кроме того, они могут использовать любые службы Интернета (www,ftp, smtp и другие). Лишь от пользователей зависит, каким образом онираспорядятся своими возможностями. Способов для ограничения доступавовне (из локальной сети в Интернет) средствами Windows Server 2003не существует.Иначе обстоит дело с доступом извне (из Интернета к локальной сети).Вся сеть, с точки зрения пользователя Интернета, скрыта за одним внешнимIP-адресом. Если по этому адресу будут запущены службы www, ftpили smtp, то они будут доступны из Интернета. К службам внутреннейсети пользователи Интернета доступ получить не смогут.Примечание.Если перед любой настройкой доступа к Интернету на данном компьютере имеласьработающая веб-служба, то после установки еще одного сетевого адаптерапроизойдет ее запуск и для него тоже. Следствием этого после подключения сети кИнтернету явится неограниченный, а следовательно, никак не защищенный доступИнтернет-пользователей к веб-службам компьютера.518

Глава 25. Соединяем локальную сеть с ИнтернетомОднако речь идет о начальной конфигурации, которую в системах WindowsServer 2003 можно подкорректировать. Далее рассмотрим различныеварианты.Доступ к внутреннему веб-серверуЕсли, например, на компьютере РС001 имеются работающие веб-серверыи вы хотите сделать их доступными для всех пользователей, в том числеи для пользователей Интернета, необходимо настроить этот доступ накомпьютере SRVR002, который является шлюзом для входа в сеть. Описанныениже действия называются публикацией веб-сервера. Действуйтесогласно следующим инструкциям.1. Зарегистрируйтесь на SRVR002 как администратор.2. Отобразите свойства подключения сети к Интернету. В диалоговомокне свойств перейдите на вкладку Дополнительно.3. В правой нижней части нажмите кнопку Параметры. Появится диалоговоеокно Дополнительные параметры.4. Отметьте поле Веб-сервер (HTTP). Откроется диалоговое окно Параметрыслужбы.5. В поле Имя или IP-адрес компьютера введите имя компьютераРС001 или его IP-адрес. Проще и быстрее ввести IP-адрес.Примечание.Веб-серверы всегда должны иметь статический IP-адрес.11|.т..г.|аш,|Я|.п|а|Гг.Т:ЛД1Г• Сщя&ы |е сл^гжбы. работаюшие в вашей сети, к которыммл-у* п^л^члть доступ пользователи ИнтернетаСлужбы: .. '."'' . . . " : "3 FTP-серверTelnet-серверИ Безопасный веб-сервер (HTTPS]• Вебсервер (HTTP)Дистанционное управление рабочим столомJ Почтовьй сервер Интернета (SMTP)Протокол Internet Mail Access Piotocol. версия 3 (IMAP3)Протокол Internet Май Access Protocol, версия 4 (IMAP4)Протокол Post-Olfice Protocol, версия 3 (РОРЭ)Добавить И ""'""">• |Рис. 25.6. Диалоговое окно Дополнительные параметры519

Microsoft Windows Server 20036. Заметьте, что для этой службы нельзя исправить номера ни внешнего,ни внутреннего порта и нажатием на кнопку ОК закройтедиалоговое окно.7. Нажатием на кнопку ОК закройте остальные открытые диалоговыеокна.Если хотите сделать доступными также и другие службы, отметьте соответствующееполе и произведите конфигурацию аналогично тому, какэто было сделано для веб-сервера. Иногда может потребоваться сделатьдоступным приложение, которое не использует стандартные известныепорты. Скажем, речь идет о приложении, использующем порт 880 протоколаTCP. В этом случае в диалоговом окне Дополнительные параметрынажмите кнопку Добавить и в окне Параметры службы введите Описаниеслужбы, IP-адрес, номера внутреннего и внешнего портов (в обоихслучаях 880) и выберите протокол (для TCP).Иногда может понадобиться организовать доступ к двум внутреннимвеб-серверам из Интернета. В этом случае возможны два решения. Одноиз них предназначено для пользователей, которые знают номер порта,и по нему получают доступ к веб-серверу, второе решение для большойгруппы пользователей Интернета, которые ожидают, что веб-сервервсегда работает по портам 80 (HTTP) и 443 (HTTPS).В первом случае поступим следующим образом:1. Зарегистрируйтесь на SRVR002 как администратор.2. Отобразите свойства подключения сети к Интернету. В диалоговомокне свойств перейдите на вкладку Дополнительно.3. В правой нижней части нажмите кнопку Параметры. Появится диалоговоеокно Дополнительные параметры (см. рисунок 25.6).4. Нажмите кнопку Добавить и в диалоговом окне Параметры службывведите Описание службы (например, «веб-сервер на компьютереРС002») и IP-адрес. В поле Номер внешнего порта службы введитеномер порта, на который будут затем подключаться к веб-серверуизвне, а в поле Номер внутреннего порта службы введите значение81 и отметьте поле TCP.5. Нажатием на кнопку ОК закройте все диалоговые окна.Если пользователи из Интернета хотят получить доступ к веб-серверу на компьютереРС001, необходимо задать в браузере адрес http://200.200.200.200.Если же необходимо получить доступ к веб-серверу на компьютереРС002, необходимо задать в браузере адрес в виде http://200.200.200.200:81(81 здесь означает номер внешнего порта).520

Глава 25. Соединяем локальную сеть с ИнтернетомРС002Рис. 25.7. Доступ к конкретному веб-серверу определяется по номеру портаЗащита внешнего интерфейсаОперационные системы Windows Server 2003 и Windows XP Professionalсодержат новую функцию — брандмауэр для защиты подключения кИнтернету. Речь идет о блокировании приема внешних пакетов с возможностьюнастройки исключений.Конфигурация защиты очень проста:1. Зарегистрируйтесь на SRVR002 как администратор.2. Отобразите свойства подключения сети к Интернету. В диалоговомокне свойств перейдите на вкладку Дополнительно.3. В верхней части диалогового окна установите флажок Защитить моеподключение к Интернету.4. Нажатием на кнопку ОК подтвердите установки и закройте диалоговоеокно свойств подключения.Теперь любое соединение (за исключением настроенных выше) с внешниминтерфейсом сети запрещено. Это просто проверить командой PING.На вкладке Дополнительные параметры тем временем появятся две новыевкладки — Ведение журнала безопасности и ICMP.Если некто извне попытается соединиться с вашей сетью, брандмауэрбудет блокировать входящие пакеты. На вкладке Ведение журнала безопасностиможно определить, нужно ли протоколировать информацию облокированных пакетах или же успешных подключениях. На этой вкладкеможно задать имя, размещение и размер файла протокола.Вкладка ICMP служит для ограничения обмена по протоколу ICMP.Это протокол, по которому устройства, работающие по протоколу TCP,посылают сообщения об ошибках. Утилита PING тоже работает по протоколуICMP. Поскольку в начальной конфигурации брандмауэра всепакеты протокола ICMP запрещены, внешний сетевой адаптер не будет521

Microsoft Windows Server 2003отвечать на запросы PING. Отклик на команду PING можно разрешить,установив флажок Разрешить запрос входящего эха.Примечание.L—йЛ Отклик на команду PING разрешать необязательно. Если для этого нет вескихдоводов, оставьте значением по умолчанию ограничение протокола ICMP.25.5.7. Итого об Общем доступе к ИнтернетуОбщий доступ к подключению Интернет использует для доступа к Интернетутрансляцию сетевых адресов. Этой функцией располагают всесистемы Windows 2000/XP/2003, в том числе и системы для клиентскихкомпьютеров. Основным ограничением общего доступа к подключениюИнтернета в больших сетях является необходимость использовать IP-адресаиз подсети 192.168.0.0/24. Поскольку изменение IP-адресации являетсядовольно чувствительным вмешательством в сеть, которого некоторыепредприятия не могут себе позволить, то на этих предприятиях нужноискать другие способы подключения к Интернету.Подсеть 192.168.0.0/24 позволяет подключить к Интернету не более 254 компьютеров,в том числе и тот, который обеспечивает это подключение.Одновременно с разрешением этой функции произойдет автоматическийзапуск служб DHCP-диспетчер и прокси-сервера DNS. Если в сети используетсяклассический сервер DHCP, он очень плохо сосуществует сослужбой DHCP-диспетчер, и единственным решением является ручнаянастройка клиентских компьютеров. Служба прокси DNS будет ужеработать без проблем с классической службой DNS. Единственное, чтонеобходимо скорректировать, — это трансляцию внешних имен.Имея единственный публичный IP-адрес, можно сделать локальныересурсы (например, веб-сервер) доступными пользователям извне. Этоможет привести к увеличению загруженности только в случае необходимостисделать доступными большее количество внутренних веб-серверов.Решением в этом случае является использование нестандартных портовпротокола TCP, как было показано выше.25.6. Трансляция сетевых адресовТрансляция сетевых адресов (Network Address Translation, NAT) являетсядругим решением для подключения сети к Интернету. Она не такограничена, как вышеприведенный способ, и предоставляет больше522

Глава 25. Соединяем локальную сеть с Интернетомвозможностей для настройки. Ее можно использовать лишь в серверныхоперационных системах (Windows 2000 Server, Windows Server 2003). Toесть эта служба является одним из протоколов службы Маршрутизацияи удаленный доступ.Этот способ подключения также удобен для нашей сети и обычно используетсядля любой большой сети с доменной средой.25.6.1. Основная настройкаНастройку трансляции сетевых адресов произведем на сервере SRVR0-02. Перед этим необходимо удостовериться, что в случае возникновениянеобходимости возможно будет вернуться к первоначальным значениям.Параметры подключений должны быть следующими:• Сервер SRVR001адрес 192.168.10.2маска подсети 255.255.255.0основной шлюз 192.168.10.1адрес сервера DNS 192.168.10.2адрес сервера WINS 192.168.10.2• Сервер SRVR002 (внутренний сетевой адаптер)адрес 192.168.10.1маска подсети 255.255.255.0адрес сервера DNS 192.168.10.2адрес сервера WINS 192.168.10.2• Сервер SRVR002 (внешний сетевой адаптер) — параметры подключениязадает провайдер Интернета. Для лабораторного тестированияможно использовать, например, IP-адрес 200.200.200.200 и маску подсети255.255.255.240. Ни основной шлюз, ни сервер DNS не являютсянеобходимыми в лабораторных условиях.• Клиентские компьютеры ~ настроены на получение параметров протоколаIP от сервера DHCP.• Общий доступ к подключению Интернета и брандмауэр — выключены.IP-адрес внутреннего сетевого адаптера компьютера SRVR002 был изначально192.168.10.3 (один из адресов диапазона, предназначенного длясерверов). Поскольку, так или иначе, сервер SRVR002 будет исполнятьроль основного шлюза, изменим его адрес на 192.168.10.1 (см. главу 3).На всех компьютерах, которые будут подключены к Интернету, долженбыть указан адрес основного шлюза — 192.168.10.1. Для компьютеров,адресуемых вручную, необходимо вручную же ввести этот адрес, длякомпьютеров, адресуемых автоматически, — настроить сервер DHCPдля выдачи этого адреса:523

Microsoft Windows Server 20031. Зарегистрируйтесь на РС001 как администратор и запустите консольDHCP.2. Раскройте контейнер сервера SRVR001 и область «Main office»3. Правой кнопкой мыши щелкните по контейнеру Параметры областии из контекстного меню выберите команду Настроить параметры.Появится диалоговое окно Область — параметры.4. Отметьте поле 003 Маршрутизатор, в поле IP-адрес введите адрес192.168.10.1 и затем нажмите кнопку Добавить. Нажатием на кнопкуОК закройте диалоговое окно.5. В компьютере РС001 запустите командную строку и введите командуipconfig /renew. После успешного обновления IP-адреса введите командуipconfig /all и затем убедитесь в том, что компьютер РС001 также получиладрес основного шлюза. Это действие проделайте со всеми компьютерами,настроенными на автоматическое получение IP-адреса.Перед дальнейшими действиями также проверьте правильность порядкасетевых адаптеров компьютера SRVR002. Первым по порядку долженбыть адаптер внутренней сети.25.6.2. Настройка трансляции сетевых адресовДля настройки трансляции сетевых адресов:1. Зарегистрируйтесь на SRVR002 как администратор и запуститеконсоль Маршрутизация и удаленный доступ.И Примечание.Если команда Маршрутизация и удаленный доступ недоступна через меню Пуск,запустите консоль ММС и добавьте к ней оснастку Маршрутизация и удаленныйдоступ.2. Правой кнопкой мыши щелкните по контейнеру Состояние сервераи из контекстного меню выберите команду Добавить сервер.3. В диалоговом окне Добавить сервер отметьте поле Данный компьютери затем нажмите кнопку ОК. В консоли после этого появитсязначок сервера SRVR002 с красной пометкой. Она говорит о том,что служба Маршрутизация и удаленный доступ не настроена и незапущена.4. Правой кнопкой мыши щелкните по значку сервера SRVR002 и изконтекстного меню выберите команду Настроить и включить маршрутизациюи удаленный доступ. Запустится Мастер установки серверамаршрутизации и удаленного доступа. Нажмите кнопку Далее.Примечание.Вам не удастся запустить Мастер настройки, пока вы не отмените общий доступк подключению к Интернет.524

Глава 25. Соединяем локальную сеть с Интернетом5. В диалоговом окне Конфигурация отметьте поле Преобразованиесетевых адресов (NAT) и затем нажмите кнопку Далее.6. В диалоговом окне Подключение к Интернету на основе NAT обозначьтеадаптер, который будет подключать сеть к Интернету и отметьтеполе Обеспечить безопасность на данном интерфейсе. Затемнажмите кнопку Далее.7. В диалоговом окне Завершение мастера сервера маршрутизации иудаленного доступа просмотрите предоставленную информацию изатем нажмите кнопку Готово.Теперь служба Маршрутизация и удаленный доступ настроена на автоматическийзапуск. В консоли управления этой службой можно раскрытьконтейнер сервера SRVR002 и просмотреть настройки перевода сетевыхадресов. Действуйте согласно следующим инструкциям:1. В консоли Маршрутизация и удаленный доступ щелкните по контейнеруIP маршрутизация, и в правом подокне отобразите свойствазначка NAT/простой брандмауэр.2. На вкладке Назначение адресов обратите внимание на то, что полеНазначить IP-адреса с помощью DHCP-распределителя не отмечено.Речь идет об уже упомянутой ранее службе DHCP-диспетчер,которая в нашем варианте настройки отключена. Однако здесь всев порядке, поскольку в сети работает обычный сервер DHCP.3. На вкладке Разрешение имен в адреса обратите внимание на то, чтополе Разрешать имя в IP-адрес для клиентов, использующих службуDNS не отмечено. Речь идет о службе прокси DNS, необходимостив которой при правильно настроенном сервере DNS нет.4. Нажатием на кнопку ОК закройте диалоговое окно.5. Раскройте контейнер NAT/простой брандмауэр. В левом подокнеконсоли появятся как минимум три сетевых интерфейса.Правой кнопкой мыши щелкните по значку интерфейса «LAN» иотобразите его свойства. В диалоговом окне обратите внимание нато, что поле Локальный интерфейс подключения к локальной сетиотмечено. Нажатием на кнопку Отмена закройте это окно.6. Правой кнопкой мыши щелкните по значку интерфейса «Internet»и отобразите его свойства. В диалоговом окне обратите вниманиена то, что речь идет о Публичном интерфейсе подключения к Интернету.Одновременно здесь должны быть установлены флажкиВключить NAT на данном интерфейсе и Включить основной брандмауэрдля этого интерфейса (эта настройка была сконфигурированав Мастере установки).Брандмауэр защищает всю сеть (в том числе и публичный интерфейс)от доступа из Интернета. Однако в направлении из внутренней сети вИнтернет пользователь никак не ограничен.525

Microsoft Windows Server 2003Если необходимо ограничить какой-либо трафик в направлении из сети(например, протокол ICMP, то есть отклики на команду PING), действуйтеследующим образом:1. Отобразите свойства интерфейса «Internet» и на вкладке NAT ипростой брандмауэр нажмите кнопку Фильтры выхода. Появитсядиалоговое окно с таким же названием.2. Нажмите на кнопку Создать. Откроется диалоговое окно ДобавлениеIP-фильтра, где вы можете выбрать из списка протокол, обмен по которомусобираетесь ограничить, и указать параметры ограничения.Выберите протокол ICMP, поля Тип ICMP и Код ICMP оставьтепустыми и нажмите кнопку ОК.3. Теперь пошлите запрос PING с любого узла вашей сети на любойадрес в Интернете и убедитесь, что ответа не придет.Настройка фильтрации IP-протокола имеет две особенности. Первая,настройка по умолчанию, её мы уже использовали, говорит о том, чтомогут проходить любые пакеты, кроме указанных. Вторая же, наоборот,говорит о том, что могут проходить лишь указанные. Фильтрацию протоколаIP, таким образом, необходимо хорошо продумать для того, чтобыне пришлось создавать больше правил, чем это реально необходимо.25.6.3. Доступ извне к ресурсам локальной сетиНастройка доступа, например, к внутреннему веб-серверу никак неотличается от настройки, которую мы привели для общего доступа кИнтернету. Для настройки этих подключений в диалоговом окне Свойства:Интернет служит вкладка Службы и порты, на которой внутренниересурсы настроены подобно тому, как для функции общего доступа кподключению Интернета. Другая ситуация возникает в случае, когданеобходимо предоставить доступ к большему количеству веб-серверови все на 80 порт.Хотите вы того или нет, для этой ситуации вам необходимы два публичныхIP-адреса. Если пользователь извне обратится к порту 80 по первомуадресу, его запрос будет перенаправлен, например, на компьютер РС001.Если кто-то обратится к порту 80 по второму адресу, его запрос будетперенаправлен на компьютер РС002.Настройка доступа к двум внутренним веб-серверамКонфигурация доступа к большему количеству внутренних веб-серверовбудет складываться из нескольких шагов:• Получение второго IP-адреса для внешнего интерфейса.526

Глава 25. Соединяем локальную сеть с Интернетом• Определение пула адресов (диапазона публичных IP-адресов, известныхв Интернете).• Переадресация запросов на конкретные серверы.Присвоение второго IP-адресаВторой IP-адрес не может быть задан произвольно, его необходимо получитьу провайдера подключения к Интернету. Пока предположим,что провайдер кроме адреса 200.200.200.200 выделил нам также адрес200.200.200.199. Добавьте этот адрес с маской подсети 255.255.255.240 ксетевому подключению по имени «Internet».Определение пула адресов и доступность внутренних ресурсов1. Зарегистрируйтесь на SRVR002 и запустите консоль Маршрутизацияи удаленный доступ.2. В левом подокне щелкните по контейнеру Протокол NAT и брандмауэр,затем в правом подокне отобразите свойства интерфейса«Internet».3. На вкладке Пул адресов нажмите кнопку Добавить, появится диалоговоеокно Добавить фонд адресов.4. В поле Начальный адрес введите адрес 200.200.200.199, в поле Конечныйадрес — адрес 200.200.200.200. В поле Маска введите значение255.255.255.240, затем нажмите на кнопку ОК.5. Нажмите на кнопку Применить и перейдите на вкладку Службы ипорты.6. Отметьте службу веб-сервер HTTP и в диалоговом окне Настроитьслужбу оставьте значения по умолчанию, лишь для поля Приватныйадрес введите IP-адрес компьютера РС001. Нажмите на кнопкуОК.7. Нажмите кнопку Добавить и в диалоговом окне Добавить службувведите параметры веб-сервера на РС002: переключатель Публичныйадрес установите в положение Из пула адресов и выберите значение200.200.200.199; в качестве приватного адреса укажите адрескомпьютера РС002; в поля внутреннего и внешнего портов введитезначение 80.8. Нажатием на кнопку ОК закройте все диалоговые окна.Эти действия можно рассматривать как системное решение. Пользователивсегда ожидают, что веб-сервер работает по порту 80, поэтому номерпорта в запросах не указывают. После проведенной настройки они смогутобратиться к обоим нашим веб-серверам.Менее системным, но более дешевым (не нужно арендовать еще одинпубличный IP-адрес) было решение, приведенное в п.25.6.1, где запрос527

Microsoft Windows Server 2003перенаправлялся на тот или другой внутренний веб-сервер в зависимостиот указанного внешним пользователем порта.25.6.4. Трансляция имен ИнтернетаПри подключении к Интернету необходимо обеспечить сопоставление IPадресовадресам Интернета. Если во внутренней сети настроена службаDNS, ситуация проста и компьютеры можно настроить на передачу невыполненныхзапросов некоторому серверу DNS в Интернете. Действуйтесогласно следующим инструкциям:1. Зарегистрируйтесь на РС001 как администратор и запустите консольDNS, подключенную к серверу SRVR001 .2. Правой кнопкой мыши щелкните по контейнеру SRVR001 и изконтекстного меню выберите команду Свойства.3. В диалоговом окне SRVR001 — свойства перейдите на вкладку Сервердля передачи. Проверьте, что в части Домен DNS активен пунктВсе остальные домены DNS, и в поле Список IP- адресов серверовдля ретрансляции у выбранного домена введите IP-адрес внешнегосервера DNS (полезно использовать IP-адрес, предоставленный провайдером,этот же адрес настроен на внешнем сетевом адаптере).Затем нажмите кнопку Добавить.4. Нажатием на кнопку ОК подтвердите настройки и закройте диалоговоеокно.Если в сети нет сервера DNS, можно использовать службу прокси DNS.Для ее работы не обязательно настраивать Общий доступ к Интернету.Настройка службы DNS производится так.1. Зарегистрируйтесь на SRVR002 как администратор и запуститеконсоль Сеть и удаленный доступ.2. Раскройте контейнер SRVR002 и затем отобразите диалоговое окносвойств значка Протокол NAT и брандмауэр.3. На вкладке Трансляция IP адресов установите флажок ИспользоватьIP адреса для клиентов использующих службу DNS (Domain NameSystem).4. Нажатием на кнопку ОК закройте диалоговое окно.Условием функциональности этой настройки является, конечно же, корректнаянастройка клиентских компьютеров. Все, кто хочет работать сименами в Интернете, должны иметь в качестве сервера DNS IP-адрескомпьютера со службой NAT.528

Глава 25. Соединяем локальную сеть с Интернетом25.6.5. Итого о трансляции сетевых адресовЭтот способ подключения к Интернету не требует изменений адресациипротокола IP. Он способен принять любой IP-адрес, который можно использоватьв сетях, а не только адрес из подсети 192.168.0.0/24. Этим в тоже время устраняется ограничение на количество компьютеров, которыевозможно подключить к Интернету этим способом.Трансляцию сетевых адресов (NAT) можно настроить лишь в системахWindows Server 2003 и Windows 2000 Server. При помощи протоколаNAT можно подключаться к внутренней сети через несколько публичныхIP-адресов. Более того, возможно фильтровать трафик протокола IP наконкретных внутренних и выделенных IP-адресах.Службы DHCP-диспетчер и прокси DNS не обязательны. В настройкахпо умолчанию они отключены.25.7. ИТОГИЕсли вы хотите подключить свою сеть к Интернету, для этой цели совершенноне обязательно покупать дополнительное программное обеспечение,поскольку требуемые для этого функции предоставлены в системахWindows 2000/XP/2003.Для небольшой сети без домена вполне достаточно функции Общегодоступа к Интернету. Эту функцию можно настроить как в серверныхоперационных системах, так и в системах для клиентских компьютеров.Эта служба автоматически запускает DHCP-диспетчер и Прокси DNS,которые нельзя ни настроить, ни отключить. Локальному интерфейсу накомпьютере, который предоставляет свое подключение к Интернету вобщий доступ, автоматически присваивается IP-адрес 192.168.0.1, и службаDHCP-диспетчер присваивает клиентским компьютерам следующиеIP-адреса из подсети 192.168.0.0/24.В области безопасности этого подключения (то есть защиты внутреннейсети от доступа из Интернета) системы Windows XP и Windows Server2003 имеют преимущества, поскольку они содержат встроенную функциюбрандмауэра. Хотя она по умолчанию не включена, это вопрос установкиодного-единственного флажка. Дальнейших средств обеспечения безопасностиподключения этого типа не существует.В домене или просто большой сети, разделенной на подсети, подключениетипа Общий доступ использовать невозможно по причине ограниченияадресации протокола IP. Для таких сетей предназначено подключениечерез трансляцию сетевых адресов (NAT). Этот тип подключения имеетбольше возможностей настройки. Он не ограничена лишь подсетью529

Microsoft Windows Server 2003192.168.0.0/24, и для доступа к средствам внутренней сети из Интернетаможно использовать большее количество публичных IP-адресов.Так же, как при подключении типа Общий доступ, можно защищать всювнутреннюю сеть брандмауэром. Более того, в данном случае можноограничить конкретный трафик в направлении из сети к Интернету.Правила ограничения можно определить на основании IP-адресов, но нена основании членства в группах в домене Active Directory. Также нельзя,например, ограничить доступ к конкретным веб-серверам, которые всвоём имени содержат запрещенные слова. Для этих целей необходимоустановить дополнительное программное обеспечение — например, ISAServer 2000.Состояние сетиС этого момента сеть подключена к Интернету. Подключение обеспечиваетсяпосредством службы трансляции сетевых адресов (NAT) на сервереSRVR002, на котором для этой цели установлен второй сетевой адаптер.О выделении IP-адресов и других параметров (в том числе и адресаосновного шлюза) далее заботится служба DHCP, а о трансляции имен— служба DNS. Запросы на трансляцию внешних имен она отправляетвнешнему серверу DNS, адрес которого вы получили у провайдера.Поскольку сервер SRVR002 является основным шлюзом, его IP-адресбыл вручную исправлен на 192.168.10.1.В Интернет и обратно ходят пакеты любых протоколов, кроме ICMP, запрещенногополностью. Поэтому из внутренней сети нельзя проверитьдоступность внешних узлов по команде PING. Такая настройка фильтране слишком полезна, она. приведена только как пример возможностейфильтрации протоколов. Можете ее удалить.530

Настраиваемудаленныйдоступ к сети,Если пользователямнужно работатьиз домаНе остаться ли нам,администраторам, тоже дома?Возможности удаленного доступаНастройка удаленного доступаMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Очевидно, что большинству пользователей было бы приятно, если бы имне пришлось бы каждый день ходить на работу, и они могли работатьдома. Это скорее психологический, чем технический вопрос, потому чтосредства обеспечения нормальной работы на дому существуют уже давно,вопрос же заключается в том, смогут ли пользователи заставить себяработать столь же успешно, как и на работе.Решение вопроса, разрешать ли работу на дому, остается за руководителямипредприятия. Для нас же важен вопрос, как настроить сеть такимобразом, чтобы пользователь мог входить в нее откуда угодно — из своегоподразделения, дома или кафе.Существует несколько возможностей организовать удаленный доступк сети, и выбор между ними зависит от конкретных требований, в томчисле требований безопасности. Например, абсолютно недопустимо,чтобы при подключении пользователя к домену его регистрационныеданные передавались в незашифрованном виде; то же обычно относитсяи к данным.В этой главе мы рассмотрим возможные решения задачи удаленного доступа,его безопасности, и, как обычно, примеры конкретных ситуаций.26.1. Не остаться ли нам,администраторам, тоже дома?Если вы можете себе это позволить, то почему бы и нет?Администратор типа «прислуга за все», занятый еще и консультированиемпользователей, этого позволить себе не может. Даже если на всех рабочихстанциях установлена Windows XP Professional — единственная на сегодня532

Глава 26. Настраиваем удаленный доступ к сетиклиентская операционная система, предоставляющая удаленный доступк рабочему столу, — то далеко не всякий пользователь сможет внятноописать свою проблему; более того, многие просто боятся, когда кто-тоберет на себя управление их компьютером, и скорее выключат его, чемразрешат удаленный доступ.Если же вы управляете своим доменом концептуально, сосредоточившисьна его главных функциях и развитии, а повседневные задачи возложилина подчиненных администраторов, то работа из дома может стать длявас неплохой альтернативой. Она станет еще более эффективной, есливы установите в сети программный продукт, который будет активно (вформе SMS-сообщений) обращать ваше внимание на сбои в работе отдельныхкомпьютеров. В этом случае вы не должны целый день проводитьу компьютера и можете заниматься другими делами, реагируя насообщения о проблемах.Однако оставим теорию. Каждый администратор или пользовательдолжен сам решить, может ли он выполнять всю свою работу в режимеудаленного доступа и будет ли это выгодно.26.2. Возможности удаленного доступаУдаленный доступ к сети состоит из трех основных компонентов: клиента,выполняющего соединение с сетью, сервера, к которому подключаетсяклиент, и среды передачи данных, которая и определяет тип удаленногоподключения.26.2.1. Телефонное подключениеТелефонное подключение к сети используется большинством пользователей,имеющих дома компьютер, и, возможно, они даже не знают об этом.Абсолютное большинство таких пользователей, например, подключаютсяк Интернету по вечерам, чтобы найти интересную для них информациюили, скажем, проверить почту. Это и есть типичное подключение к сети,в данном случае к сети Интернет. Если это функционирует в случае Интернета,то, само собой, должно работать и в меньших сетях, к которымотносится и наша сеть.Обычно телефонное подключение к сети состоит из следующих компонентов:компьютера-клиента, сервера и двух модемов. Тип модемов зависитот возможностей линии и запросов организации. Можно встретиться саналоговыми модемами или модемами ISDN, также на серверах можностолкнуться с модемными пулами, которые обеспечивают одновременноеподключение нескольких десятков или сотен пользователей, или с моде-533

Microsoft Windows Server 2003мами ADSL. Однако во всех случаях принцип работы одинаков и можноговорить просто о модеме, безо всякой конкретизации.Невыгодная сторона этого способа подключения — это его цена. Хотятемп развития компьютерных и технических разработок невероятно высоки цены постоянно падают, в телекоммуникационном бизнесе преобладаютгораздо более консервативные способы ведения дел. Особенно в том,что касается цен. Если пользователь собирается подключаться только изсвоего дома, который обслуживается той же телефонной станцией, чтои сервер, то цена будет еще терпима, но для сотрудника, находящегосяза границей на деловом совещании, такой способ подключения к сетипредприятия явно дороговат.Несмотря на стоимость, телефонное подключение имеет и ряд выгодныхсторон. Его настройка на собственных компьютерах доступна большинствуопытных пользователей, а коммуникация «компьютер — сервер»относительно безопасна, то есть к передаваемым данным имеет доступзначительно меньше людей, чем при соединении с Интернетом.сервер удаленного доступавнутренняя сетьудаленный компьютер с модемомРис. 26.1. Для телефонного соединения с локальной сетьютребуются модемы на обеих сторонах26.2.2. Подключение через виртуальнуючастную сеть (VPN)В предыдущей главе мы настроили подключение сети к Интернету,полностью функциональное и не ограниченное по времени. С домашнегоили портативного компьютера, имея модем, тоже можно подключаться кИнтернету. Нельзя ли соединить эти возможности, то есть использовать534

Глава 26. Настраиваем удаленный доступ к сетимодем на стороне пользователя и постоянное подключение предприятияк Интернету для входа пользователя в сеть предприятия?Конечно, можно. Если у вас в распоряжении есть модем, то что можетбыть для вас дешевле и удобнее, чем подключение к сети предприятиячерез Интернет? Такое подключение носит название виртуальной частнойсети (Virtual Private Net).Технология VPN предоставляет возможность подключения к локальнойсети предприятия с помощью ресурсов публичной сети (в том числеИнтернета). Она объединяет преимущества подключений удаленного доступас простотой и гибкостью подключений к Интернету. Чтобы войти всеть предприятия, достаточно установить соединение по местной линии слюбым Интернет-провайдером. Если и домашний компьютер, и локальнаясеть используют высокоскоростное подключение к Интернету (например,по технологии DSL), то между ними можно организовать канал обменаданными, пропускная способность которого будет во много раз превышатьпропускную способность соединения через обычный модем.Виртуальные частные сети шифруют пересылаемые данные и проверяютподлинность пользователя, что гарантирует конфиденциальность данныхпредприятия. Безопасность данных обеспечивается передачей ихпо протоколам РРТР (Point-to-Point Tunneling Protocol) и L2TP (LayerTwo Tunneling Protocol). В процессе работы этих протоколов создаютсятуннели, обеспечивающие высокую защищенность данных при передачемежду компьютерами через Интернет.InternetInternet• Оудаленный компьютер с модемом ^ ^ внутренняя сетьРис. 26.2. Принцип виртуальной частной сети (VPN), использующей Интернет535

Microsoft Windows Server 2003По сравнению с непосредственным телефонным соединением, подключениечерез Интернет дешевле, особенно если учитывать не только работуиз дома, но и командировочных сотрудников с портативными компьютерами,которым больше не нужно звонить по межгороду, а достаточноподключиться к местному провайдеру.Еще одним преимуществом VPN перед телефонным соединением являетсяуниверсальность этого способа. К серверу удаленного доступа сетиVPN могут подключаться не только пользователи, входящие в Интернетчерез обычный модем, но и постоянно подключенные к Интернету поADSL, по кабелю Ethernet или из локальной сети, подобной той, которуюмы настроили в предыдущей главе.Обычно подключение через Интернет имеет один очень серьезный недостаток— из-за простоты используемых протоколов (HTTP, SMTP ит.д.) стандартные средства связи, используемые в Интернете, не имеютникаких средств защиты доступа. А если вы входите через Интернет всеть, где размещена важная информация, обеспечение безопасности этихданных — задача номер один. То же самое можно сказать и об аутентификациипользователя при подключении к локальной сети — протоколыаутентификации не всегда обеспечивают достаточную степень безопасности(об этом далее).Сети VPN дают возможность в продуктах компании Microsoft определитьодин из двух доступных протоколов для обеспечения безопасностипередачи данных, причем у одного из них можно также использоватьвозможности цифровой подписи передаваемых данных. Более крупныекомпании даже могут использовать Интернет и технологию VPN дляподключения своих филиалов.26.3. Настройка удаленного доступаНастройка удаленного доступа состоит из нескольких частей, без которыхневозможно осуществить соединение.536• Настройка сервера удаленного доступа. У организации может бытьодин или несколько серверов для обеспечения удаленного доступа иавторизации пользователей. Несколько серверов будут нужны в тойситуации, если одного недостаточно. Например, если эти серверынужно географически разместить в нескольких точках, чтобы пользователиимели к ним более быстрый доступ.• Настройка брандмауэра (firewall). Если сеть предприятия защищенабрандмауэром, то нужно настроить его так, чтобы был разрешен доступчерез нужные порты. В противном случае все попытки доступакомпьютеров извне закончатся неудачно.

Глава 26. Настраиваем удаленный доступ к сети• Настройка компьютеров пользователей. Конфигурация компьютероввсецело находится в распоряжении пользователей. Администраторможет упростить их задачу, подготовив файл с расширением INS,который произведет конфигурацию этого подключения. Один изинструментов, помогающих это сделать, — Internet Explorer AdministrationKit (IEAK) который можно скачать для различных версийбраузера с сайта Microsoft. Этот инструмент, однако, решает не всепроблемы, так что администратор должен уметь помочь пользователюнастроить подключение.26.3.1. Телефонное подключениеПоскольку в этом случае на обеих сторонах (на сервере и на компьютерахпользователей) необходимо иметь модем, нужно в первую очередь установитьего. Установите модем на сервере SRVR002 и рабочей станцииРС001. Затем можете начать саму настройку.Настройка сервера удаленного доступаСервер удаленного доступа предназначен для приема входящих звонковот удаленных компьютеров, которым тем самым предоставляется доступк ресурсам внутренней сети. Этот сервер является компонентом WindowsServer 2003 и устанавливается при установке операционной системы,однако изначально он не настроен и не активизирован. Настройка сервераудаленного доступа проводится через оснастку Маршрутизация иудаленный доступ (Routing and Remote Access, RRAS).1. Зарегистрируйтесь на SRVR002 как администратор и запуститеконсоль Маршрутизация и удаленный доступ из группы Администрирование.2. В окне консоли щелкните правой кнопкой мыши по контейнерусервера SRVR002 и отобразите его свойства.3. На вкладке Общие флажок маршрутизатор будет уже установлен.Поставьте переключатель в положение локальной сети и вызовапо требованию и установите также флажок Сервер удаленного доступа.4. Отобразится сообщение о необходимости перезапуска службыМаршрутизация и удаленный доступ. Ответьте Да. В консоли Маршрутизацияи удаленный доступ появится два новых контейнера —Порты и Удаленные пользователи. На этом основную настройку настороне сервера можно считать законченной. Осталось настроитьпорты для удаленного подключения с помощью модема.5. Щелкните правой кнопкой мыши по контейнеру Порты и отобразитеего свойства. Убедитесь, что в списке устройств присутствуетмодем. В столбце Число портов указано максимальное количество537

Microsoft Windows Server 2003ойстеа: SRVR002 (локально)О&диэ I Безопасность | IP | PPP j Журнал событий |Маршрутизация и уналенный доступИспользовать этот компьютер какФ маршрутизаторС только локальной сети(* локальной сети и вызова по требованиюР, сервер удаленного доступа0К 1 Отмена I ПрименитьРис. 26.3. Разрешение удаленного доступаклиентов, которые могут быть одновременно подключены по этомуинтерфейсу.6. Выберите из списка устройств модем и нажмите кнопку Настроить.7. В диалоговом окне настройки установите флажок Подключениеудаленного доступа (только входящие) и нажмите ОК.8. Нажатием на кнопку ОК закройте диалоговое окно свойств портов.Настройка компьютера пользователяСледующий пример приведен только для наглядности. Какие подключенияи какого типа следует настроить, зависит от потребностей конкретногопользователя.5381. Зарегистрируйтесь на РС001 как рядовой пользователь. Из главногоменю выберите Панель управления —> Сетевые подключения.2. В левой части окна Сетевые подключения выберите задачу Созданиенового подключения. Запустится Мастер новых подключений. Нажмитекнопку Далее.3. В диалоговом окне Тип сетевого подключения поставьте переключательв положение Подключить к сети на рабочем месте и нажмитеДалее.4. В диалоговом окне Сетевое подключение поставьте переключательв положение Подключение удаленного доступа и нажмите Далее.5. В диалоговом окне Имя подключения введите в поле Организацияназвание, под которым оно будет отображаться в списке всех под-

Глава 26. Настраиваем удаленный доступ к сетиключений. Оно не обязано совпадать с названием нашего предприятия.Нажмите Далее.6. В диалоговом окне Номер телефона задайте номер, который будетнабираться при выборе этого подключения и нажмите Далее.7. В диалоговом окне Доступность подключения оставьте переключательв положении Доступен любому пользователю, если вы создаетеэто подключение для всех пользователей данного компьютера;иначе установите его в положение Только для меня. Затем нажмитеДалее.8. В диалоговом окне Завершение создания нового подключения выможете добавить ярлык этого подключения на рабочий стол. Завершитеработу Мастера нажатием кнопки Готово.Окно вновь созданного подключения откроется автоматически. Чтобыпроверить это подключение, введите имя пользователя и пароль, а затемнажмите кнопку Вызов. Если подключение пройдет успешно, всев порядке. Если нет — проверьте правильность телефонного номера,регистрационных данных пользователя, параметры модема и разрешениена удаленный доступ в домене Active Directory.Проверка разрешений пользователя в домене Active Directory1. Зарегистрируйтесь на РС001 как администратор и запустите консольActive Directory — пользователи и компьютеры.2. Отобразите свойства учетной записи, под которой собираетесьподключаться к сети, и нажмите кнопку Подключение удаленногодоступа. Доступ можно разрешить, запретить или регулировать припомощи групповых политик.Если домен работает в смешанном режиме Windows 2000, то в вашем распоряжениибудут только первые две возможности. В основном режимеWindows 2000 (native) или Windows 2003 доступны все три возможности.Значение разрешения по умолчанию в смешанном режиме Windows2000 — Запрет, в других режимах — Управление на основе политикиудаленного доступа. Таким образом, ни в одном из режимов сразу же,без дополнительной настройки, к серверу удаленного доступа подключитьсянельзя.26.3.2. Подключение через виртуальнуючастную сеть (VPN)Для подключения посредством виртуальной частной сети вам нужноиметь: действующее соединение с Интернетом на обеих сторонах; настроенныйсервер удаленного доступа; брандмауэр на выходном шлюзе539

Microsoft Windows Server 2003локальной сети; созданное сетевое подключение на клиентском компьютере.Сейчас мы настроим все это в нашей сети.Настройка сервераСервером виртуальной частной сети служит сервер удаленного доступа,который вы настроили в предыдущем параграфе. Чтобы дополнительнонастроить его для обслуживания VPN, выполните следующее:1. Зарегистрируйтесь на SRVR002 как администратор и запуститеконсоль Маршрутизация и удаленный доступ.2. Отобразите окно свойств контейнера Порты. Из списка устройстввыберите Минипорт WAN (РРТР) и нажмите кнопку Настроить.3. Установите флажок Подключение удаленного доступа (только входящие).В поле Максимальное число портов введите значение, равноеколичеству клиентских компьютеров плюс один — для сервера (тоесть, указав 20 портов, можно подключать одновременно 19 компьютеров).4. Точно так же настройте устройство Минипорт WAN (L2TP).УстройстваМаршрутизация и удаленный доступ используют перечисленныеустройства.Устройство Используется Тип I Чис, J.Минипорт WAN (РРТР)Минипорт WAN (L2TP)Прямой параллельный..ЙДв/Маршрутизация РРТР 5R AS/Маршрутизация L2TP 5Маршрутизация Пар... 1Настройка устройстваМинипорт WAN (ЙРТР)Можно использовать это устройство для запросов удаленногодоступа или подключений по требованию.ФWПодключения удаленного доступа (только входящие]Подключения по требованию (входящие и исходящие)Настрорггь...IНомер телефона этого устройства:Можно задаль предел числа портов для устройств, обеспечивающихподдержку нескольких портов.Максимальное число портов: 10ICОтменаРис. 26.4. Настройка порта540

Глава 26. Настраиваем удаленный доступ к сетиЕсли служба Маршрутизация и удаленный доступ у вас не активирована,поступайте следующим образом:1. Зарегистрируйтесь на SRVR002 как администратор и запуститеконсоль Маршрутизация и удаленный доступ.2. Щелкните правой кнопкой мыши по контейнеру SRVR002, отмеченномукрасным значком. Из контекстного меню выберите командуНастроить и включить маршрутизацию и удаленный доступ. ЗапуститсяМастер установки сервера удаленного доступа. НажмитеДалее.3. В следующем окне установите переключатель в положение Серверудаленного доступа и нажмите Далее.4. В окне Удаленный доступ установите флажок VPN (если вы собираетесьиспользовать этот сервер также для приема входящих звонков,установите оба флажка). Нажмите Далее.5. В окне Подключение виртуальной частной сети отметьте сетевойинтерфейс, через который сервер подключен к Интернету (в нашемслучае «Internet»). Если вы оставите установленным флажокРазрешить фильтрацию пакетов, то все проходящие через этотинтерфейс пакеты (входящие и исходящие) будут автоматическифильтроваться так, что в обоих направлениях смогут пройти толькопакеты протоколов РРТР и L2TP. Это более безопасный режим, ноон приведет к трудностям у тех пользователей, которые подключаютсяк Интернету, например, через преобразователь сетевых адресов(NAT). Если у вас будут такие пользователи, снимите этот флажок.Нажмите Далее.6. В окне Назначение IP-адреса оставьте установленным флажокАвтоматически, чтобы удаленный компьютер получал IP-адрес отсервера DHCP в локальной сети. Если служба DHCP у вас в сетине работает, можете отметить Из диапазона адресов и в следующемокне указать этот диапазон. Первый адрес из диапазона получитвиртуальный интерфейс для входящих подключений, созданный насервере удаленного доступа.7. В следующем окне оставьте переключатель в положении Нет, запросына подключение проверяет служба маршрутизации и удаленногодоступа. Нажмите Далее.8. Для завершения работы Мастера нажмите кнопку Готово. Отобразитсяпредупреждение о необходимости установки агента передачиDHCP. Нажмите Да.Отличие этой конфигурации от предыдущей заключается в том, что портытеперь автоматически настроены на прием входящих подключений,количество которых для каждого протокола — 128.541

Microsoft Windows Server 2003Настройка компьютера пользователяРаботу виртуальной частной сети мы проверим в лабораторных условиях,с рабочей станции РС001. От обычного подключения к локальной сетиновое будет отличаться шифрованием передаваемых по нему данных.1. Зарегистрируйтесь на РС001 как рядовой пользователь. Из главногоменю выберите Панель управления —> Сетевые подключения.2. В левой части окна Сетевые подключения выберите задачу Созданиенового подключения. Запустится Мастер новых подключений. Нажмитекнопку Далее.3. В диалоговом окне Тип сетевого подключения поставьте переключательв положение Подключить к сети на рабочем месте и нажмите Далее.4. В диалоговом окне Сетевое подключение поставьте переключательв положение Подключение к виртуальной частной сети и нажмитеДалее.5. В диалоговом окне Имя подключения введите в поле Организацияназвание, под которым оно будет отображаться в списке всех подключений.Оно не обязано совпадать с названием нашего предприятия.Нажмите Далее.6. Если на РС001 настроено телефонное подключение к сети, то в диалоговомокне Публичная сеть у вас есть возможность указать, чтоэтот телефонный номер должен быть набран перед подключением кVPN. Если вы не хотите его набирать, установите флажок Не набиратьномер для предварительного подключения. Нажмите Далее.7. В окне Выбор сервера VPN укажите IP-адрес того сервера, к которомувы будете подключаться для входа в сеть VPN (если условиядействительно лабораторные, и реального выхода в Интернет ссервера SRVR002 нет, то это будет адрес 200.200.200.200 — см.предыдущуюглаву). Нажмите Далее.8. В диалоговом окне Доступность подключения оставьте переключательв положении Доступен любому пользователю, если вы создаете этоподключение для всех пользователей данного компьютера; иначе установитеего в положение Только для меня. Затем нажмите Далее.9. В диалоговом окне Завершение работы мастера новых подключенийу вас есть возможность поместить его значок на рабочий стол,установив соответствующий флажок. Закройте диалоговое окнонажатием кнопки Готово.После этого автоматически запустится процесс подключения. Введитеимя и пароль пользователя, имеющего разрешение на удаленное подключение,а затем нажмите на кнопку Подключение. Если попытка подключитьсяк виртуальной частной сети окажется неудачной, проверьтенастройки сервера, настройку портов протокола РРТР для входящихвызовов, настройку компьютера пользователя и фильтрацию пакетов наинтерфейсе с IP-адресом 200.200.200.200.542

Глава 26. Настраиваем удаленный доступ к сетиЕсли подключение состоялось, вы можете проверить, как оно действует:1. На РС001 отобразите состояние активного в данный момент сетевогоподключения (VPN).2. Перейдите на вкладку Сведения и проверьте несколько важныхданных:• Имя устройства: определяет протокол, по которому осуществляетсяподключение (РРТР).• Аутентификация — протокол MS CHAP V2 предоставляет оченьсильную защиту регистрационных данных пользователя.• Шифрование — используется алгоритм шифрования МРРЕ128.• IP-адрес сервера и IP-адрес клиента — адреса, полученные отсервера DHCP.IP-адрес компьютера-клиента и другие параметры должны отобразитьсяна локальном компьютере РС001 при вводе команды ipconfig /all врежиме командной строки. Если вы хотите проверить, функционируетли шифрование связи через протокол сети VPN, действуйте следующимобразом:1. Зарегистрируйтесь на РС001 как администратор.2. В меню Пуск нажмите Выполнить и в поле Открыть введите путь\\192.168.10.38 (IP-адрес сервера VPN мы узнали, пользуясь вышеприведеннымиинструкциями). Отобразится окно Проводника Windowsс общими папками на сервере SRVR002.Если вы видите это окно, значит, шифрованная связь между SRVR002 иРС001 прошла успешно.Подключение VPN будет активным, пока пользователь не прервет его.Если вы желаете установить соединение сети VPN с пространством Интернета(до сего момента тестирование проходило в рамках локальной сети),нужно проверить, а возможно, и установить несколько новых свойств.IP-адреса серверов DNS, WINS и прочие параметры протоколаПри настройке подключения через сеть VPN мы установили, что IP-адресбудет назначать компьютерам-клиентам сервер DHCP локальной сети.Речь идет только об IP-адресе, но не о других параметрах IP-протокола.Однако клиентам понадобятся, например, IP-адреса серверов DNS, ведьв случае успешного подключения через сеть VPN они становятся элементамилокальной сети, в которой, скорее всего, они будут работатьс компьютерами под теми названиями, под которыми они выступаютв локальной сети. Сервис DNS, или, возможно,\У1М8 также необходимэтим пользователям.543

Microsoft Windows Server 2003Как это выглядит в нашей сети?Все важные сведения можно найти на вкладке Протокол IP в окне свойствсервера удаленного доступа SRVR002.В верхней части вкладки отображено, что IP-адрес клиенты будут получатьот сервера DHCP. Это не вполне точно, поскольку на практикевыглядит так: сервер DHCP передаст 10 IP-адресов на сервер удаленногодоступа, который непосредственно выдаст их клиентам. Если их запасбудет исчерпан, то сервер DHCP передаст ему следующую партию. Этоустановлено таким образом, что назначение IP-адресов не будет задерживатьсяпри каждом подключении к серверу DHCP.В нижней части вкладки указано, что для поиска IP-адресов серверовDNS и WINS для удаленных пользователей служит адаптер локальнойсети LAN. В большинстве случаев эта настройка удовлетворительна, таккак у внутренних адаптеров чаще всего бывают стандартные установки,которые одинаковы у всех компьютеров и должны быть такими же уудаленных пользователей.Однако может случиться так, что у вас в распоряжении нет оборудования,настроенного для удаленных пользователей должным образом. Тогдадолжна быть осуществлена конфигурация агента передачи DHCP, которыйобеспечит передачу правильных параметров с серверов DHCP.Поскольку пользовательские компьютеры связаны с внешним сетевымоборудованием (в Интернете), необходимо, чтобы это оборудование моглопередавать запросы внешнему серверу DHCP. Это можно обеспечитьследующим образом:1. Зарегистрируйтесь на SRVR002 как администратор и запуститеоснастку Маршрутизация и удаленный доступ.2. Разверните контейнер сервера SRVR002 и правой кнопкой мышищелкните по значку Агент передачи DHCP, выберите команду Новыйинтерфейс.3. В диалоговом окне Новый интерфейс для DHCP Relay Agent выберитеинтерфейс для связи с Интернетом и нажмите ОК. В диалоговомокне свойств определите время, после которого агент передачиначнет работу (2 секунды) и нажмите кнопку ОК. Интерфейсдобавится в контейнер Агент передачи DHCP, и вы увидите его влевом подокне консоли.4. Правой кнопкой мыши снова щелкните по значку Агент передачиDHCP и из контекстного меню выберите команду Свойства. В полеАдрес сервера введите IP-адрес сервера DHCP во внутренней сети(в нашем случае 192.168.10.2) и нажмите Добавить. Диалоговое окнозакройте нажатием кнопки ОК.544

Глава 26. Настраиваем удаленный доступ к сетиУдаленное подключение компьютеров,не принадлежащих к вашему доменуПодключение к сети VPN (так же, как и телефонное подключение) выможете проводить с компьютеров, которые не являются членами доменаи, соответственно, не имеют в нем собственных учетных данных.При входе с таких компьютеров кроме имени и пароля необходимо задатьтакже название домена. Нужно отрегулировать соединение и учетные данныеи определить, какое название домена пользователи будут употреблять.Настройка подключенияНастройку самого подключения проведите на основании вышеприведеннойинструкции (когда мы настраивали подключение через сеть VPN длякомпьютера РС001). Затем действуйте следующим образом:1. Правой кнопкой мыши щелкните по созданному подключению иотобразите его свойства. В диалоговом окне свойств подключенияперейдите на вкладку Параметры.2. Установите флажок Включать домен входа в Windows и нажмитекнопку ОК.3. Если вы потом запустите подключение, отобразится поле для вводадля задания названия домена.Каково правильное название домена?Если вы подключаетесь к сети с доменом Active Directory, при подключениивы можете задать имя домена двумя способами — в формате DNSили в формате NetBIOS. NetBIOS-имя нашего домена — study, DNS —study.local. Мы можем ввести еще одно название — доменное имя Studyв Интернете (у него не может быть суффикса local, см.главу 7).Если пользователи привыкнут указывать при регистрации названиедомена в форме DNS, они потом смогут разрешить вопрос, которое изназваний использовать.Безопасность удаленного доступаПоскольку при удаленном доступе, использующем сеть VPN, происходитпередача очень важной информации через общедоступную сеть,нужно ясно представлять себе уровень безопасности. Первая информация,которой обмениваются компьютеры, - имена и пароли при входе.Гарантии безопасности предоставляются использованием протоколааутентификации.18 Зак. 446 545

Microsoft Windows Server 2003Протоколы аутентификацииНазначение протокола аутентификации — передача регистрационныхданных и других данных, служащих для подтверждения подлинности пользователя,между компьютером-клиентом и сервером удаленного доступа.Если проверка на подлинность не пройдена, соединение не устанавливается.Какие контрольные протоколы находятся в нашем распоряжении вданной ситуации и как они обеспечивают безопасность?• PAP (Password Authentication Protocol). Этот протокол передает парольв форме обычного текста. Из всех протоколов контроля предоставляетнаименьшие гарантии безопасности, должен стоять на последнемместе в списке используемых протоколов и использоваться только втом случае, если компьютеры не способны использовать другие протоколы.Его определенно нельзя посоветовать для передачи пароляадминистраторов домена.• SPAP (Shiva Password Authentification Protocol). С точки зрения безопасностинаходится примерно на том же уровне, что и протокол РАР.Его главная цель — дать продуктам Shiva возможность подключенияк удаленным серверам.• CHAP (Challenge Handshake Authentication Protocol). Этот протоколобеспечивает безопасность без передачи пароля. Вместо пароляпередается некоторое число, вычисленное на основании пароля изначения, полученного от сервера удаленного доступа.• MS CHAP (Microsoft Challenge Handshake Authentication Protocol).Дополнение протокола CHAP от компании Microsoft. Обеспечиваетбезопасную проверку всех пользователей, использующих сервис LANManager. Служит, в основном, для контроля подключений клиентовс более старыми системами Windows.• MS CHAP v2. Вторая версия протокола MS CHAP дает гарантиибезопасного подключения клиентам с операционными системамиWindows 2000 и более новыми. Также обеспечивает двухстороннийконтроль, проверяя тем самым для компьютера-клиента сервер удаленногодоступа.• ЕАР (Extensible Authentication Protocol). Речь идет об открытой системе,которая дает другим производителям возможность развивать своисобственные протоколы аутентификации. Протокол ЕАР не проводитсам по себе никакого контроля, но дает возможность определить конкретныйспособ проверки. Системы Windows Server 2003 включаютметоды MD5-Challenge, Protected ЕАР и TLS. Способ TLS, например,используется при контроле доступа при помощи карты Smart Card.Чтобы использовать конкретный протокол, он должен быть выбран наобоих концах соединения — на сервере удаленного доступа и на компьютере-клиенте.Поскольку можно настроить несколько протоколов,то обычно используются почти все одновременно, от предоставляющих546

Глава 26. Настраиваем удаленный доступ к сетибольшую степень безопасности, до предоставляющих наиболее низкиегарантии.Система Windows Server 2003 также делает возможным доступ удаленныхкомпьютеров без контроля. Поскольку при таком раскладе кто угодноможет присоединиться к сети, лучше и не думать об этом варианте.Настройка аутентификации на стороне сервераПри настройке сервера об аутентификации не упоминалось — ряд протоколовсервер настроил сам. Если вы хотите изменить настройку поумолчанию, действуйте соответственно следующей инструкции:1. Зарегистрируйтесь на SRVR002 как администратор и запуститеоснастку Маршрутизация и удаленный доступ.2. Правой кнопкой мыши нажмите на пункт сервера SRVR002 и отобразитеего свойства. В разделе Безопасность нажмите на кнопкуСпособы контроля. Отобразится диалоговое окно под тем женазванием, в котором стоят галочки напротив используемых протоколов.То, что вы видите в диалоговом окне, является изначальной настройкойпротоколов контроля — MS CHAP, MS CHAP v2 и ЕАР. Чтобы клиентымогли зарегистрироваться, они должны использовать хотя бы один из приведенныхпротоколов. Как это выглядит с точки зрения пользователя?Настройка аутентификации со стороны клиентаВ то время как на стороне сервера при конфигурировании предполагаетсявладение знаниями уровня администраторов, для компьютеров-клиентовпредполагается определенный уровень знаний пользователей. Настройкакакого-либо подключения также обойдется без запросов способа аутентификации— она сводится к вводу пароля. Пользователям это, определенно,говорит больше, чем надпись MS CHAP v2. И тут, определенно,есть возможность провести более прогрессивную настройку посредствомотдельных протоколов.1. Зарегистрируйтесь на РС001.2. Отобразите свойства настроенного подключения VPN. В разделеБезопасность галочка будет стоять в пункте Обычные установки.3. Поставьте галочку в пункте Дополнительные (выборочные параметры)и нажмите кнопку Параметры. Отобразится диалоговоеокно Дополнительные параметры безопасности, в котором будетвиден исходный набор протоколов аутентификации — MS CHAP иMS CHAP v2.547

Microsoft Windows Server 2003Безопасность телефонного подключенияПосле успешной аутентификации пользователя с удаленного компьютерапроизойдет соединение с сервером и обмен данными. У телефонногоподключения есть также другие возможности, как обезопасить это соединение.Повсеместно мы имеем дело с обратными звонками (Call-back).Функции обратных звонков действуют таким образом, что при подключениипользователя заработает его канал связи и на основании введенныхучетных данных будет набран конкретный номер телефона. Расходы беретна себя компания.Режим обратного звонка может иметь три значения:• Без обратных звонков. После идентификации пользователя соединениене прерывается, и связь продолжается до тех пор, пока пользовательее прервет. Расходы, само собой, идут на счет пользователя.• Полученный от звонящего. В таком случае пользователь, пройдя регистрацию,должен задать телефонный номер, которое затем наберетсервер и установит связь. Расходы идут на счет компании.• Обратные звонки всегда на номер. После контроля пользователясоединение прерывается, и сервер в тот же момент набирает номер,указанный в этой графе.Возможность, которую вы выберете, зависит, прежде всего, от уровнябезопасности (вспомните о степени риска). Если, например, подключатьсябудут только ваши пользователи, можно настроить их учетные данные так,что они сами будут задавать номер, который сервер наберет при обратномзвонке. Если вы откроете доступ к своей сети внешним организациям(например, торговым партнерам), нужно задуматься над настройками.Как это может выглядеть на практике, показывает следующий случай:Вы сделаете своему партнеру стандартную доменную группу учетныхданных и разрешите ему удаленный доступ через телефонное подключение.У вас хорошие отношения, поэтому вы будете покрывать расходы насоединение, сконфигурируете обратные звонки так, чтобы пользовательвсегда мог ввести обратный телефонный номер.Представитель партнера, которому вы предоставили соответствующуюинформацию, в том числе имя и пароль для подключения, ознакомит сней своих коллег, и повесит имя, пароль и телефонный номер на стенд —почему бы и нет, ведь этот доступ будут использовать несколько сотрудников,не только он сам. Но эту информацию случайно может увидеть икакой-нибудь прохожий, не имеющий ничего общего с компанией вашегопартнера — возможно, он просто зашел туда в частном порядке. Затемон опробует доступ из дома, использовав собственный номер, на которыйсервер сам ему перезвонит. И так он сможет за ваш счет проводить целые548

Глава 26. Настраиваем удаленный доступ к сетиночи в Интернете, и кроме того, пытаться войти в вашу сеть и получитьдоступ к данным.Ситуация однако не так сложна, как может показаться на первый взгляд.Если вы хотите добавить гарантий безопасности, выберите третью возможность— обратные звонки всегда на один и тот же номер. Случайныйпрохожий, таким образом, никак не сможет использовать увиденное имяи пароль, потому что при присоединении и входе из дома сервер прерветсоединение и начнет звонить по телефону, прописанному в параметрахподключения. Кроме того, в фирме таким образом могут узнать, что ктотонелегально использует ваше имя и пароль.Другая возможность — использование пункта Проверять ID звонящего.Эта функция у вас в распоряжении только в основном(native) режиме Windows 2000 или Windows Server 2003 домена. В это полевводится телефонный номер, с которого пользователь должен звонить,причем это становится частью процесса контроля. Для их использованиянужно, чтобы телефонные системы поддерживали эту функцию.Другие меры безопасности удаленного подключенияВне зависимости от типа подключения (телефонное, VPN) можно сделатьего еще более безопасным. В диалоговом окне свойств учетныхданных пользователя в разделе Телефонное подключение стандартноесть возможности Разрешить доступ и Запретить доступ. Однако это неработает в более крупных сетях или сетях с разнообразными условиямиподключения. Отдел безопасности инфраструктуры, например, можетпотребовать, чтобы пользователи отдела продаж имели удаленный доступтолько в рабочее время, хотя администраторы этим временем совершенноне ограничиваются. Или он может потребовать, чтобы пользователи,подключенные через модем, были ограничены временем, а пользователи,присоединенные посредством сети VPN через сетевые карты (постоянныйдоступ к Интернету), не имели ограничений.Мы имеем целый ряд возможностей, но тех двух настроек, что приведенывыше, недостаточно. Нам нужно сделать доступным пункт Управлениедоступом через политики удаленного доступа, а для этого повысить уровеньфункциональности домена. Если у вас в домене нет контроллера ссистемой Windows NT 4.0 (которого в нашем случае, конечно, нет), можноне опасаясь осуществить этот шаг:1, Войдите в компьютер РС001 и запустите консоль Active Directory —пользователи и компьютеры.2. Правой кнопкой мыши нажмите пункт домена (study.local) и в отобразившемсяменю выберите команду Повысить функциональныйуровень домена. Отобразится диалоговое окно Повысить функцио-549

Microsoft Windows Server 2003нальный уровень домена. В его верхней части отображен текущийуровень, в нижней — высшие уровни.3. В диалоговом окне выберите пункт Windows 2000 native и нажмитекнопку ОК.4. После отображения сообщения о том, что смена повлияет на весьдомен, нажмите кнопку ОК. Отобразится информация, что функциональныйуровень повысился. Это необратимое действие. Нажмитекнопку ОК.Если вы отобразите свойства учетных данных пользователя, вы сможетев меню Телефонное подключение поставить галочку в пункте Управлятьдоменом через политики удаленного доступа. Этим в игру вводятся другиемеханизмы безопасности, которые называются Политики удаленногодоступа и которые можно найти в консоли Маршрутизация и удаленныйдоступ.. Свойства удаленного доступаВ изначальной настройке существуют две основных политики удаленногодоступа. Каждая из них состоит из трех частей: условий, решения о доступеи профиля.В условиях определяется все, чему должен удовлетворять удаленный компьютерили пользователь для того, чтобы это для него работало. Можно,например, использовать информацию о членстве пользователя в группах,актуальном времени, типе сервиса, нужного удаленному пользователю,или, например, протоколе, посредством которого пользователь подтверждаетсвою подлинность. Примером условия может быть следующее:пользователь, являющийся членом группы Domain Admins, подключаетсяот 8 до 16 часов и использует сеть VPN с протоколом РРТР.Если к пользователю применимо условие или условия (если их несколько,он должен соблюдать все), то должно последовать решение, будет ли емуразрешен доступ или нет. В приведенном примере в случае исполненныхусловий доступ будет открыт.Если доступ был разрешен, то следует очередь третьей части политики,которой является профиль. Его свойства вы можете отобразить нажатиемна кнопку Настроить профиль в свойствах политики удаленного доступа.Профиль может включать и другую информацию, позволяющуюеще больше обезопасить подключение (например, уровень шифровкиили контрольный протокол). В менее крупных сетях в профилях используютсятолько ограничения, например, как долго клиент может бытьподключен.После первого знакомства с политиками удаленного доступа вы, можетбыть, несколько разочарованы. Да, нужно сказать, тут существует много550

Глава 26. Настраиваем удаленный доступ к сетивозможностей конфигурирования, которые могут обезопасить или запретитьсоединение, и кроме того нужно хорошо осмыслить порядок, вкотором проходят отдельные части операции аутентификации и установкисоединения.Рассмотрим случай: как администраторы мы хотим создать следующийпорядок:• Все пользователи могут подключаться посредством сети VPN когдаугодно.• Кроме того, телефонное подключение может использовать толькоотдел продаж и только в рабочее время (8-16 часов).Ход настройки будет следующим:• Настройка всех гучетных записей пользователей для телефонногоприсоединения на основе политик.• Конфигурация политик удаленного доступа.• Контроль настройки.Настройка учетных данных пользователей1. Зарегистрируйтесь на SRVR001 как администратор и запуститеконсоль Active Directory — Пользователи и компьютеры.2. У всех пользователей активируйте в разделе Телефонное подключениепункт Управление доступом посредством параметров удаленногодоступа.Настройка параметров удаленного доступаДля настройки параметров удаленного доступа:1. Зарегистрируйтесь на SRVR002 как администратор и запуститеконсоль Маршрутизация и удаленный доступ.2. Разверните значок сервера SRVR002 и правой кнопкой мыши нажмитена пункт Политики удаленного доступа. В отобразившемсяменю выберите команду Новые политики удаленного доступа. ЗапуститсяМастер создания новых политик удаленного доступа. Продолжитенажатием кнопки Далее.3. В диалоговом окне Способ конфигурации параметров наберите вполе Названиеназвание Отдел продаж — телефонный доступ.4. В диалоговом окне Способ доступа поставьте галочку в пункте Наборномера и нажмите Далее.5. В диалоговом окне Доступ пользователя или групп оставьте галочкув графе Группы и нажмите кнопку Добавить. В списке доменныхгрупп добавьте группы «G Shop Regular» и «G Shop Power» и нажмитеОК. Продолжите нажатием на кнопку Далее.551

Microsoft Windows Server 20036. В диалоговом окне способов аутентификации оставьте галочку впункте MS CHAP v2 и нажмите кнопку Далее.7. В диалоговом окне Уровень шифровки параметров оставьте галочкив тех графах шифровки, которые нужны пользовательским компьютерам.Если у вас клиентские компьютеры с системами Windows 2000и более новыми, вы можете оставить только 128-битную шифровку.Продолжите нажатием на кнопку Далее.8. В последнем диалоговом окне просмотрите введенную информациюи нажмите Готово.Примечание.Возможно, вы заметили, что здесь мы предоставили допуск глобальным группам.Это обстоятельство не очень хорошо вписывается в стратегию разрешения доступа,которой мы руководствуемся. Однако ничего не поделать, ограничение системытаково, что мы не можем здесь использовать доменные группы.Второй параметр мы настроим таким способом:1. Правой кнопкой мыши нажмите на пункт Политики удаленного доступа.В отобразившемся меню затем нажмите на команду Новыеполитики удаленного доступа. Запустится Мастер создания параметраудаленного доступа. Продолжите нажатием кнопки Далее.2. В следующем диалоговом окне введите в графу Название названиеВсе — доступ через VPN. Затем нажмите Далее.3. В диалоговом окне Способ доступа поставьте галочку в пункте Черезсеть VPN и нажмите Далее.4. В диалоговом окне Доступ пользователя или группы поставьте галочкув графе Пользователи и нажмите Далее.5. В диалоговом окне Способы контроля оставьте галочку в пункте MSCHAP v2 и нажмите на кнопку Далее.6. В диалоговом окне Уровень шифровки параметра оставьте галочкиво всех пунктах. Нажмите Далее.7. В последнем диалоговом окне просмотрите введенную информациюи нажмите Готово.В консоли Маршрутизация и удаленный доступ должно быть четырезначка политик удаленного доступа — два изначально и два добавилисьпосле конфигурации. Политики расположены в определенном порядке,который очень важен. На первом месте должна быть политика Все — подключениеVPN, а на втором — политика Отдел продаж — удаленныйдоступ. Порядок предустановленных политик не столь важен — ведь обеони запрещают пользователям доступ.552

Глава 26. Настраиваем удаленный доступ к сетиПроверкаТут не имеет смысла подробно описывать конфигурацию отдельных подключенийи, следовательно, (не)подключений конкретных пользователей.Много более интересным будет описание пути, который должны пройтивходящие пользователи. Самым важным представляется то, что все пользователиимеют управляемое политиками удаленное подключение. Ходудаленного присоединения любого пользователя выглядит следующимобразом:1. Пользователь подключается и проходит контроль через протоколMS CHAP v2.2. Система проводит контроль свойств учетной записи пользователя ивыясняет, что удаленный доступ управляем политиками удаленногодоступа.3. Для первой политики удаленного доступа (Все — доступ VPN) проводитсясравнение с его настройками в действительности — посколькуречь идет о подключении VPN, условия выполнены и принимаетсярешение о доступе. Разрешение доступа настроено, пользовательможет двигаться дальше.4. Система отконфигурирует профиль этой политики. Он может включатьтолько 128-битную шифровку (если вы задали это во времянастройки). Если клиент выполняет это условие, то подключениепроизойдет.Ход удаленного подключения пользователя отдела продаж при помощимодема будет следующим:1. Пользователь подключается и проходит контроль по протоколу MSCHAP v2.2. Система в свойствах пользователя обнаружит, что удаленный доступуправляется политиками удаленного доступа.3. Подключение не соблюдает условий первой политики — речь не идето подключении через сеть VPN. Перейдем к следующей политике.4. Условия второй группы соблюдены — речь идет о подключении черезмодем (асинхронный или ISDN) и пользователь является членомодной из групп отдела продаж.5. Политика разрешает доступ, так что остается только проанализироватьего. Пользователя может ограничить только недостаточныйуровень шифрования клиентской операционной системы. В противномслучае пользователь подключится.Если пользователь, использующий для подключения модем, не являетсячленом какой-либо группы, то в действие вступают следующие политики.Посколькуон удовлетворяет условиям обеих (подключение к серверу MicrosoftRouting and Remote Access и присоединение к другим серверам для доступа),него принимается решение о доступе, и это решение — запретить.553

Microsoft Windows Server 2003Для чего существуют настройки по умолчанию?На практике может случиться так, что вы вообще не будете использоватьполитики, потому что домен будет в режиме Windows 2000 mixedили у вас просто не будет необходимости настраивать разрешение наудаленный доступ. Вам просто будет достаточно настройки, есть доступили нет. В этой связи уместен вопрос, почему существуют изначальныеполитики.Их наличие обусловлено самой системой удаленного доступа в системахWindows 2000 Server и Windows Server 2003.Внимание! Даже если ни для одного пользователя доступ не регулируетсяспомощью политик удаленного доступа, одна из политик вам точнопонадобится (условиям которой удовлетворяют все возможные всепользователи). Без нее не подключился бы не один пользователь, хотьдоступ и разрешен.Для большей наглядности на рисунке 26.5 изображен весь ход удаленногоподключения.Существует еще однаполитика?Отказать вподключенииНЕТПользовательудовлетворяетусловиям политики?Перейти к следующейполитикеДоступ запрещен?ДАДоступразрешён?Пользовательсоответствуетпрофилю?ОНЕТДАРазрешитьподключениензйДАДоступ пользователя регулируетсяполитиками?Рис. 26.5. Наглядное изображение получения разрешения удаленного доступа554

Глава 26. Настраиваем удаленный доступ к сетиДо принятия настройка доступа к удаленному подключению требует ещемногих установок. Если у вас несколько различных запросов к доступучерез телефонное подключение или VPN, нужно подробно все распланировать,определить несколько конкретных случаев и просмотреть всезаданные параметры. Только так вы проверите, что ни о чем не забылии что пользователи, которые в данное время не имеют права доступа, немогут войти в систему.Размещение политик удаленного доступаПолитики удаленного доступа всегда размещены в локальном компьютере.Если вам нужно настроить другой сервер удаленного доступа, следуетнастроить все параметры заново в новом сервере. Если окружение ещеболее сложно (несколько серверов удаленного доступа), решением можетбыть настройка сервера RADIUS, в интерпретации компании Microsoftименуемого IAS (Internet Authentication Server).26.4. ИтогиПользователи (в том числе администраторы) не обязаны постоянно сидетьна работе перед компьютером, но могут работать и на расстоянии.Однако для этого им нужно настроить доступ к сети.Цель администраторов — настроить удаленный доступ так, чтобы он былудобен для пользователей и имел гарантии безопасности. Это касаетсякак информации, необходимой для контроля пользователей, так и данных,которыми сеть обменивается с данным компьютером.Одна из возможностей удаленного доступа — телефонное подключениечерез модем. Причем модем должен иметься у обеих сторон, в случаеподключения нескольких пользователей нужно использовать модемноеполе на стороне сервера. Выгодная сторона телефонного подключения —относительно высокие гарантии безопасности, невыгодная — цена. Ещеодна возможность удаленного подключения — использование виртуальнойчастной сети.Для этого в первую очередь нужно подключиться к Интернету, таккак виртуальная частная сеть использует для соединения компьютеровименно его. Поскольку Интернет — не самое безопасное пространстводля передачи важных данных, виртуальная приватная сеть обеспечиваетдостаточный уровень безопасности их шифровкой. Она использует дляэтого или собственное шифрование (РРТР), или шифрование по протоколуIPSec (это в случае соединения через протокол L2TP).555

Microsoft Windows Server 2003Кроме настройки сервера удаленного доступа, с точки зрения администратора,нужно настроить свойства учетных записей пользователей.В домене Active Directory в режиме Windows 2000 mixed у вас есть двевозможности — разрешить или запретить удаленное подключение. В режимеWindows 2000 native или Windows Server 2003 вы имеете к тому жевозможность управлять подключением при помощи политик удаленногодоступа. Как раз это предоставляет возможность разделить различныеслучаи доступа, например, на основании членства в группах, технологиидоступа или времени дня.Политики удаленного доступа очень важны, несмотря на функциональныйуровень домена — если ни одной политики не существует, то удаленныйдоступ не будет разрешен ни одному пользователю, несмотря на то, чтодомен стоит в режиме Windows 2000 mixed и пользователю в нем можетбыть разрешен удаленный доступ.При успешном подключении компьютер в стандартном случае становитсячастью сети и пользователь, в зависимости от его степени доступа, можетиспользовать те же возможности сети, как если бы он был локальноподключен к ней.Состояние сетиВ сети настроен удаленный доступ посредством телефонного соединенияи посредством сети VPN. Сервер удаленного доступа — компьютерSRVR002, в компьютере РС001 было настроено (и проверено) подключениеклиента для сети VPN. Уровень функциональности домена былповышен до Windows 2000 native, чтобы была возможность управлятьудаленным доступом с помощью политик удаленного доступа.Затем были созданы две политики. Первая предоставляет возможностьподключения всем пользователям через VPN в любое время, вторая —кроме того, дает возможность пользователям из отдела продаж подключитьсякогда угодно с помощью модема. Все пользователи в домене имеютв свойствах телефонного подключения доступ, управляемый политикамипараметрам удаленного доступа.556

Предприятиеоткрывает филиалНужно ли принимать на работуеще одного администратора?Понадобится ли новомуподразделению свойконтроллер домена?Как проходит репликациядоменной информации?Филиал и другие сетевые службыКак все это организовать?LMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сета

Итак, организация Study создает филиал. С этим, само собой, будет связанои дальнейшее развитие сети, и новые задачи для администратора.Вопросов в этом разделе довольно много: сколько компьютеров будет нановом месте? Сколько пользователей? Какова будет скорость соединения?Нужно будет создать для этой сети новый сервер или достаточноиспользовать уже существующий? Что будет в случае обрыва соединениямежду центральным офисом и филиалом? Смогут ли пользователи работать?Смогут ли они войти?Сама по себе организация ответвления — с точки зрения техническогообеспечения процесс достаточно трудоемкий. В этой главе вы найдетеответы на большинство подобных вопросов. Здесь рассматриваются различныеспособы настройки домена для нескольких филиалов.27.1. Нужно ли принимать на работу ещеодного администратора?Администратор зачастую — не только хозяин сети. В этой книге мы ужеупоминали случай, когда администраторы взваливают на свои плечи такоеколичество обязанностей, что потом им приходится проводить на работевечера и ночи, чтобы поддерживать сеть в рабочем состоянии. Некоторымнравится, что они способны одновременно выполнять несколькофункций, некоторых же через какое-то время начинает раздражать, чтоони должны отвечать за все. Потом выясняется, что они выполняютмножество всякой работы (от установки оборудования и обучения пользователейдо управления доменом), но ни одна из них не выполняетсяна сто процентов.558

Глава 27. Предприятие открывает филиалВзвалить на такого администратора работу по планированию структурысети и управлению подсетью нового подразделения — довольно безрассуднаяавантюра, ведь у него недостаточно времени даже на обеспечениеработоспособности ближайшего сетевого окружения.Если в компании работает администратор, в ведении которого находитсятолько управление доменом и который не занимается разрешением конкретныхтрудностей пользователей (ими занимается, например, службатехнической поддержки), то весьма правдоподобно, что он сможет спланироватьи организовать новое подразделение, найдя для этого достаточновремени. Как будет осуществляться управление новым окружением,когда филиал начнет работу?27.1.1. Служба поддержки пользователейСотрудники этой службы занимаются не непосредственно управлениемсетью, а обучением и консультированием пользователей. Их количествообычно прямо пропорционально числу пользователей сети предприятия,и начальнику отдела IT легко решить, следует ли расширять службу поддержкив связи с появлением нового подразделения.27.1.2. Администраторы сетиЕсли воспринимать администратора сети как человека, ведающего настройкойи управлением доменом, например, сетевыми службами, топоявление нового подразделения определенно не может являться поводомдля автоматического приема на работу еще одного сотрудника.Указать примерное количество пользователей, приходящихся на одногоадминистратора, невозможно, поскольку объем работы зависит от конкретныхусловий предприятия. Можно столкнуться с ситуацией, где насорок пользователей приходится 5 администраторов, и к тому же иногдаприходится пользоваться услугами консультантов извне, однако в то жевремя можно привести примеры, когда один администратор управляетсяс несколькими сотнями пользователей и все функционирует без особыхтрудностей. Причиной такого различия является конфигурация и использованиевозможностей Active Directory и других сервисов.Например, тот, кто не использует в достаточной мере групповые политики,делегирование управления или автоматизацию рутинных действий посозданию учетных записей и объединению их в группы, обязательно столкнетсясо сложностями при расширении предприятия. И наоборот, того,кто как следует подготовился заранее, использует все предоставленныевозможности и тщательно документирует сеть, расширение сети не можетзастать врасплох. В предыдущих главах показано обилие возможностей559

Microsoft Windows Server 2003домена Active Directory, и если они должным образом документированыи настроены, то вы окажетесь в «лучшей» группе администраторов,которые вовремя уходят с работы, спокойно спят и не видят кошмарныхснов о грядущем расширении сети. Они, кстати, избавлены и от другогокошмара — найма дополнительного администратора, который впоследствииможет вытеснить их с работы.27.2. Понадобится ли новомуподразделению свой контроллер домена?После «человеческой» стороны проблемы давайте обсудим техническуюсторону. Контроллер домена обслуживает домен Active Directory, авторизуеткомпьютеры и пользователей, применяет к ним объекты групповойполитики. Это значит, что с контроллером домена каждый компьютерподдерживает связь при включении, регистрации пользователя и далее,регулярно через определенные временные интервалы.Если контроллер домена и рабочая станция пользователя соединеныслишком медленной линией, в сети могут возникнуть определенные неудобства.Пользователи будут жаловаться на слишком медленный процессрегистрации, на медлительность других сетевых служб, а администраторычерез какое-то время могут обнаружить, что некоторые объекты групповойполитики не работают так, как задумано.О скорости соединения не стоит судить лишь на основании номинальнойпропускной способности канала связи между филиалом и центральнымофисом. Соединение может иметь скорость, скажем, 1 Мбит/с и все-такибыть очень медленным, поскольку затруднено, например, работой пользователейс Интернетом. И наоборот, соединение со скоростью 128 Кбит/сможет быть быстрее в некоторых случаях. Не забудьте о применениигрупповых политик: скорость, при которой половина из них применятьсяне будет, по умолчанию равна 500 Кбит/с.Как правило, сеть организуется таким образом, что для компьютеров,подключенных по медленной линии, выделяется собственный контроллердомена. Медленным соединением в Америке считается соединение соскоростью меньше 1.5 Мбит/с, а в наших условиях таким можно считатьлюбую линию, скорость которой меньше скорости локальной сети (составляющейв большинстве случаев 10 Мбит/с).Если у вас есть подсеть, в которой не более 5 пользователей, или вы собираетесьее завести, нужно тщательно взвесить, стоит ли устанавливатьдругой компьютер — контроллер домена. Если же в этом подразделенииболее 5 пользователей, то вам определенно можно посоветовать устано-560

Глава 27. Предприятие открывает филиалвить его. К тому же этот компьютер также станет файловым сервером,сервером DNS, хранилищем перенаправленных папок «Мои документы»и так далее.Вам, как администратору домена, это не принесет особых хлопот послеинсталляции всего необходимого программного обеспечения, посколькупроцессы контроля и другие процессы, связанные с управлением доменом,будут достаточно быстры и пользователи останутся довольны.27.3. Как проходит репликациядоменной информации?С момента, когда в домене появляется еще один контроллер, клиентскиекомпьютеры смогут выбирать, который из них будет отвечать на их запросы.Это значит, что в новом контроллере должна быть заложена та жеинформация, что и в старом, чтобы все корректно работало. Этой целислужит, репликация доменной базы данных Active Directory.Новые объекты (пользователи, группы, компьютеры и т.д.) можносоздавать на любом контроллере домена. В консоли Active Directory —пользователи и компьютеры этот объект появляется с полным доменнымименем. Новый объект автоматически появляется и на остальныхконтроллерах домена, правда, не сразу. Когда это случится, зависит отсетевой топологии и физического представления сети в домене ActiveDirectory.27.3.1. СайтДля того чтобы полностью осознать приведенную далее информацию орепликации данных между контроллерами домена, нужно ознакомитьсяс понятием, которое до сих пор в книге не рассматривалось. Это сайт —объект, представляющий физическую организацию сети в домене ActiveDirectory.Сайт определяется как группа компьютеров (точнее, IP-подсетей), связанныхвысокоскоростной линией. Под высокой обычно понимают скорость,характерную для локальных сетей (10 Мбит/с и выше). То есть, если у васв центральном офисе все компьютеры объединены в сеть со скоростью 100Мбит/с, то с точки зрения домена Active Directory это один сайт. Другоеподразделение, подключенное к головному офису линией 128 Кбит/с,будет другим сайтом. Понятие сайта введено для контроля сетевого трафика,относящегося к синхронизации каталога, и обеспечения доступапользователей к локальным ресурсам для снижения загрузки сети./ 561

Microsoft Windows Server 2003Сайт делает сайтом наличие своего контроллера домена, обеспечивающеговсе возможности, характеризующие сайт с точки зрения активногокаталога, а с точки зрения пользователей гарантирующего быструю ибеспроблемную работу сети.От размещения контроллеров домена по сайтам зависит способ репликациидоменной базы. Это весьма логично — если подразделениесоединено с головным офисом медленной линией (например, 64 Кбит/с), которая весь день занята передачей данных приложений, то вы незахотите загружать ее еще и репликацией доменных данных, которыене имеют особого значения для подразделения. Информация о новойгруппе учетных записей пользователей, определенно, не настольковажна, чтобы ее необходимо было копировать в ближайшие минуты. Инаоборот, контроллеры домена, расположенные в одном сайте, должныбыстро обмениваться доменной информацией. Что было бы, если бывы создали для пользователя новую учетную запись, попросили бы егозарегистрироваться и ничего не получилось бы? В пределах сайта невозможносказать заранее, какой из контроллеров домена будет выполнятьту или иную функцию, поэтому максимально быстрая репликацияважной информации очень важна.27.3.2. Репликация в пределах сайтаЕсли в одном сайте находятся несколько контроллеров домена под управлениемWindows Server 2003 (положим, А, В, С и D), репликация будетпроходить следующим образом:• Вы создаете новую учетную запись пользователя на сервере А.• Сервер А ждет 15 секунд, а затем предупреждает первого партнера порепликации. Затем он посылает ему сообщение, что его доменная базаданных изменилась. Сообщение следующему партнеру будет отосланочерез 3 секунды и так далее. Паузы в 3 секунды предназначены дляпредотвращения перегрузки сети, чтобы контроллеры не пыталисьскачать обновленную базу одновременно.• Серверы В, С и D (если они партнеры по репликации сервера А),приняв сообщение об обновлении данных домена, попросят у сервераА дать им возможность скачать информацию об этих изменениях.Сервер А примет запрос и даст возможность скачать ее.Таким образом, новая учетная запись окажется в распоряжении первогопартнера по репликации примерно через 15 секунд. Через какоевремя она будет на всех контроллерах домена, зависит от топологиирепликации.562

Топология репликацииГлава 27. Предприятие открывает филиалТопология репликации автоматически создается компонентом под названиемКСС (Knowledge Consistence Checker). Он запускается каждые 15минут, обходит все контроллеры домена каждого сайта и создает междуними объекты-подключения таким образом, чтобы путь между любымидвумя серверами не был бы длиннее 3 звеньев. Переводя это на языкчисел, любое изменение в домене отобразится на всех контроллерахмаксимум через 45 секунд.Примечание.Контроллеры домена с системой Windows 2000 проводят в рамках сети репликациюдоменной базы раз в 5 минут. Этот интервал сильно сокращен в Windows Server2003.Интервал 15 секунд, касающийся репликации, невозможно изменить.Нужно смириться с этим и воспринимать как данность. Кроме обычноговида репликации, в домене существует также безотлагательная репликация,которая проводится моментально. Пример такой репликации — закрытиеучетной записи пользователя.Возможности топологии репликации в рамках более крупной организациипоказаны на рисунке 27.1.Рис. 27.1. Между любыми двумя контроллераминет пути длиннее, чем 3 звенадомена563

Microsoft Windows Server 200327.3.3. Репликация между сайтамиОдна из характеристик сайта активного каталога — возможность определятьвремя, когда должна проходить репликация доменной информации.Хотя в пределах сайта интервал составляет 15 секунд и изменению неподлежит, параметры репликации между сайтами вы, как администраторы,можете определять сами. В общем, это понятно — в пределахсайта контроллеры домена всегда связаны быстрым соединением, такчто предполагается, что быстрая репликация никак не помешает работесети. Однако между сайтами это не совсем так. Если организация будетиметь два отделения, в Санкт-Петербурге и в Ярославле, то создание новойучетной записи пользователя в Петербурге не обязано отображатьсяв ярославском отделении через 15 секунд. Даже через час или три этоне обязательно. Некоторые пользователи в Ярославле с удовольствиемвообще не загружали бы сеть репликацией, но домен Active Directoryпросто обязан реплицировать доменную базу каждый раз по прошествииопределенного времени. Она необходима, потому что копируются нетолько учетные записи, безразличные для другого сайта, но и, например,зоны DNS, которыми пренебречь нельзя.Выбор периода репликации между сетями зависит от администратора.Репликацией заведуют два параметра:• Интервал репликации. Он определяет, как часто будет проходитьрепликация. Например, 1 час, 3 часа и т.п. Наименьший возможныйинтервал — 15 минут.• Расписание репликации. Вы можете ограничить репликацию толькоуказанным временем: например, задав временную границу 0.00-6.00часов, вы добьетесь того, что репликация будет происходить тольконочью, когда сеть менее загружена.Так, если вы зададите интервал репликации 1 час и временное ограничение0.00-6.00 часов, то первая репликация начнется в 0.00, следующая —через час и последняя — в 6 часов утра, а целый день линия между филиаломи центральным офисом будет относительно свободна.27.3.4. Протоколы репликацииПередача данных во время репликации может происходить по одному издвух протоколов: стандартный протокол IP (Internet Protocol) и SMTP(Simple Mail Transport Protocol), служащий в основном для передачипочтовых сообщений.В пределах сайта доменная база передается исключительно по протоколуIP. Такова системная конфигурация, которую администраторы не могутизменить.564

Глава 27. Предприятие открывает филиалПротокол репликации между сайтами можно выбирать. Если речь идето репликации в рамках одного домена, то возможности опять ограничиваютсяпротоколом IP. Если же репликация осуществляется междудоменами (это случай не нашей организации, но скорее более крупныхорганизаций с несколькими доменами, организованными в лес ActiveDirectory), то есть выбор между протоколами IP и SMTP.Передаваемые доменные данные следует обезопасить, поскольку каналдля их передачи обычно предоставляет третья сторона. Если вы настроитепередачу по протоколу IP, то они будут шифроваться и сжиматься автоматически.Если вы будете использовать протокол SMTP, то данные тожебудут шифроваться. Для этого у компьютера должны быть необходимыеключи, полученные от сертификационного сервиса сети, (если он настроен),или которые он создаст сам. Следствием будет всегда шифрованнаясвязь по протоколу SMTP.27.3.5. Другие характеристики сайтаКак уже сказано, основным назначением сайта является управлениесинхронизацией активного каталога. Если все будет нормально работать,можно предположить, что медленная линия между сайтами будетзагружена гораздо меньше, чем если бы вы объединили подразделенияв один сайт.Представьте, например, что центральный офис организации находитсяв Петербурге, а филиал — в Ярославле. В обоих подразделениях естьконтроллеры домена. Администратор настроил репликацию по протоколуIP каждый час круглосуточно. Вы считаете, что обмен данными междуконтроллерами не затрудняет работу пользователей, но они почему-тожалуются на слишком медленный процесс регистрации в сети.Пусть это пользователь за компьютером РС111. Зарегистрируйтесь наэтом компьютере. После успешной (хотя и долгой) регистрации введитена этом компьютере команду SET. Она выведет значения всех системныхпеременных. Переменная LOGONSERVER указывает на то, который изконтроллеров домена обработал запрос на регистрацию:C:\Documents and Settings\ITManagerl>setCOMPUTERNAME=PC111LOGONSERVER=\\SRVR001Примечание.' чтття Чтобы не разыскивать одну переменную среди всех системных, вместо командыset введите команду echo %logonserver%.565

Microsoft Windows Server 2003Почему же пользователю пришлось так долго ждать? Оказывается, егозапрос на регистрацию обработал контроллер домена, расположенный вдругом сайте, то есть весь процесс происходил по медленной линии. Длярегулирования этого процесса в активном каталоге существует контейнерSubnets (Подсети). Именно здесь определяется привязка компьютера ксоответствующему контроллеру домена.Компьютеры в филиале и центральном офисе отличаются своими IPадресами,образующими разные подсети. По подсети (адресам и маске)можно однозначно привязать компьютеры к сайтам. Тогда запрос нарегистрацию будут обрабатывать те из контроллеров домена и серверовDNS, которые находится в том же сайте, и только при невозможности ихответа запрос будет передан на другой сайт.27.4. Филиал и другие сетевые службыВ нашей сети мы используем четыре службы — DHCP, DNS, WINS ислужбу сертификации. Как проходит взаимодействие с ними в случаенескольких филиалов?27.4.1. Служба DNSСлужба DNS необходима для нормальной работы домена Active Directory.Именно она, преобразуя названия компьютеров в IP-адреса, позволяетнайти контроллеры домена и другие серверы, важные для работы сети.До сих пор сервер DNS был установлен только на сервере SRVR001, изона study.local была настроена как интегрированная в Active Directory(см. рис. 27.2).Значение параметра Репликация «Все контроллеры домена в домене ActiveDirectory» означает, что, если вы инсталлируете еще один контроллердомена, то он автоматически будет содержать зону study.local.Система Windows Server 2003, в отличие от Windows 2000 Server имеетнесколько вариантов размещения зоны DNS, интегрированной с ActiveDirectory. Благодаря разделу приложений (Application Partition) в WindowsServer 2003 она может быть размещена на всех серверах DNS доменаили даже всех DNS-серверах леса. Однако эту возможность стоит использоватьв более крупных сетях, к которым наша сеть пока не относится.Проще говоря, если вы установите в филиале контроллер домена и установитена нем службу DNS, то он также станет полноправным серверомDNS, который будет обмениваться информацией DNS со своим партнероми должным образом отвечать на запросы DNS. Такой сервер будет пред-566

Глава 27. Предприятие открывает филиалstutly.Ioc.dl - свойстваСерверы имен j I ^ WiNS | "• Лерааачваой ] .Безопасность 1 ;. ••, |Обшив ; j Начальная запись зоны (SQA1' |• СоЬтойниа . РаботаетТит. Интегрированная в Active DirectoryРепликация ВсеконтролперыдоменэвдаменеActive DiiectotyДанные хранятся в Active Directory.Динамическое обновление: [Только безопасные ^_^Разрешение небезопасным динамических обновлений опасно,поскольку обновления могут быть no/учены от истериков, незаслуживающих доверия. . •••'••; :Г Дяя настройки параметров нажмдае "Очистка".Рис. 27.2. Диалоговое окно свойств зоны study.localпочитаемым сервером DNS как для самого себя, так и для всех остальныхкомпьютеров филиала.Если в филиале нет контроллера домена, но есть сервер под управлениемWindows Server 2003 (или Windows 2000 Server), то можно настроить егокак вторичный сервер DNS зоны study.local. Такой сервер будет регулярнокопировать данные зоны с первичного сервера, которым будет длянего сервер DNS в головном офисе. Как и в предыдущем случае, этотвторичный сервер будет предпочитаемым сервером DNS как для самогосебя, так и для всех остальных компьютеров филиала. ФункционироватьDNS в филиале будет точно так же, но данные зоны будут передаватьсяотдельно от процесса синхронизации активного каталога.Если в филиале нет ни одного компьютера с серверной операционнойсистемой, клиентским компьютерам придется обращаться к серверу DNSв центральном офисе. DNS-запросы так загрузят медленное соединение,что это сильно замедлит процесс регистрации.27.4.2. Служба DHCPгСлужба DHCP обеспечивает автоматическое назначение IP-адресов ипрочих параметров настройки протокола IP клиентским компьютерами другим сетевым устройствам, например, принтерам. Для филиаланужно выделить диапазон IP-адресов, не пересекающийся с диапазоном567

Microsoft Windows Server 2003центрального офиса. В случае наличия центрального офиса и филиала,существуют следующие возможности организации сервиса DHCP.• Сервер DHCP в филиале. Это решение обеспечит наиболее быстрое ибезопасное конфигурирование параметров протокола IP для рабочихстанций филиала. Если в нем будет компьютер с серверной операционнойсистемой, то вопрос настройки службы DHCP разрешается оченьпросто. Поскольку с точки зрения адресации протокола IP филиалявляется другой подсетью, на сервере DHCP в центральном офисеможно настроить «запасной» диапазон адресов, адреса из которогобудут назначаться компьютерам филиала при отказе их собственногосервера DHCP.• Сервер DHCP только в центральном офисе. Это решение актуальнов том случае, если в филиале нет компьютера с серверной операционнойсистемой, на котором можно было бы запустить сервер DHCP.Назначение IP-адресов компьютерам филиала сервером DHCP вцентральном офисе не может осуществляться автоматически, нужнонастроить агент передачи DHCP.После включения, когда компьютер определит, что он настроен дляавтоматической адресации, он попытается установить связь с серверомDHCP. Поскольку IP-адреса у него еще нет, он не может взаимодействоватьс сервером DHCP напрямую и посылает широковещательный запрос,который «слышат» все серверы DHCP, находящиеся в той же подсети.Головной офис находится в другой подсети, поэтому широковещательныйзапрос туда не дойдет (такие запросы не маршрутизируются). Именнопоэтому нужно установить агент передачи DHCP. Этот агент пригодитсяи в первом случае, когда компьютерам филиала понадобится воспользоватьсязапасным диапазоном адресов в центральном офисе.27.4.3. Служба WINSВ «чистой» сети, то есть в сети, где из операционных систем есть толькоWindows 2000/XP/2003, эта служба не нужна вообще. Если же некоторымкомпьютерам филиала нужно преобразовывать имена NetBIOS, то существуютдве возможности:568• Сервер WINS в филиале. Если в филиале есть компьютер с сервернойоперационной системой, то службу WINS можно запустить на нем.Такой сервер зарегистрирует имена своих интерфейсов NetBIOS.Другие компьютеры филиала, настроенные на этот же сервер WINS,поступят так же, и других имен в базе данных WINS филиала не будет.Компьютеры же головного офиса регистрируют свои имена NetBIOSна собственном сервере WINS, поэтому при попытке обратиться поNetBIOS-имени к компьютеру из другого офиса возникнут проблемы.

Глава 27. Предприятие открывает филиалЧтобы связь по NetBIOS-именам между офисами работала, нужно настроитьрепликацию между серверами WINS, которой мы займемсяпозже.Сервер WINS в центральном офисе. При выборе этого решенияпроизойдет то же самое, что и с другими службами: дополнительнаянагрузка на медленную линию. Компьютеры-клиенты службы WINSрегистрируют свои NetBIOS-имена при каждом включении, поэтомулишний трафик будет появляться не только при обращении по Net-BIOS-имени к какому-либо устройству. Оптимизацию этой нагрузкиможно провести на сервере WINS, это подействует на несколько сотенкомпьютеров.27.4.4. Служба сертификацииСлужбу сертификации невозможно запустить на нескольких компьютераходновременно. Более того, учитывая огромную важность безопасностиэтой службы, администраторам хорошо было бы держать сервер под пристальнымвниманием. Поскольку нам не понадобится еще один серверсертификации в сети, мы можем оставить все без изменений.27.5. Промежуточные итогиИтак, мы устанавливаем в филиале собственный контроллер домена. Наэтот же сервере запустим службы DNS, WINS и DHCP, обслуживающиетолько компьютеры филиала. Зона DNS будет интегрирована в Active Directory,поэтому синхронизацию данных зоны дополнительно настраиватьне придется. Мы настроим только репликацию базы WINS. На сервереDHCP в центральном офисе мы затем выделим диапазон IP-адресов, соответствующийдиапазону клиентских компьютеров филиала.27.6. Как все это организовать?И в этом случае нам не удастся обойтись без тщательного планированиядальнейших действий. Первым важным шагом будет определение подсети,в которой компьютеры филиала получат адреса. Если их немного,мы можем выбрать, например, подсеть 192.168.20.0/24.Следующим шагом, само собой, после тестирования только что созданногосоединения, будет установка контроллера домена. Созданное подключениеможно протестировать, подключив к нему компьютер и задав емуIP-адрес из диапазона подсети 192.168.20.0/24. В качестве шлюза выхода569

Microsoft Windows Server 2003192.168.20.0/24192.168.10.0/24Рис. 27.3. Пример организации двух подсетей.Подсеть 10.0.0.0/30 предоставлена поставщиком услуг связиукажите внутренний IP-адрес маршрутизатора, а серверы DNS и WINSзадайте те же, что используют компьютеры в центральном офисе. Затемпроверьте регистрацию в домене, в том числе доступность различныхсетевых служб, и связь с компьютерами головного офиса (команда PING,доступ к общим папкам, доступ посредством инструментов управленияк домену Active Directory и т.д.).Примечание.Аппаратный маршрутизатор для подключения филиала не обязателен:возможностью маршрутизации обладает операционная система WindowsServer 2003. В качестве канала связи можете использовать Интернет, настроивзашифрованный туннель IP-to-IP. Единственной проблемой при использованииИнтернета может стать только то, что провайдер не гарантирует пропускнойспособности канала.27.6.1. Установка контроллера доменаУстановка контроллера домена может быть не так проста. Если, например,между центральным офисом и филиалом у вас будет медленнаясвязь, которая к тому же не в состоянии будет обеспечивать достаточнуюстепень надежности, то у вас могут быть трудности. После повышенияроли сервера до контроллера домена начнется репликация всей доменнойбазы данных размером в десятки мегабайт. В крупных сетях такая репли-570

Глава 27. Предприятие открывает филиалкация может занять канал соединения на несколько часов, а в крайнихслучаях и дней.Примечание.Приблизительный объем базы данных Active Directory можно определить поразмеру файла NTDS.DIT и журнальных файлов EDBxxxxx.LOG. Это не точный ееобъем, поскольку при удалении объектов из базы данных размер файла NTDS.DIT автоматически не уменьшается. Чтобы уменьшить размер этого файла, нужноотключиться от сети и дефрагментировать его с помощью утилиты NTDSUTILКроме доменной базы, будут скопированы также объекты групповой политики(папка SYSVOL), так что ее объем тоже нужно учесть.Если вы предполагаете, что могут возникнуть трудности с репликацией,у вас в распоряжении есть две возможности:• Подготовка сервера в центральном офисе. Повышение роли серверадо контроллера домена выполняется, когда сервер физически находитсяв центральном офисе. Новый сервер будет иметь до определенноговремени выданный ему IP-адрес из подсети центрального офиса. Затемнужно настроить сетевые службы, провести репликацию (например,базы данных WINS) и подключить сервер к подсети филиала. Последующиешаги, которые необходимо произвести в домене ActiveDirectory, мы рассмотрим позднее.• Установка контроллера домена в отключенном режиме. Этот способможно использовать только в системах Windows Server 2003. Он применяется,когда сервер, который станет контроллером домена, невозможнодоставить в центральный офис, потому что на нем, например,запущено приложение, работу которого нельзя прерывать.Последовательность действий по установке контроллера домена в новомфилиале:1. Подключите к сети в новом филиале «чистый» компьютер.2. Установите на него операционную систему Windows Server 2003. Входе инсталляции укажите, что этот компьютер будет членом доменаstudy.local. Затем установите сервисы DHCP, WINS и DNS.3. Настройте компьютер следующим образом:• Имя:SRVR003• IP-адрес: 192.168.20.2• Маска подсети: 255.255.255.0• Адрес сервера DNS: 192.168.10.2• Адрес сервера WINS: 192.168.10.2571

Microsoft Windows Server 2003Подготовка репликации доменной базыВ обычном случае вы по окончании настройки ввели бы команду DCPROMO,завершив таким образом повышение роли сервера до контроллера домена.Однако у нас очень медленное соединение, которое мы не хотимотягощать репликацией, поэтому проведем репликацию в отключенномрежиме через архивирование.5721. Зарегистрируйтесь на SRVR001 как администратор и запустите программуархивации (NTBackup.exe).2. На вкладке Архивация установите флажок System State и в полеНоситель архива или имя файла введите путь к файлу архивации(например, C:\Backup.bkf). Затем нажмите кнопку Архивировать.3. В диалоговом окне Сведения о задании архивации нажмите накнопку Дополнительно. Из раскрывающегося списка Тип архива выберитепункт Копирующий. Затем нажмите кнопку ОК и нажатиемна кнопку Архивировать запустите процесс архивации состояниясистемы.4. Получившийся файл BACKUP.BKF запишите на диск CD, DVD илина жесткий диск компьютера SRVR003.Инсталляция контроллера домена из архива1. Зарегистрируйтесь на SRVR003 как администратор.2. Запустите программу архивации и перейдите на вкладку Восстановлениеи управление носителем.3. Щелкните правой клавишей мыши по значку Файл и из контекстногоменю выберите команду (она там единственная) Занести файлв каталог. В диалоговом окне Открытие архивного файла введитепуть к файлу BACKUP.BKF, скопированному вами с компьютераSRVR001.4. В левом подокне инструмента Архивация нажмите на отображенныйзначок сохранённых данных и установите флажок System State.5. Из списка Восстановить файлы в выберите Альтернативное размещение,а в поле Альтернативное размещение введите путь, покоторому размещаются данные для обновления состояния системысервера SRVR001.6. Отобразится уведомление, что в случае смены месторасположенияна альтернативное не все данные будут восстановлены. Нажмитекнопку ОК.7. В меню Пуск нажмите команду Выполнить и в поле Открыть введитекоманду dcpromo /adv. Затем нажмите кнопку ОК.8. В диалоговом окне Мастер установки Active Directory нажмитекнопку Далее.9. В диалоговом окне Совместимость операционной системы нажмитекнопку Далее.

Глава 27. Предприятие открывает филиал'•'•%- Программа архивации - [Восстановление и управление носителей!Задание Правка Вид Сервис СправкаДофо пожаловать! | Аримеация Восстановление и управление носителем | Запланированные задания ]feftlРаскройте требуемый элемент носителя и установите флажки для «Зъектое, которые необходимовосстановить. Щелкните правой кногжой наэяемент&для выбора параметров;/:sJ Та»B Backup bkl создан С1 Расположен., |I СЛВаскир.ЬМН/Д;LlL_ВОССТЗНОБИГЬ Файлы в;j Альтернативное размещениеАльтернативное размещение:Если Файл уже существует:Не ааменятьЛосстановигьРис. 27.4. Восстановление архива состояния системыf Ml!"!'И рВНЯНШ МНЯЯЯЮфайл Правка gru избранное Сервис СправкаmНнИ-LEJ_xJItj На)ад • j • %' t. ПоискАдрес; |гЗ c:\Backипя -GjActive Directory jEJBoot FlesQCOM+ Qass RecJstraOon Dat...ОRegistryПапки j ^ > X «9iРазмер j ТипFile FolderFile FolderFile FolderFile FolderFile Folder1 Изменен09.07.2005 6:0409.07.2005 6:0109.07.2005 6:0409.07.2005 6:0409,07.2005 6:04iliexOAI Атриб,,, I .|об>ектое: 5• .: • • • .Iбайт.\j My ComputerРис. 27.5. Содержимое папки с данными о состоянии системы10. В диалоговом окне Тип управляющего доменом компьютера отметьтеЕще один управляющий доменом компьютер для уже существующегодомена и нажмите Далее.11. В диалоговом окне Копирование информации о домене отметьте Изобновленных файлов сохранённых данных и введите путь к папке с573

Microsoft Windows Server 2003восстановленными файлами состояния системы сервера SRVR001.Продолжите нажатием кнопки Далее.12. В диалоговом окне Глобальный каталог ответьте Да и нажмитеДалее.13. В диалоговом окне Сетевые пользователи задайте имя и парольпользователя-члена группы Domain Admins (или Enterprise Admins)и нажмите кнопку Далее.14. В диалоговом окне Размещение базы данных и протокола оставьтеизначальные свойства или введите путь размещения доменных базданных и протоколов передачи и нажмите Далее.15. В диалоговом окне Подключенный системный комплект оставьте изначальныйпуть или введите путь размещения подключенной папкиSYSVOL и продолжите нажатием на кнопку Далее.16. В диалоговом окне Пароль администратора режима восстановлениясервисов адресации два раза введите один и тот же пароль и нажмитедалее. Хорошо было бы задать один и тот же пароль на всехуправляющих доменом компьютерах.17. В диалоговом окне Итог просмотрите все введенные информации.Если вы хотите изменить что-нибудь из этого, нажмите Назад. Впротивном случае нажмите на кнопку Далее. Запустится инсталляцияконтроллера домена из локальных файлов. По ее окончаниикомпьютер перезагрузится.После перезагрузки компьютера может показаться, что контроллер доменав данный момент уже готов выполнять свои обязанности. Однакоэто пока не так, причем когда он заработает, зависит от способа инсталляции.По завершении установки службы Active Directory компьютер вездевиден как контроллер домена, хотя и не является таковым. Сначаладолжна произойти репликация объектов групповой политики. Потомбы обнаружились серьезные несоответствия, когда в центральном офисепроводились бы какие-то изменения, а в филиале — нет.Итак, контроллер домена начнет работать лишь после репликации некоторойинформации, важной для его работы.Глобальный каталогВ ходе инсталляции контроллера домена мы отметили пункт, на основаниикоторого этот сервер будет инсталлирован также как глобальныйкаталог. Определенно, стоит порекомендовать глобальный каталог длякаждой сети.В этом случае запрос и ответ о членстве в универсальных группах будетотработан локально, без обращения к серверу из другой подсети. Заодно574

Глава 27. Предприятие открывает филиалпри разрыве соединения обеспечен вход пользователей. То есть если прирегистрации отсутствует возможность использовать глобальный каталог,пользователь может воспользоваться профилем, размещенным в локальнойпамяти. Если же пользователь еще не был зарегистрирован в системе,то у него нет возможности войти в нее. Исключение составляют толькочлены группы Domain Admins, всегда имеющие возможность входа.Глобальный каталог служит не только для регистрации. Он, например,упорядочивает запросы на поиск объектов в доменах Active Directoryво всем лесе. Он может играть значительную роль также в соединении сдругими программными продуктами (например, Exchange Server 2003).Поскольку для регистрации пользователей из глобального каталога неиспользуются никакие данные, кроме сведений о членстве пользователяв универсальных группах, можно на контроллере домена определить порядокразмещения информации о членстве в универсальных группах влокальном кэше. В этом случае контроллер домена будет связываться сглобальным каталогом каждые 8 часов и обновлять содержимое своегокэша (до 500 универсальных групп).Глобальный каталог — выгодная вещь, но бывают состояния, в которыхневозможно обеспечить его присутствие, но все-таки нужно обеспечитьбыстрый и успешный вход. Не определяйте глобальный каталог в филиалев следующих случаях:• На локальном контроллере домена стоит операционная система WindowsServer 2003, разрешающая кэшировать информацию о членствев универсальных группах.• Оборудование контроллера домена не настолько производительно,чтобы он мог стать узлом глобального каталога.• Соединение с филиалом медленно и ненадежно. Тогда не будет обеспеченарепликация всей информации глобального каталога со всеголеса.27.6.2. Настройка сайта Active DirectoryСейчас новый контроллер домена привязан к сайту, который до сих порбыл единственным — центральному офису. Репликация доменной базыпроходит каждые 15 секунд, что не очень удобно. Сейчас мы организуемновый сайт и привяжем к нему компьютеры филиала по адресу подсети.Создание нового сайта1. Зарегистрируйтесь на РС001 как администратор (член группы EnterpriseAdmins), и запустите оснастку Active Directory — сайты ислужбы.575

Microsoft Windows Server 20032. Раскройте объект Sites (Сайты). Он содержит сайт под названием,если вы ничего не переименовывали, «Исходное название первогосайта». Контейнер Серверы этого сайта содержит оба контроллерадомена — SRVR001 и SRVR003.3. Из контекстного меню контейнера Сайты выберите команду Новыйсайт. В диалоговом окне Новый объект — сайт введите в поле Названиеимя нового сайта — например, «Branch» (не используйтесимволов кириллицы, так как это имя будет известно в службе DNS).Затем щелкните по подключению DEFAULTIPSITELINK и нажмитекнопку ОК. Переименуйте также сайт центрального офиса — например,в «MainOffice».4. Прочитайте сообщение в окне Active Directory и нажмите кнопкуОК. Новый сайт создан.Настройка подсети1. В консоли Active Directory — сайты и службы щелкните по контейнеруSubnets (Подсети). В правом подокне отобразится информацияоб адресации существующей (пока единственной) подсети(192.168.10.0/24).2. Из контекстного меню контейнера Subnets выберите команду Новаяподсеть.3. В диалоговом окне Новый объект — Подсеть введите в поле Адрес192.168.20.0, а в поле Маска — 255.255.255.0. Затем выберите изсписка сайт «Branch», к которому будет относиться эта подсеть, инажмите ОК.Настройка соединения сайтов1. В консоли Active Directory — сайты и службы раскройте контейнерInter-Site Transports и щелкните по значку IP. В правом окне отобразитсяобъект соединения сети под названием DEFAULTIPSITE-LINK.2. Правой кнопкой мыши щелкните по этому объекту и из контекстногоменю выберите команду Переименовать. Дайте соединению имя«MainOffice Branch».3. Из контекстного меню соединения выберите команду Свойства. Вправой части окна свойств проверьте, что это соединение соединяетдва наших сайта.4. В поле Повторять раз в введите частоту репликации (например, 60минут) и нажмите кнопку Изменить план. Здесь вы можете задатьрасписание репликации (например, оставить ее круглосуточной).Два раза нажмите кнопку ОК.576

Глава 27. Предприятие открывает филиалПеремещение контроллера домена SRVR003 в новый сайт1. В консоли Active Directory — сайты и службы щелкните правойкнопкой мыши по значку сервера SRVR003 и из контекстного менювыберите Переместить.2. В диалоговом окне Переместить сервер выберите из списка сайт«Branch» и нажмите ОК. Сервер SRVR003 перемещен, и репликациябудет осуществляться ежечасно.27.6.3. Настройка службы DNSЧтобы служба DNS нормально работала в филиале и запросы при медленномсоединении не шли бы в центральный офис, нужно проверитьнастройку сервиса DNS на компьютере SRVR003, затем отрегулироватьпараметры протокола IP на этом сервере и назначить ему IP- адрес вдиапазоне сервера DHCP.Проверка настройки DNS1. Зарегистрируйтесь на РС001 как администратор и запустите консольуправления DNS.2. Правой кнопкой мыши щелкните по значку DNS и из контекстногоменю выберите команду Подключиться к серверу DNS. В диалоговомокне Подключиться к серверу DNS отметьте На компьютере ивведите SRVR003. Затем нажмите кнопку ОК.3. В консоли DNS раскройте объект сервера SRVR003, а затем контейнерЗоны первоочередного поиска. Хотя вы еще не проводилинастройку, тут указана зона study.local. Все данные этой зоны входятв домен Active Directory.4. Щелкните по значку зоны study.local и в правом подокне консолинайдите запись типа SOA (Start of Authority). Обратите вниманиена серийный номер этой записи, который определяет актуальностьсодержания зоны. Тот же номер должен присутствовать в зоне study,local на сервере SRVR001. Это признак нормального функционированиярепликации Active Directory.5. Правой кнопкой мыши щелкните по значку зоны study.local сервераSRVR003 и отобразите ее свойства. Проверьте, что они совпадаютсо свойствами этой зоны на сервере SRVR001.Параметры протокола IP на сервере SRVR003Каждый сервер DNS должен быть сам себе клиентом. Для этого нужноизменить IP-адрес сервера DNS в свойствах подключения по локальнойсети компьютера SRVR003.19 Зак 446 577

Microsoft Windows Server 20031. Зарегистрируйтесь на SRVR003 как администратор.2. Отобразите свойства подключения по локальной сети, а затем —свойства протокола ТСРДР. В поле Предпочитаемый сервер DNSвведите адрес компьютера SRVR003 — 192.168.20.2.3. Нажатием на кнопку ОК закройте все диалоговые окна.Трансляция имен ИнтернетаЕсли центральный офис организации имеет подключение к Интернету,то это же подключение захочет использовать и филиал. Однако есликомпьютеры филиала используют собственный сервер DNS на SRVR003,нужно, чтобы этот сервер мог решать задачу преобразования внешнихимен, т.е. названий Интернета.Поскольку мы уже настраивали это раньше, будет достаточно перенаправитьнеразрешенные запросы DNS с сервера SRVR003 на сервер,который сможет справиться с этой задачей. Если это сервер SRVR001,нужно в свойствах сервера SRVR003 добавить в меню Серверы передачиIP-адрес сервера SRVR001 (192.168.10.2).27.6.4. Настройка службы WINSСервис WINS после установки не требует дополнительной настройки.Однако для нашей сети будет важно настроить репликацию между двумясерверами WINS (SRVR001 и SRVR003). Только так вы обеспечите взаимнуюдоступность баз NetBIOS-имен в центральном офисе и филиале.Сервер WINS должен быть сам себе клиентом. В качестве IP-адреса сервераWINS для SRVR003 в свойствах подключения по локальной сетиукажите его собственный адрес (192.168.20.2). а578Настройка репликации серверов WINS1. Зарегистрируйтесь на РС001 как администратор и запустите консольWINS.2. Добавьте на консоль оба сервера WINS — SRVR001 и SRVR003.3. Щелкните по значку сервера SRVR001. Затем правой кнопкой мышищелкните по значку Партнерские серверы для репликации и изконтекстного меню выберите команду Новый партнерский сервердля репликации. В поле Сервер WINS диалогового окна Новыйпартнерский сервер для репликации введите название сервера SR-VR003. Затем нажмите кнопку ОК. Стандартным типом репликацииявляется Push/Pull.4. Щелкните по значку Партнерские серверы для репликации. В правомподокне консоли WINS отобразите свойства сервера SRVR003.

Глава 27. Предприятие открывает филиалНа вкладке Дополнительно настройте параметры обоих типов репликации.Для репликации по запросу частота по умолчанию —каждые 30 минут, для репликации по предложению нет границ. В полеКоличество изменений номера версии перед репликацией введите значение20. Диалоговое окно свойств закройте нажатием кнопки ОК.5. Повторите пункты 3 и 4 для сервера SRVR003.Репликация между серверами WINS будет проходить следующим образом.Оба они обмениваются содержанием своих баз данных каждые 30 минут.Если же у какого-нибудь сервера в течение этого интервала количествоизменений перешагнет 20, то он уведомит об этом своего партнера, которыйтут же начнет скачивать содержание его базы данных.Обычно нельзя рекомендовать какие-то строго определенные параметрырепликации. Все всегда зависит от конкретной сети, поскольку в каждойиз них иное количество компьютеров, использующих сервис WINS, и вкаждой сети по-разному загружено соединение, через которое проходитрепликация. Оптимизация настройки — вопрос последовательности исполненияфункций сетью и необходимых измерений.27.6.5. Настройка службы DHCPВ этом параграфе мы проведем настройку службы DHCP так, что в филиалебудет собственный сервер DHCP и в центральном отделе — страховкана случай, если сервер филиала будет недоступен.Для этого шага нужно разделить подсеть, в которой имеют адреса компьютерыфилиала, на две части. Обычно в таком случае наиболее удобно соотношение80/20, причем компьютерам должно хватать 80% всей подсети.В нашем случае, когда мы используем в филиале подсеть 192.168.20.0/24,мы можем адресовать не более 254 компьютеров. Как и в главе 3, для рабочихстанций отведем диапазон адресов от 192.168.20.17 до 192.168.20.254.Разделив эти 238 адресов в отношении 80/20, получим 190/48. Если мыне планируем в филиале более 190 компьютеров, все в порядке; иначенужно соотношение адресов или назначить филиалу другую подсеть (сболее короткой маской подсети).Сервер DHCP филиала будет выдавать компьютерам адреса от192.168.20.17 до 192.168.20.206. А сервер в центральном отделе будет выдаватькомпьютерам адреса от 192.168.20.207 до 192.168.20.254.Настройка сервера в филиале1. Зарегистрируйтесь на РС001 как администратор и запустите консольDHCP.579

Microsoft Windows Server 20032. Добавьте в консоль сервер SRVR003. Из контекстного меню сервераsrvrOCB.study.local выберите команду Создать область. По этойкоманде запустится Мастер создания области. Нажмите Далее.3. В диалоговом окне Имя области введите название области (например,«Branch») и ее описание. Нажмите Далее.4. В диалоговом окне Диапазон IP-адресов введите в поле НачальныйIP-адрес первый незанятый адрес в вашей подсети (например,192.168.20.17), а в поле Конечный IP-адрес — значение 192.168.20.206.Поля маски будут заполнены по умолчанию текущей маской сети(в нашем случае 24\255.255.255.0). Нажмите Далее.5. В диалоговом окне Добавление исключений оставьте все значенияпустыми и нажмите Далее.6. В диалоговом окне Срок действия аренды адреса оставьте значениепо умолчанию и нажмите Далее.7. В диалоговом окне Настройка параметров DHCP выберите Да, настроитьэти параметры сейчас и нажмите Далее.8. В диалоговом окне Маршрутизатор (основной шлюз) введите адрес192.168.20.1 (адрес маршрутизатора, передающего пакеты в главныйофис). Нажмите Далее.9. В диалоговом окне Имя домена и DNS-серверы введите в полеРодительский домен «study.local», а в поле IP-адрес введите адрес192.168.20.2 и 192.168.10.2. Нажмите Далее.10. В диалоговом окне WINS-серверы введите адреса 192.168.20.2 и192.168.10.2. Нажмите Далее.11. В диалоговом окне Активировать область отметьте Да и нажмитеДалее.Сервер DHCP настроен, однако пока не будет выдавать адреса IP и прочиепараметры. Сначала необходимо авторизовать его в домене ActiveDirectory.Авторизация сервера DHCP в Active Directory1. Зарегистрируйтесь на сервере SRVR001 как член группы EnterpriseAdmins и запустите консоль DHCP.2. В левой части окна консоли щелкните правой кнопкой мыши поsrvr003.study.local и из контекстного меню выберите команду Авторизовать.Обновите окно консоли, и у сервера появится зеленыйзначок. Если сервер все еще отображается как неавторизованный,перезапустите консоль DHCP.Настройка сервера DHCP в центральном офисеПри конфигурации сервера DHCP в центральном отделе действуйтетак же, как при настройке сервера DHCP филиала. Создайте еще одну580

Глава 27. Предприятие открывает филиалобласть, с диапазоном адресов IP от 192.168.20.207 до 192.168.20.254 стакими же возможностями.Если сейчас, сразу после настройки запасного диапазона, сервер DHCPфилиала прекратит работу, клиенты из филиала еще не готовы получатьадреса от сервера SRVR001: широковещательный запрос не пройдет черезмаршрутизатор. Необходимо настроить агент передачи DHCP.Агент передачи DHCP должен работать на интерфейсе, способном получатьшироковещательные запросы, то есть на внутреннем интерфейсекомпьютера SRVR003 (это замечание на тот случай, если сетевых интерфейсовнесколько).Связь компьютеров в центральном офисеПоскольку в центральном отделе был настроен доступ в Интернет, у всехкомпьютеров, желающих его использовать, адрес шлюза выхода настроенна компьютер, осуществляющий подключение. Это значит, они не смогутподдерживать связь с компьютерами филиала.Шлюз выхода — компьютер, на который будут отосланы различныепакеты, которые неясно, куда отсылать. У него есть информация о пакетах,предназначенных для компьютеров локальной сети, остальные жепакеты он отсылает серверу SRVR002. Это подходящая ситуация, еслимы будем настраивать связь в направлении филиала: будет достаточнонастроить ее в одном компьютере, и он, в свою очередь, передаст еемаршрутизатору.Предположим, что внутренний интерфейс маршрутизатора (предоставленногопоставщиком услуг связи) имеет IP-адрес 192.168.10.3. Для сервераSRVR002, как и для остальных компьютеров, в качестве адреса шлюза выходауказан 192.168.10.1. Все пакеты, предназначенные во внешний мир,SRVR002 отсылает на этот адрес, а шлюз отправляет их со своего внешнегоинтерфейса в Интернет. Но филиал — не внешний мир, и пакеты,предназначенные для него (для подсети 192.168.20.0/24), нужно передаватьмаршрутизатору192.168.10.3. Это настроить просто:1. Зарегистрируйтесь на SRVR002 как администратор.2. В командной строке введите следующую команду:route -p add 192.168.20.0 mask 255.255.255.0 192.168.10.3Команда значит, что все пакеты, отправленные на адрес из подсети192.168.20.0/24, будут переданы на адрес 192.168.10.3. Ключ -р к тому жеобеспечивает постоянную запись этого маршрута в системный реестркомпьютера, так что маршрут доступен и после перезагрузки.581

Microsoft Windows Server 2003Настройка агента передачи DHCP1. Зарегистрируйтесь на SRVR003 как администратор и запуститеоснастку Маршрутизация и удаленный доступ.2. Если эта служба не запущена, из контекстного меню сервераSRVR003 выберите команду Настроить и разрешить маршрутизациюи удаленный доступ. Запустится Мастер установки. Нажмите Далее.3. В диалоговом окне Настройка установите флажок Собственные настройкии нажмите Далее.4. В диалоговом окне Собственные настройки установите флажокМаршрутизация локальной сети (LAN) и нажмите Далее.5. Завершите работу Мастера нажатием кнопки Готово и запуститеслужбу маршрутизации, нажав кнопку Да.6. Разверните список Маршрутизация IP и правой кнопкой мыши щелкнитепо значку Общие. Из контекстного меню выберите командуНовый протокол маршрутизации. Выберите DHCP Relay Agent инажмите ОК.7. Под значком Маршрутизация IP теперь добавится значок Агентпередачи DHCP. Щелкните по нему правой кнопкой мыши и изконтекстного меню выберите команду Новый интерфейс. В диалоговомокне Новый интерфейс выберите интерфейс подключения клокальной сети и нажмите ОК.8. В диалоговом окне свойств определите время, после которого агентпередачи начнет работу (можете оставить изначальные 4 секунды)и нажмите кнопку ОК.9. Отобразите свойства Агента передачи DHCP.10. В поле Адрес сервера введите IP-адрес сервера DHCP в центральномофисе (192.168.10.2) и затем нажмите на кнопки Добавить и ОК.27.6.6. Настройка глобального каталогаПри инсталляции роли контроллера домена на сервер SRVR003 мы указали,что этот компьютер будет сервером глобального каталога. Посколькуиногда будет необходимо лишить его функций сервера глобального каталога,мы рассмотрим то место, где глобальный каталог настраивается.1. Зарегистрируйтесь на РС001 как администратор и запустите консольActive Directory — сайты и службы.2. Разверните ветвь Branch\Servers\SRVR003 и правой кнопкой мышищелкните по значку NTDS Settings.3. Отобразится диалоговое окно свойств, в котором в разделе Общиебудет установлен флажок Глобальный каталог.Если вы хотите настроить какой-нибудь контроллер домена как узел глобальногокаталога, подумайте о том, что выполнять эту функцию он сможет582

Глава 20.Устанавливаем обновление Service Packлишь тогда, когда у него будет копия всех необходимых данных со всего леса.Этот процесс, само собой, занимает какое-то время, причем это зависит отвеличины сети и скорости связи между доменами. Только по завершениирепликации информация о глобальном каталоге появится в зоне DNS, икомпьютеры смогут начать ее использовать. К тому же нужно иметь в виду,в случае конфигурации глобального каталога, что на излишнюю репликациюв вашем домене может повлиять администратор другого домена, который,например, за один раз создаст сотни учетных данных пользователей.Если вы выясните, что не в ваших силах удерживать на данном управляющемдоменом компьютере роль глобального каталога, но у вас в сетинет другого глобального каталога, нужно хотя бы обеспечить быстрыйвход пользователей. Это, само собой, касается лишь доменов в режимеWindows 2000 native или выше.Настройка кэширования членства в универсальных группах1. Зарегистрируйтесь на РС001 как администратор и запустите консольActive Directory — сайты и службы.2. Щелкните по значку сайта, для которого вы хотите настроить кэширование,и затем отобразите в правом окне свойства объекта NTDSSite Settings.3. На вкладке Настройка установите флажок Разрешить кэшированиечленства в универсальных группах и из раскрывающегося списка выберитесайт, с которого будет скачиваться информация о членстве.4. Закройте диалоговое окно нажатием на кнопку ОК.27.7. ИТОГИОрганизация нового филиала, определенно, не может быть поводом дляусиления команды администраторов домена. Однако это может бытьповодом для усиления отдела поддержки пользователей, поскольку ихчисло, определенно, вырастет. Нужно уделять достаточно времени дляподготовки сети к дальнейшему расширению, в том числе нужно на нейвсе установить и проверить.Компании, обеспечивающей связь с новым филиалом, для настройкимаршрутизатора понадобится информация об адресации IP, которую выбудете использовать в филиале. Остальные задачи лежат на вас, как наадминистраторах сети.Для каждой части сети, которая присоединена по медленной линии, неплохобыло бы иметь отдельный сайт Active Directory. Сайт обеспечиваетпользователям регистрацию в домене через контроллер, находящийся в583

Microsoft Windows Server 2003том же сайте, и позволяет настроить репликацию доменных данных так,чтобы создаваемый при этом трафик как можно меньше мешал обычнойработе пользователей. В каждом сайте должны быть свои контроллердомена, сервер DNS и глобальный каталог.Сервер глобального каталога важен в первую очередь для регистрациипользователей, а система Windows Server 2003 предоставляет возможностьотделить эту часть от его прочих задач. Если вы не можете иметьв локальной сети глобальный каталог, существует возможность настроитьв данной сети кэширование членства в универсальных группах.Если вы будете использовать в филиале собственный сервер WINS, незабудьте настроить репликацию с остальными серверами. Только так выобеспечите обмен базами данных имен NetBIOS между сайтами.Сайт может иметь также собственный сервер DHCP. Однако если в сайтене будет отдельного сервера DHCP, и вы захотите использовать серверDHCP центрального офиса, нужно выделить на этом сервере область,соответствующую диапазону адресов филиала, и настроить в филиалеАгент передачи DHCP. Если в филиале нет ни одного сервера, нужнообратиться к поставщику маршрутизатора, чтобы разрешить маршрутизациюшироковещательных запросов.Управление окружением домена после появления ответвления никак не изменится— в наиболее часто используемой остнастке Active Directory — Пользователии компьютеры это вообще никоим образом не отражается. Администраторыже домена получат еще одно задание — регулярная проверкауспешности репликации между управляющими доменами компьютерами.Состояние сетиВ сети добавился новый филиал. В домене Active Directory он организованв сайт по имени «Branch», и в нем установлен контроллер доменаSRVR003. Сеть Active Directory была отконфигурирована таким образом,что теперь предоставляет пользователям быструю регистрацию в пределахсайта. Сервер SRVR003 является теперь также сервером DNS, серверомWINS с настроенной репликацией типа Push/Pull с сервером SRVR001 исервером DHCP с 80-процентным диапазоном адресов IP для клиентскихкомпьютеров на ответвлении.Чтобы в случае необходимости была возможность получить адрес IP из центральногоофиса, на сервере SRVR003 был настроен агент передачи DHCP. Вцентральном офисе на сервере DHCP создана запасная область IP-адресов.Репликация между контроллерами домена в центральном отделе и филиалепроходит по протоколу IP ежечасно круглосуточно. Сервер SRVR003является сервером глобального каталога.584

Настройка службыэлектронной почтыКак это работает?Установка и настройкапочтовых службНастройка серверов РОРЗ и SMTPН hНастройка клиента и проверка связиMICROSOFT WINDOWS SERVER 2003Практическое руководство по настройке сети

Когда сеть настроена и работает нормально, пора подумать об установкеприложений и расширении функциональности нашей сети. Одним изнеобходимых условий успешной работы предприятия является наличиеэлектронной почты. Сегодня, похоже, уже нельзя себе даже представитьфирму, которая бы её не использовала.В системе Windows Server 2003 почтовые службы уже включены, в отличиеот, например, системы Windows 2000. Безусловно, речь не идёт окаком-то высокопроизводительном специализированном приложении,реализующем все возможности по работе с электронной почтой, ноосновные требования, а именно, ее функционирование, выполнимы ужес самого начала.Это значит, что вам в таком случае не нужно будет докупать дополнительныепродукты или лицензии, то есть расходы на электронную почтуможно свести к минимуму.28.1. Как это работает?Огромное количество Интернет-провайдеров предоставляет своим клиентампомимо всего прочего и почтовый ящик. Или бесплатно, или заминимальную сумму.По такому же принципу работают и почтовые службы Windows Server2003. Они не являются обязательными компонентами системы, и есливы хотите с ними работать, вам нужно будет установить их отдельно.Именно поэтому о подобных возможностях системы Windows Server 2003большинство пользователей так никогда и не узнают.586

Глава 28. Настройка службы электронной почтыПочтовая служба Windows Server 2003 работает по протоколу РОРЗ (PostOffice Protocol), который является стандартным средством Интернета дляобеспечения доступа к почтовому ящику. Он используется в Интернетес самого начала и значительно превосходит другие протоколы доступа(IMAP, HTTP).РОРЗ — это протокол, позволяющий считывать информацию из почтовогоящика. Для отсылки почты он не предназначен. Почта отправляетсяпо протоколу SMTP (Simple Mail Transfer Protocol), простота которогозаявлена уже в самом названии.В ОС Windows Server 2003 каждый из названных протоколов обслуживаюттак называемые виртуальные серверы. Они могут быть установленыкак на одном и том же физическом сервере, так и на разных. Функциясервера РОРЗ заключается в том, чтобы доставить почту из почтового ящикана рабочую станцию пользователя, а сервера SMTP — в том, чтобы передатьсообщение, созданное на рабочей станции, в почтовый ящик или другомусерверу SMTP.28.2. Установка и настройка почтовых службУстановка почтовых служб включает несколько шагов:• Планирование службы электронной почты.• Установка службы электронной почты.• Настройка серверов РОРЗ и SMTP.• Создание почтовых ящиков тестовых пользователей.• Проверка связи.• Создание почтовых ящиков для остальных пользователей.28.2.1. Планирование службы электронной почтыОдним из самых важных шагов является назначение имени доменуэлектронной почты (часть почтового адреса, следующая за символом@). Для коммуникации внутри сети этого не требуется, но для обменасообщениями по Интернету без него не обойтись, поэтому нужно выбратьимя, действительное в глобальной сети.Следующий шаг — это выбор почтового сервера. На нём будут установленывсе почтовые ящики пользователей вашего предприятия, поэтомуследует выбрать такой сервер, на котором будет для этого достаточноместа и который не будет слишком отягощен стандартными функциями.Кроме того, следует помнить, что этот сервер окажется доступен извне,поэтому с точки зрения безопасности особо важные данные или приложениядержать на нем не следует.587

Microsoft Windows Server 2003Чтобы получить доступ к своему почтовому ящику, пользователь долженбыть авторизован почтовым сервером. Если почтовый сервер являетсярядовым сервером в домене, существуют три возможности авторизации:через доменную учетную запись пользователя, локальную учетную записьили с помощью зашифрованного пароля, хранящегося в файле. Если почтовыйсервер установлен на контроллере домена, то доступ к нему черезлокальную учетную запись невозможен.Сервер SMTP следует настроить так, чтобы предотвратить несанкционированнуюпересылку через него сообщений посторонних пользователейизвне.В нашей сети имеется три сервера: контроллеры домена SRVR001 иSRVR003 и рядовой сервер SRVR002. Для установки почтового серверавыберем SRVR001. Поскольку в дальнейшем нам нужно будет получатьпочту из Интернета, то имя домена электронной почты должно соответствоватьправилам, принятым в глобальной сети. Суффикс local вИнтернете недействителен, поэтому выберем имя study.com (предполагая,что это имя ещё не занято и мы готовы зарегистрировать его и платитьза его использование).28.2.2. Установка служб электронной почтыДля установки служб электронной почты:1. Зарегистрируйтесь на SRVR001 как администратор.2. Запустите апплет панели управления Установка и удаление программи выберите Установка компонентов Windows.3. В диалоговом окне Мастер компонентов Windows отметьте полеСлужбы e-mail и нажмите кнопку Состав. Потом поставьте флажокСлужба РОРЗ (при этом будет установлен также протокол SMTP) иподтвердите нажатием на ОК. Продолжите установку, нажав Далее.4. Начнётся установка протоколов РОРЗ и SMTP. В процессе инсталляциивас могут попросить вставить установочный компакт-дискWindows Server 2003.5. По окончании установки перезагружать сервер не нужно.Вместе со службой РОРЗ будет установлена и консоль управления ею, которуювы найдете среди утилит администрирования на сервере SRVR001.Этим инструментом можно пользоваться только с того компьютера,где установлена служба РОРЗ. Для удаленного управления почтовымиящиками необходим веб-интерфейс, который можно было установить,выбрав компонент Web Administration, но возможность удаленного доступаснижает безопасность почты. Мы рекомендуем веб-интерфейс неустанавливать, а настраивать почтовые ящики непосредственно с сервераSRVR001 или подключившись к удалённому рабочему столу.588

Глава 28. Настройка службы электронной почтыE-mail ServicesОтметьте все устанавливаемые компоненты. Затененный Флажок означает 'частичную установку компонента. Выяснить его состав позволяет одноименнаякнопка.:E-mail Seivices- состав: ;.Описание: Supports the web based administration of the РОРЗ ServiceТребуется на диске:Свободно на диске:16.2 МБ1924,4 МБ(Ж I ОтменаРис. 28.1. Состав служб e-mail28.3. Настройка серверов РОРЗ и SMTP28.3.1. Сервер РОРЗНастройка сервера РОРЗ производится следующим образом:1. Зарегистрируйтесь на SRVR001 как администратор и запуститеконсоль Служба РОРЗ.2. Щелкните правой кнопкой мыши по серверу и из контекстного менювыберите команду Свойства.3. В диалоговом окне Свойства сервера РОРЗ убедитесь, что в полеМетод проверки подлинности выбрано значение Интегрированныйв Active Directory.4. Далее убедитесь, что в остальных полях стоят значения по умолчанию.Порт протокола TCP сервера РОРЗ — ПО, а в поле Уровеньведения журнала указана только журнализация ошибок (Минимальный).Если вы хотите протоколировать больше информации, выможете сменить эту установку на вариант Средний (записыватьсябудут предупреждения и ошибки) или Полный.5. Важным параметром является Корневая папка почты. Речь идёт опапке, в которой будут храниться почтовые ящики пользователей.Её с точки зрения безопасности и лучшей работы следует поместитьна физический диск, свободный от системных папок (это пригодитсяв случае получения пользователями очень больших сообщений).589

Microsoft Windows Server 2003Есть два ограничения: нельзя выбрать в качестве почтовой папкикорневой каталог диска (то есть указать адрес С:) и нельзя поместитьее в папке, файлы из которой на момент настройки открыты.Причиной перемещения почтовых ящиков может послужитьнеобходимость ввести квоты, ограничивающие их объём. Посколькуслужба РОРЗ собственных квот не имеет, нужно будетвоспользоваться квотами файловой системы NTFS. Пользователиданных почтовых ящиков являются владельцами отдельных сообщений,то есть файлов, так что проблем возникнуть не должно.Если придётся менять размещение корневой папки, следует сделатьэто раньше, чем вы начнёте создавать почтовые ящики пользователей.Если вы сделаете это позже, то потом вам придётся вручнуюпереносить папку с именем домена и ее подпапки — существующиепочтовые ящики.6. В поле Корневая папка почты оставьте исходный адрес.7. Установите флажок Всегда создавать пользователя для новых почтовыхящиков. После этого, если вы создадите ящик с именем, несоответствующим ни одному из регистрационных имён, вам нужнобудет ввести пароль, и в домене Active Directory появится учётнаязапись пользователя.8. О поле требования безопасной проверки пароля речь будет идтидальше.28.3.2. Домены РОРЗ и SMTPДо того как создать первый почтовый ящик, нам нужно будет определитьимя почтового домена, которое служит двум целям:• Определяет электронный адрес пользователя.• Является частью регистрационного имени пользователя.Если вы настраиваете почту для переписки не только внутри предприятия,но и в Интернете, то следует выбрать имя согласно правилам, принятым вглобальной сети, и зарегистрировать его в организации, уполномоченнойвыдавать доменные имена. В качестве примера мы используем имя study,com, которое в действительности давно занято.Чтобы создать домен study. com:590Создание домена study.com1. Зарегистрируйтесь на SRVR001 как администратор и запуститеконсоль Служба РОРЗ.2. Щелкните правой кнопкой мыши по серверу и из контекстного менювыберите команду Создать -» Домен.

Глава 28. Настройка службы электронной почты3. В диалоговом окне Добавить домен в поле Имя домена введите имяstudy. com и нажмите ОК. Новый домен отобразится под серверомРОРЗ.Теперь инфраструктура электронной почты готова, и можно начать создаватьпочтовые ящики.Примечание.После создания домена следует создать папку с тем же названием в корневойпапке почты, а затем — домен локального типа в протоколе SMTP, который служитдля того, чтобы сообщения, адресованные местным пользователям, не покидалилокальной сети.Почтовые ящики1. Зарегистрируйтесь на SRVR001 как администратор и запуститеконсоль Служба РОРЗ.2. Щелкните правой кнопкой мыши по домену study. com и из контекстногоменю выберите команду Создать -> Почтовый ящик.3. В диалоговом окне Добавление почтового ящика в поле Имя введитерегистрационное имя своей доменной учётной записи (например,iTManagerl). Остальные поля оставьте пустыми. Снимите флажокСоздать пользователя для этого почтового адреса и нажмите ОК.Начнется поиск в активном каталоге учетной записи с таким именем.Когда она будет найдена, будет сразу же создан почтовый ящик(рис. 28.3). Если учетная запись не найдена, то будет выведено сообщениеоб ошибке.Чтобы сразу же проверить, как работает почтовая служба, создайте почтовыйящик по крайней мере для ещё одного пользователя (например,Shopl).28.3.3. Сервер SMTPПоскольку протокол SMTP очень прост, некоторые могут подумать, чтонастраивать его не нужно. Напрасно. Так как ваш SMTP-протокол будетиспользоваться для отправки сообщений в том числе и через Интернет,следует понять необходимость настроек, связанных с безопасностью, исмириться с тем, что сообщения при передаче никак не шифруются.1. Зарегистрируйтесь на SRVR001 как администратор и запуститеконсоль Диспетчер служб IIS.2. Щелкните правой кнопкой мыши по значку Виртуальный SMTPсерверпо умолчанию и отобразите его свойства.591

Microsoft Windows Server 2003Почтовый ящик успешно добавленНиже определены сведения для входа для нового почтового ящика.Пользователи почтового клиента должны использоватьсоответствующую версию имени почтового ящика при вводесведений для входа:Если выполняется обычная проверка подлинности (простой текст}:Учетная запись: ITManagei1@stMdy.comПочтовый сервер: srvtOOlЕсли выполняется безопасная проверка пароля:Учетная запись: ITManagedПочтовый сервер: srvrOOlГ" Не выводить это сообщение в дальнейшееРис. 28.3. Почтовый ящик успешно созданСвойства: ITManagerlЧлен групп j Входящие звонки ) Среда | СеансыУдаленное управление | ПРОФИЛЬ служб терминалов j COM+Общие) Адрес Учетная запись | Профиль | Телефоны) ОрганизацияИмя входа пользователя:l@sludy.coniИмя входа пользователя (пред-Windows 2000]:|STUDY\|lTManagei1Время входа...Вход на..Г J ю прок , »-.::ГТараметры учетной записи:Г" Требовать смену пароля при следующем входе в систему J±,Г* Запретить смену пароля пользователемФ Срок действия пароля не ограниченI Хранить пароль, используя обратимое шифрование •* {г Срок действия учетной записи : ~— —.j ^* ld e ограничен Ij С Истекает: | 8 августа 2005 г. '. Jj IОтменаРис. 28.4. После создания почтового ящикарегистрационное имя пользователя изменилось592

Глава 28. Настройка службы электронной почты3. На вкладке Общие установите флажок Вести журнал и выберитеРасширенный формат файла журнала W3C. Затем нажмите кнопкуСвойства.4. В диалоговом окне Свойства протоколирования отметьте поле Использоватьместное время в имени файла. На вкладке Дополнительноотметьте поля Дата, Время, IP-адрес клиента, Имя пользователя,Имя службы, Состояние протокола, Передано байт, Заняло времении Версия протокола. Закройте диалог свойств протоколированиянажатием ОК.5. На вкладке Доступ настройте (или согласитесь с предложенныминастройками) следующие возможности:• В разделе Управление доступом нажмите кнопку Проверкаподлинности и в появившемся диалоге проверки подлинностив разделе Выбор методов проверки подлинности для ресурсаубедитесь, что выбран вариант Анонимный доступ. Это значит,что авторизации отправителя сообщений не требуется. Посколькуваш сервер должен быть доступен извне, разрешить анонимныйдоступ необходимо, иначе вы не сможете получать сообщения.• В разделе Управление подключением можно определить, с какихIP-адресов можно подключиться к серверу. Эта настройка служитдля защиты сервера, поскольку те IP-адреса, с которых доступ неразрешён, сервер SMTP обслуживать не будет. Таким образомвы можете блокировать приём нежелательных сообщений (спама)— для этого нужно знать IP-адреса тех серверов, с которыхприходят такие сообщения, и постоянно пополнять список.• Раздел Ограничение ретрансляции служит для указания техIP-адресов, которым разрешено использовать этот виртуальныйсервер SMTP в качестве ретранслятора. Если разрешитьпересылку почты через данный сервер от кого угодно и комуугодно, то рано или поздно этой возможностью воспользуютсяспамеры, наш IP-адрес попадет в черные списки и другиепочтовые серверы откажутся принимать с него сообщения, врезультате чего предприятие останется без исходящей почты.Локальные пользователи должны иметь возможность отсылатьпочту в любой домен, и это соответствует настройке по умолчанию:сервер SMTP принимает только сообщения, адресованныев его домен, а отправляет вовне только сообщения от зарегистрированныхпользователей вне зависимости от их IP-адреса.Для повышения безопасности можно установить ограничениеи на IP-адреса, разрешив отправку почты только с адресоввашей локальной сети и запретив со всех остальных. Однакоесли пользователи собираются посылать сообщения черезваш сервер извне сети (например, подключаясь к Интернетуиз дома), то такая настройка невозможна, потому что нельзя593

Microsoft Windows Server 2003предсказать, какой IP-адрес будет выделен пользователю провайдеромна каждый сеанс связи. Единственным исключением,когда ограничение на IP-адреса будет уместно, являетсяработа в виртуальной частной сети, рассмотренной в главе 26.Ограничение ретрансляции — это одна из важнейших возможностейсервера SMTP, и ей следует постоянно уделять внимание.Для того, чтобы отслеживать сообщения, проходящие через вашсервер SMTP, служит журнал, который мы настроили в предыдущемпункте.6. Перейдите на вкладку Сообщения. Здесь можно наложить ограниченияна некоторые параметры сообщений, отсылаемых или принимаемыхсервером SMTP. По умолчанию наложено ограничениена размер сообщения (2048 Кб). Для сообщений, адресованныхвовне, это вполне разумное ограничение, однако, для сообщенийвнутри организации это излишне. Нужно найти компромисс.В поле Копии отчетов о невозможности доставки отправлять поадресу введите электронный адрес администратора сервера SMTP(например, itmanagerl@study.com). Если кто-то отошлёт со-Свойства: Виртуальный 5МТР-сервер по умолчанию.2JJSIМаршрутизация ШАРОбщие ДоступГ Управление доступом- — —Изменение способов проверкиподлинности для этого ресурса.| БезопасностьСообщения I ДоставкаПроверка подлинностиIг"Безопасные подключения— ~~——- '; .'.' ' ;' : "'; :Просмотр или настройка способабезопасных подключений длядоступа к данному сервера.Сертификат...Сзякь..'Управление подключением—^-~^~Разрешение или запрет доступа кэтому ресурсу с помощьюIP-адресов или имен доменовИнтернета.- Ограничения ретрансляции '—Разрешение или запретретрансляции электронной почтычерез данный виртуальныйSMTP-сервер.Исключение.,.Ретрансляция..,(Ж I Отмена | Применить I Справка IРис. 28.5. Вкладка Доступ в диалоговом окне свойств сервера SMTP594

Глава 28. Настройка службы электронной почтыобщение в ваш домен на несуществующий адрес, почтовый серверавтоматически сообщит на адрес администратора о том, что сообщениене доставлено (Non Delivery Report, NDR). Таким образом,администратор сервера SMTP имеет представление обо всех сообщениях,которые были отосланы на несуществующие адреса (исходноесообщение прилагается к NDR сообщению). То же правило работаети в отношении сообщений, отправленных из вашей организации.Примечание.У администратора почтового сервера должен быть собственный почтовый ящик.Если уведомление о недоставке сообщения отсылать некому (например, указаннесуществующий адрес), то сервер его не удалит, а поместит в папку, имя которойуказано в поле Каталог ошибочной почты. Эту папку вам нужно регулярнопросматривать и очищать.7. Перейдите на вкладку Доставка. Здесь приведена информация,касающаяся отсылки электронной почты. Если пользователь пошлётсообщение внешнему пользователю по Интернету, то серверSMTP будет пытаться связаться с сервером SMTP домена адресата.Если этот сервер окажется временно недоступен, то сообщениебудет сохранено и через некоторое время сервер снова попытаетсяпереслать его. Настройка по умолчанию требует повторить попыткучерез 15 минут, затем — ещё через 30, и т.д. Через 12 часовотправителю посылается уведомление о задержке сообщения,и.»-''•agМаршрлимция LPAPОбщие (. Доступ Сообщения21*1Йослгаюмр 1 ! iПараметры системы обмана сообщениями,№ Ограничение на размер сообщения (КБ);Р" Ограничение на размер сеанса (КБ):8 числасообщений на один сеанс:/.. 1 : 'Щ"И* ЧИГДЧ ПО1уотчетов о неврэможмости доставки 'лправлять:по «wSefcjfКаталог ошмЛ:ммс.й оочтыИ С: М netpubVmailf ootVB admai! "" Обзор.Рис. 28.6. Вкладка Сообщения в диалоговом окне свойств сервера SMTP595

Microsoft Windows Server 2003через двое суток — о том, что сообщение не доставлено (NDR).Когда пользователь из внутреннего домена посылает сообщение наадрес somebody@somewhere. com, сервер SMTP по умолчанию пытаетсяпередать это сообщение своему «коллеге», обслуживающемудомен somewhere. com. Для этого он ищет в службе DNS записьтипа MX (Mail Exchange). Этот путь передачи можно изменить. Например,некоторые фирмы пересылают всю свою почту через одинкомпьютер, который проверяет её на вирусы, добавляет к каждомусообщению реквизиты компании и отсылает по указанному адресу.Если вы хотите установить такой порядок, то на вкладке Доставканажмите кнопку Дополнительно и в поле Направляющий узел введитев квадратных скобках адрес вышестоящего сервера SMTP. Другаявозможность — это отправлять сообщения через своего Интернетпровайдера,с которым обмен сообщениями происходит быстрее,чем с кем бы то ни было (если SMTP-сервер провайдера настроентак, чтобы разрешить ретрансляцию с вашего адреса).Теперь серверная часть готова. Чтобы использовать её службы, нужноиметь клиента протокола РОРЗ. Таких клиентов разработано великоемножество, но традиционно используется почтовый клиент Outlook Express,входящий в состав ОС Windows 2000/XP/2003. Он вполне подходитдля наших целей, а поскольку он является частью операционной системы,то его не нужно устанавливать отдельно и затраты на его поддержкуокажутся минимальны.LBOHCTBO:ВиртуальныйSMIP-cepuep TO ¥№•".-• • Маршрутизация ШАР j БезопасностьОбщие | Доступ | Сообщения Доставка• Исходящая доставка': гтг"--1—, ~_—..П ааэа до 1-й попытки (мин):Паузадо2 - й п0пь ггки[мин£П аиз* ао^-й попытки [мин]Дальнейший паузы [г-мн\.„•' Задержка уведомлений.£рок хранения:• ••[55-:'-•••• F ~ ; jit' ; [240 ' • jp2 | ч^ j ]г Локальная доставка —;Задержка i: —:: —Срок, ^ранения:£.езопасность подключен^.. I Подклй чеми я.1Ь Дополнительно.-!]QKСправкаРис. 28.7. Вкладка Доставка в диалоговом окне свойств сервера SMTP596

Глава 28. Настройка службы электронной почты28.4. Настройка клиента и проверка связиПроцедура настройки клиента Outlook Express системы Windows Server2003 достаточно проста, чтобы доверить ее выполнение пользователям.Администратор и не сможет этого сделать, потому что почтовые настройки,индивидуальные для каждого пользователя, хранятся в пользовательскомпрофиле. Некоторые параметры приложений Internet Explorer иOutlook Express можно настроить с помощью утилиты Internet ExplorerAdministration Kit (IEAK), но в общем случае пользователь должен настраиватьсвой почтовый клиент самостоятельно в следующем порядке:1. Зарегистрируйтесь на РС001 под пользовательской учетной записью.2. Из главного меню запустите приложение Outlook Express. ОткроетсяМастер подключения к Интернету. В поле Имя введите своёрегистрационное имя (iTmanagerl) и нажмите Далее.3. В диалоговом окне Адрес электронной почты задайте свой адресitmanagerl@study. com . Продолжите нажатием на кнопку Далее.4. В диалоговом окне Серверы электронной почты введите в поляСервер входящих сообщений и Сервер исходящих сообщений имясервера SRVR001. Нажмите Далее.5. В следующем диалоговом окне введите в поле Учётная записьсвоё регистрационное имя в почтовом домене (itmanagerl@study.com), а в поле Пароль введите пароль учётной записиitmanagerl. Флажок Запомнить пароль оставьте установленными нажмите Далее.6. В диалоговом окне Поздравляем нажмите Готово. Учётная записьэлектронной почты создана.Мастер подключения н ИнтернетуАдрес электронной почты ИнтернетаАдрес э лектронной почты - это адрес, по которому вам буцут отправляться сообщенияэлектронной почты. Он предоставляется поставщиком услуг Интернета.Электронная почта:] itmanagert@study.com]Например; proverka@mic(osoft.com< Назад t Д але е > \ I ОтменаРис. 28.8. На этот адрес будут приходить ответы на отправленные сообщения597

Microsoft Windows Server 2003Теперь вы можете проверить работу электронной почты. Создайте новоесообщение и отошлите его самому себе. Вы должны сразу же получитьэто сообщение после нажатия на кнопку Доставить почту. Отослать почтуна внешний адрес у вас не получится, поскольку для этого нужнонастроить разрешения.1. В строке меню приложения Outlook Express выберите Сервис -»Учётные записи.2. В диалоговом окне Учётные записи в Интернете перейдите навкладку Почта, выберите только что созданную учётную запись инажмите на кнопку Свойства.3. В диалоговом окне свойств подключения перейдите на вкладкуСерверы и в части Сервер исходящей почты отметьте Проверкаподлинности пользователя (рис. 28.9).Теперь почтовый клиент будет вместе с сообщением посылать серверуSMTP свое имя и пароль, а сервер SMTP нужно настроить для их обработки.1. Зарегистрируйтесь на SRVR001 как администратор и запуститеконсоль Диспетчер служб IIS.2. Щелкните правой кнопкой мыши по значку Виртуальный SMTPсерверпо умолчанию и отобразите его свойства.3. На вкладке Доступ нажмите кнопку Проверка подлинности и отметьтеполе Обычная проверка подлинности. На вопрос о передачепаролей в незашифрованном виде ответьте Да.Теперь снова попытайтесь отослать сообщение на внешний адрес. Всёдолжно быть в порядке. Когда вы добьетесь того, чтобы два тестовыхпользователя смогли обмениваться сообщениями, можно приступать ксозданию почтовых ящиков для остальных пользователей и объяснениюим порядка настройки своих почтовых клиентов.Сервер исходящей почтыВход в систему • " -О Как на сервер входящей почты3 Использовать для входаучетную запись: | Umanager!пароль: !••••••••••Р] Запомнить парольО Использовать безопасную проверку пароля (SPA)Рис. 28.9. Настройка аутентификации пользователя для отправки сообщений598

Глава 28. Настройка службы электронной почты28.5. ИТОГИСистема Windows Server 2003 является первой системой из семейства системMicrosoft со встроенной поддержкой электронной почты. Установкукомпонентов, реализующих службу электронной почты, нужно тщательноспланировать. Нужно учитывать, что пользователи могут отправлятьв почтовые ящики большое количество данных, которые могут занятьмного места на диске, поэтому почтовые ящики следует разместить отдельноот файлов операционной системы — желательно на отдельномфизическом диске.Почтовую службу реализуют два компонента — серверы РОРЗ и SMTP.Протокол РОРЗ служит для получения сообщений из почтового ящика,протокол SMTP — для передачи сообщений, подготовленных в почтовомклиенте, в качестве которого можно использовать встроенную программуOutlook Express.Если вы собираетесь использовать службу электронной почты для обменасообщениями не только в пределах локальной сети, но и с внешнимиадресатами, то кроме настройки серверов вам нужно выполнить следующиедействия:• Выбрать имя почтового домена согласно правилам, принятым вИнтернете (study. com), и зарегистрировать его в уполномоченнойорганизации.• В файл зоны DNS добавить запись типа MX, ведущую на сервер mail.study. com, и запись типа А, ведущую на внешний IP-адрес почтовогосервера вашего провайдера.• На сервере, обеспечивающем доступ в Интернет (SRVR002), настроитьмаршрутизацию на порт 25 сервера SMTP во внутренней сети.Поскольку оба протокола очень просты, следует уделить внимание настройкеих безопасности. Это касается как передачи паролей к учетнымзаписям, так и самих передаваемых сообщений.Состояние сетиВ сети появилась служба электронной почты, установленная на сервереSRVR001. Созданы почтовые ящики для всех пользователей. У пользователейнастроен почтовый клиент, в качестве которого выбран OutlookExpress. Сервер SMTP настроен для отправки сообщений не только навнутренние, но и на внешние адреса, безопасность протокола РОРЗ обеспеченапроверкой пароля.599

Издательство «Наука и Техника»М.В. Антоненко,В.В. Пономарев,А.В.Куприянова«Толстый»самоучительработы накомпьютереISBN:5-94387-221-3Размер: 165x235Объем: 544 с: ил., цв. вклейкиЭта книга — превосходный практический самоучитель, который позволяетосвоить работу на компьютере «с нуля», без каких-либо предварительныхкомпьютерных навыков. Здесь вы найдете всю необходимую информацию:как правильно обращаться с компьютером и настраивать его, как работать сWindows XP, Word и Excel, как смотреть видео и слушать музыку на ПК. Вы научитесьработать с файлами и папками, создавать и распечатывать документы,устанавливать и запускать программы, защищать компьютер от вирусов, атакже многому другому. Отдельная часть книги посвящена работе в Интернетеи электронной почте.Кроме того, в книге рассмотрены такие актуальные вопросы, как: работа сцифровым фотоаппаратом (как подключить его к компьютеру, перенести и немногоподредактировать фотографии), запись CD и DVD, автоматический переводтекстов с иностранных языков на русский и с русского на иностранные (выс легкостью можете поручить это компьютеру — ничего сложного здесь нет) идр. В конце книги приведен словарик компьютерных терминов.Книга написана в дружелюбной форме, простым и доступным языком, с большимколичеством наглядных иллюстраций. Лучший выбор для начинающих.серия ——серия