Эта книга - 100%-ная гарантия вашей уверенной работы по настройке и администрированию сети на основе Windows Server Левицкий Н. Д. 100% гарантия ЙЛ эффективной ЭД. Р«6°’Ь' № СПРАВОЧНИК СИСТЕМНОГО АДМИНИСТРАТОРА | Полное руководство ** по управлению Windows-сетью Описание попного стека технологий администратора сетевых решений на базе Windows Server: от DNS, DHCP и Active Directory до администрирования данных, обеспечения безопасности и Raid-массивов ♦ » Администрирование гетерогенных сетей (Windows + Linux), виртуализация ПОЛНОЕ РУКОВОДСТВО Левицкий Н. Д. СПРАВОЧНИК СИСТЕМНОГО АДМИНИСТРАТОРА ПОЛНОЕ РУКОВОДСТВО ПО УПРАВЛЕНИЮ WINDOWS-СЕТЬЮ ^НиТ уиэдспельств^^ "Наука и Техника" Сан кт- Петербург УДК 004.42 ББК 32.973 ISBN 978-5-94387-928-9 Левицкий Н.Д. Справочник системного администратора. Полное руководство по УПРАВЛЕНИЮ Windows-сетью — СПб.: Наука и Техника, 2020.—464 с., ил. Серия "Полное руководство"_______________________________________ Если вы планируете заниматься созданием и эксплуатацией сетевой инфраструктуры под управлением Windows Server, то эта книга вам точно пригодится. В ней рассмотрен полный стек необходимых современных технологий. Первая часть книги рассматривает основные операции администрирования Windows Server. Мы разберемся, как управлять серверами, как выполнить мониторинг процессов, сервисов и событий, поговорим о безопасности сервера и рассмотрим вопросы автоматизации различных задач. Вторая часть посвящена ActiveDirectory. В ней мы изучим разворачивание службы каталогов, основные задачи администрирования, поговорим об управлении учетными записями пользователя и групп, рассмотрим интеграцию Linux в Windows-сеть. Третья часть - администрирование данных. Резервное копирование, совместный доступ к данным, RAID-массивы, шифрование данных - все это предмет третьей части книги. Различные специальные сетевые технологии рассматриваются в четвертой части книги. Мы поговорим об управлении TCP/IP, рассмотрим сервис DNS, создание DHCP-сервера, сервера терминалов (RDP). Отдельная глава посвящена виртуализации. Книга подойдет как для начинающих администраторов, так и для профессионалов, желающих восполнить пробелы и систематизировать свои знания в сетевом администрировании. Контактные телефоны издательства: (812)41270 26 Официальный сайт: www.nn.com.ru © Левицкий Н.Д. © Наука и Техника (оригинал-макет) ISBN 978-5-94387-928-9 9 78-5-94387-928-9 Группа подготовки издания: Зав. редакцией компьютерной литературы: М. В. Финков Редактор: Е. В. Финков Корректор: А. В. Громова ООО «Наука и Техника» Лицензия №000350 от 23 декабря 1999 года. 192029, г. Санкт-Петербург, пр.Обуховской обороны, д. 107. Подписано в печать 1В.05.2020. Формат 70x1001/16. Бумага газетная. Печать офсетная. Объем 29 п. л. Тираж 1200. Заказ 4077. Отпечатано с готовых файлов заказчика в АО «Первая Образцовая типография» филиал «УЛЬЯНОВСКИЙ ДОМ ПЕЧАТИ» 4329В0, Россия, г. Ульяновск, ул. Гончарова, 14 Содержание ВВЕДЕНИЕ..................................................13 Обязанности системного администратора.........13 Как читать эту книгу?.........................14 Версия Windows Server.........................14 ГЛАВА 1. УПРАВЛЕНИЕ СЕРВЕРАМИ НА БАЗЕ WINDOWS SERVER.....................................17 1.1. ЗНАКОМСТВО С WINDOWS SERVER 2019.....................18 1.2. КОНТРОЛЛЕРЫ ДОМЕНА, ОБЫЧНЫЕ СЕРВЕРЫ И СЛУЖБЫ ДОМЕНА 20 1.2.1. Работа с Active Directory...................20 1.2.2. Контроллеры RODC............................22 1.2.3. Перезапускаемые доменные службы.............22 1.3. ИНСТРУМЕНТЫ УПРАВЛЕНИЯ WINDOWS SERVER................24 1.4. КОНСОЛЬ ДИСПЕТЧЕР СЕРВЕРОВ...........................24 1.5. РОЛИ СЕРВЕРОВ, СЛУЖБЫ РОЛЕЙ И КОМПОНЕНТЫ.............25 1.6. УСТАНОВКА WINDOWS SERVER.............................34 1.6.1. Системные требования........................34 1.6.2. Минимальный выпуск Essentials.............. 36 1.6.3. Выпуски Standard и Datacenter...............36 1.6.4. Server Core.................................37 1.6.5. Процесс установки Windows Server............47 1.6.6. Дополнительные возможности при установке....52 Принудительное удаление раздела диска во время установки ...52 Создание, форматирование, удаление и расширение разделов диска................................53 Загрузка драйверов устройств при установке....53 1.7. УПРАВЛЕНИЕ РОЛЯМИ, СЛУЖБАМИ РОЛЕЙ И КОМПОНЕНТАМИ......54 1.7.1. Обзор диспетчера серверов...................54 1.7.2. Удаленное управление серверами..............59 1.8. ДОБАВЛЕНИЕ И УДАЛЕНИЕ РОЛЕЙ, РОЛЕВЫХ СЛУЖБ И КОМПОНЕНТОВ...............................61 Справочник системного администратора ГЛАВА 2. МОНИТОРИНГ ПРОЦЕССОВ, СЕРВИСОВ И СОБЫТИЙ..................................67 2.1. УПРАВЛЕНИЕ ПРОЦЕССАМИ И ПРИЛОЖЕНИЯМИ.......................68 2.1.1. Диспетчер задач..................................69 2.1.2. Управление службами..............................83 Настройка входа в систему..........................86 Реакция на сбой службы.............................87 Отключение служб...................................89 2.2. ПРОСМОТР И ПРОТОКОЛИРОВАНИЕ СОБЫТИЙ........................89 2.2.1. Основные журналы.................................90 2.2.2. Доступ к событиям в Диспетчере серверов..........91 2.2.3. Средство "Просмотр событий”......................93 Установка параметров журнала событий...............96 Сохранение и очистка журналов......................97 ГЛАВА 3. АВТОМАТИЗАЦИЯ АДМИНИСТРАТИВНЫХ ЗАДАЧ................................... 101 3.1. ГРУППОВАЯ ПОЛИТИКА....................................... 102 3.1.1. Основные сведения о групповой политике..........102 3.1.2. Порядок применения политики.....................104 3.1.3. Редакторы групповой политики....................105 3.1.4. Управление локальной групповой политикой........105 3.1.5. Управление политиками сайта, домена или ОЕ......108 3.1.6. Административные шаблоны........................113 3.1.7. Создание и связь объекта групповой политики.....115 3.1.8. Удаление ссылок и удаление GPO..................116 3.1.9. Обновление групповой политики...................117 3.1.10. Если политика не применяется. Мастер результатов групповой политики..............120 3.2. УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ И КОМПЬЮТЕРАМИ посредством групповой политики............................121 3.2.1. Управление сценариями пользователя и компьютера.121 3.2.2. Развертывания программного обеспечения через Содержание групповую политику.................................125 Основы развертывания ПО............................125 Развертывание программ в домене....................126 3.2.3. Настройка автоматических обновлений ОС...........128 3.3. ПЛАНИРОВЩИК ЗАДАНИЙ..................................... 130 ГЛАВА 4. ОСНОВЫ БЕЗОПАСНОСТИ WINDOWS SERVER.................................... 134 4.1. ШАБЛОНЫ БЕЗОПАСНОСТИ.................................... 135 4.1.1. Введение в шаблоны безопасности..................135 4.1.2. Использование оснасток «Шаблоны безопасности» и «Анализ и настройка безопасности».................137 4.1.3. Изменение настроек для политик учетных записей, локальных политик и журнала событий...........................139 4.1.4. Настройка групп с ограниченным доступом..........141 4.1.5. Включение, отключение и настройка системных служб...143 4.1.6. Настройка параметров безопасности для реестра и файловой системы.................................144 4.1.7. Анализ, просмотр и применение шаблонов безопасности.146 4.2. ПОЛИТИКИ, НА КОТОРЫЕ СТОИТ ОБРАТИТЬ ВНИМАНИЕ............ 149 4.2.1. Удаляем лишние команды из Проводника................149 4.2.2. Запрещаем доступ к командной строке и PowerShell.151 4.2.3. Максимальное время работы пользователя...........153 4.2.4. Отключение элементов панели управления...........155 4.3. НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНА С ПОМОЩЬЮ ГРУППОВЫХ ПОЛИТИК.............................. 155 ГЛАВА 5. РАЗВОРАЧИВАНИЕ ACTIVE DIRECTORY................159 5.1. ВВЕДЕНИЕ В ACTIVE DIRECTORY............................ 160 5.2. КОНТРОЛЛЕР ДОМЕНА ТОЛЬКО ДЛЯ ЧТЕНИЯ (RODC) ............. 169 5.3. КОМПОНЕНТЫ ACTIVE DIRECTORY............................. 170 5.4. СТРУКТУРЫ ДОМЕНА........................................ 172 5.4.1. Домены...........................................173 Справочник системного администратора 5.4.2. Лес и дерево домена...........................174 5.4.3. Организационные единицы (подразделения).......176 5.4.4. Сайты и подсети...............................178 5.5. СТРУКТУРА КАТАЛОГА..................................... 179 5.5.1. Хранилище данных..............................180 5.5.2. Глобальные каталоги...........................181 5.5.3. Роли FSMO (Flexible Single-Master Operations).183 5.6. КОРЗИНА ACTIVE DIRECTORY............................... 185 ГЛАВА 6. ОСНОВЫ АДМИНИСТРИРОВАНИЯ AD..................... 188 6.1. УТИЛИТЫ УПРАВЛЕНИЯ ACTIVE DIRECTORY.................... 189 6.1.1. Оснастка Пользователи и компьютеры Active Directory.191 6.1.2. Центр администрирования Active Directory......194 6.2. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ КОМПЬЮТЕРА................ 195 6.2.1. Создание учетной записи компьютера..................195 6.2.2. Удаление учетной записи компьютера..................198 6.2.3. Сброс заблокированных учетных записей.........199 6.2.4. Перемещение учетных записей компьютера........199 6.2.5. Присоединение компьютера к домену.............200 6.3. УПРАВЛЕНИЕ КОНТРОЛЛЕРАМИ ДОМЕНА.........................204 6.3.1. Понижение роли контроллера домена.............204 6.3.2. Просмотр и передача ролей домена..............205 6.4. УПРАВЛЕНИЕ ОРГАНИЗАЦИОННЫМИ ЕДИНИЦАМИ...................206 6.4.1. Создание организационных подразделений........206 6.4.2. Просмотр и редактирование свойств организационных подразделений......................................207 6.4.3. Переименование и удаление организационных подразделений207 6.4.4. Перемещение организационных подразделений.....208 ГЛАВА 7. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЯ И ГРУППЫ.....................................209 7.1. ТИПЫ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ......................211 Содержание 7.2. ИМЯ ВХОДА И ИДЕНТИФИКАТОРЫ БЕЗОПАСНОСТИ......................211 7.3. УЧЕТНЫЕ ЗАПИСИ ГРУПП.........................................212 7.3.1. Типы групп..........................................213 7.3.2. Область действия группы.............................214 7.3.3. Идентификаторы безопасности и учетные записи групп..214 7.4. УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП ПО УМОЛЧАНИЮ .... 215 7.4.1. Встроенные учетные записи пользователей.............215 7.4.2. Учетная запись Администратор........................216 7.4.3. Учетная запись Гость................................217 7.4.4. Неявные группы и специальные идентификаторы.........217 7.4.5. Группы, используемые администраторами...............219 7.5. ВОЗМОЖНОСТИ УЧЕТНОЙ ЗАПИСИ...................................221 7.5.1. Привилегии..........................................222 7.5.2. Право входа.........................................225 7.5.3. Встроенные возможности для групп в Active Directory.227 7.6. ТРЕБОВАНИЯ К ИМЕНАМ ПОЛЬЗОВАТЕЛЕЙ И ПАРОЛЯМ..................228 7.6.1. Требования к имени учетных записей..............228 7.6.2. Использование безопасных паролей................229 7.7. ПОЛИТИКИ УЧЕТНОЙ ЗАПИСИ..................................230 7.7.1. Установка политик учетных записей...................230 7.7.2. Настройка политики паролей..........................232 Вести журнал паролей..................................232 Максимальный срок действия пароля.....................233 Минимальный срок действия пароля......................233 Минимальная длина пароля..............................233 Пароль должен отвечать требованиям сложности..........234 Хранить пароли, используя обратимое шифрование........234 7.7.3. Политики блокировки учетной записи..................234 Пороговое значение блокировки.........................235 Продолжительность блокировки учетной записи...........236 Время до сброса счетчика блокировки...................236 7.7.4. Политики Kerberos...................................237 Максимальная погрешность синхронизации часов компьютера......................................238 Справочник системного администратора Принудительное ограничение входа пользователей.238 Политики задания максимального срока жизни.....238 7.8. НАСТРОЙКА ГЛОБАЛЬНЫХ ПРАВ ПОЛЬЗОВАТЕЛЯ................239 7.9. СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ..................240 7.10. СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ГРУППЫ.......................243 7.11. УПРАВЛЕНИЕ ЧЛЕНСТВОМ В ГРУППЕ........................245 ГЛАВА 8. ПОДКЛЮЧАЕМ LINUX К WINDOWS-ИНФРАСТРУКТУРЕ........................247 8.1. ЗНАКОМСТВО С SAMBA....................................248 8.2. УСТАНОВКА НЕОБХОДИМОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.......249 8.3. ПОДГОТОВИТЕЛЬНАЯ НАСТРОЙКА............................249 8.4. НАСТРОЙКА KERBEROS....................................250 8.5. НАСТРОЙКА SAMBA.......................................252 8.6. НАСТРОЙКА WINBIND.....................................254 ГЛАВА 9. УПРАВЛЕНИЕ ФАЙЛОВЫМИ СИСТЕМАМИ И ДИСКАМИ.............................257 9.1. УПРАВЛЕНИЕ РОЛЬЮ ФАЙЛОВЫЕ СЛУЖБЫ......................258 9.2. ФИЗИЧЕСКИЕ ДИСКИ......................................262 9.2.1. Выбор физического диска......................263 9.2.2. Подготовка физического диска к использованию.266 Физическая установка и проверка нового диска...269 Состояния дисков...............................271 Базовые, динамические, виртуальные диски.......272 Изменение типа диска...........................274 Реактивация диска..............................276 9.3. ВИРТУАЛЬНЫЕ ДИСКИ.....................................276 9.4. ИСПОЛЬЗОВАНИЕ БАЗОВЫХ ДИСКОВ И РАЗДЕЛОВ...............278 9.4.1. Создание разделов и простых томов............279 Содержание ГЛАВА 10. RAID-МАССИВЫ...................................285 10.1. ТОМА И МАССИВЫ ТОМОВ...............................286 10.1.1. Использование базовых томов.........................287 10.1.2. Массивы томов..............................288 10.1.3. Составные и чередующиеся тома..............290 10.2. СОЗДАНИЕ RAID-МАССИВОВ.............................294 10.2.1. Реализация RAID 0: чередование.............296 10.2.2. Реализация RAID 1: зеркалирование..........297 10.2.3. Реализация RAID 5: чередование с контролем четности.298 10.3. УПРАВЛЕНИЕМ RAID-МАССИВАМИ.........................299 10.3.1. Разделение зеркального набора.......................299 10.3.2. Восстановление зеркального набора (RAID 1).299 10.3.3. Восстановление RAID 5......................300 ГЛАВА 11. СОВМЕСТНЫЙ ДОСТУП К ДАННЫМ..................303 11.1. ПАПКА ОБЩИЕ........................................304 11.2. НАСТРОЙКА СТАНДАРТНОГО ОБЩЕГО ДОСТУПА К ФАЙЛАМ..............308 11.2.1. Просмотр существующих общих ресурсов.......308 11.2.2. Создание общего ресурса....................310 11.2.3. Изменение параметров общей папки...........317 11.3. УПРАВЛЕНИЕ РАЗРЕШЕНИЯМИ ОБЩИХ РЕСУРСОВ......................318 11.4. ОСОБЫЕ ОБЩИЕ РЕСУРСЫ...............................321 11.5. ПРОСМОТР СЕССИЙ ПОЛЬЗОВАТЕЛЯ И КОМПЬЮТЕРА..........324 ГЛАВА 12. WINDOWS SERVER BACKUP: СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ И ВОССТАНОВЛЕНИЕ С НЕЕ............................................329 12.1. СОЗДАНИЕ ПЛАНА РЕЗЕРВНОГО КОПИРОВАНИЯ И ВОССТАНОВЛЕНИЯ........................................330 12.1.1. Нюансы плана резервного копирования...330 12.1.2. Основные типы резервного копирования..333 12.1.3. Дифференцированное и добавочное резервное копирование...................................334 Справочник системного администратора 12.1.4. Выбор устройств и носителей данных для резервного копирования........................................335 12.1.5. Общие решения для резервного копирования..........336 12.1.6. Покупка и использование носителей резервной копии.337 12.1.7. Выбор утилиты для резервного копирования..338 12.2. WINDOWS SERVER BACKUP: УСТАНОВКА И ИСПОЛЬЗОВАНИЕ............339 12.2.1. Установка.................................339 12.2.2. Создание резервной копии..................340 12.2.3. Восстановление из резервной копии.........347 ГЛАВА 13. ШИФРОВАНИЕ ДАННЫХ...............................351 13.1. ВЫБОР ОПТИМАЛЬНОГО СРЕДСТВА ШИФРОВАНИЯ..............353 13.2. ПРОЗРАЧНОЕ ШИФРОВАНИЕ. EFS..........................355 13.2.1. О файловой системе EFS....................355 13.2.2. Шифрование каталогов и файлов.............357 13.2.3. Работа с зашифрованными файлами и папками.360 13.2.4. Политика восстановления...................361 13.2.5. Расшифровка файлов и каталогов............362 13.3. BITLOCKER - СРЕДСТВО ШИФРОВАНИЯ ДИСКА.......................363 13.3.1. Введение в BitLocker......................363 13.3.2. Установка поддержки BitLocker.............365 13.3.3. Шифрование диска..........................365 13.3.4. Работа с зашифрованным диском.............369 13.3.5. Забыт пароль. Что делать?.................371 13.3.6. Автоматическая разблокировка диска........371 ГЛАВА 14. УПРАВЛЕНИЕ СЕТЬЮ TCP/IP.........................374 14.1. ВКЛЮЧЕНИЕ СЕТЕВОГО ОБНАРУЖЕНИЯ......................375 14.2. НАСТРОЙКА СЕТИ TCP/IP...............................380 14.3. НАСТРОЙКА НЕСКОЛЬКИХ ШЛЮЗОВ....................... 383 14.4. СБРОС СЕТИ..........................................384 Содержание 14.5. ОТКЛЮЧЕНИЕ БРАНДМАУЭРА..............................385 ГЛАВА 15. СЕРВИСЫ DNS И DHCP..............................391 15.1. СЕРВИС DNS..........................................392 15.1.1. Интеграция с Active Directory..............392 15.1.2. Настройка разрешения имен на DNS-клиентах..393 15.1.3. Типы серверов..............................397 15.1.4. Установка и базовая настройка DNS-сервера..397 15.1.5. Создание основной зоны.....................399 15.1.6. Создание дополнительного сервера DNS.......403 15.1.7. Обратная зона..............................404 15.1.8. Управление записями DNS....................405 15.2. НАСТРОЙКА DHCP......................................409 15.2.1. Введение в DHCP............................409 15.2.2 Области адресов.............................410 15.2.3. Установка DHCP-сервера.....................411 15.2.4. Консоль DHCP...............................414 15.2.5. Интеграция DHCPcDNS........................415 15.2.6. Создание суперобластей.....................417 15.2.7. Создание обычных областей..................418 ГЛАВА 16. УДАЛЕННЫЙ РАБОЧИЙ СТОЛ..........................423 16.1. УСТАНОВКА СЛУЖБЫ УДАЛЕННЫХ РАБОЧИХ СТОЛОВ...........424 16.2. НАСТРОЙКА СЕРВЕРА ЛИЦЕНЗИРОВАНИЯ ДЛЯ УДАЛЕННЫХ РАБОЧИХ СТОЛОВ....................................................428 ГЛАВА 17. ВИРТУАЛИЗАЦИЯ...................................437 17.1. ВИРТУАЛЬНЫЕ СЕРВЕРЫ.................................438 17.1.1. Преимущества и недостатки..................438 17.1.2. Стоимость виртуального сервера.............440 17.1.3. Какие серверы можно виртуализировать?......442 17.1.4. Преимущества собственной виртуальной инфраструктуры.443 17.2. ВЫБОР ГИПЕРВИЗОРА..........................................443 17.2.1 Типы гипервизоров..................................444 17.2.2. Hyper-V или VMware?...............................444 17.2.3. KVM...............................................448 17.2.4. Что выбрать?......................................449 17.3. КОНВЕРТИРОВАНИЕ ВИРТУАЛЬНЫХ МАШИН ИЗ ОДНОГО ФОРМАТА В ДРУГОЙ.......................................451 17.3.1. Преобразование из Hyper-V в VMWare................451 Выбор конвертера....................................451 Установка модуля PowerShell для Hyper-V.............451 Подготовка виртуальной машины.......................453 Конвертирование с помощью HypervOVAConverter........453 Конвертирование с помощью StarWind V2V Converter....454 17.3.2. Перенос сервера из Amazon ЕС2 на виртуальную машину VMware.............................456 17.3.3. Перенос из Azure в VMWare.........................458 Команда Save-AzureVhd...............................458 Несколько примеров..................................458 Конвертирование в формат VMDK.......................459 17.4. ВИРТУАЛИЗАЦИЯ WINDOWS-СЕРВЕРА..............................459 17.4.1. Преобразование в VMware...........................459 VMware® vCenter Converter Standalone................459 Преобразование в формат OVF.........................463 17.4.2. Утилита Disk2Vhd: преобразование в Hyper-V........464 Заключение..........................................464 Введение. Обязанности системного администратора Введение. Обязанности системного администратора Данная книга пригодится всем, кто занимается созданием и эксплуатацией информационных систем под управлением Windows Server. К сожалению, в нашей стране отсутствует понимание обязанностей системного администратора. Самого системного администратора, его Величество сисадмина, часто презрительно называют «компьютерщиком» и поручают всякие около компьютерные задачи, начиная от ремонта всей компьютерной и не только техники и закачивая обучением пользователей - да, часто те, кто называют сисадмина «компьютерщиком» сами не понимают на какую кнопку нажимать. Мы не будем в этой книге рассматривать такие ситуации и прочие неуставные отношения между пользователями и администратором, а сконцентрируемся на задачах администрирования Windows Server: • Обслуживание носителей данных. • Резервное копирование данных. • Управление учетными записями компьютеров и пользователей. • Установка/переустановка программного обеспечения. • Организация совместного доступа к данным. • Настройка сети. • Вопросы виртуализации. • Автоматизация административных задач. Справочник системного администратора По сути, это и есть основные обязанности системного администратора. Кто такой системный администратор? Это специалист, отвечающий за функционирование и развитие информационной системы. Администратор должен понимать работу всех компонентов системы в комплекте и знать особенности работы каждого отдельного элемента. Задача сисадмина - поддерживать в рабочем состоянии информационную систему. Но никак он не должен ремонтировать чайник, заниматься установкой картриджа в принтер и объяснять тете Вале из 211-ой, как переместить панель инструментов в AutoCAD. Для этого нужны отдельные специалисты или же заключение договора с другой организацией на обслуживание компьютерной техники/повышение квалификации пользователя. Как читать эту книгу? Первая часть книги рассматривает основные операции администрирования Windows Server. Мы разберемся, как управлять серверами, как выполнить мониторинг процессов, сервисов и событий, поговорим о безопасности сервера и даже рассмотрим вопросы автоматизации различных задач. Вторая часть посвящена ActiveDirectory. В ней мы рассмотрим разворачивание службы каталогов, основные задачи администрирования, поговорим об управлении учетными записями пользователя и группы и попытаемся интегрировать в состав домена AD машину под управлением Linux. Часть III - администрирование данных. Резервное копирование, совместный доступ к данным, RAID-массивы, шифрование данных - все это предмет третьей части книги. Различные вопросы, связанные с сетью, рассматриваются в четвертой части книги. Мы поговорим об управлении TCP/IP, рассмотрим создание DHCP-сервера, сервера терминалов (RDP), а также возвысимся до использования облачных технологий. Версия Windows Server На момент написания этих строк последней является Windows Server 2019. Однако ориентация только на эту версию вряд ли будет правильной, Введение. Обязанности системного администратора поскольку существующие системы работают, под управлением, более старых версий Windows - 2012 и 2016. Кое-где даже встречается версия 2008. Чтобы книга не выглядела динозавром и в то же время имела практическую ценность для читателя, материал будет ориентирован на версии 2012-2019, но все скриншоты будут сделаны в русской версии Windows Server 2019. Часть I. Основы основ Первая часть книги рассматривает основные операции администрирования Windows Server. Мы разберемся, как управлять серверами, как выполнить мониторинг процессов, сервисов и событий, поговорим о безопасности сервера и даже рассмотрим вопросы автоматизации различных задач. Глава 1. Управление серверами на базе Windows Server Глава 2. Мониторинг процессов, сервисов и событий Глава 3. Автоматизация административных задач Глава 4. Основы безопасности Windows Server Глава 1 Управление серверами на базе Windows Server Справочник системного администратора Microsoft Windows Server 2019 — мощная, универсальная и полнофункциональная серверная операционная система от Microsoft. В Microsoft уделяют много внимания обратной совместимости, поэтому работа с предыдущими версиями (Windows Server 2012 и Windows Server 2016) во многом схожа, в том числе в управлении, настройке средств безопасности, сети и средств хранения данных. Поэтому большую часть информации о Windows Server 2019 можно применить и к более старым выпускам этой ОС. 1.1. Знакомство с Windows Server 2019 Существуют различные выпуски Windows Server 2019. Все они поддерживают многоядерные процессоры. Важно указать, что компьютер может иметь всего лишь один процессор (будем называть его физическим процессором), но у него может быть восемь ядер (так называемые логические процессоры). Если говорить о версии 2019, то существует три выпуска - Datacenter, Standard и Essentials. Вкратце особенности этих выпусков приведены в табл. 1.1. Таблица 1.1. Особенности выпусков Windows Server Выпуск Подходит для Компоненты Модель лицензирования Datacenter Среды частного и общедоступного облака с высоким уровнем виртуализации Полный набор функциональных возможностей Windows Server с неограниченным количеством виртуальных экземпляров Ядро + САГ7> Глава 1. Управление серверами на базе Windows Servei Standard Среды низкой плотности или невиртуа-лизированные среды Полный набор функциональных возможностей Windows Server с двумя виртуальными экземплярами Ядро + CAL Essentials Среды малого бизнеса для серверов, имеющих не более двух процессоров Упрощенный интерфейс, предварительно настроенное взаимодействие с облачными службами, один виртуальный экземпляр основных компонентов Сервер (ограничение в 25 пользователей) Примечание. Если вас интересуют подробности и вы желаете больше различных цифр и опций, посетите следующую страничку https://docs.microsoft.com/en-us/windows-server/ get-started-19/editions-comparison-19 Windows Server 2019 — строго 64-разрядная операционная система (по сути, она является полностью 64-разрядной, начиная с версии 2012). Поскольку различные выпуски Windows Server поддерживают те же самые базовые компоненты и обладают одинаковыми инструментами управления, допускается использовать методы, обсуждаемые в этой книге, независимо от используемого выпуска Windows Server. После установки ОС Windows Server нужно настроить систему в соответствии с ее ролью в сети: • серверы — обычно являются частью рабочей группы или домена; • рабочие группы — группы компьютеров, в которых каждый компьютер управляется отдельно; • домены — группы компьютеров, которыми можно управлять коллективно посредством контроллеров доменов, в роли которых может выступать система на базе Windows Server. Такие системы управляют доступом к сети, базе данных каталога и общим ресурсам. Справочник системного администратора 1.2. Контроллеры домена, обычные серверы и службы домена При установке Windows Server 2010 на новую систему можно настроить сервер как обычный сервер (например, веб-сервер или файловый сервер), контроллер домена или автономный сервер. Важно понимать разницу между этими типами серверов. Рядовые серверы являются частью домена, но не хранят информацию каталога. Контроллеры домена отличаются от рядовых серверов тем, что хранят информацию каталога, производят аутентификацию и предоставляют сервисы для домена. Автономные серверы не являются частью домена. Поскольку у автономных серверов собственные базы данных, они требуют отдельной аутентификации. 1.2.1. Работа с Active Directory Операционная система Windows Server поддерживает модель репликации с несколькими хозяевами (multi-master), подразумевающую, что любой контроллер домена может обрабатывать изменения каталога, затем эти изменения могут реплицироваться между остальными контроллерами домена автоматически. Windows Server распространяет всю информацию каталога, называемую хранилищем данных. Внутри хранилища находятся наборы объектов, представляющих учетные записи пользователя, группы, компьютера, а также информация об общих ресурсах — серверах, файлах и принтерах. Домены, использующие Active Directory, также называются ActiveDirectory-доменами. Хотя эти домены могут работать только на одном контроллере домена, обычно в сети есть несколько контроллеров. В этом случае если один контроллер будет недоступен, остальные контроллеры домена смогут обрабатывать аутентификации и выполнять другие критические задачи. Функциональность каталога обеспечивается целым семейством связанных служб: • Службы сертификатов Active Directory (Active Directory Certificate Services, AD CS). Предоставляют функциональность, необходимую для выпуска и освобождения цифровых сертификатов пользователей, клиентских компьютеров и серверов. Служба AD CS использует центры сертификации (СА), ответственные за подтверждение идентификации Глава 1. Управление серверами на базе Windows Sei ver пользователей и компьютеров, а также за выпуск сертификатов подтверждения этих идентификационных данных. Домены обладают корпоративными корневыми сертификационными центрами, которые являются сертификационными серверами на вершине сертификационной иерархии для доменов и пользуются наибольшим доверием в корпоративной сети, и подчиненные центры сертификации, которые являются членами существующей корпоративной сертификационной иерархии. Рабочие группы имеют свои собственные автономные корневые сертификационные центры, являющиеся сертификационными серверами на вершине некорпоративной сертификационной иерархии, а также автономные подчиненные центры сертификации, которые являются членами существующей некорпоративной сертификационной иерархии. Доменные службы Active Directory (Active Directory Domain Services, AD DS). Предоставляют службы каталогов, необходимые для установки домена, включая хранилище данных, в котором содержится информация об объектах в сети. Служба AD DS использует контроллеры домена для управления доступом к сетевым ресурсам. Как только пользователи аутентифицировали себя при входе в домен, их учетные записи используются для доступа к ресурсам сети. Для краткости данную службу в этой книге мы будем называть просто Active Directory (AD), поскольку она является основной для работы каталога. Службы федерации Active Directory (Active Directory Federation Services, AD FS). Дополняют функции аутентификации и управления доступом AD DS, расширяя их до WWW. Как только служба AD FS настроена, пользователи могут использовать свои цифровые идентификационные данные для аутентификации в Web. Доступ к внутренним веб-приложениям осуществляется с помощью веб-браузера. Службы Active Directory облегченного доступа к каталогам (Active Directory Lightweight Directory Services, AD LDS). Предоставляют хранилище данных для каталого-зависимых приложений, которые не требуют AD DS и которые не должны размещаться на контроллерах доменов. AD LDS не выполняется как служба операционной системы и может использоваться как в домене, так и в рабочей группе. Каждое приложение, которое работает на сервере, может иметь свое хранилище данных, реализованное с помощью AD LDS. Службы управления правами Active Directory (Active Directory Right Management Services, AD RMS). Предоставляют уровень защиты информации организации, которая может распространяться за пределы корпоративной сети, например, сообщения e-mail, документы, веб-страницы интрасети — все это может быть защищено от несанкционированного до Справочник системного администратора ступа. Служба AD RMS использует: сервис сертификации для выпуска правильных сертификатов учетных записей, позволяющих идентифицировать пользователей, группы и сервисы; службу лицензирования, предоставляющую авторизированным пользователям, группам и сервисам доступ к защищенной информации; сервис протоколирования, чтобы контролировать и обслуживать службу управления правами. Как только доверие будет установлено, пользователи с правильным сертификатом учетной записи смогут получить права на доступ к информации, определяющие, какие пользователи могут получить доступ к информации и что они смогут с ней сделать. 1.2.2. Контроллеры RODC Контроллер домена только для чтения — дополнительный контроллер домена, содержащий копию хранилища данных AD, доступную только для чтения. RODC идеально подходит для филиалов, где не гарантирована физическая безопасность контроллера домена. За исключением паролей, на RODC хранятся те же объекты и атрибуты, как и на обычном (перезаписываемом) контроллере домена. Эти объекты и атрибуты реплицированы в RODC посредством однонаправленной репликации от перезаписываемого контроллера домена, который работает как партнер по репликации. Поскольку RODC по умолчанию не хранят пароли или учетные данные, кроме их собственной учетной записи компьютера и цели Kerberos (Kerberos Target), RODC получает учетные записи пользователя и компьютера от перезаписываемого контроллера домена, который работает под управлением Windows Server. Если это разрешено политикой репликации пароля, заданной на перезаписываемом контроллере домена, RODC получает и кэширует учетные записи по мере необходимости, пока эти учетные данные не изменятся. Поскольку на RODC хранится только подмножество учетных записей, это существенно сужает число учетных данных, которые могут быть скомпрометированы. 1.2.3. Перезапускаемые доменные службы Перезапускаемые доменные службы Active Directory (Restartable Active Directory Domain Services) — функция, позволяющая администратору за Глава 1. Управление серверами на базе Windows Server пускать и останавливать AD DS. Служба Доменные службы Active Directory (Active Directory Domain Services), позволяет легко остановить и перезапустить AD DS, как и любую другую службу, которая локально запущена на сервере. Пока служба Доменные службы Active Directory остановлена, можно выполнить задачи по техническому обслуживанию, которые могут потребовать перезапуска сервера, например, оффлайн-дефрагментация базы данных Active Directory, применение обновлений операционной системы или инициирование авторитетного восстановления. При остановленной службе Доменные службы Active Directory на сервере другие контроллеры домена могут обрабатывать задачи аутентификации и входа в систему. Кэшируемые учетные данные, смарт-карты и биометрические методы входа в систему все еще будут работать. Если же в сети нет других доступных контроллеров домена, ни один из этих методов входа в систему работать не будет. Однако все еще можно будет войти в систему сервера, используя режим восстановления служб каталогов (Directory Services Restore Mode). Контроллеры домена под управлением Windows Server могут находиться в одном из трех состояний: • Active Directory запущен — в этом состоянии контроллер домена может предоставлять услуги аутентификации и входа в систему для домена. • Active Directory остановлен — Active Directory остановлен, и контроллер домена больше не может предоставлять услуги аутентификации и входа для домена. В этом режиме сохраняются некоторые характеристики рядового сервера и контроллера домена в режиме DSRM (Directory Services Restore Mode). Как рядовой сервер, этот сервер может присоединяться к домену. Пользователи могут входить интерактивно с помощью кэшированных учетных данных, смарт-карт и биометрических методов входа. Пользователи также могут входить по сети с использованием других контроллеров домена. База данных Active Directory на локальном контроллере домена находится в отключенном состоянии. Это означает, что можно выполнять оффлайн-операции AD DS, например, дефрагментацию базы данных, обновление приложений без необходимости перезагрузки контроллера домена. • Режим восстановления службы каталогов (Directory Services Restore Mode) — Active Directory в режиме восстановления. В этом режиме разрешается проводить авторитетное или неавторитетное восстановление базы данных Active Directory. :правочник системного администратора 1.3. Инструменты управления Windows Server Для администрирования системы Windows Server доступно много инструментов. Большинство утилит входит в состав следующих инструментов. ' • Панель управления - содержит набор утилит для управления конфигурацией системы. Организовать список этих утилит можно разными способами. • Графические инструменты администратора — ключевые утилиты для управления сетевыми компьютерами и их ресурсами. Получить доступ к этим утилитам можно через программную группу Администрирование. • Административные мастера — утилиты, предназначенные для автоматизации ключевых задач администратора. Доступ к большинству таких утилит можно получить с помощью Диспетчера серверов — основной административной консоли Windows Server. • Утилиты командной строки — много утилит администратора можно запустить из командной строки. 1.4. Консоль Диспетчер серверов Для осуществления базовых задач системного администрирования используется консоль Диспетчер серверов (Server Manager). Эта консоль (далее просто — Диспетчер серверов) позволяет произвести общую настройку и задать параметры конфигурации локального сервера, управлять ролями, компонентами на любом удаленно управляемом сервере предприятия. Задачи, которые можно выполнить с помощью Диспетчера серверов таковы: • добавление серверов для удаленного управления; • инициирование удаленных соединений к серверам; • настройка локального сервера; • управление установленными ролями и компонентами; • управление томами и общими ресурсами; • настройка объединения сетевых адаптеров NIC (Network Interface Card); Глава 1. Управление серверами на базе Windows Server • просмотр событий и предупреждений; • перезапуск серверов. Рис. 1.1. Диспетчер серверов Диспетчер серверов идеально подходит для общего администрирования, но также вам пригодится утилита для более точной настройки параметров и свойств окружения. Речь идет об утилите Система1, которая используется для: • изменения имени компьютера; • настройки производительности приложений, виртуальной памяти и параметров реестра; • управления переменными окружения пользователя и системы; • настройки запуска системы и параметров восстановления. 1.5. Роли серверов, службы ролей и компоненты Подготовка серверов происходит путем установки и настройки следующих компонентов. 1 Как и во всех других версиях Windows проще всего вызвать эту утилиту с помощью щелчка правой кнопкой мыши на элементе Этот компьютер в Проводнике - после этого из контекстного меню нужно выбрать команду Свойства Справочник системного администратора • Роли серверов - это связанный набор программных компонентов, позволяющих серверу осуществить определенные функции для пользователей и других компьютеров сети. Компьютер может быть выделен для какой-то определенной роли, например для роли Доменные службы Active Directory - тогда он будет контроллером домена. При желании можно, чтобы один и тот же компьютер выполнял несколько ролей. • Службы ролей (или ролевые службы) - это программные компоненты, обеспечивающие функциональность роли сервера. У каждой роли есть одна или несколько ролевых служб. Некоторые роли, например DNS-сервер или DHCP-сервер, выполняют одну функцию, и добавление роли устанавливает эту функцию. Администратор может выбрать, какие службы ролей нужно установить. • Компоненты. Это программные компоненты, предоставляющие дополнительную функциональность. Компоненты вроде Шифрование диска Bit Locker и Система архивации данных Windows Server, устанавливаются отдельно от ролей и ролевых служб. В зависимости от конфигурации компьютера компоненты могут быть установлены или отсутствовать. Компоненты сервера подобны компонентам комплектации автомобилей: хочешь, чтобы летом поездки были более комфортные, покупаешь автомобиль с климат-контролем; хочешь резервное копирование, устанавливаешь систему архивации данных. Роли, ролевые службы и компоненты настраиваются с помощью Диспетчера серверов-и Консоли управления Microsoft2. Некоторые роли, службы ролей и компоненты зависят от других ролей, служб ролей и компонентов. При установке ролей, служб ролей и компонентов Диспетчер серверов запрашивает у администратора подтверждение на выполнение этого действия. Аналогично, при попытке удалить компонент, Диспетчер серверов предупреждает администратора, что нельзя удалить этот компонент, пока не будут удалены зависимая роль, служба роли или компонент. Все автоматизировано и вам не нужно помнить, от каких служб ролей зависит та или иная роль - при установке роли необходимые службы роли будут установлены автоматически. Поскольку добавление или удаление ролей, служб ролей и компонентов может менять требования к аппаратным ресурсам (о системных требованиях мы еще поговорим), необходимо внимательно планировать любые изменения в конфигурации и определять, как они отобразятся на общей производительности сервера. Хотя обычно хочется комбинировать допол-нитедьные РОЛИ, а это увеличивает нагрузку на сервер, поэтому придется, 2 Microsoft Management Console, ММС Глава 1. Управление серверами на базе Windows Server соответственно, оптимизировать аппаратные средства. Таблица 1.2 содержит обзор основных ролей, доступных для размещения на сервере под управлением Windows Server 2019. Таблица 1.2. Основные роли и связанные ролевые службы Роль Описание Службы сертификатов Active Directory Предоставляют функции, необходимые для выпуска и отзыва цифровых сертификатов для пользователей, компьютеров клиентов и серверов. Службы роли: Центр сертификации. Веб-служба политик регистрации сертификатов, Веб-служба регистрации сертификатов, Сетевой ответчик, Служба регистрации в центре сертификации через Интернет, Служба регистрации на сетевых устройствах Доменные службы Active Directory Предоставляют функционал, необходимый для хранения информации о пользователях, группах, компьютерах и других объектах сети. Установка данной роли превращает компьютер в контроллер домена. Контроллеры домена Active Directory предоставляют пользователям и компьютерам сети доступ к запрашиваемым ресурсам сети Службы федерации Active Directory Производят аутентификацию и управление доступом для AD DS путем расширения этих функций на WWW.. Сервисы и подсервисы роли: Службы федерации, Поддерживающий утверждение агент AD FS 1.1, Агент Windows на основе токенов, Прокси-агент службы федерации Службы Active Directory облегченного доступа к каталогам Предоставляют хранилище данных для каталогозависимых приложений, которые не требуют AD DS и размещения на контроллере домена. Не требует дополнительных служб ролей Службы управления правами Active Directory Предоставляют контролируемый доступ к защищенным сообщениям e-mail, документам, страница корпоративной сети и другим типам файлов. Требует наличие служб: Сервер управления правами Active Directory и Поддержка федерации удостоверений Сервер приложений Используется для размещения приложений, построенных с помощью ASP.NET, Enterprise Services и Microsoft .NET Framework 4.5. Требует более 10 служб ролей DHCP-сервер Используется для централизованного управления IP-адресацией. DHCP-серверы динамически назначают IP-адреса и другие ТСР/ IP-параметры другим компьютерам сети. Не требует дополнительных ролевых служб DNS-сервер Реализует функционал DNS-сервера. Не требует дополнительных ролевых служб Справочник системного администратора Роль Описание Факс-сервер Используется для централизованного контроля над отправкой и приемом факсов на предприятии. Факс-сервер может работать как шлюз для факсов и позволяет управлять факс-ресурсами: заданиями и отчетами, факс-устройствами на сервере или в сети. Не требует дополнительных служб Файловые службы и службы хранилища Используется для управления файлами и хранилищем. Некоторые роли требуют дополнительные типы файловых служб. Службы роли: BranchCache для сетевых файлов, Дедупликация данных, Распределенная файловая система, Пространства имен распределенной файловой системы, Репликация DFS, Файловый сервер, Диспетчер ресурсов файлового сервера, Конечный iSCSI-сервер, Загрузка цели iSCSI и Storage Services Hyper-V Исплользуется для создания и управления виртуальными машинами и эмулирования физических компьютеров. На виртуальные машины можно установить операционные системы, отличные от операционной системы сервера Службы политики сети и доступа Предоставляют службы для управления политиками сетевого доступа. Ролевые сервисы: Сервер политики сети, Протокол авторизации учетных данных узла и Центр регистрации работоспособности Службы печати и документов Предоставляют службы для управления сетевыми принтерами, сетевыми сканерами и соответствующими драйверами. Ролевые сервисы: Сервер печати, Печать через Интернет, Сервер распределенного, Служба LPD Удаленный доступ Обеспечивает сервисы для управления маршрутизацией и удаленным доступом к сетям. Используйте эту роль, если необходимо настроить виртуальную частную сеть (VPN), трансляцию сетевых адресов (NAT) и другие сервисы маршрутизации. Службы: DirectAccess и VPN (RAS), Маршрутизация Службы удаленных рабочих столов Предоставляют службы, позволяющие пользователям запускать Windows-приложения, установленные на удаленном сервере. При запуске пользователями сервисы на терминальном сервере, весь процесс выполнения происходит на сервере, по сети передаются только данные от приложения Volume Activation Services Предоставляет службы для автоматического управления лицензионными ключами томов и активацией ключей томов Веб-сервер (IIS) Используется для размещения веб-сайтов и веб-приложений. Веб-сайты, размещаемые на веб-сервере, могут иметь статический м/или динамический контент. Содержит около 10 служб ролей 2d Глава 1. Управление серверами на базе Windows Server Роль Описание Служба развертывания Windows Предоставляет сервисы для размещения Windows-компьютеров на предприятии. Службы ролей: Сервер развертывания, Транспортный сервер Службы Windows Server Предоставляет сервисы для Microsoft Update, разрешая предоставлять обновления для определенных серверов Таблица 1.3 содержит обзор основных компонентов операционной системы Windows Server 2019. Обратите внимание, что далеко не все компоненты устанавливаются по умолчанию. Наоборот, по умолчанию не устанавливаются даже очень важные компоненты, такие как система архивации данных. Таблица 1.3. Основные компоненты Windows Server 2019 Компонент Описание Фоновая интеллектуальная служба передачи (BITS) Обеспечивает фоновую интеллектуальную передачу. После установки этого компонента сервер может действовать как BITS-сервер, который способен принимать загрузки файлов от клиентов. Дополнительные подкомпоненты: Расширение сервера IIS и Облегченный сервер загрузки Шифрование диска BitLocker Обеспечивает основанную на аппаратных средствах защиту данных с помощью шифрования всего тома. Компьютеры, оснащенные модулем Trusted Platform Module (TPM), могут использовать Шифрование диска BitLocker в режиме Startup Key или TPM-Only Сетевая разблокировка BitLocker Позволяет автоматически разблокировать BitLocker-защищенные диски операционной системы, если присоединенный к домену компьютер будет перезапущен. Обычно при перезагрузке компьютера, если его жесткий диск зашифрован с помощью BitLocker, нужно вводить пароль. Этот компонент позволяет автоматически разблокировать такие компьютеры без ввода пароля или каких-либо других действий со стороны оператора. Однако данный компонент работает только в домене AD и вне домена его использование невозможно. BranchCache Предоставляет функциональность, необходимую для клиентов и серверов BranchCache. Клиент для NFS Обеспечивает функциональность для доступа к файлам, находящимся на NFS-серверах под управлением UNIX Мост для центра обработки данных Поддерживает набор IEEE-стандартов для улучшения локальных Ethernet-сетей путем обеспечения гарантированной аппаратной пропускной способности ^Справочник системного администратора Компонент Описание Enhanced Storage Обеспечивает поддержку устройств Enhanced Storage Отказоустойчивая кластеризация Позволяет нескольким серверам работать вместе для обеспечения высокого уровня доступности ролей серверов. Можно класте-ризировать многие типы серверов, в том числе файловый сервер и сервер печати. Серверы баз данных и сообщений — отличные кандидаты для кластеризации Управление групповой политикой Устанавливает консоль управления групповой политикой для централизованного администрирования групповой политики Служба рукописного ввода Обеспечивает использование ручки или стилуса, а также распознавания рукописного ввода Сервер управления IP-адресами Централизовано управляет пространством IP-адресов и соответствующими серверами инфраструктуры Клиент печати через Интернет Позволяет клиентам использовать протокол HTTP для печати на принтерах, подключенных к веб-серверам печати Служба iSNS-сервера Предоставляет управление и функции сервера для iSCSI-устройств. Позволяет серверу обрабатывать запросы регистрации и дерегистрации, также запросы от iSCSI-устройств Монитор LPR-порта Позволяет выполнять печать на принтерах, подключенных к UNIX-компьютерам Media Foundation Обеспечивает необходимую функциональность для Windows Media Foundation Очередь сообщений Функции управления и сервер-функции для распределенной очереди сообщений. Как правило, доступна группа дополнительных подкомпонентов Multipath I/O (МРЮ) Обеспечивает функциональность, необходимую для использования путей данных к устройствам хранения данных .NET Framework 4.5 Предоставляет API для разработки приложений. Дополнительные подкомпоненты: .NET Framework 4.5, ASP.NET 4.5 и Windows Communication Foundation (WCF) Activation Components [ 30 ] Глава 1. Управление серверами на базе Windows Server Компонент Описание Балансировка сетевой нагрузки (NLB) Распределяет трафик между несколькими серверами по протоколу TCP/IP. Идеальными кандидатами для балансировки нагрузки являются веб-серверы Протокол однорангового разрешения имен (PNRP) Предоставляет функциональность Link-Local Multicast Name Resolution (LLMNR), обеспечивая тем самым одноранговое разрешение имен. QWave (Quality Windows Audio Video Experience) Сетевая платформа для передачи аудио/видео по домашним сетям Пакет администрирования диспетчераВАБ-подключений Фреймворк для создания профилей соединений к удаленным серверам и сетям Удаленный помощник Разрешает удаленному пользователю подключаться к серверу для обеспечения или получения удаленной помощи Удаленное разностное сжатие Вычисляет и передает различия между двумя объектами данных и минимизирует объем передаваемых данных Средства удаленного администрирования сервера (RSAT) Устанавливает средства управления ролями и компонентами, которые могут использоваться для удаленного администрирования других Windows-серверов. RPC через НТТР-прокси Предоставляет прокси для передачи RPC-сообщений от клиентских приложений к серверам через НТТР-прокси. RPC по HTTP — это альтернатива доступа клиента к серверу через частную сеть Простые службы TCP/IP Устанавливает дополнительные TCP/IP-сервисы, в том числе Character Generator, Daytime, Discard, Echo и Quote of the Day SMTP-сервер После установки этого компонента сервер может работать как базовый 5МТР-сервер<?>. В некоторых случаях этого достаточно, в некоторых нужно будет установить полноценный почтовый сервер вроде Microsoft Exchange Server Справочник системного администратора Компонент Описание Служба SNMP Протокол SNMP используется для централизованного управления сетью, если в сети есть SNMP-совместимые устройства. Также протокол SNMP применяется для мониторинга сети с помощью программного обеспечения мониторинга сетью Подсистема для UNIX-приложений Предоставляет возможность запуска UNIX-приложений. Дополнительные инструменты управления доступны для загрузки с сайта Microsoft (не рекомендуется использовать) Клиент Telnet Используется для подключения к удаленному Telnet-серверу и запуска приложений на этом сервере Сервер Telnet Представляет функциональность Telnet-сервера. Это устаревшая технология и протокол Telnet не обеспечивает шифрования передаваемых данных, что делает использование небезопасным. Пользовательские интерфейсы и инфраструктура Позволяет контролировать параметры пользовательского интерфейса (Графические средства управления и инфраструктура, Возможности рабочего стола, Графическая оболочка сервера) Биометрическая платформа Windows Поддерживает устройства сканирования отпечатков пальцев Внутренняя база данных Windows Реляционное хранилище данных, которое может быть использовано только функциями и ролями Windows Server, например, AD RMS, UDDI Services, WSUS, Windows SharePoint Services и WSRM Windows PowerShell Разрешает управлять функциями Windows PowerShell-сервера. Windows PowerShell 3.0 и PowerShell ISE устанавливаются по умолчанию Windows PowerShell Web Access Превращает сервер в веб-шлюз для удаленного управления серверами с помощью веб-браузера Глава 1. Управление серверами на базе Windows Server Компонент Описание Служба активации процессов Windows Обеспечивает поддержку распределенных веб-приложений, которые используют HTTP- и не-НТТР-протоколы Стандартизированное управление хранилищами Windows Позволяет обнаруживать запоминающие устройства, управлять ними и контролировать их работу. Предоставляет классы для WMI и Windows PowerShell Система архивации данных Windows Server Используется для резервного копирования и восстановления операционной системы и любых данных, хранящихся на сервере Диспетчер системных ресурсов Windows (WSRM) Позволяет управлять использованием ресурсов (не рекомендуется) Фильтр Windows TIFF IFilter Используется для распознавания текста в файлах, соответствующих стандарту TIFF 6.0 Расширение IIS WinRM Позволяет серверу принимать запросы от клиента, используя протокол WS-Management WINS-сервер Сервис разрешения имен, который сопоставляет имена компьютеров их IP-адресам. Установка этого компонента превращает компьютер в WINS-сервер Служба беспроводной локальной сети Позволяет серверу использовать беспроводную сеть Поддержка WoW64 Поддержка WoW64, необходимая для полной установки сервера. Удаление этого компонента превращает полную установку сервера в установку основных компонентов Средство просмотра XPS Программа для просмотра XPS-документов [ 33 Справочник системного администратора 1.6. Установка Windows Server Казалось бы, что можно рассказать об установке Windows Server? Ведь в большинстве случаев вам не придется ее устанавливать: • Если вы устроились в организацию с уже существующей инфраструктурой, Windows Server уже установлен. • Если вы покупаете новый сервер, то, как правило, он уже будет поставляться с предустановленной ОС. • Арендуемый виртуальный сервер также уже поставляется с предустановленной ОС. Конечно, есть и частные случаи. Первый - покупка сервера без операционной системы. Такие серверы тоже продаются для экономии - вы покупаете «железо», без «математики», а затем сами всю эту математику будете устанавливать. Также возможно придется устанавливать Windows Server и в виртуальную машину - не все облачные провайдеры предоставляют серверы с установленной операционной системой. Об этом мы поговорим в последней главе этой книги. 1.6.1. Системные требования В большинстве случаев то, что называется на данный момент «сервером» способно выполнять Windows Server, которая отличается вполне небольшими по современным меркам системным требованиям. Но у вас могут возникнуть задачи, когда вам необходимо знать системные требования (например, при заказе виртуального сервера). Если речь идет об экономии, тогда нужно выбирать Windows Server 2019 Essentials (далее мы поговорим об этом выпуске), который отличается минимальными системными требованиями: • Процессор: » Производительность зависит не только от частоты процессора, но и от количества ядер и размера кэша, учитывайте это при конфигурировании сервера - восьмиядерная машина с меньшей рабочей частотой будет работать быстрее, чем 4-ядерная с более высокой частотой » Минимальные требования к рабочей частоте - 1.4 ГГц, 64-бит. » Совместимость с набором команд х64. » Поддержка NX и DEP. Глава 1. Управление серверами на базе Windows Server » поддержка CMPXCHGlob, LAHF/SAHF и PrefetchW. » поддержка Second Level Address Translation (EPT или NPT). Оперативная память: » 512 Мб для Essentials. » 2 Гб для Standard. » ЕС С (Error Correcting Code) или аналогичная технология. Контроллеры дискового пространства: » Компьютеры, на которых работает Windows Server 2016/2019, должны включать адаптер с памятью, совместимый со спецификацией архитектуры PCI Express. » Интерфейс РАТА не поддерживается. » Windows Server 2016/2019 не работает с ATA/PATA/IDE/EIDE для загрузки, подкачки и как с накопителями данных. » предположительные минимальные требования к свободному пространству на жестком диске для системных разделов: 32 Гб. Сетевой адаптер: » адаптер Ethernet с пропускной способностью от 1 Гбит/с. » Совместимость со спецификациями архитектуры PCI Express. » Поддержка Pre-boot Execution Environment (PXE). » Сетевой адаптер с под держкой отладки сети (KDNet) может быть полезен, но не является минимальным необходимым условием. DVD-привод (для установки с диска). Система на базе UEFI 2.3.1с и прошивка, под держивающая безопасную загрузку. Графическое устройство и монитор с разрешением Super VGA (1024 х 768) и выше (необязательно) Клавиатура и мышь (необязательно). Подключение к Интернет (необязательно). Примечание. Начиная с Windows Server 2016 жесткие диски РАТА (IDE, EIDE) больше не поддерживаются - ни для загрузки, ни для хранения данных. Если вам нужно работать с такими [35 правочник системного администратора дисками, обратите внимание на Windows Server 2012, где еще есть поддержка РАТА. 1.6.2. Минимальный выпуск Essentials Как уже отмечалось ранее, для версии Windows Server 2019 доступны три выпуска - Standard, Datacenter и Essentials. Выбор выпуска осуществляется при установке операционной системы. Windows Server 2019 Essentials - это серверная операционная система для малого бизнеса с количеством пользователей до 25 и устройств до 50. Ранее он назывался Small Business Server (SBS) или Microsoft BackOffice Server. Редакция Essentials ограничена в возможностях и вариантах лицензирования и, соответственно, самая дешевая среди семейства. По словам Microsoft, издание Essentials «идеально подходит для малых предприятий с количеством пользователей до 25 и 50 устройствами». В Essentials отсутствуют «асширенные» функции, такие как поддержка службы миграции хранилищ (SMS), которые доступны в выпусках Standard и Datacenter. Essentials также ограничен во многих аспектах. ОС Windows Server 2019 Essentials поставляется по единой лицензии, которая включает лицензии клиентского доступа CAL (до 25 пользователей / 50 устройств), имеет более низкую цену и возможность запуска традиционных приложений и других функций, таких как совместная работа с файлами печатью. Windows Server 2019 Essentials имеет те же лицензии и технические характеристики, что и его предшественник Windows Server 2016 Essentials. Если он настроен как контроллер домена, Essentials Windows Server 2019 должен быть единственным контроллером домена, выполняет все роли мастера FSMO и не может иметь двусторонние отношения с другими доменами Active Directory. Другими словами, вы можете сэкономить и выбрать выпуск Essentials - он сможет работать как контроллер домена. Windows Server 2019 Essentials включает в себя новую аппаратную поддержку и улучшения, такие как поддержка Azure Active Directory через AAD Connect, новые опции Windows Server 2019 Standard, службы миграции памяти и другие. Windows Server 2019 Essentials не поддерживает резервное копирование и удаленный доступ к сети. 1.6.3. Выпуски Standard и Datacenter Основными продуктами семейства Windows Server 2019 являются Windows Server 2019 Standard и Datacenter. 36J Глава 1. Управление серверами на базе Windows Servt Windows Server 2019 Datacenter является наиболее полным выпуском семейства продуктов Microsoft Server и, вместе с тем, самым дорогим, по оценкам Microsoft. Это отражает увеличение цены по сравнению с MSRP аналогичного сервера, версии 2016 года. Примерно, выпуск Datacenter будет в более чем в 6 раз дороже выпуска Standard. А вот выпуск Essentials будет примерно в два раза дешевле, чем Standard. Лицензия Datacenter предоставляет самый широкий набор функций и возможностей с наименьшим количеством лицензионных ограничений среди всех выпусков Server. Например, все серверы, которые виртуализированы на сервере Datacenter, лицензируются автоматически их хостом Datacenter, учитывая, что хост-сервер и гостевые серверы имеют одинаковую версию. Такие гости также могут быть автоматически активированы с помощью активации виртуальной машины (AVMA). В Windows Server 2016 была представлена защищенная виртуальная машина - новая функция, доступная только в выпуске Datacenter. В отличие от этого, Host Guardian Service был доступен только в выпуске Datacenter Windows Server 2016, хотя в выпуске Windows Server 2019 служба Host Guardian стала доступна также и в Standard версии. Хотя такое и происходит время от времени, это не правило, а скорее исключение. В итоге: новые возможности представлены в новых выпусках Windows Server, в то время как другие функции отключены. Некоторые функции являются эксклюзивными для выпуска Datacenter, тогда как иногда такие функции становятся доступными для более дешевых вариантов лицензирования. Windows Server 2019 Standard и Datacenter - это, по сути, один и тот же продукт, отличающийся друг от друга по функциям только благодаря лицензированию. Таким образом, выпуски Datacenter и Standard могут быть преобразованы друг в друга после установки. Это можно сделать после активации, введя ключ активации, который затем определяет и при необходимости преобразует Windows в соответствующую редакцию. Вкратце: Windows Server 2019 Datacenter может быть активирован в Standard и наоборот. 1.6.4. Server Core Выпуски Datacenter и Standard могут быть установлены в режимах Server Core и Desktop Experience (GUI). 37 Справочник системного администратора Если выбрана установка Server Core, будет установлен пользовательский интерфейс с ограниченным окружением рабочего стола для локального управления сервером. Этот минимальный интерфейс содержит: • экран входа в систему, который служит для входа в систему и выхода из нее; • редактор Блокнот (notepad.exe) для редактирования файлов; • редактор реестра (regedit.exe) для управления реестром; • диспетчер задач (taskmgr.exe) для управления задачами и запуска новых задач; • командная строка (cmd.exe) для администрирования; • оболочка PowerShell для администрирования; • утилита Проверка подписи файла (sigverif.exe) для проверки цифровых подписей системных файлов; • утилита Сведения о системе (msinfo32.exe) для получения системной информации; • Установщик Windows (msiexec.exe); • панель Дата и время (timedata.cpl) для просмотра/установки даты, времени и часового пояса; • панель Язык и региональные стандарты (intLcpl) для просмотра/изме-нения региональных и языковых опций, в том числе форматов и раскладки клавиатуры; • утилита конфигурации сервера (sconfig), предоставляющая текстовое меню для управления настройкой сервера. При запуске сервера с основными серверными компонентами для входа в систему можно использовать экран входа в систему, точно такой же есть на сервере с полной установкой системы. В домене действуют стандартные ограничения входа на серверы, и на сервер может войти только пользователь с надлежащими правами и полномочиями входа. На серверах, не являющихся контроллерами домена, и серверах в рабочих группах можно использовать команды NET USER (для добавления пользователей) и NET LOCALGROUP для добавления пользователей в локальную группу для локального входа в систему. После входа в сервер на базе установки с основными серверными компонентами будет доступно ограниченное окружение (нет рабочего стола, есть Глава 1. Управление серверами на базе Windows Server только окно командной строки) с командной строкой администратора. Командная строка используется для администрирования сервера. Если окно командной строки было нечаянно закрыто, открыть новое окно командной строки можно с помощью следующих шагов: 1. Нажмите комбинацию клавиш <Ctrl>+<Shift>+<Esc> для запуска Диспетчера задач. 2. Нажмите Подробнее, чтобы отобразить меню Диспетчера задач. 3. В меню Файл выберите команду Запустить новую задачу. 4. В окне Создание задачи введите cmd и нажмите кнопку ОК. Этот же способ можно использовать для запуска дополнительной командной строки. Хотя можно запустить Блокнот и редактор реестра с помощью команд notepad.exe и regedit.exe вместо cmd, есть возможность запустить Блокнот и редактор реестра прямо из командной строки командами notepad, ехе и regedit.exe. Утилита конфигурации сервера (sconfig) предоставляет текстовое меню, позволяющее легко выполнить следующие операции (рис. 1.2): Рис. 1.2. Утилита sconfig [ 39 Справочник системного администратора • настроить членство в домене или рабочей группе; • добавить локальную учетную запись администратора; • настроить функции удаленного управления; • настроить параметры Windows Update; • загрузить и установить обновления Windows; • включить или отключить удаленный рабочий стол; • настроить сетевые параметры TCP/IP; • настроить дату и время; • выйти из системы, перезагрузить компьютер и завершить работу компьютера. После входа в систему отобразить экран входа в любой момент можно с помощью нажатия комбинации клавиш <Ctrl>+<Alt>+<Delete>. В установке сервера с основными серверными компонентами экран входа такой же, что и в полной установке, пользователь может заблокировать компьютер, переключить пользователей, выйти из системы, сменить пароль или запустить диспетчер задач. В командной строке разрешается использовать все стандартные команды и утилиты командной строки, предназначенные для управления сервером. Однако команды, утилиты и программы будут доступны, только если они есть в установке сервера с основными серверными компонентами. Таблица 1.4. содержит список полезных команд, которые вам наверняка пригодятся для администрирования Essentials-выпуска. Таблица 1.4. Список полезных команд Команда Описание Cscript Scregedit.wsf Настраивает операционную систему. Используйте параметр /cli для вывода доступных областей настройки Diskraid.exe Настраивает программный RAID-массив ipconfig /all Выводит информацию о настройке IP-адреса компьютера Netdom RenameComputer Устанавливает имя сервера Netdom Join Подключает сервер к домену 40J Глава 1. Управление серверами на базе Windows Server Netsh Предоставляет контекст для управления конфигурацией сетевых компонентов. Введите netsh interface ipv4 для настройки параметров IPv4 или netsh interface ipv6 для настройки IPv6 Ocsetup.exe Добавляет или удаляет роли, ролевые сервисы и компоненты Pnputil.exe Устанавливает или обновляет драйверы устройств Sc query type=driver Выводит установленные драйверы устройств Slmgr -ato Средство Windows Software Licensing Management, используется для активации операционной системы. Запускает Cscript slmgr. vbs -ato Slmgr -ipk Устанавливает или заменяет ключ продукта. Запускает Cscript slmgr. vbs -ipk- Systeminfo Выводит подробности конфигурации системы Wecutil.exe Создает и управляет подписками на перенаправляемые события Wevtutil.exe Позволяет просматривать системные события Winrm quickconfig Настраивает сервер на прием запросов WS-Management от других компьютеров. Запускает Cscript winrm. vbs quickconfig Wmic datafile where name=»FullFilePath>> get version Выводит версию файла Wmic nicconfig index=9 call enabledhcp Настраивает компьютер на использование динамического IP-адреса (вместо статического IP) Wmic nicconfig index=9 call enablestatic(«IPAddress»), («SubnetMask») Изменяет IP-адрес компьютера и сетевую маску Справочник системного администратора Wmic nicconfig index=9 call setgateways(«GatewaylPAdd ress») Устанавливает или изменяет шлюз по умолчанию Wmic product get name / value Выводит список установленных MSI-приложений Wmic product where name=»Name>> call uninstall Удаляет MSI-приложение Wmic qfe list Выводит список обновлений и исправлений Wusa.exe PatchName.msu / quiet Применяет обновление/исправление к операционной системе Также вам пригодятся базовые команды командной оболочки, представленные в табл. 1.5. В обычном выпуске толку от них мало, поскольку там есть полноценный интерфейс пользователя, а вот в Essentials они могут пригодиться. Таблица 1.5. Базовые команды командной оболочки Windows Команда Описание ARP. Отображает и модифицирует таблицы преобразования IP-адресов в физические адреса с использованием протокола ARP (Address Resolution Protocol) ASSOC Отображает и модифицирует привязку расширений файлов ATTRIB Показывает и изменяет атрибуты файлов CALL Вызывает один сценарий из другого CD/CHDIR Используется для отображения имени текущего каталога и изменения текущего каталога CHKDSK Проверяет диск на наличие ошибок и отображает отчет CHKNTFS Показывает статус томов. Позволяет добавить/удалить том из списка автоматической проверки, которая осуществляется при запуске операционной системы. 42 Глава 1. Управление серверами на базе Windows Serve CHOICE Создает список, из которого пользователи могут выбрать один из нескольких вариантов (используется в пакетном сценарии) CLS Очищает окно консоли CMD Запускает новый экземпляр окна командной строки Windows COLOR Устанавливает цвет окна командной оболочки Windows CONVERT Конвертирует FAT-тома в NTFS COPY Копирует или комбинирует файлы DATE Отображает/устанавливает системную дату DEL Удаляет один или больше файлов DIR Отображает список файлов и подкаталогов заданного каталога DISKPART Вызывает командный интерпретатор, позволяющий управлять дисками, разделами и томами, используя отдельную командную строку и внутренние команды DISKPART DISM Управляет образами Windows DOSKEY Используется для создания макросов, состоящих из команд Windows ECHO Отображает сообщения, а также переключает режим отображения команд на экране ENDLOCAL Завершение локализации окружения в пакетном файле ERASE Стирает один или более файлов EXIT Выход из командного интерпретатора EXPAND Разархивирует файлы FIND Производит поиск текстовой строки в файлах FOR Запускает указанную команду для каждого файла из набора файлов FORMAT Форматирует дискету или жесткий диск FTP Передает файлы Справочник системного администратора FTYPE Отображает/изменяет типы файлов, используемые в ассоциации расширений GOTO Передает управление содержащей метку строке командного файла HOSTNAME Выводит имя компьютера IF Осуществляет проверку условия в пакетных программах IPCONFIG Отображает конфигурацию TCP/IP LABEL Создает, изменяет или удаляет информацию о томе диска MD/MKDIR Создает каталог или подкаталог MORE Поэкранно выводит данные MOUNTVOL Управляет точкой монтирования тома MOVE Перемещает файлы из одного каталога в другой на одном и том же диске NBTSTAT Отображает статус NetBIOS NET ACCOUNTS Управляет учетной записью пользователя и политиками паролей NET COMPUTER Добавляет/удаляет компьютер в домен или из домена NET CONFIG SERVER Отображает/модифицирует конфигурацию службы Сервер NET CONFIG WORKSTATION Отображает/модифицирует конфигурацию службы Рабочая станция NET CONTINUE Возобновляет работу приостановленной службы NET FILE Отображает открытые файлы на сервере или управляет ними NET GROUP Показывает глобальные группы или управляет ними NET LOCALGROUP Показывает локальные группы или управляет ними NET NAME Отображает/модифицирует получателей для службы сообщений 44 Гпава 1. Управление серверами на базе Windows Served NET PAUSE Приостанавливает службу NET PRINT Отображает/модифицирует задания печати и управляет очередью печати NET SEND Отправляет сообщение с использованием службы сообщений NET SESSION Показывает или завершает установленные сеансы NET SHARE Показывает общие принтеры и каталоги или управляет ими NET START Запускает сетевые сервисы или отображает запущенные сервисы NET STATISTICS Отображает статистику рабочей станции и сервера NET STOP Останавливает сервисы NET TIME Отображает/синхронизирует сетевое время NET USE Отображает удаленные соединения или управляет ими NET USER Управляет локальными учетными записями пользователей NET VIEW Отображает сетевые ресурсы или компьютеры NETSH Открывает отдельную командную оболочку, позволяющую управлять конфигурацией разных сетевых сервисов на локальном и удаленном компьютерах NETSTAT Отображает статус сетевых соединений PATH Отображает или устанавливает путь поиска исполняемых файлов в текущем командном окне PATHPING Трассирует маршрут и предоставляет информацию о потере пакетов PAUSE Приостанавливает обработку сценария и ждет ввод с клавиатуры PING Определяет, установлено ли сетевое соединение POPD Переходит в каталог, сохраненный командой PUSHD PRINT Выводит текстовый файл Справочник системного администратора PROMPT Изменяет приглашение командной строки Windows PUSHD Сохраняет текущий каталог, а затем переходит в указанный каталог RD/RMDIR Удаляет каталог RECOVER Восстанавливает информацию на поврежденном диске REG ADD Добавляет новый подключ или запись в реестр REG COMPARE Сравнивает подключи или записи реестра REG COPY Копирует запись реестра на локальной или удаленной машине REG DELETE Удаляет подключ или записи из реестра REG QUERY Отображает элементы ключа реестра и имена подключей (если они есть) REG RESTORE Записывает сохраненные подключи и записи обратно в реестр REG SAVE Сохраняет копию указанных подключей, элементов и их значений в файл REGSVR32 Регистрирует и отменяет регистрацию DLL-библиотеки REM Добавляет комментарии в сценарии REN Переименовывает файл ROUTE Управляет таблицами сетевой маршрутизации SET Отображает или модифицирует переменные окружения Windows. Также используется для вычисления числовых выражений в командной строке SETLOCAL Начинает локализацию окружения в пакетном файле SFC Сканирует и проверяет защищенные системой файлы SHIFT Смещает подставляемые параметры для пакетного файла START Запускает новое окно командной строки и запускает в нем указанную программу или команду SUBST Сопоставляет букву диска указанному пути TIME Отображает или устанавливает системное время TITLE Устанавливает заголовок окна командной строки TRACERT Отображает путь между компьютерами TYPE Показывает содержимое текстового файла Глава 1. Управление серверами на базе Windows Sei ver VER Отображает версию Windows VERIFY Включение или отключение режима проверки правильности записи файлов на диск VOL Отображает метку тома диска и серийный номер Чтобы конвертировать полную установку в установку с минимальным графическим интерфейсом, нужно удалить компонент Графическая оболочка сервера. Хотя можно использовать мастер удаления ролей и компонентов, данную операцию можно выполнить с помощью команды PowerShell: uninstall-windowsfeature server-gui-shell -restart Чтобы конвертировать установку с минимальным интерфейсом в полную установку, нужно добавить компонент Графическая оболочка сервера: install-windowsfeature server-gui-shell -restart Эта команда устанавливает компонент Графическая оболочка сервера и перезапускает сервер для завершения установки. Если также нужно добавить компонент Возможности рабочего стола, используйте эту команду вместо предыдущей: install-windowsfeature server-gui-shell, desktop-experience -restart 1.6.5. Процесс установки Windows Server Перед началом установки необходимо решить, нужно ли проверить и дефрагментировать диски и разделы компьютера перед началом установки. При желании использовать средства программы установки для создания и форматирования разделов необходимо загрузить компьютер с дистрибутивного диска. Если загрузка произведена иным способом, эти средства не будут доступны и управлять разделами можно будет только из командной строки, используя утилиту DiskPart. Для осуществления чистой установки Windows Server 2019 выполните следующие действия: Справочник системного администратора 1. Загрузитесь с дистрибутивного диска. Для этого нужно вставить дистрибутивный диск в DVD-привод (при желании можно подготовить загрузочный USB-диск) и выполнить перезагрузку системы. Если процесс загрузки с дистрибутивного диска не начался, значит, нужно изменить параметры BIOS SETUP - нужно выбрать загрузку с дистрибутивного диска. 2. При запуске компьютера с использованием дистрибутивного носителя выберите язык, форматы времени и валюты, а также раскладку клавиатуры (рис. 1.3). Когда будете готовы начать установку, нажмите кнопку Далее. Рис. 1.3. Выбор языка и других параметров локализации 3. Нажмите кнопку Установить для начала установки. 4. В корпоративных выпусках ОС Windows Server 2019 не нужно вводить ключ продукта. Однако в OEM-версиях следует ввести ключ продукта, как только инсталлятор попросит это сделать (рис. 1.4). Глава 1. Управление серверами на базе Windows Server Усгвивво Windows Активация Windows Если вы впераые устанавливаете Windows Н4>том компьютере (или устанавливаете другой выпуск) необходимо ввести действительный ключ продукта Windows Ваш ключ продукта содержится в сообщении влектрснной почты С подтверждением, которое вы получили после приобретения цифровой копии Windows или на этикетке внутри упаковки Windows. Ключ продукта выглядит так: ХХКХХ-ХХХХХ-ХХХХХ-ХХХХХ-ХХХХХ Если аы переустанавливаете Windows, выберите пункт ~У меня нет ключа продукта” Ваша копия Windows будет автоматически активирована позже [I_____________□^ЭД| Заявление о конфиденциальности i мейл нет ключа продукта Далее «| Сбор информации 2 Рис. 1.4. Ввод лицензионного ключа 5. На странице Выберите операционную систему, которую вы хотите установить выберите нужный вам выпуск операционной системы (рис. 1.5). В зависимости от инсталляционного диска в этом же окне производится выбор варианта Server Core/Desktop Experience. 6. Лицензионное соглашение Windows Server 2019 отличается от предыдущих версий Windows. Прочитайте его, отметьте флажок Я принимаю условия лицензии и нажмите кнопку Далее. 7. На странице Выберите тип установки выберите тип установки, которую необходимо осуществить. Поскольку выполнятся чистая установка, для замены существующей инсталляции или для настройки нового компьютера нажмите кнопку Выборочная: только установка Windows (для опытных пользователей). Если компьютер загружен с дистрибутивного диска кнопка Обновление (Upgrade) будет недоступна. 8. На странице Где вы хотите установить Windows? выберите диск или раздел диска (рис. 1.6), на который необходимо установить операционную систему. Существуют две версии этой страницы, поэтому нужно иметь в виду следующее. □С Справочник системного администратора 50 Глава 1. Управление серверами на базе Windows Server » Когда у компьютера есть один жесткий диск с одним разделом на весь диск или одной областью нераспределенного пространства, указывают весь диск, и можно нажать кнопку Далее для выбора этого диска в качестве назначения установки. Инсталлятор автоматически создаст новые разделы при необходимости. » Когда у компьютера имеется несколько дисков или один диск с несколькими разделами, нужно либо выбрать существующий раздел для установки операционной системы, либо создать новый раздел. » Нельзя выбрать диск, использующий файловую систему FAT/FAT32. Также нельзя отформатировать диск в этой файловой системе. Если раздел, на который планируется установить Windows Server, отформатирован как FAT32, нужно конвертировать его в NTFS, нажав кнопку Форматировать (в этом случае все данные будут потеряны) или посредством использования специальных утилит, выполняющих преобразование файловых систем. 9. Дождитесь завершения установки (рис. 1.7). Компьютер будет перезагружен автоматически. А 1'станоак» W mdows Установка Windows Состояние !#J Копирование файле* Windtrw. Подготовка файлов для установки (74%) Установка компонента* Установка ебневленмй Завершение С бор информации Рис. 1.7. Идет установка ОС я. Справочник системного администратора 10. После перезагрузки вам будет предложено установить пароль для локальной учетной записи администратора (рис. 1.8). После этого вы увидите окно входа в систему: нажмите Ctrl + Alt + Del, и используя имя Администратор и только что указанный пароль, войдите в систему. Настройка параметров Введите пароль ВБТрО**«нйч учетной заг*- и администратора, г юруюм * -о для входа на этот гг.льют ер. '1мя польлоытспч 8веди-е пароль еще раз Оу ENG Готово Рис. 1 .В. Задание пароля администратора 1.6.6. Дополнительные возможности при установке Во время установки на странице Где вы хотите установить Windows? можно нажать комбинацию клавиш Shift + F10 для доступа к командной строке. Данную командную строку можно использовать для ввода различных команд, в частности, для ввода команды diskpart, используемой для более гибкого управления дисками. Далее будут рассмотрены несколько сценариев, которые могут произойти при установке Windows Server. Принудительное удаление раздела диска во время установки Во время установки, возможно, не получится использовать желаемый раздел диска. Причиной может быть неверное значение байта смещения разде- Глава 1. Управление серверами на базе Windows Server ла жесткого диска. Чтобы исправить проблему, необходимо удалить разделы (что повлечет полную потерю данных) и создать необходимые разделы с использованием расширенных параметров программы установки на странице Где вы хотите установить Windows? Удалить нераспознанные разделы диска можно с помощью следующих действий: 1. Нажмите комбинацию клавиш <Shift>+<F10>, чтобы открыть окно командной строки. 2. В окне командной строки введите diskpart для запуска утилиты работы с разделами диска. 3. Для просмотра перечня дисков компьютера введите list disk. 4. Выберите диск командой select disk номердиск, где номер_диска — это номер диска, с которым планируется работать. 5. Для удаления всех разделов на выбранном диске введите clean. 6. Введите команду exit для выхода из DiskPart. 7. Введите команду exit для завершения работы в окне командной строки. Создание, форматирование, удаление и расширение разделов диска При осуществлении чистой установки (при условии, что компьютер загружен с дистрибутивного носителя) на странице Где вы хотите установить Windows? появится кнопка Настройка диска, нажав которую, можно получить набор дополнительных возможностей: • Создать — создает раздел; после этого нужно отформатировать раздел; • Форматировать — форматирует новый раздел так, чтобы он был доступен для установки операционной системы; • Удалить — удаляет раздел, который больше не нужен; • Расширить — расширяет раздел, увеличивая его размер. Загрузка драйверов устройств при установке В процедуре установки существует страница Где вы хотите установить Windows?, на которой присутствует кнопка Загрузить. Ее можно нажать □Г [Справочник системного администратора для загрузки драйвера жесткого диска или контроллера жесткого диска. Обычно эту возможность нужно использовать, когда диск, на который планируется установка операционной системы, не отображается в списке, поскольку недоступен его драйвер. Для загрузки драйвера диска выполните следующие действия: 1. Во время установки на странице Где вы хотите установить Windows? нажмите кнопку Загрузить. 2. Когда вас попросят вставить инсталляционный носитель в DVD-дисковод или подключить флешку (USB-диск), сделайте это и нажмите кнопку ОК. Инсталлятор произведет поиск драйверов устройств на всех сменных носителях. » Если инсталлятор найдет несколько драйверов, выберите драйвер, который нужно установить, и нажмите кнопку Далее. » Если инсталлятор не найдет драйвер устройства, нажмите кнопку Обзор для появления окна выбора папки, выберите папку с драйвером и нажмите кнопку ОК, а затем кнопку Далее. Для повторного сканирования сменных носителей на предмет наличия драйверов нажмите кнопку Обновить. Если драйвер найти не удалось, нажмите кнопку со стрелкой назад для возврата на предыдущую страницу инсталлятора. 1.7. Управление ролями, службами ролей и компонентами Для управления ролями, ролевыми службами и компонентами используется консоль Диспетчер серверов. Диспетчер серверов применяется не только для установки/удаления ролей, ролевых служб и компонентов, но и для просмотра конфигурации сервера и статуса этих программных компонентов. 1.7.1. Обзор диспетчера серверов Диспетчер серверов — центральная консоль для осуществления начальной настройки и настройки ролей и компонентов. Данная консоль позволяет быстро настроить не только новый сервер, но и окружение управления. 54 Глава 1. Управление серверами на базе Windows Server Примечание. Обычно Windows Server 2019 автоматически запускает Диспетчер серверов при входе в систему, и получить доступ к Диспетчеру серверов можно через рабочий стол. Если не нужно запускать консоль при каждом входе в систему, выберите меню Управление, далее — Свойства диспетчера серверов. В окне Свойства диспетчера серверов установите флажок Не запускать диспетчер серверов автоматически при входе в систему и нажмите кнопку ОК. Откройте Диспетчер серверов или посмотрите на рис. 1.1. вид по умолчанию для Диспетчера серверов — Панель мониторинга. Здесь находятся ссылки для быстрого добавления ролей и функций на локальные и удаленные серверы, добавления серверов для управления ими, а также создания групп серверов. В меню Управление находятся следующие команды. • Добавить роли и компоненты — запускает мастер добавления ролей и компонентов, позволяющий установить роли, ролевые службы и компоненты на сервер. • Добавление серверов — открывает диалоговое окно Добавить серверы, используемое для добавления серверов, которые будут доступны для управления. Список всех добавленных серверов отображается на пане- Рис. 1.9. Меню Управление диспетчера серверов Справочник системного администратора ли Все серверы. Нажмите и удерживайте пальцем или щелкните правой кнопкой мыши на имени сервера на панели Серверы раздела Все серверы для отображения списка команд управления, в том числе команды перезагрузки/завершения работы, управления компьютером и т. д. • Создание группы серверов — открывает одноименное диалоговое окно, использующееся для добавления серверов в группы, что упрощает управление ними. Диспетчер серверов автоматически создает группы серверов на основании ролей. Например, контроллеры домена перечислены в группе AD DS. Быстро найти информацию о любом контроллере домена можно с помощью выбора соответствующего узла. На левой панели Диспетчера серверов находятся команды для доступа к Панели мониторинга, локального сервера, всех серверов, доступных для управления, и групп серверов. Выбрав пункт Локальный сервер (рис. 1.10), можно управлять базовой конфигурацией локального сервера. Рис. 1.10. Управление свойствами локального сервера Информация о локальном сервере распределена по нескольким панелям. • СВОЙСТВА — показывает свойства компьютера, домена, конфигурации сети, часового пояса и т. д. Каждое свойство активно — по нему можно щелкнуть, чтобы вызвать соответствующий интерфейс управления. • СОБЫТИЯ — общая информация об ошибках и предупреждениях, взятая из журналов сервера. Нажмите или щелкните по событию, чтобы получить больше информации о нем. I 56 Глава 1. Управление серверами на базе Windows Server • СЛУЖБЫ — выводит список служб, запущенных на сервере (по имени, статусу и типу запуска). Для изменения статуса службы используйте контекстное меню. • АНАЛИЗАТОР СООТВЕТСТВИЯ РЕКОМЕНДАЦИЯМ — позволяет запустить анализатор соответствия рекомендациям на сервере и просмотреть результат. Для начала сканирования нажмите список-меню Задачи, а потом выберите команду Начать проверку ВРА. • ПРОИЗВОДИТЕЛЬНОСТЬ — позволяет настроить и просмотреть статус предупреждений производительности относительно использования центрального процессора и памяти. • РОЛИ И КОМПОНЕНТЫ — выводит список ролей и компонентов в порядке их установки на сервер. Для удаления роли или компонента щелкните правой кнопкой мыши (или нажмите и удерживайте палец) и выберите команду Удалить роль или компонент. Панель СВОЙСТВА позволяет произвести начальную настройку сервера. Для быстрой настройки доступны следующие свойства. • Имя компьютера/Рабочая группа — отображает имя компьютера и домена. Щелкните по соответствующей ссылке, чтобы отобразить окно Свойства системы с активной вкладкой Имя компьютера. Затем можно изменить имя компьютера и имя домена, нажав кнопку Изменить. После чего введите имя компьютера и домена и нажмите кнопку ОК. По умолчанию серверам назначаются случайным образом сгенерированные имена, и они настраиваются как часть рабочей группы WORKGROUP. • Ethernet — показывает конфигурацию TCP/IP для проводных Ethernet-соединений. Щелкните по соответствующей ссылке, чтобы открыть консоль Сетевые подключения. Для настройки соединения дважды щелкните на нем, а затем нажмите Свойства для открытия одноименного окна. По умолчанию серверы настраиваются для использования динамической адресации для IPv4 и IPv6. Консоль Сетевые подключения можно также вызвать из Центра управления сетями и общим доступом, выбрав задачу Изменение параметров адаптера. • Конфигурация усиленной безопасности Internet Explorer — показывает статус расширенной безопасности Internet Explorer (IE ESC). Щелкните по соответствующей ссылке для включения или отключения IE ESC. Данная функция может быть включена/выключена для пользователей, администраторов либо для тех и других одновременно. IE ESC — средство защиты, которое уменьшает восприимчивость сервера к по Справочник системного администратора тенциальным атакам, повышая стандартные уровни безопасности в зонах безопасности Internet Explorer и изменяя настройки этого браузера по умолчанию. По умолчанию функциональность IE ESC включена для администраторов и для пользователей. • Объединение сетевых карт — показывает статус и конфигурацию объединения сетевых карт. Щелчок по соответствующей ссылке позволит добавить/удалить объединенные сетевые интерфейсы и изменить их настройки. • Код продукта — показывает идентификатор продукта Windows Server. Щелкните по соответствующей ссылке для ввода кода продукта и активации операционной системы через Интернет. • Удаленный рабочий стол — щелкните по соответствующей ссылке, чтобы отобразить окно Свойства системы с активной вкладкой Удаленный доступ. Для настройки удаленного рабочего стола установите необходимые параметры и нажмите кнопку ОК. По умолчанию удаленные соединения к серверу запрещены. • Удаленное администрирование — показывает, включено ли для этого сервера удаленное администрирование. Щелкните по соответствующей ссылке для включения или выключения удаленного администрирования. • Часовой пояс — показывает текущий часовой пояс для сервера. Щелкните по соответствующей ссылке для отображения окна Дата и время. Далее нажмите кнопку Изменить часовой пояс, выберите нужный часовой пояс й дважды нажмите кнопку ОК. • Брандмауэр Windows — показывает статус брандмауэра Windows. Если брандмауэр активен, это свойство отображает имя активного профиля и статус брандмауэра. Щелкните по соответствующей ссылке для отображения окна утилиты Брандмауэр Windows. • Центр обновления Windows — показывает текущий статус Центра обновления Windows. Щелчок (или нажатие) по соответствующей ссылке позволяет вызвать утилиту Центр обновления Windows, которую можно использовать для автоматического обновления (если обновление отключено) или проверить наличие обновлений (если обновление включено). Аналогично, данную утилиту можно вызвать через Панель управления. • Последние установленные обновления - показывает, когда было установлено последнее обновление ПО Windows Server. Щелчок по дате последней установки позволяет просмотреть, какие именно обновления были установлены. 58 j Глава 1. Управление серверами на базе Windows Server • Последняя проверка наличия обновлений - когда была произведена последняя проверка наличия обновлений Windows Server. • Антивирусная программа «Защитник Windows»- - показывает состояние антивирусной защиты, а щелчок по значению этого поля позволяет включить/выключить антивирусную защиту. 1.7.2. Удаленное управление серверами Диспетчер серверов и другие консоли управления Microsoft (Microsoft Management Consoles, MMC) MOiyr использоваться для администрирования удаленных компьютеров, входящих как в состав домена, так и в состав рабочей группы. Возможно подключение к серверам, работающим под управлением полной установки, установки с минимальным графическим интерфейсом пользователя и установки Server Core. На компьютере, который будет использоваться для удаленного управления другими компьютерами, должна быть установлена как минимум ОС Windows 8 или Windows Server 2012, а также Средства удаленного администрирования сервера. В Windows Server 2012/2016/2019 Средства удаленного администрирования сервера MOiyr быть установлены в виде компонента с помощью мастера добавления ролей и компонентов (см. далее). По умолчанию, удаленное управление включено для серверов под управлением Windows Server 2012/2016/2019 для двух типов приложений и команд: • приложения и команды, которые используют для управления удаленный доступ WinRM и Windows PowerShell; • приложения и команды, которые для удаленного управления используют WMI (Windows Management Instrumentation) и DCOM (Distributed Component Object Model). Данные типы приложений и команд разрешены для удаленного управления, поскольку для них настроены исключения в правилах брандмауэра Windows, который включен по умолчанию в Windows Server. В брандмауэре Windows есть исключения для разрешенных приложений, использующих удаленное управление, включая следующие средства: • Windows Management Instrumentation; Справочник системного администратора • Windows Remote Management; • Windows Remote Management (в режиме совместимости). В дополнительных параметрах брандмауэра Windows имеются правила для входящих соединений, которые соответствуют стандартным разрешенным приложениям. Для управления компьютером с помощью Диспетчера серверов пользователь должен быть членом группы Администраторы. Для удаленных соединений вам нужно войти в систему с использованием встроенной учетной записи Администратор или настроить ключ реестра LocalAccountTokenFilterPolicy для разрешения удаленного доступа с вашего компьютера. Для установки этого ключа используется следующая команда, которую нужно ввести в командной строке с привилегиями администратора: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f Используя Диспетчер серверов, можно подключиться к удаленным серверам и управлять ими при условии, что сервер добавлен в список для управления. Для добавления серверов в Диспетчер серверов выполните следующие действия: 1. Откройте Диспетчер серверов. В левой панели выберите пункт Все серверы для просмотра всех добавленных для управления серверов. Если необходимого сервера нет в списке, в меню Управление выберите команду Добавление серверов. Откроется одноименное диалоговое окно. 2. В окне Добавление серверов есть две панели: » Active Directory (выбрана по умолчанию) — позволяет ввести короткое или полное имя удаленного сервера, работающего под управлением Windows Server. Введите имя сервера и нажмите кнопку Найти; » DNS — позволяет добавить серверы по имени или IP-адресу. Введите имя или IP-адрес и нажмите кнопку Поиск. 3. Дважды щелкните на найденном сервере для помещения его в список Выбрано. 4. Повторите действия 2—3 для добавления других серверов. Нажмите кнопку ОК. Глава 1. Управление серверами на базе Windows Server Рис. 1.11. Все серверы 1.8. Добавление и удаление ролей, ролевых служб и компонентов В меню Управление есть две ключевые команды для работы с ролями и компонентами: 1. Добавить роли и компоненты — запускает мастер добавления ролей и компонентов, который используется для установки ролей и компонентов на сервере, добавленном для управления; 2. Удалить роли и компоненты — запускает мастер удаления ролей и компонентов, используемый для деинсталляции ролей и компонентов на серверах, доступных для администрирования. В ОС Windows Server 2019 можно установить роли, компоненты и виртуальные жесткие диски на запущенных серверах (без разницы — виртуальных или физических). Серверы должны быть добавлены в Диспетчер серверов и находиться в онлайн-режиме. Виртуальные жесткие диски, с которыми необходимо работать, не должны быть в онлайн-режиме, они должны быть доступны для выбора. Учитывая все это, добавить роль сервера или компонент можно с помощью следующих действий: 1. В консоли Диспетчер серверов в меню Управление выберите команду Добавить роли и компоненты. Будет запущен мастер добавления ро- □Е Справочник системного администратора лей и компонентов. Если мастер отобразить страницу Перед началом работы (рис. 1.12), прочитайте вступительный текст и затем нажмите кнопку Далее. Можно отказаться от просмотра этой страницы при каждом запуске мастера, установив флажок Пропускать эту страницу по умолчанию перед нажатием кнопки Далее. Мастер добавления ролей и компонентов Перед началом работы КОНЕЧНЫЙ СЕРВЕР WIN-USOGBECmS Перед началом работы Тип установки Выбор сервера Этот мастер поможет вам установить роли, службы ролей или компоненты. Определите, что нужно установить, на основании потребностей своей организации, таких как общий доступ к документам или размещение веб-сайта Чтобы удалить роли, службы ролей или компоненты. Запустить мастер удаления ролей и компонентов Прежде чем вы продолжите, убедитесь, что выполнены следующие задачи: Учетная запись администратора защищена надежным паролем • Настроены сетевые параметры, такие как статические IP-адреса • Установлены новейшие обновления безопасности из Центра обновления Windows Если вам требуется проверить, выполнены ли какие-либо предшествующие необходимые условия, закройте мастер, выполните необходимые шаги и запустите мастер снова. Чтобы продолжить, нажмите кнопку “Далее’’, О Пропускать эту страницу по умолчанию « Назад Далее ?. Установить □ X Рис. 1.12. Перед нецелом роботы 2. На странице Выбор типа установки по умолчанию отмечен переключатель Установка ролей или компонентов (рис. 1.13). Нажмите кнопку Далее. 3. На странице Выбор целевого сервера можно указать, где нужно установить роли и компоненты — на сервере или виртуальном жестком диске (рис. 1.14). Когда будете готовы продолжить, нажмите кнопку Далее. 4. На странице Выбор ролей сервера выберите одну или несколько ролей для установки. Если для установки роли требуются дополнительные компоненты, будет отображено дополнительное диалоговое окно. Нажмите кнопку Добавить компоненты для добавления необходимых компонентов в инсталляцию сервера. Нажмите кнопку Далее для продолжения. Если вам нужно установить компонент сервера, не обязатель- .62. Глава 1. Управление серверами на базе Windows Server Мастер добавления ролей и компонентов Выбор типа установки КОНЕЧНО-? CEPSEP WN-LGOGBECffJS П€ еД -Зм£Г«0\ _ Тип установки Вь бор терьера Выберите тип установку!. Вы можете установить роли и компоненты на работающем физическом компьютере, на виртуальной машине или на автономном виртуальном жестком диске (VHD). • Установка ролей или компонентов Настройте один сервер путем добавления ролей служб ролей и компонентов. С Установка служб удаленных рабочих столов Установите службы ролей для инфраструктуры виртуальных рабочих столов (VDI), чтобы создать развертывание на основе виртуальных компьютеров или сеансов. Установить Отмена Рис. 1.13. Выбор типа установки Мастер добавления ролей и компонентов Выбор целевого сервера КОНЕЧНЫЙ СЕРВЕР W\ LGCG8EOTK Пеоед чачагом работе ~ип учгановки Роли сервера Комгоне~”ы Выберите сервер или виртуальный жесткий диск, на котором будут установлены роли и компоненты. • Выберите сервер из пула серверов С Выберите виртуальный жесткий диск Пул сервере в Фильтр IP-адрес Операционная сис тема I Имя 192 168 84 169 Май. Windows Server 2019 Standard I................................................................ - ---------------- Найдено компьютеров 1 На этой странице показаны серверы под управлением Windows Server 2012 или более нового выпуска Windows Server, которые были добавлены с помощью команды ’Добавить серверы в диспетчере серверов. Не выводятся автономные серверы и добавленные новые серверы, данные с которых пека полностью не получены. «Назад [ Далее > j ^днгви’* j Отмена Рис. 1.14. Выбор сервера: Windows Server 2019 поддерживает серверы под управлением Windows Server 2019, 2016 и 2012 [ < Назад ; \ j [ 63 ' Справочник системного администратора но выбирать какую-либо роль. Например, для установки компонента Система архивации данных Windows Server на странице Выбор ролей сервера ничего не выбирайте, а просто нажмите Далее, а на следующей странице уже выберите необходимый компонент. Мастер добавления ролей и компонентов Выбор ролей сервера КОНЕЧНЫЙ СЕРВЕР W1MGOGBECFFJS Выберите одну или несколько ролей для установки на этом сервере. Описание Перед началом рабств Тип установки В= сг-ве-а Компснентэ- □ SSESSSsS | DNS-сервер □ Hyper-V О Аттестация работоспособности устройств □ Веб-сервер (IIS) О Доменные службы Active Directory □ Служба опекуна узла О Службы Active Directory облегченного доступа к П Службы Windows Server Update Services Г "| Службы активации корпоративных лицензий [ J Службы печати и документов [ Службы политики сети и доступа О Службы развертывания Windows О Службы сертификатов Active Directory О Службы удаленных рабочих столов | | Службы управления правами Active Directory [3 Службы федерации Active Directory Удаленный доступ Файловые службы и службы хранилища (Устанс DHCP-сервер позволяет централизованно настраивать временные IP-адреса и связанные с ними данные предоставлять их клиентским компьютерам, а также управлять ими. [~ « Назад J I Далее > I Установить Отмена Рис. 1.15. Выбор ролей сервера 5. На странице Выбор компонентов выберите один или несколько компонентов для установки (рис. 1.16). Если нужно установить дополнительные компоненты, от которых зависит устанавливаемый компонент, будет отображено соответствующее диалоговое окно. Нажмите кнопку Добавить компоненты для закрытия этого окна и установки требуемых компонентов на сервер. По окончанию выбора компонентов нажмите кнопку Далее. 6. В случае с некоторыми ролями будут показаны дополнительные страницы мастера, на которых нужно будет предоставить дополнительную информацию относительно использования и настройки роли. Также можно установить дополнительные ролевые службы как часть роли. Глава 1. Управление серверами на базе Windows Server L Мастер добавления ролей и компонентов Вь'бор компонентов КОНЕЧНЫЙ СЕРВЕР WN-tGOGeEOTJS Перед началом работы ’ип установки Выбор сервера Роли сервера Подтверждение Выберите один или несколько компонентов для установки на этом сервере. Компоненты Описание Provides services to collect and archive Windows Server system data. Установить | Отмена Рис. 1.16. Выбор компонентов: установка системы архивации 7. На странице Подтверждение установки компонентов щелкните по ссылке Экспорт параметров конфигурации для создания отчета установки, который можно просмотреть в Internet Explorer (рис. 1.17). 8. Для начала установки нажмите кнопку Установить. Если нужно, включите параметр Автоматический перезапуск конечного сервера, если требуется. Будьте осторожны с этой опцией при установке компонента/ роли на реальный работающий сервер. Вполне возможно, его перезапуск возможен только вне бизнес-времени - тогда можно будет сервер не перезагружать сразу, а сделать это позже - вручную. 9. О завершении установки выбранных ролей и компонентов сообщит страница Ход установки (рис. 1.18). Просмотрите подробности установки и убедитесь, что все фазы инсталляции завершены успешно. Нажмите кнопку Закрыть. Для удаления роли сервера или компонента в меню Управление выберите команду Удалить роли и компоненты. Далее нужно использовать мастер удаления ролей и компонентов аналогично установке роли/компонента, только нужно галочку в списке роли/компонента не устанавлйвать, а снимать. Все предельно просто. Справочник системного администратора Мастер добавления ролей и компонентов Подтверждение установки компонентов КОНЕЧНЫЙ СЕРВЕР WIN-LGOGBECFFJS Перед началом работы Тип установки Выбор сервера Роли сервера Компоненты Чтобы установить на выбранном сервере следующие роли, службы ролей или компоненты, нажмите кнопку “Установить'. перезапускесли .............. На этой странице могут быть отображены дополнительные компоненты (например, средства администрирования), так как они были выбраны автоматически. Если вы не хотите устанавливать эти дополнительные компоненты, нажмите кнопку "Назад*, чтобы снять их флажки. | —--------------------- ---------------- Система архивации данных Windows Server Экспорт параметров конфигурации Указать альтернативный исходный путь | < Назад | Далее > I | Установить^ [ Отмена j Рис. 1.17. Подтверждение установки компонентов Вь Мастер добавления ролей и компонентов Ход установки КОНЕЧНЫЙ СЕРВЕР W1N-U3OGBECFFJS Просмотр хода установки О Установка компонента □ X □ X Этот мастер можно закрыть, не прерывая выполняющиеся задачи. Наблюдайте за ходом gg выполнения задачи или откройте эту страницу снова, выбрав на панели команд пункт "Уведомления* а затем "Сведения о задаче". Экспорт параметров конфигурации « 1 ; Далее > . [ З..РЫ.ГТ Отмена Рис. 1.18. Компонент установлен 66 Глава 2. Мониторинг процессов, сервисов и событий Справочник системного администратора Администратору нужно тщательно присматривать за сетевыми системами. Состояние использования системных ресурсов может измениться в любой момент и вовсе не в лучшую сторону. Службы могут перестать работать. В файловых системах может закончиться свободное пространство. Приложения могут порождать исключительные ситуации, что приведет к системным проблемам. Неавторизированные пользователи будут попытаться получить несанкционированный доступ. Методы, рассмотренные в этой главе, помогут идентифицировать и разрешить эти и другие системные проблемы. 2.1. Управление процессами и приложениями Когда вы запускаете приложение или вводите команду в командной строке, операционная система запускает один или более процессов. Все запускаемые процессы называются интерактивными, поскольку пользователь взаимодействует с ними с помощью клавиатуры или мыши. Если приложение (или программа) активно и выбрано, интерактивный процесс контролирует клавиатуру и мышь, пока пользователь не завершит программу или не выберет другую. Однако процесс может работать и в фоновом режиме, такие процессы называют фоновыми. Фоновые процессы могут выполняться независимо от пользовательского сеанса; обычно такие процессы запускает сама операционная система. Пример такого фонового процесса — задание планировщика, которое запускает сама операционная система. В этом случае пользователь говорит системе, что ей нужно выполнить команду в указанное время. Глава 2. Мониторинг процессов, сервисов и событий 2.1.1. Диспетчер задач Для управления системными процессами и приложениями используется Диспетчер задач. Есть несколько способов открыть Диспетчер задач в Windows Server 2019: • С помощью комбинации клавиш Ctrl + Shift + Esc. • С помощью щелчка правой кнопки мыши на кнопке открытия главного меню (ранее кнопка Пуск) - в появившемся меню нужно выбрать команду Диспетчер задач. • С помощью команды taskmgr (ее можно ввести в командной строке, в окне Выполнить, которое появляется при нажатии комбинации Win + R или в любом другом средстве запуска приложений). Вкладка "Процессы" У диспетчера задач есть два представления: • Сводка — перечисляются только приложения, запущенные в интерактивном режиме, что позволяет быстро выбирать такие приложения; • Подробный вид — расширенное предоставление, где есть дополнительные вкладки, которые можно использовать для получения информации обо всех запущенных процессах, производительности системы, подключенных пользователях и настроенных службах. Находясь в первом представлении, переключиться во второе представление можно нажатием кнопки Подробнее. Для переключения со второго представления в первое используется кнопка Меньше. При повторном открытии диспетчера задач он будет находиться в последнем выбранном представлении. Для администратора представляет интерес именно расширенное представление. В нем есть несколько вкладок (рис. 2.1), позволяющих работать с запущенными процессами, производительностью системы, подключенными пользователями и настроенными службами. Вкладка Процессы, также показанная на рис. 2.1, показывает общий статус процессов. Процессы группируются по типу и выводятся в алфавитном порядке в пределах каждого типа. Есть три общих типа процессов: [ 69 Справочник системного администратора • Приложения — процессы, запущенные в интерактивном режиме; • Фоновые процессы — процессы, работающие в фоновом режиме; • Процессы Windows — процессы, запускаемые операционной системой. Диспетчер задач — □ X файл Параметры Вид Процессы Производительность Пользователи Подробности Службы ' 5% 63% Имя Состояние i ЦП Память * У Приложения (4) > Дь Server Manager > £1 Диспетчер задач > Q Параметры > Г» Проводник Фоновые процессы (25) > TF Antimalware Service Executable У Application Frame Host • COM Surrogate > У COM Surrogate дЙГ CTF-загрузчик М«ньше 0,6% 152,0 МБ 1,2% 14.8 МБ 0% 192 МБ 0% 22.1 МБ 0% 1612 МБ 0% 4,7 МБ 0% 2,0 МБ 0% 3,1 МБ 0% 3.7 МБ Смять задачу Рис. 2.1. Диспетчер задач в расширенном представлении При просмотре списка процессов учитывайте следующее: • Многие Windows-процессы также группируются по узлу службы, под управлением которой они работают. Узлы службы могут быть такими: Локальная служба, Локальная система, Сетевая служба. В круглых скобках указывается число сгруппированных процессов. Чтобы просмотреть фактические процессы, можно развернуть узел. В меню Вид есть команда Развернуть все для разворачивания всех групп процессов для более простого просмотра. • В меню Вид также есть команда Группировать по типу, определяющая, будут ли процессы группироваться по типу или выводиться просто в алфавитном порядке. • Также заметьте, что можно запустить программу прямо из диспетчера задач. Для этого в меню Файл выберите команду Запустить новую зада- 70J Глава 2. Мониторинг процессов, сервисов и событий чу. В появившемся окне у вас будет возможность выбрать исполняемый файл программы и запустить задачу с правами администратора. • Колонка Состояние позывает, выполняется ли приложение или же остановлено. Если в этой колонке ничего нет, это означает нормальное выполнение процесса. Любое другое значение в этой колонке свидетельствует о наличии какой-то проблемы, например, приложение может «зависнуть», и администратору придется завершить соответствующую ему задачу. Однако некоторые приложения могут не отвечать на запросы системы во время интенсивных вычислений. Поэтому перед завершением задачи убедитесь, что приложение действительно зависло. Для завершения процесса нужно выбрать его и нажать кнопку Снять задачу. Однако не нужно пытаться завершить работу Windows-процессов с помощью этой кнопки. При попытке остановить Windows-процесс или группу процессов диспетчер задач отобразит предупреждение, что завершение данного процесса может привести к нестабильной работе системы и даже завершению работы. Чтобы продолжить, нужно установить флажок Не сохранять данные и завершить работу и нажать кнопку Завершить работу. Примечание. Учтите, что даже администратор не может завершить некоторые системные процессы. Например, при попытке завершить процесс Antimalware Service Executable (процесс антивируса) вы получите сообщение «Отказано в доступе». Чтобы выключить временно антивирус, откройте окно Параметры, перейдите в раздел Безопасность Windows, нажмите кнопку Открыть службу «Безопасность Windows», перейдите в раздел Защита от вирусов и угроз, щелкните по ссылке Управление настройками, выключите параметр Защита в режиме реального времени (рис. 2.2). Только так можно отключить антивирус Защитник Windows. Немного запутанно, но другого способа нет. Другие колонки вкладки Процессы предоставляют дополнительную информацию о выполнении процессов. Эти сведения можно использовать, чтобы определить, какие процессы потребляют больше всех системных ресурсов. По умолчанию на вкладке отображаются только столбцы ЦП и Память, но добавить дополнительные можно, щелкнув правой кнопкой мыши по любому заголовку и затем выбрав нужный столбец из появившегося меню. В дополнение к названию и состоянию, доступны следующие столбцы: Справочник системного администратора Параметры безопасность Windows fit Главная Обновление и безопасность Б, о! = Ф Ы й> о Параметры защиты от вирусов и других угроз Центр обновлении Windows Оптимизация доставки Безопасность Windows г» Устранение неполадок Восстановление |о Ol (<li Op) Просмотрите и обновите параметры защиты от вирусов и угроз для антивирусном программы 'Защитника Windows'. Защита в режиме реального времени Обнаруживает и останавливает установку или запуск вредоносных программ на вашем устройстве Можно на короткое время отключить этот параметр, после чего он будет снова включен автоматически. Н.»йти пэраметр й q I q © Облачная защита Обеспечивает улучшенную и ускоренную защиту благодаря доступу к новейшим данным о защите в облаке. Д/ь наичучието результата рекомендуется включить функцию автоматической отправки © Активация к Для разработчиков л. О <9 » Рис. 2.2. Отключение процесса антивируса • ЦП — процент использования процессора текущим процессом (по всем ядрам). Значение в заголовке — общее использование процессора (по всем ядрам) всеми запущенными процессами; • Память — общий объем памяти, зарезервированный для процесса. Значение в заголовке столбца — общее использование физической памяти сервером; • Командная строка — полный путь к исполняемому файлу процесса, а также любые переданные при запуске аргументы; • ИД процесса — числовой идентификатор процесса; • Имя процесса — имя процесса или исполняемого файла процесса; • Издатель—название издателя процесса, например, Microsoft Corporation; • Тип — тип процесса (приложение, фоновый процесс, Windows-процесс). Эта информация полезна, если опция Группировать по типу в меню Вид . выключена Щелчок правой кнопкой мыши по процессу отображает контекстное меню действий над ним: • Снять задачу — завешает задачу приложения; • Создать файл дампа — создает файл дампа для отладки; [ 72 ] Глава 2. Мониторинг процессов,сервисов и событий • Подробно — открывает страницу Подробности и отображает на ней выбранный процесс; • Открыть расположение файла — открывает папку, в которой находится исполняемый файл процесса; • Свойства — открывает окно Свойства для соответствующего исполняемого файла процесса. Вкладка "Подробности". Изменение приоритета процесса Вкладка Подробности диспетчера задач (рис. 2.3) предоставляет подробную информацию о запущенных процессах. Столбцы, по умолчанию отображаемые на этой вкладке, подобны тем, которые отображаются на вкладке Процессы. Колонка Виртуализация UAC отображает состояние виртуализации UAC (User Account Control) для определенного процесса. Диспетчер задач файл Параметры Пид Процессы Производительность Пользователи Подробности Службы Имя ИДя_ Состояние Имя пользователя ЦЯ Память <активн_. Виртуализация UAC л ApplicationFrameHo . 1836 Выполняется Администратор 00 3 616 К Не разрешено V csrss.exe 380 Выполняется СИСТЕМА 00 1 384 К Не разрешено ^csrssexe 460 Выполняется СИСТЕМА 00 1 392 К Не разрешено jif ctfmon.exe 772 Выполняется Администратор 00 3832 К Не разрешено ^dllhostexe 3008 Выполняется СИСТЕМА 00 3196 К Не разрешено ''=dllho$t.exe 4332 Выполняется Администратор 00 2 128 К Не разрешено •'dwm^xe 920 Выполняется DWM-1 00 28 580 К Отключено rt explorer.exe 1468 Выполняется Администратор 00 22 236 К Не разрешено fontdrvhostexe 752 Выполняется UMFD-0 00 1 100 К Отключено ’1 fontdrvhostexe 760 Выполняется UMFD-1 00 1 492 К Отключено 3? isassexe 620 Выполняется СИСТЕМА 00 5448К Не разрешено «: ManagementAgentH 2320 Выполняется СИСТЕМА 00 2 696 К Не разрешено msdtc.exe 1832 Выполняется NETWORK SERVICE со 2 292 К Не разрешено T; MsMpEng.exe 2296 Выполняется СИСТЕМА 00 160 352 К не разрешено ’ NisSrv.exe 3236 Выполняется LOCAL SERVICE 00 2 552 К Не разрешено Ян Registry 88 Выполняется СИСТЕМА 00 984 К Не разрешено 7Г RunttmeBroker.exe 1840 Выполняется Администратор 00 3 320 К Не разрешено ' RunttmeBroker^xe 956 Выполняется Администратор 00 19 728 К Не разрешено X RunttmeBroker.exe 4372 Выполняется Администратор 00 2 200 К Не разрешено V Меньше Снять задачу Рис. 2.3. Вкладка Подробности Вкладка Подробности интересна администратору дополнительными столбцами, предоставляющими много интересной информации о процессе. Если щелкнуть правой кнопкой мыши по заголовку любого столбца и выбрать 73J Справочник системного администратора Выбор столбцов Выберите столбцы, которые будут отображаться в таблице. 11 | пня пакета 10 ИД процесса i 0 Состояние : 0 Имя пользователя 10 ИД сеанса I 0 ИД объекта задания :0цп i 0 Время ЦП 10 Цикл | | Рабочий набор (память) 10 Пиковый рабочий набор (память) 11 I Дельта рабочего набора (память) ОК Отмена Рис. 2.4. Дополнительные столбцы команду Выбрать столбцы, можно добавить дополнительные колонки, которые пригодятся при решении системных проблем. • Базовый приоритет — определяет, сколько системных ресурсов будет выделено процессу. Для установки приоритета щелкните правой кнопкой мыши по процессу и выберите команду Задать приоритет. Затем выберите приоритет: Низкий, Ниже среднего, Обычный, Выше среднего, Высокий, Реального времени. Большинство процессов выполняется с обычным приоритетом. Наивысший приоритет у процессов реального времени. • Время ЦП — общее процессорное время, использованное процессом с момента его запуска. Чтобы просмотреть процессы, использующие больше всего процессорного времени, отобразите эту колонку и щелкните на ее заголовке для сортировки записей по процессорному времени. • Предотвращение выполнения данных — показывает, включена ли функциональность DEP для этого процесса. • С более высоким уровнем разрешений — показывает, выполняется ли процесс с правами администратора. • Дескрипторы — общее число дескрипторов, связанных с процессом. Используйте число дескрипторов, чтобы определить, сколько файлов открыл процесс. Некоторые процессы открывают тысячи файлов, что 74 Глава 2. Мониторинг процессов.сервисов и событии расходует системную память. Однако большое количество открытых дескрипторов не означает, что процесс нужно сразу «убить». Нет. Нужно выполнить его настройку, чтобы уменьшить количество потребляемых ресурсов. Операций чтения, Операций записи — общее число операций дискового ввода/вывода (I/O) с момента запуска проекта. Общее число операций чтения и записи говорит о том, как активно процесс использует диск. Если число операций чтения/записи растет непропорционально фактической активности сервера, процесс может не использовать кэширование файлов или же кэширование не настроено должным образом. В идеале кэширование сокращает потребность в операциях ввода/вывода. Ошибки страницы — ошибки страниц возникают, когда процесс запрашивает страницу в памяти, которую система не может найти в запрашиваемом месте. Если страница находится где-то в памяти, ошибка называется мягкой. Если же запрашиваемая страница находится на диске, ошибка называется жесткой. Большинство процессоров может обработать огромное число мягких ошибок. Жесткие ошибки вызывают существенные задержки. Выгружаемый пул, невыгружаемый пул — выгружаемый пул — область системной памяти для объектов, которые могут быть записаны на диск, если они не используются. Невыгружаемый пул — область системной памяти для объектов, которые не могут быть записаны на диск. Отметьте процессы, требующие большого объема невыгружаемой памяти. Если недостаточно свободной памяти на сервере, эти процессы могут стать причиной большого количества ошибок страниц. Пиковый рабочий набор — наибольшее количество памяти, используемой процессом. Разница, или дельта, между текущим использованием памяти и пиковым значением также важна. Приложения с большой дельтой между использованием базовой памяти и пиковым рабочим набором, как например Microsoft SQL Server, нуждаются в выделении большего объема памяти при запуске — так они будут лучше работать. Платформа — платформа, для которой предназначен процесс (32- или 64-битные). 64-разрядные версии Windows могут выполнять 64- и 32-раз-рядные приложения, используя уровень эмуляции WoW64 (Windows on Windows 64) x86. Подсистема WoW64 изолирует 32-разрядные приложения от 64-разрядных. Это позволяет избежать проблем с файловой системой и реестром. ИД процесса — числовой идентификатор процесса. Г75 Справочник системного администратора • ИД сеанса — идентификатор сеанса, в котором запущен процесс. • Потоки — текущее число потоков, используемых процессом. Большинство серверных приложений являются многопотоковыми. Многопоточность допускает параллельное выполнение запросов процесса. Некоторые приложения могут динамически управлять числом параллельно выполняющихся потоков для улучшения производительности приложения. Однако слишком много потоков может фактически уменьшить производительность, поскольку операционная система должна слишком часто переключать контексты потока. • Виртуализация UAC — показывает, включена ли виртуализация контроля учетных записей (User Account Control, UAC). Виртуализация может быть включена, выключена или не поддерживаться процессом. Виртуализация необходима для очень старых приложений, написанных для Windows ХР, Windows Server 2003 и более ранних версий Windows. Когда виртуализация контроля учетных записей включена, уведомления об ошибках и протоколирование ошибок, связанных с виртуализирован-ными файлами и значениями реестра, будут записаны в виртуализиро-ванное расположение, а не в фактическое, в которое процесс пытался записать. Если виртуализация выключена или не поддерживается, при попытке записать данные в защищенные папки или области реестра, процесс прекратит свою работу. Примечание. В списке диспетчера задач есть специальный процесс — Бездействие системы. Нельзя установить приоритет для этого процесса. В отличие от других процессов, для этого процесса выводится количество свободных ресурсов (которые не используются). Так, 99% в колонке ЦП (CPU) для бездействия системы означает, что система практически не используется. Помните, что одно приложение может запускать несколько процессов. Эти процессы зависимы от центрального процесса. Начиная с этого главного процесса, формируется дерево процесса, состоящее из зависимых процессов. Найти главный процесс приложения можно, щелкнув на нем правой кнопкой мыши на вкладке Процессы и выбрав команду Подробно. При завершении приложения нужно завершить основной процесс приложения, а не зависимые процессы. Это гарантирует, что приложение будет корректно остановлено. Глава 2. Мониторинг процессов, сервисов и событий Чтобы закрыть основной процесс приложения и все зависимые процессы, можно выполнить одно из следующих действий: • находясь на вкладке Процессы, щелкните на приложении правой кнопкой мыши и выберите команду Снять задачу; • находясь на вкладке Подробности, щелкните правой кнопкой мыши на главном процессе приложения и выберите команду Снять задачу; • находясь на вкладке Подробности, щелкните правой кнопкой мыши на главном или зависимом процессе и выберите команду Завершить дерево процессов. Вкладка "Службы". Просмотр системных служб Вкладка Службы диспетчера задач предоставляет обзор системных служб. Вкладка отображает имя службы, ИД процесса, описание, состояние и группу службы. У нескольких служб может быть один и тот же ИД процесса (рис. 2.5). Можно быстро отсортировать службы по их ИД процесса, щелкнув по соответствующему заголовку. Аналогично, можно отсортировать службы по их состоянию — Выполняется или Остановлено. * ". Диспетчер задач Файл Параметры Вид Процессы Производительность Пользователи Подробности Службы Имя ИД П- -^tAJRouter ^ALG ^AppIDSvc ^Appinfo 1100 4 AppMgnrt -t^AppReadiness MiAppVChent AopXSvc «i-.AudioEndpo- 1012 Audiosrv 1900 .^AxInstSV ^BFE 1932 ^BITS BrokednfrasL.. 724 BTAGServKe BthAvctpSvc 1076 tbthsefv M^camsvc -S^CaptureServL Описание Служба маршрути.. Служба шлюза ур_ Удостоверение п„ Сведения о прил_. Управление прил_. Готовность прило... Microsoft App-V CL Служба оазвеоть Средство построе... Windows Audio Установщик Actw„ Служба базовой... Фоновая интелле-Служба инфрастр... Служба звукового,.. Служба AVCTP Служба ладдержк-Служба диспетче-CaptureServtce Состояние Остановлен Остановлен Остановле... Выполняем Остановле-Остановле. Остановле-Остановле-Выполняет-Выполняет.. Остаковле... Выполняет... Остановле. Выполняет-Остановле. Выполняет-Остановле-Остановлен. Остановле- Группа LocaiServic_ LocalSenric... netsves netsves AppReadin- wsappx LocatSyste. LocaiServic. AxlnstSVGf- LocalServic... netsves DcomLaunch LocatServic_ LocafService LocalService appmodei LocalService .Меньше Открыть службы Рис. 2.5. Просмотр системных служб Справочник системного администратора Колонка Группа предоставляет дополнительную информацию о контекстах узла службы, под которым выполняется служба. Для служб, работающих с ограничениями, эти ограничения указываются в колонке Группа. Например, если для локальной службы в колонке указано LocalServiceNoNetwork, это означает, что у службы нет доступа к сети; также может быть указано LocalServiceNetworkRestricted, т. е. у службы ограниченный доступ к сети. Некоторые службы выполняются через Svchost.exe (параметр -к). Например, служба RemoteRegistiy запускается командой svchost.exe -k regsvc. В колонке Группа для нее будет значение regsvc. Если щелкнуть правой кнопкой мыши (или нажать и удерживать палец) по службе, появится контекстное меню, позволяющее выполнить следующие операции над службой: • запустить остановленную службу; • остановить работающую службу; • перейти к процессу службы на вкладку Подробности. Вкладка "Производительность" Вкладка Производительность предоставляет общую информацию об использовании ЦП и памяти и отображает графики и статистику (рис. 2.6). Эта вкладка позволяет быстро получить данные об использовании системных ресурсов. Графики на вкладке Производительность предоставляют следующую информацию: • ЦП — график использования ЦП в разрезе времени; • Память — график использования памяти в разрезе времени; • Ethernet — график использования сети в разрезе времени. Для просмотра подробной информации в области справа щелкните по сводному графику на левой панели вкладки. Чтобы увидеть крупный план любого графика, дважды щелкните по нему. Повторный двойной щелчок возвращает прежний режим просмотра. В меню Вид вы найдете команду Скорость обновления, которая позволяет изменять скорость обновления графика. При низкой скорости график об- Глава 2. Мониторинг процессов, сервисов и событии новляется каждые 4 секунды, 2 секунды при обычной скорости и дважды в секунду при высокой скорости. Информацию с графика ЦП можно использовать для быстрого определения времени работы сервера (с момента запуска), числа физических процессоров, числа логических процессоров, кэша процессора (LI, L2, L3), а также определения, включена ли аппаратная виртуализация. • Дескрипторы — показывает число используемых дескрипторов ввода-вывода, которые действуют как токены, позволяющие программам получать доступ к ресурсам. Пропускная способность ввода-вывода и производительность дисковой подсистемы влияют на систему больше, чем высокое число дескрипторов ввода-вывода. • Потоки — показывает число используемых потоков, поток — базовая единица выполнения в пределах процесса. • Процессы — показывает число используемых процессов. Процессы — это запущенные экземпляры исполнимых файлов программы. • Время работы — показывает, как долго система работает с последнего запуска. Справочник системного администратора При выборе режима Память график Использование памяти покажет общее использование частного рабочего набора за последние 60 секунд. Гистограмма Структура памяти показывает следующее: • Используется — объем памяти, используемый процессами; • Изменено — память, содержимое которой необходимо записать на диск, прежде чем использовать ее в других целях; • Зарезервировано — память, содержащая кэшированные данные и код, которые сейчас не используются; • Свободно — память, которая сейчас не используется ни для каких целей. Iх” Диспетчер задач — □ X файд Параметры £ид Процессы [ Производительность1 Пользователи Подробности Службы О ЦП 22% £71 ГГц О Память 2.О/З.О ГБ (67%) О Ethernet СУ О кбит/с П. О кбит/с Intel(R) CorefTM) i5-72OOU CPU @ 2 50GHz 100% ЦП Исполыуетса % 60 секунд 0 Использование Скорость Базеззя скорость. 2,71 Пц 22% 2,71 ГГц 1 Виртуальные процессоры: 2 Процессы Потоки Дескрипторы Ьир-уа,вная Уашинз. да 65 895 31844 кэши: н/д Время работы 0:12:19:39 Меньше Открыть монитор ресурсов Рис. 2.7. Информация о памяти Общий объем физической памяти сервера выводится в правом верхнем углу при работе с графиком памяти. Снизу под графиком выводится следующая информация: • Используется — сколько физической памяти используется; • Доступно — показывает объем физического ОЗУ, доступный для использования (включает память, помеченную как «зарезервировано» и «свободно»). Должно быть не менее 5% свободной физической памяти 80] Глава 2. Мониторинг процессов.сервисов и событий на сервере. Если доступно менее 5%, сервер пора модернизировать - или добавить память в панели управления (если речь идет о виртуальном сервере) или установить модуль памяти (для физического сервера). • Выделено — показывает виртуальную память, используемую в данный момент и общий объем виртуальной памяти. Если первое значение всего лишь на 10% меньше второго (общий объем), тогда нужно добавить физическую память и/или добавить виртуальную память (увеличить файл подкачки). • Кэшировано — показывает объем памяти, используемой для системного кэша. • Выгружаемый пул — предоставляет информацию о некритической памяти ядра, которая используется ядром ОС. • Невыгружаемый пул — предоставляет информацию по критической памяти ядра, которая используется ядром ОС. При выборе режима Ethernet диспетчер задач отобразит общую информацию об использовании сетевых адаптеров системы. Можно учитывать эти сведения для быстрого определения процента использования, скорости соединения и операционного статуса использования каждого сетевого адаптера, настроенного в системе. Имя активного сетевого адаптера отображается в правом верхнем углу. Если в системе есть всего один сетевой адаптер, график показывает информацию об использовании только этого сетевого адаптера. Если у системы есть несколько сетевых адаптеров, график выводит общую информацию по всем сетевым соединениям, обо всем сетевом трафике. Вкладка "Пользователи" Удаленные пользователи могут использовать удаленный рабочий стол для подключения к серверу. Удаленный рабочий стол позволяет администрировать системы удаленно, как будто это локальные системы. Операционная система Windows Server 2019 поддерживает два активных одновременных сеанса. О настройке RDP мы поговорим в главе 16. Один из способов контролировать .подключения удаленного рабочего стола заключается в использовании диспетчера задач. Откройте диспетчер задач Справочник системного администратора Диспетчер задач — □ X файл Параметры £ид Процессы Производительность Пользователи Подробности Службы ' 8% 58% Пользователь х Состояние ЦП Память v fl Администратор (20) 7,1% 294,9 Мб S3 Application Frame Host 0% 3,5 МБ S? COM Surrogate 0% 2,1 МБ ЙГ CTF-загруэчик 0% 3,8 МБ лП Runtime Broker 0% 19.3 МБ ПР Runtime Broker 0% 2,1MB URl Runtime Broker 0% 3,2 MB Server Manager 0% 156,3 MB (•j Shell Infrastructure Host 0% 4,1 МБ SmartScreen Защитника... 0% 6,2 МБ Sj Usermode Font Driver Host 0% 1.5 МБ Cm VMware Tools Core Service 3,2% 15,3 МБ Q Windows Shell Experience ... Приостановле- 0% 0 МБ Диспетчер задач 2,6% 16,7 МБ ’S Диспетчер окон рабочег... 1,3% 28,1 МБ Q Поиск Приостановле... 0% 0 МБ Лгчлгм1» .ад.э.ллк v 5 Меньше Отключить Рис. 2.8. Вкладка Пользователи и перейдите на вкладку Пользователи (рис. 2.8). Данная вкладка показывает интерактивные сеансы пользователей (как локальные, так и удаленные). Для каждого сеанса пользователя по умолчанию выводится имя пользователя, статус, загрузка ЦП, использование памяти. Другие колонки можно добавить с помощью правого щелчка мышью по заголовку и выбора нужной колонки. Доступны следующие варианты: • Код — идентификатор сессии. • Сеанс — тип сеанса. У пользователя, зарегистрировавшегося в системе локально, будет тип Console. В других случаях выводится тип соединения и используемый протокол, например, RDP-TCP для Remote Desktop Protocol (RDP) и TCP в качестве транспортного протокола; • Имя клиента — для удаленных соединений здесь выводится имя компьютера клиента; • ЦП и Память — они пригодятся при решении проблем производительности, связанных с зарегистрированными в системе пользователями. Общий процент использования по всём пользователям приводится в заголовке таблицы. 82 Глава 2. Мониторинг процессов, сервисов и событий Если щелкнуть правой кнопкой мыши на сеансе пользователя, появится контекстное меню со следующими командами: • Подключить — позволяет подключиться к сеансу удаленного пользователя, если он неактивен; • Отключить — позволяет отключить сеанс удаленного или локального пользователя и завершить все запущенные пользователем приложения без сохранения данных; • Выход из системы — позволяет осуществить нормальный процесс выхода из системы. Приложения будут закрыты с сохранением данных так, если бы пользователь выполнил нормальный выход из системы • Отправить сообщение — позволяет отправить консольное сообщение зарегистрированному пользователю. 2.1.2. Управление службами Службы предоставляют ключевую функциональность рабочим станциям и серверам. Для управления системными службами можно использовать панель Службы в Диспетчере серверов или узел Службы в оснастке Управление компьютером. Откройте Диспетчер серверов и перейдите к панели Службы (в разделе Локальный сервер). Рис. 2.9. Панель Службы Справочник системного администратора Панель Службы предоставляет информацию о зарегистрированных в системе службах в виде таблиц со следующими колонками: • Имя сервера — имя сервера, на котором запущена служба; • Полное имя сервера — полное доменное имя сервера, на котором запущена служба; • Отображаемое имя — отображаемое имя службы, используется для лучшего восприятия службы; • Имя службы — внутреннее название службы; • Описание — краткое описание назначения службы; • Состояние — состояние службы (может быть Выполняется, Приостановлена, Остановлена); • Тип запуска — тип запуска службы. Службы с автоматическим запуском загружаются при загрузке системы. Пользователи или другие службы могут запускать службы с типом запуска Вручную. Отключенные службы не могут быть запущены, пока их статус — Отключена. Если какая-то из колонок у вас не отображается, щелкните на заголовке таблицы правой кнопкой мыши и выберите необходимые колонки. Щелчок правой кнопкой мыши по службе открывает контекстное меню, в котором будут команды запуска, останова, приостановки, перезапуска и возобновления работы службы. Однако в этом меню не будет привычной команды Свойства, позволяющей изменить параметры службы, например, изменить ее тип запуска. Запустите оснастку Управление компьютером, перейдите в раздел Службы и приложения, выберите узел Службы. Вы увидите привычное (если говорить о настольных версиях Windows) представление для администрирования служб, см. рис. 2.10. Колонки таблицы с информацией о службах следующие: • Имя — имя службы. Здесь приводятся только службы, которые устанавливаются в системе. Двойной щелчок по имени службы позволит настроить параметры загрузки. Если нужной службы здесь нет, ее можно установить путем инсталляции соответствующей роли или компонента (см. главу 2); • Описание — короткое описание сервиса и его назначения; Глава 2. Мониторинг процессов, сервисов и событий jf Управление компьютером файл Действие Вид Справа 4 Управление комльюте| * ti Служебные програм > »*> Планировщик зад W Просмотр событу- *4 Общие папки ♦ Локальные лслвз Произэодитеяьнс? • Л Диспетчер устрой ~ й Запоминающие jKTP & Система архиааи* С Управление диоЦ v i । Службы г приложен - © Маршрутизация vi Службы 4 Управ ЧЙЮЩИ? ЭТИ; <лм» Имя Описание Состояние Тип запуска CaptureServfc«_Sbaf3 службу Описание Служба записи ОоеСоге Позволяет.. Эта полы... Позволяет-Репзстрир-СлужбаО-Graphics р... Координи.. Manages А., iCoosentUX^5ba93 >CoreMessaging ,Device₽k*er_5i>e93 ;Devtcesfiow_5oe93 ,DHCP-клиент । DNS-клиент rG'aphtcd^’fSvc ,KtmRm для кооррт-rMtcroscift App-V Client 'OpenSSH Authenticate Agent to h_. •“iPJug and Hay Позволяет... .:PnnftVorkflow_5ba93 Рабочий n.. ,Quality Windows Audi- Quality Wi_ ,Shared PC Account №.. m-SMP дисковых прост. ,Sy$M«n Я-TP AutoConnect Serve.. „ТР VC Gateway Service ftjpdateOrchest'alorS-. Управляет. м,VMware Alias Manag„ Alias Mana._ Manages р... Служба уз-Гл»ержи_ ThiflPnntC- Выполняется Выполняется Выпсяняе’ся Выполняется Выполняется Выполняется Выполняется Вручную Автоматике. Отключена Вручную Автомапече-Автома пече-Отключена Вручную (ак... Отключена Отключена Вручную Вручную Вручную Отключена Вручную Автоыатиче- Вручную Вручную Детом аги че Автомат* че_ Вход от имени Службы ..........;.УМ*-л ДМОРС УМн.ж» Г \Расширенный А Стандартный/ Локальная сис_ Локаль пая слу_ Локальная сие. Локальная еис_ Локальная слу-Сетевая служба Локальная сис. Сетевая служба Локальная сис_ Локальнаясис., Локальнаяснс-ЛокальнвясиС-Локальнаяслу. Локальная сис Сетевая служба Локальная сис_ Локальная сис_ Локальная сис_ Локальная сис. Локальная сис_ Пгугяяьнж ГМ- Дополнителен- ► Дополнительн.. ► Рис. 2.10. Службы • Состояние — показывает статус службы (может быть Выполняется, Приостановлена, Остановлена); • Тип запуска — тип запуска службы. Службы с автоматическим запуском загружаются при загрузке системы. Пользователи или другие службы могут запускать службы с типом запуска Вручную. Отключенные службы не могут быть запущены, пока у них статус Отключена; • Вход от имени — учетная запись, от имени которой работает служба. В большинстве случаев служба запускается от имени Локальная система (Local System). Администратору приходится часто запускать, останавливать или приостанавливать службы. Для запуска, остановки или приостановки службы щелкните по ее имени правой кнопкой мыши и выберите команду Запустить, Остановить, Приостановить соответственно. Можно также выбрать Перезапустить для остановки и повторного запуска сервиса после небольшой паузы. Если служба была приостановлена для восстановления ее нормальной работы выберите команду Продолжить. Команда Свойства открывает окно свойств службы (рис. 2.11). Обычно данное окно используется для изменения типа запуска службы: • Автоматически — установите этот тип запуска для автоматического запуска службы во время загрузки системы; Справочник системного администратора Свойства: CaptureService_5ba93 (Локальный компьютер) X Общие Вход в систему Восстановление Зависимости £эрШге$егу|се_5Ьа92 Отображаемое CaptureService_5ba93 имя: Описание: Служба записи ОпеСоге Исполняемый файл C\vVindows\system32\svchostexe -k LocalService -р Inn запуска: Вручную v Состояние: Остановлена Запустить >;тан-«еить Приостановить П,20»»сл* *итъ Вы можете указать параметры запуска, применяемые при запуске службы из этого диалогового окна. Параметры запуска: ОК Отмена Применять Рис. 2.11. Окно свойств службы • Автоматически (отложенный запуск) — выберите этот тип для отсрочки запуска службы, ее запуск будет отложен, пока не будут запущены все службы, запуск которых нельзя отложить; • Вручную — выберите этот тип запуска, когда нужен ручной запуск службы; • Отключена — выберите этот тип для выключения службы. Настройка входа в систему На вкладке Вход в систему можно настроить, как от имени системной учетной записи, так и от имени конкретного пользователя. Необходимо отслеживать любые учетные записи, которые используются со службами. Эти учетные записи могут быть источником проблем безопасности, если не настроены должным образом. У таких учетных записей должны быть самые строгие настройки безопасности и как можно меньше полномочий, позволяющих службе выполнить только необходимые функ- X Глава 2. Мониторинг процессов, сервисов и событий Свойства: CaptureService_5ba93 (Локальный компьютер) X Общие Вход в систему Восстановление Зависимости Вход в систему О С системной учетной записью Разрешить взаимодействие с рабочим столом Ofisop Отмена Применить Рис. 2.12. Вход в систему ции. Как правило, учетные записи, используемые со службами, не требуют многих полномочий, которые присвоены нормальной учетной записи пользователя. Например, большинство учетных записей службы не требует права локального входа в систему. Каждый администратор должен знать, какие учетные записи службы используются (так, чтобы лучше отследить использование этих учетных записей), и должен обрабатывать их, как будто они являются учетными записями администратора. Это означает использование безопасных паролей, тщательный контроль использования учетной записи, тщательное назначение полномочий учетной записи и т. д. Реакция на сбой службы Вкладка Восстановление позволяет настроить реакцию на сбой службы. Например, попытаться перезапустить службу или запустить приложение. Здесь можно указать действия для первого, второго и всех последующих сбоев. Справочник системною администратора • Не выполнять никаких действий — операционная система не будет восстанавливать службу для этого отказа, но она все еще может попытаться применить восстановление для предыдущего или последующего отказов. • Перезапуск службы — останавливает и затем запускает службу после непродолжительной паузы. • Запуск программы — позволяет запустить программу или сценарий в случае сбоя. Сценарий может быть командным сценарием или Windows-сценарием. Установите полный путь к исполняемому файлу программы, которую нужно запустить, а также в случае необходимости задайте параметры, которые будут переданы программе при ее запуске. Например, можно отправлять администратору сообщение о том, что произошел сбой службы. • Перезапуск компьютера — завершает работу и перезагружает компьютер. Перед выбором этой опции дважды проверьте параметры запуска и восстановления. Нужно, чтобы система выбрала умолчания быстро и автоматически. Свойства: CaptureService_5ba93 (Локальный компьютер) Общие Вход в систему Восстановление Зависимости Действие компьютера, выполняемое при сбое службы Помощь npU Застройке- действий по восстановлению5 Первый сбой Второй сбой: Последующие сбои Перезапуск службы Не выполнять никаких действий Не выполнять никаких действий Сброс счетчика ошибок через: | дн. Перезапуск службы через: 0 мин. 1 | Включить действия для остановок с ошибками. Параметры: •• аг; узки . Выполнение программы Прогр&! 1м-з: Параметры командной строки Дописать в командную строку счетчик ошибок Отмена Пойдем*» । г Рис. 2.13. Вкладка Восстановление 88 Глава 2. Мониторинг процессов, сервисов и событий Отключение служб Администратор должен убедиться, что серверы и сеть безопасны, а ненужные службы являются потенциальным источником проблем безопасности. Например, во многих организациях автор этой книги обнаруживал проблемы безопасности, находил запущенные и неиспользующиеся WWW-, FTP- и SMTP-серверы. Такие службы предоставляют анонимным пользователям доступ к серверам, а также открывают сервер для атаки, если он не был должным образом настроен. Для отключения службы выполните следующие действия: » В оснастке Управление компьютером щелкните правой кнопкой мыши по службе, которую нужно настроить, и выберите команду Свойства. На вкладке Общие из списка Тип запуска выберите команду Отключена. » Отключение службы не означает ее остановку. Отключение только предотвращает запуск службы при следующей загрузке компьютера, поэтому риск для безопасности все еще есть. Чтобы завершить службу, нажмите кнопку Остановить на вкладке Общие окна Свойства, а затем нажмите кнопку ОК. 2.2. Просмотр и протоколирование событий Журналы событий предоставляют историческую информацию, которая может помочь при отслеживании проблем с системой. Служба Журнал событий Windows контролирует события Windows. После запуска этой службы можно будет отследить действия пользователей и использование ресурсов в журналах событий. Доступны два вида журналов: • Журналы Windows — сюда записываются системные события, относящиеся к приложениям, безопасности, установке и системным компонентам; • Журналы приложений и служб — сюда записываются сведения, относящиеся к приложениям и службам. Справочник системного администратора 2.2.1. Основные журналы К журналам Windows относятся следующие журналы: • Приложение — здесь хранятся записи событий, относящиеся к приложениям, например, сбой SQL Server при доступе к базе данных. Размещение по умолчанию — %SystemRoot%\System32\Winevt\Logs\Application. evtx; • Перенаправленные события — когда настроено перенаправление событий, этот журнал содержит записи журналов, перенаправленные с других серверов. По умолчанию журнал находится в %SystemRoot%\ System32\Config\ForwardedEvents.evtx; • Безопасность — содержит записи, которые можно использовать для аудита локальных и глобальных групповых политик. Этот журнал — один из наиболее важных, его нужно просматривать очень тщательно. Если журнал безопасности не содержит событий, наиболее вероятная причина в том, что локальный аудит не был настроен должным образом либо настроен глобальный аудит домена — в этом случае необходимо просматривать журналы безопасности на контроллерах домена, а не на рядовых серверах. По умолчанию журнал называется %SystemRoot%\System32\ Winevt\ Logs\Security.evtx; • Установка — записи в этот журнал заносит сама операционная система или ее компоненты при инсталляции чего-либо. Название журнала по умолчанию — %SystemRoot%\System32\Winevt\Logs\Setup.evtx; • Система — в журнал записывают данные либо операционная система, либо ее компоненты, записи касаются системных событий вроде сбоя службы при ее запуске. Размещение по умолчанию — % Sy stem Root %\ System32\Winevt\Logs\System.evtx. К журналам приложений и служб относятся следующие журналы: • Репликация DFS — регистрирует записи активности DFS-репликации (Distributed File System). Имя журнала по умолчанию — %SystemRoot%\ System32\Winevt\Logs\DfsReplication.evtx; • Служба каталогов — регистрирует записи AD DS (Active Directory Domain Services) и связанных служб. Журнал по умолчанию — %System-Root%\System32\Winevt\Logs\Directory Service.evtx; Глава 2. Мониторинг процессов, сервисов и событии • DNS-сервер — регистрирует события DNS-сервера — запросы, ответы и другую активность DNS. Файл журнала по умолчанию—%SystemRoot%\ System32\Winevt\Logs\DNS Server.evtx; • Служба репликации файлов — регистрирует активность репликации файлов в системе. Журнал по умолчанию — %SystemRoot%\System32\ Winevt\Logs\File Replication Service.evtx; • События оборудования — когда подсистема событий оборудования настроена, в этом журнале будут события, относящиеся к оборудованию. Журнал по умолчанию — %SystemRoot%\System32\Config\Hardware. evtx; • Microsoft\Windows — предоставляет журналы событий, относящихся к Windows-службам и компонентам. Журналы организованы по типу компонента и категории события. Операционные журналы генерируются стандартными операциями связанного компонента. В некоторых случаях у вас появятся дополнительные журналы для анализа, отладки и записи задач, связанных с администрированием; • Windows PowerShell — записывает активность, связанную с использованием Windows PowerShell. Имя файла журнала по умолчанию — %SystemRoot%\System32\ Winevt\Logs\Windows PowerShell.evtx 2.2.2. Доступ к событиям в Диспетчере серверов Если при работе с Диспетчером серверов выбрать узел Локальный сервер, Все серверы или группу серверов, на панели справа появится панель СОБЫТИЯ (рис. 2.14), которая отобразит события выбранного сервера. Эту панель можно использовать так: • для локального сервера можно использовать панель СОБЫТИЯ в разделе Локальный сервер или Все серверы с целью просмотра последних предупреждений и ошибок в журналах приложений и системы; • для автоматически созданной группы серверов: узлы группируются по ролям сервера, таким как AD DS или DNS, и администратор может просмотреть последние события, относящиеся к роли сервера, если это возможно. Не у всех ролей есть ассоциированный журнал, но зато у некоторых ролей, например, у AD DS есть несколько ассоциированных журналов; Справочник системного администратора Рис. 2.14. Просмотр событий через Диспетчер серверов • для пользовательских групп серверов, созданных администраторами, используется панель СОБЫТИЯ для просмотра последних событий и ошибок в журналах приложений и системы. Столбцы панели СОБЫТИЯ можно настроить так: щелкните правой кнопкой мыши цо заголовку таблицы, выберите столбцы, которые нужно добавить или удалить. Столбцы мотуг быть следующими: • Имя сервера — имя сервера, на котором запущена служба; • Полное доменное имя — полное доменное имя сервера, на котором запущена служба; • Код — числовой идентификатор определенного события, который может быть полезен при поиске описания событий в различных базах знаний; • Важность — уровень важности события, например, ошибка или предупреждение; • Источник — приложение, служба или компонент, который зарегистрировал событие; • Журнал — журнал, в котором было зарегистрировано событие; • Дата и время — дата и время записанного события. 92 ] Глава 2. Мониторинг процессов, сервисов и событий 2.2.3. Средство "Просмотр событий" Получить доступ к журналам событий можно с помощью следующих действий: 1. В Диспетчере серверов выберите группу Все серверы или любую группу серверов на панели слева. 2. В панели СЕРВЕРЫ щелкните правой кнопкой мыши по серверу, к которому нужно подключиться. 3. Выберите команду Управление компьютером для автоматического подключения к выбранному серверу. 4. В оснастке Управлении компьютером можно просматривать и работать с журналами событий, развернув узел Служебные программы и выбрав элемент Просмотр событий, как показано на рис. 2.15. Рис. 2.15. Просмотр событий Как показано на рис. 2.15, записи на главной панели средства Просмотр событий предоставляет быстрый обзор того, когда, где и как произошло событие. Чтобы получить подробную информацию о событии, просмотрите подробности на вкладке Общие в нижней части главной панели. Там же вы- К Справочник системного администратора водится уровень события, ключевое слово и дата и время события. Уровни события MOiyr быть: 1. Информация — информационное событие, относится к успешному выполнению действия; 2. Аудит успеха — событие, относящиеся к успешному выполнению действия; 3. Аудит отказа — события, относящиеся к неудачному выполнению действия; 4. Предупреждение — предупреждение. Описания предупреждений часто мотуг быть полезны для предотвращения будущих проблем; 5. Ошибка — некритическая ошибка, например, ошибка передачи зоны на DNS-сервере; 6. Критическое — критическая ошибка, например, завершение работы службы кластера из-за потери кворума. В дополнение к уровню, дате и времени предоставляется общее описание события: • Источник — приложение, служба или компонент, который зарегистрировал событие; • Код — числовой идентификатор определенного события, который может быть полезен при поиске события в базах знаний; • Категория задачи — категория события, которая часто не заполняется, но иногда может быть использоваться для описания связанного действия; • Пользователь — учетная запись пользователя, которая была зарегистрирована в системе, когда произошло событие; • Компьютер — имя компьютера, на котором произошло событие; • Описание — текстовое описание события; • Данные — любые данные или код ошибки, переданные событием. У администратора есть возможность фильтровать журналы событий. Фильтры представлений находятся в узле Настраиваемые представления. Если выбрать узел События управления, станет доступен список всех ошибок и предупреждений для всех журналов. Если развернуть узел Роли сервера и Глава 2. Мониторинг процессов,сервисов и событии выбрать представление, специфичное для роли, можно будет просмотреть все события для выбранной роли. Для создания собственного представления используются следующие действия в оснастке Управление компьютером: 1. На панели слева выберите узел Настраиваемые представления, затем нажмите Создать настраиваемое представление на панели справа. Откроется диалоговое окно, показанное на рис. 2.16. Создание настраиваемого представления X |Фильтр: XML Любое время Уровень события: Q критическое О Предупреждение О Подробности I Q Ошибка □ Сведения *•; Пс журналу Журналы событий: J О По источнику Источники событий: Включение или исключение кодов событий- Введите коды событий или диапазоны кодов, разделяя их запятыми Для исключения условия введите знак минус Например: 1.3,5-99,-76 <Все коды событий> Категория задачи: Ключевые слова: Пользователь: пользователи» Компьютеры; <Все компьютеры» Очистить ОК Отмена Рис. 2.16. Создание собственного фильтра 2. Раскрывающийся список Дата используется, чтобы задать период времени для события. Можно выбрать события за последний час, последние 12 часов, последние 24 часа, последние 7 дней или последние 30 дней. Альтернативно можно указать свой диапазон. 3. Флажки в группе Уровень события используются, чтобы указать, события какого уровня вас интересуют. Установите флажок Подробности для отображения дополнительных деталей события. 4. Можно создать настраиваемое представление, указав набор журналов или набор источников событий. Используйте раскрывающийся список Справочник системного администратора Журналы событий, чтобы выбрать необходимые журналы событий. Чтобы выбрать несколько журналов событий, отметьте их переключатели. Список Источники событий используется выбора источников событий. Чтобы выбрать несколько источников, отметьте их переключатели. Остальные источники будут исключены. 5. Используйте поля Пользователь и Компьютеры для указания пользователей и компьютеров, связанных с событиями. Если не указать эти параметры, будут выбраны события, относящиеся ко всем пользователям и компьютерам. 6. После нажатия кнопки OK Windows отобразит окно Сохранить фильтр в настраиваемое представление. 7. Введите имя и описание настраиваемого представления. 8. Выберите, где нужно сохранить настраиваемое представление. По умолчанию настраиваемые представления сохраняются в узле Настраиваемые представления. 9. Нажмите кнопку ОК для закрытия окна Сохранить фильтр в настраиваемое представление. Теперь список событий будет отфильтрован. Просмотрите эти события и исправьте существующие проблемы. Установка параметров журнала событий Параметры журнала позволяют управлять размером журналов событий, а также способом обработки журналирования. По умолчанию максимальный размер журнала событий — максимальный размер файла. Когда журнал достигнет этого предела, события будут перезаписаны, чтобы предотвратить превышение максимального размера файла. Щелкните на журнале, параметры которого вы хотите изменить, и выберите команду Свойства. Далее вы сможете изменить следующие параметры: 1. Введите или установите максимальный размер в килобайтах в поле Макс. Размер журнала (КБ). Убедитесь, что диск, содержащий операционную систему, имеет достаточно свободного места для хранения файла журнала указанного вами размера. По умолчанию файлы журналов хранятся в каталоге %SystemRoot%\System32\Winevt\Logs. 2. Выберите действие при достижении максимального размера. Доступны опции: » Переписывать события при необходимости (сначала старые события) — при достижении максимального размера журнала события в св.........................-................................... Глава 2. Мониторинг процессов, сервисов и событий журнале будут перезаписаны. Это лучший выбор для системы низкого приоритета; » Архивировать журнал при заполнении; не перезаписывать события — когда будет достигнут максимальный размер файла, Windows заархивирует события путем сохранения текущего журнала в каталоге по умолчанию. Затем Windows создаст новый журнал для хранения текущих событий; » Не переписывать события (очистить журнал вручную) — когда будет достигнут максимальный размер файла, система сгенерирует сообщения об ошибке в виду того, что журнал событий полон. [Общие Подписки Полное имя: Путь журнала: Размер журнала: Создан: Изменен: Открыт: Свойства журнала - Приложение (Тип: Административный} X Application %Sy$temRoot%\Syste m32\Wine vr\Logs\Apphcation.evtx 1.07 МБ (1 118 208 байт 13 октября 2019 г. 14:36-51 1 апреля 2020 г. 9:18.23 1 апреля 2020 г. 9:1823 Включить ведение журнала Макс, размер журнала (КБ): 2О48С 3 При достижении максимального размера: 9. Переписывать события при необходимости (сначала старые события) О Архивировать журнал при заполнении: не перезаписывать события О Не переписывать события (очистить журнал вручную; Очистить журнал ОК Отмена Рис. 2.17. Параметры журнала событий Сохранение и очистка журналов Кнопка Очистить журналы позволяет очистить выбранный журнал. Перед очисткой журнала бывает полезно его сохранить. Для этого закройте окно 97 Справочник системного администратора параметров журнала, если оно открыто, щелкните правой кнопкой мыши по журналу, выберите команду Очистить журнал. В появившемся окне нажмите кнопку Сохранить и очистить (рис. 2.18). Просмотр событий X Вы можете сохранить содержимое этого журнала, прежде чем очистить его. Сохранить и очис1йть Очис.ить Отме> а Рис. 2.18. Сохранение журнала перед его очисткой Журналы могут храниться в четырех форматах: • формат файлов событий (evtx), который можно просмотреть с помощью средства Просмотр событий; • текстовый формат с разделителем табуляции (txt), который можно просмотреть в текстовых редакторах и текстовых процессорах или импортировать в электронную таблицу или базу данных; • текст, разделенный запятой (csv), удобный для импорта в электронную таблицу или базу данных; • текст формата XML (xml) для сохранения в XML-файле. ^Сохранение © Jepor.. УлоряДОчИТа ' Новая лапка Дата и-меч<г-«л ”<гт мементое, удовлегесряющих условиям поиск* Загрузки Документы Изображения # Этот компьютер fr быстрый доступ I Рабочий стол f « boranes > Документы Действия Создать иасг.. Импорт наст... Очистить жу_ Сохранить э.. Обновить Имя оайла Справка Тип файла: ©айлы событий с evtx; ж Скрыть папки S Привязать з.- Колировать Компьютер. WiN-uxXjBKrFja Сохранить в.. Обновит» Споаака 16384 Bi 98 ©ильтртеяу- Свойства Код события 1001 В224 16384 16394 -Дп11-файл; <*жвВ Text (с разделением табуляцией; (* txtj CSV (с разделением запятыми) (*«*?... - ® Марырутизаиия U Службы i sft Управляющий эл₽ Категория задачи Отсутствует Отсутствует Отсутствует Отсутствует Общие Общие Общие Общие Отсутствует Отсутствует Подьзов.: Н/Д Кол операции: Рис. 2.19. Выбор формата журнала перед его сохранением Открыть СОХ.. Привязать з.. Глава 2. Мониторинг процессов, сервисов и событий Соответственно, при сохранении журнала нужно выбрать один из этих форматов. Выбирайте тот, с которым вам будет проще работать в дальнейшем. Если вы не используете специальных средств для работы с журналами, тогда выбирайте CSV - его с легкостью можно будет открыть в любой электронной таблице, например, в MS Excel. Глава 3. Автоматизация административных задач Справочник системного администратора Выполнение ежедневных рутинных задач — не очень эффективное использование рабочего времени. Намного эффективнее автоматизировать эту работу и сфокусироваться на более важных проблемах — на поддержке служб, на повышении производительности, а в результате меньше времени будет потрачено на приземленные вопросы и больше на то, что действительно важно. Для автоматизации множества административных задач вы можете использовать групповые политики (позволяют развернуть одни и те же параметры на множество компьютеров сети), планировщик заданий и множество других компонентов Windows Server. В этой главе будет показано, как выполнять множество административных задач посредством групповой политики. 3.1. Групповая политика 3.1.1. Основные сведения о групповой политике Групповые политики упрощают администрирование, предоставляя администраторам централизованное управление привилегий, прав и возможностей, как пользователей, так и компьютеров. С помощью групповых политик можно сделать следующее: ' 102 ] Глава 3. Автоматизация административных задач • контролировать доступ к Windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам Панели управления, рабочему столу и главному меню; • создать централизовано-управляемые каталоги для специальных папок, например, для пользовательской папки Документы; • определить сценарии пользователя и сценарии компьютера, которые будут запускаться в конкретное время; • настроить политики для блокировки учетных записей, параметры паролей, аудита, назначения прав пользователей и безопасности, но о них мы поговорим в следующей главе. О политике можно думать как о ряде правил, которые помогают управлять пользователями и компьютерами. Групповые политики можно применить к нескольким доменам сразу, отдельным доменам, подгруппам в домене или отдельным системам. Политики, которые применяются к отдельным системам, называются локальными групповыми политиками и хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory. Групповые политики применяются только к системам, работающим под управлением ОС Windows 2000 и более поздних версий Windows. Настройки групповой политики сохранены в объекте групповой политики (Group Policy Object, GPO). GPO - это контейнер для применяющихся политик и для их настроек. Несколько GPO можно применить к одному сайту, домену или организационной единице. Поскольку групповая политика описана с использованием объектов, применяется много объектно-ориентированных понятий. Если думать об объектно-ориентированном программировании, можно предположить, что понятия родительских/дочерних отношений и наследования применимы к GPO, и это действительно так. Контейнер — высокоуровневый объект, содержащий другие объекты. Посредством наследования политика, которая применялась к родительскому контейнеру, наследуется дочерним контейнером. По существу это означает, что установка политики, применяемой к родительскому объекту, будет передана и дочернему объекту. Например, если применяете установку политики в домене, ее установка будет наследована организационными единицами в домене. В этом случае GPO домена — родительский объект, a GPO организационных единиц — дочерние объекты. Порядок наследования — сайт, домен, организационная единица. Это означает, что настройки групповой политики для сайта будут переданы доменам Справочник системного администратора этого сайта, затем настройки домена будут переданы организационным единицам в этом домене. Наследование можно переопределить. Для этого можно присвоить настройку политики дочернему контейнеру, которая отличается от настройки политики для родительского контейнера. Пока переопределение разрешено (т. е. пока оно не заблокировано), будет применяться установка политики дочернего контейнера. 3.1.2. Порядок применения политики Определен следующий порядок применения групповых политик: 1. Локальные групповые политики. 2. Групповые политики сайта. 3. Групповые политики домена. 4. Групповые политики организационной единицы. 5. Групповые политики дочерней организационной единицы. Если настройки политики конфликтуют, приоритет имеют настройки политики, которые применялись позже — они перезаписывают более ранние настройки. Например, политики организационной единицы имеют приоритет над другими групповыми политиками домена. Существует два типа групповых политик - политики, применяемые к компьютерам и политики, применяемые к пользователям. Политики компьютера обычно применяются во время запуска системы, а политики пользователя — во время входа в систему. По умолчанию групповая политика обновляется, когда пользователь выходит из системы, во время перезапуска компьютера и автоматически каждые 90—120 минут. Можно изменить это поведение, устанавливая интервал обновления групповой политики. Чтобы сделать это, откройте окно командной строки и введите команду gpupdate. Некоторые настройки пользователя, например перенаправление папок, не могут быть обновлены, пока пользователь зарегистрирован в системе. Пользователь должен выйти из системы и затем зайти заново для применения этих настроек. Для автоматического выхода пользователя из систе Глава 3. Автоматизация административных задач мы после обновления можно ввести команду gpupdate /lofogg в командной строке или в поле поиска. Аналогично, некоторые настройки компьютера могут быть определены только при его запуске. Для применения этих настроек компьютер должен быть перезагружен. Для этого можно ввести в командной строке или в поле поиска команду gpupdate /boot. 3.1.3. Редакторы групповой политики Чтобы оптимизировать управление групповой политикой, Microsoft удалила функции управления из инструментов Active Directory и переместила их в основную консоль, названную Управление групповой политикой1. Для установки GPMC необходимо установить соответствующий компонент (Управление групповой политикой) с помощью мастера установки ролей и компонентов. После этого редактор групповой политики будет доступен через меню Средства диспетчера серверов. Необходимо понимать, что для редактирования групповой политики существует почти два одинаковых редактора: • Редактор стартового объекта групповой политики (Group Policy Starter GPO Editor) — редактор, который можно использовать для создания и управления стартовыми объектами групповой политики. Как подразумевает имя, стартовый GPO призван обеспечить начальную точку для объектов политики, которые используются всюду по своей организации. При создании объекта политики можно определить стартовый GPO как источник или фундамент объекта. • Редактор локальной групповой политики (Local Group Policy Object Editor) — применяется для создания и управления объектами политики для локального компьютера. Как подразумевает имя, локальный GPO призван обеспечить настройки политики для определенного компьютера в противоположность настройкам для сайта, домена или организационной единицы. 3.1.4. Управление локальной групповой политикой Компьютеры под управлением современных версий Windows имеют три уровня локальных объектов групповой политики. J Group Policy Management Console (GPMC) [ 105 , Справочник системного администратора • Локальная групповая политика (Local Group Policy). Это только локальный GPO, позволяющий конфигурациям компьютера и пользователя применяться ко всем пользователям компьютера. • Административная и неадминистративная локальная групповая политика (Administrators and Non-Administrators local Group Policy). Содержит только настройки конфигурации пользователя и применяется на основании того, является ли учетная запись членом локальной группы Администраторы. • Пользовательская локальная групповая политика (User-specific local Group Policy). Содержит только конфигурацию пользователя и применяется к отдельным пользователям и группам. Эти уровни локальных GPO обрабатываются в следующем порядке: локальная групповая политика, административная и неадминистративная локальная групповая политика и пользовательская групповая политика. Внимание! Поскольку доступные настройки пользовательской конфигурации одинаковы для всех локальных GPO, настройки в одном GPO могут конфликтовать с настройками в другом GPO. ОС Windows разрешает конфликты в настройках, перезаписывая любые предыдущие настройки настройками, считанными последними. Windows использует последнее установленное значение. Когда Windows разрешает конфликты, имеет значение только включенное/выключенное состояние настроек. Значение Не задано (Not Configured) не оказывает никакого эффекта на состояние настройки из предыдущего приложения политики. Чтобы упростить администрирование домена, можно отключить обработку локальных GPO на компьютерах под управлением Windows Vista и более поздних версий, включив политику Выключение обработки локальных объектов групповой политики в GPO домена. Эта настройка находится в узле Конфигурация компыотера\Ддминистра-тивные шаблоны\Система\Групповая политика групповой политики. На всех компьютерах под управлением текущих выпусков Windows есть локальный GPO, доступный для редактирования. Хотя на контроллере домена тоже есть локальный GPO, его настройки редактировать не нужно. [ 106 ] Глава 3. Автоматизация административных задач Самый быстрый способ получить доступ к локальному GPO компьютера — это ввести следующую команду в командной строке или поле поиска приложений: gpedit.msc Для получения доступа к локальному GPO верхнего уровня удаленного компьютера введите следующую команду в командной строке: gpedit.msc /gpcomputer: «RemoteComputer» Здесь RemoteComputer — имя или полное имя (FQDN) удаленного компьютера. Снова, необходимо использовать двойные кавычки, как показано в следующем примере: gpedit.msc /gpcomputer: "win-jkfb!291" Редактор пока тьмой групповой политики файл Действие £ид Справка Система > ; App-V Device Guard > i iSCSI Kerberos Аудит создания процессов Восстановление Восстановление системы Вход в систему > Групповая политика > Г Диагностика Дисковые квоты Диспетчер сервера Дисплей Доступ к съемным заломим Доступ к устройствам Enhan Завершение работы Защита DMA ядра Защита файлов Windows Инфраструктура классифике Вход в систему Разрешает пользователям выбирать, необходим ли ввод пароля при возобновлении работы кэ режима ожидания с подключением Изменить ' политики Требования: Не ниже Windows Server ' 2012., Windows 8 или Windows RT Описание: Этот параметр политики позволяет управлять возможностью i изменения Состояние Cscarrw ‘Сгмменхгр.ч* к Включить вход с помощью удобного ПИН-ко„ Не задана Нет ’ Выключить вход с графическим паролем Не задана Нет ,г Назначить стандартного поставщика учетиы- Не задана Нет Jt Установка домена по умолчанию для входа Не задана Нет т Исключить поставщики учетных данных Не задана Нет 1 Запретить пользователю отображать данны„ Не задана Нет j- Не обрабатывать список запуска старых про™ Не задана Нет Л Не обрабатывать список однокоатного запу... Не задана Нет т Отключить уведомления приложений на экр._ Не задана Нет Л Отключить звук запуска Windows Не задана Нет £. не отображать пользовательский интерфейс™ Не задана Нет Х-, Не перечислять подключенных пользовател , Не задана Нет £ Показать анимвцию при первом входе в сис... Не задана Нет Л= Перечислить локальных пользователей на к... Не задана Нет X Скрыть точки входа для быстрого переключе- Не задана Нет 21 параметров Параметры завершения pal i пользователем ; Всегда использовать классический вход в си.. Не задана Параметры уменьшения ри * : промежутка времени до < _ _____ ___________________________ > Расширенный / Стандартный / Рис. 3.1. Редактор локальной групповой политики По умолчанию единственный локальный объект политики, существующий на компьютере, является локальным объектом групповой политики. Можно создать и управлять другими объекты при необходимости (за исключением объектов на контроллерах доменов). Можно создать или получить доступ к административному объекту локальной групповой политики, Справочник системного администратора к неадминистративному объекту локальной групповой политики и объекту пользовательской локальной групповой политики так: 1. В командной строке или окне Выполнить (Win + R) введите mmc и нажмите клавишу <Enter>. В консоли управления Microsoft выберите команду меню Файл, Добавить или удалить оснастку. 2. В диалоговом окне Добавление или удаление оснасток выберите оснастку Редактор объектов групповой политики и нажмите кнопку Добавить. 3. В окне Выбор объекта групповой политики нажмите кнопку Обзор. В окне Поиск объекта групповой политики перейдите на вкладку Пользователи. 4. На вкладке Пользователи в колонке Объект групповой политики существует приводятся сведения о том, существует ли объект групповой политики для того или иного пользователя. Выполните следующие действия. » Выберите запись Администраторы для создания или получения доступа к объекту административной локальной групповой политики. » Выберите запись Не администраторы для создания или получения доступа к объекту административной локальной групповой политики. » Выберите локального пользователя для создания или получения доступа к пользовательскому локальному GPO. 5. Нажмите кнопку ОК. Если выбранный объект не существует, он будет создан. В противном случае будет открыт существующий объект для просмотра и редактирования. 3.1.5. Управление политиками сайта, домена или ОЕ При разворачивании сервисов Active Directory (AD DS) можно использовать групповую политику на базе Active Directory. Каждый сайт, домен и организационная единица могут иметь одну или больше групповых политик. У групповых политик, перечисленных выше в списке групповой политики, более высокий приоритет, чем у политик, перечисленных ниже в списке. Это позволяет удостовериться, что политики применены всюду по связанным сайтам, доменам и организационным единицам. Посредством групповых политик и Active Directory достигается та самая автоматизация l 108 J Глава 3. Автоматизация административных задач настройки всех компьютеров предприятия. Например, вам нужно сделать какие-то настройки (все, что угодно, например, запретить запуск определенной службы, запретить доступ к сменным дискам и т.д.) на всех компьютерах сети. Вместо того, чтобы настраивать каждый компьютер отдельно, вы можете использовать для этого Active Directory и групповую политику. Конечно, нужно, чтобы в сети был развернут AD, а настраиваемые компьютеры должны быть членами домена. У каждого домена в организации по умолчанию есть два GPO. • GPO политики контроллера домена по умолчанию (Default Domain Controllers Policy GPO) создается и связывается для организационной единицы контроллера домена. Этот GPO применим ко всем контроллерам домена в домене (до тех пор, пока они не будут перемещены из этой организационной единицы). Используйте его для управления параметрами безопасности для контроллеров доменов в этом домене. • GPO политики домена по умолчанию (Default Domain Policy GPO) создается и связывается для всего домена в пределах Active Directory. Используйте этот GPO для установки базовых значений для широкого круга настроек политик, которые применяются ко всем пользователям и компьютерам в домене. Как правило, GPO политики домена по умолчанию — GPO высшего приоритета, связанный с уровнем домена. GPO политики контроллеров домена по умолчанию — GPO высшего приоритета, связанный с контейнером контроллеров домена. Можно присоединить дополнительные GPO уровня домена и контроллеров домена. При этом настройки в GPO наивысшего приоритета переопределяют настройки в объектах групповой политики более низкого приоритета. Эти GPO не предназначены для общего управления групповой политикой. GPO политики домена по умолчанию используется только для управления настройками дефолтовых политик учетных записей, и, в частности, есть три области применения политик учетных записей: политика паролей, политика блокировки учетной записи и политика Kerberos. Через этот GPO можно управлять несколькими параметрами безопасности: • Учетные записи: Переименование учетной записи администратора; • Учетные записи: Состояние учетной записи 'Администратор'; • Учетные записи: Состояние учетной записи 'Гость'; • Учетные записи: Переименование учетной записи гостя; 109 л Справочник системного администратора • Сетевая безопасность: Принудительный вывод из сеанса по истечению допустимых часов; • Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля. Один из способов перезаписи этих настроек — создать GPO с соответствующими настройками и присоединить его к контроллеру домена с более высоким приоритетом. Объект GPO политики контроллера домена по умолчанию содержит параметры Назначение прав пользователя (User Rights Assignment) и Параметры безопасности (Security Options), которые ограничивают способы использования контроллеров домена. Один из способов перезаписи этих настроек — создать GPO с перезаписывающимися настройками и присоединить его к контейнеру контроллеров домена с более высоким приоритетом. Для управления другими областями политики нужно создать GPO и присоединить его к домену или соответствующей организационной единице в пределах домена. Запустить консоль управления групповой политикой (GPMC) можно из меню Средства Диспетчера серверов. Также можно в командной строке или в поле поиска приложений ввести gpmc.msc и нажать клавишу <Enter>. Как показано на рис. 3.2, корневой узел консоли называется Управление групповой политикой, а ниже есть узел Лес. Узел Лес представляет лес, к которому консоль подключена в настоящий момент, и называется именем корневого домена этого леса (на рис. 3.2 — Лес: example.com). Если существуют соответствующие учетные данные, можно добавить соединения с другими лесами. Для этого щелкните правой кнопкой мыши по узлу Управление групповой политикой и выберите команду Добавить лес. В диалоговом окне Добавление леса введите имя корневого домена леса в поле Домен и нажмите кнопку ОК. В узле Лес находятся следующие узлы. • Домены — предоставляет доступ к параметрам политики для доменов в соответствующем лесе. По умолчанию консоль подключена к домену входа в систему. Если есть другие учетные данные, можете добавить соединения с другими доменами в связанном лесу. Для этого щелкните правой кнопкой мыши по узлу Домены и выберите команду Показать домены. В окне Отображение доменов выберите домены, которые нужно добавить, и нажмите кнопку ОК. Глава 3. Автоматизация административных задач а Управление групповой политикой М Файл Действие Вид Окно Справка С Управление групповой политикой ~ .А Лес example.com * .ib Домены f| example com 4Г Default Domain Policy X Domain Controllers - а Объекты групповой полит Default Domain Control!» Default Domain 1Ыку » Фильтры WMI Начальные объекты групг йСайты £ Моделирование групповой ло/1 "3 Результаты групповой политик Default Domain Policy Область Сведения Параметры Делегирование Состояние Показать связи в располож-мыи example com Рвзмеще»4*< f| example com Связь эшийстаована Путь example com Фильтры безопасное тм Перагмтры донного объекте групповое политики прютеняаотея только для следующих групп гыьзбва то лей и компьютеров. %Прс-юдамо* проверку ЛОЛавить Фитыр WM Объект GPO связан со следующим фильтром WMI Рис. 3.2. Управление групповой политикой сайта, леса, домена • Сайты — предоставляет доступ к настройкам политики для сайтов в соответствующем лесе. Сайты скрыты по умолчанию. Если есть соответствующие учетные данные, можно подключиться к сайтам. Для этого щелкните правой кнопкой мыши на узле Сайты и выберите команду Показать сайты. В окне Отображение сайтов выберите сайты, которые нужно добавить, и нажмите кнопку ОК. • Моделирование групповой политики — предоставляет доступ к мастеру моделирования групповой политики, который поможет спланировать развертывание групповой политики и симулировать настройки с целью тестирования. Также доступны любые сохраненные модели. • Результаты групповой политики — предоставляет доступ к мастеру результатов групповой политики. Для каждого домена, к которому подключена консоль, все связанные объекты групповой политики и организационные единицы доступны для работы в одном месте. Объекты GPO, перечисленные в контейнерах Домены, Сайты в GPMC, являются ссылками на GPO, а не самими GPO. Доступ к фактическому GPO можно получить через контейнер Объекты групповой политики выбранного домена. Обратите внимание на то, что у значков ссылок на GPO есть небольшие стрелки в левом нижнем углу, подобно ярлыку, а на значках самих GPO таких стрелок нет. Справочник системного администратора При запуске консоль GPMC подключиться к Active Directory, запущенному на контроллере домена, который работает как PDC-эмулятор для домена входа и получает список всех объектов групповой политики и организационных единиц в этом домене. Это возможно благодаря протоколам LDAP (Lightweight Directory Access Protocol) для доступа к хранилищу каталогов и SMB (Server Message Block) для доступа к каталогу SYSVOL. Если PDC-эмулятор недоступен по какой-то причине, например, когда сервер находится в режиме оффлайн, GPMC отобразит подсказку, чтобы можно было работать с настройками политик на любом другом доступном контроллере домена. Для смены контроллера домена щелкните правой кнопкой мыши на узле домена, для которого нужно сменить активный контроллер домена, затем выберите команду Сменить контроллер домена. В окне Смена контроллера домена текущий контроллер домена приведен в области Текущий контроллер домеиа. Используйте область Изменить на, выберите другой контроллер домена и нажмите кнопку ОК. С помощью консоли GPMC можно отредактировать GPO, щелкнув на нем правой кнопкой мыши и выбрав команду Изменить. После этого откроется редактор GPO (рис. 3.3). У него есть два основных узла: • Конфигурация компьютера — разрешает использовать политики, которые будут применены к компьютерам, вне зависимости от того, какой пользователь вошел в систему; • Конфигурация пользователя — позволяет установить политики, которые будут применены к пользователям, вне зависимости от того, на каких компьютерах они входят в домен В узлах Конфигурация компьютера и Конфигурация пользователя находятся узлы Политики и Настройки. Настройки общих политик находятся в узле Политики. Параметры общих настроек — в узле Настройки. Точная конфигурация узлов Конфигурация компьютера и Конфигурация пользователя зависит от установленных расширений и типа созданной политики. В узлах Конфигурация компьютера и Конфигурация пользователя есть следующие подузлы: • Конфигурация программ — политики для настроек программного обеспечения. При установке программного обеспечения в узле Конфигурация программ появятся новые подузлы; • Конфигурация Windows — набор политик для перенаправления папок, сценариев и безопасности; • Административные шаблоны — набор политик для операционной системы, компонентов Windows и программ. Административные шаблоны на- Глава 3. Автоматизация административных задач Редактор управления групповыми политиками □ X файл Действие Дид Справка ♦ За В Г" Политика Default Dorna v *» Конфигурация round > Политики Имя Й> Конфигурация компьютера А Конфигурация пользователя > Ш Настройка * гЗ Конфигурация польз Политики > U s Настройка Расширенный Д Стандартный ' Рис. 3.3. Редактор управления групповыми политиками страиваются с помощью файлов шаблонов. При необходимости можно добавить или удалить файлы шаблонов. 3.1.6. Административные шаблоны Административные шаблоны предоставляют легкий доступ к настройкам реестра, которые можно изменить. Набор административных шаблонов по умолчанию настроен в редакторе политик для пользователей и компьютеров. При необходимости можно добавить/удалить административные шаблоны. Любые изменения, вносимые в политики, доступны через административные шаблоны, сохранены в реестре. Конфигурации компьютера хранятся в разделе HKEYLOCALMACHINE, а конфигурации пользователя - в разделе HKEY_CURRENT_USER. Просмотреть настроенные в данный момент шаблоны можно в узле Административные шаблоны редактора политик. Этот узел содержит политики, которые можно сконфигурировать для локальных систем, организационных единиц, доменов и сайтов. В конфигурации пользователя и конфигурации компьютера находятся разные наборы групповой политики. При установке новых компонентов Windows можно добавить шаблоны с новыми политиками. Справочник системного администратора Административные шаблоны могут использоваться для управления следующими настройками: • Панель управления — содержит настройки Панели управления и ее утилит; • Рабочий стол — настраивает рабочий стол Windows и доступные опции рабочего стола; • Сеть — настраивает сеть и параметры сетевых клиентов для оффлайн-файлов, DNS-клиентов и сетевых соединений; • Принтеры — настраивает параметры принтера, просмотра сети, спула и каталога; • Общие папки — разрешает публикацию общих файлов и распределенной файловой системы (DFS); • Меню «Пуск* и панель задач — контролирует доступные опции и конфигурацию экрана Пуск и панели задач; • Система — настраивает параметры системы для дисковых квот, профилей пользователей, входа пользователя, восстановления системы, отчетов об ошибках и т. д.; • Компоненты Windows — определяет доступные опции и конфигурацию различных Windows-компонентов, в том числе средства Просмотр событий, Internet Explorer, установщик Windows и обновления Windows. Желаете узнать, какие административные шаблонные политики доступны? Просмотрите подузлы узла Административные шаблоны. Политики могут находиться в одном из трех состояний: 1. Не задано — политика не используется, и в реестр не записываются никакие значения; 2. Включено — политика применена, ее значение сохранено в реестре; 3. Выключено — политика выключена и не применяется, соответствующая настройка записана в реестре. Для включения, выключения и настройки политики используются следующие действия: 1. В редакторе политик разверните узел Конфигурация пользователях Административные шаблоны или Конфигурации компьютера\Адми- Глава 3. Автоматизация административных задач нистратиные шаблоны, в зависимости от типа политики, которую планируется использовать. 2. На панели слева выберите подпапку, содержащую политики, с которыми нужно работать. Соответствующие политики будут отображены на правой панели. 3. Дважды щелкните по политике, чтобы открыть окно Свойства. Описание политики можно прочитать на панели Справка. Описание доступно, только если оно определено в соответствующем файле шаблона. 4. Чтобы установить состояние политики, выберите одну из опций: » Не задано — политика не сконфигурирована; » Включено — политика включена; » Выключено — политика отключена. 5. Если политика включена, установите дополнительные параметры и нажмите кнопку ОК. 3.1.7. Создание и связь объекта групповой политики При работе с объектом политики создание и связь объекта со специфическим контейнером в пределах Active Directory — разные действия. Можно создать GPO и не соединять его ни с каким доменом, сайтом или организационной единицей. Затем, можно создать GPO и подсоединить его к определенному домену, сайту или организационной единице. Также можно создать GPO и соединить его автоматически с доменом, сайтом или организационной единицей. Выбранный метод зависит, прежде всего, от личных предпочтений и от того, как планируется работа с GPO. Имейте в виду, что при создании GPO и его соединении с доменом, сайтом, организационной единицей, GPO будет применен к объектам «пользователь» и «компьютер» в этом сайтом, домене или организационной единице, согласно параметрам Active Directory, порядку приоритета GPO и другим параметрам. Для создания и подсоединения GPO к сайту, домену и организационной единице выполните следующие действия: 1. В консоли GPMC щелкните правой кнопкой мыши на сайте, домене или организационной единице, к которым нужно привязать GPO, а затем [ 115 } Справочник системного администратора выберите команду Создать объект групповой политики для этого домена и связать его. 2. В окне Новый объект групповой политики введите описывающее имя GPO, например, GPO безопасной рабочей станции. Если нужно использовать исходный GPO в качестве источника для начальных настроек, выберите исходный GPO из списка Исходный объект групповой политики. После нажатия кнопки ОК новый GPO будет добавлен в контейнер Объекты групповой политики и будет связан с ранее выбранным сайтом, доменом или организационной единицей. 3. Щелкните правой кнопкой мыши (или нажмите) на новом GPO и выберите команду Изменить. В редакторе политики настройки задайте необходимые настройки и закройте редактор политики. Когда групповая политика обновится, будут применены настройки из GPO для сайта, домена или организационной единицы. 3.1.8. Удаление ссылок и удаление GPO В консоли GPMC можно остановить использование связанных объектов групповой политики двумя способами: • удалить ссылку на GPO, но не удалять сам GPO; • удалить GPO и все ссылки на него. Удаление ссылки на GPO предотвращает использование соответствующих настроек политик в сайте, домене или организационной единице, но не удаляет сам GPO. Однако GPO остается соединенным с другими веб-сайтами, доменами или организационными единицами. В GPMC можно удалить ссылку на GPO, щелкнув правой кнопкой мыши по ссылке на GPO в контейнере и выбрав команду Удалить. Когда консоль попросит подтвердить намерение, нажмите кнопку ОК. Если удалить все ссылки на GPO с сайтов, доменов и организационных единиц, GPO продолжит существование в контейнере Объекты групповой политики, но его настройки не будут иметь никакого эффекта в организации. Удаление GPO удаляет GPO и все ссылки на него. Больше GPO не будет существовать в контейнере Объекты групповой политики и не будет связан ни с одним сайтом, доменом или организационной единицей. Есть только один способ восстановить удаленный GPO — это восстановить его из ра- ............................................................. Глава 3. Автоматизация административных задач нее созданной резервной копии (если она доступна). Удалить GPO и все ссылки на этот объект можно в консоли GPMC из узла Объекты групповой политики. Щелкните правой кнопкой мыши на GPO и выберите команду Удалить. Для подтверждения своего намерения нажмите кнопку Да. 3.1.9. Обновление групповой политики При внесении изменения в политику эти изменения применяются немедленно. Однако они не распространяются автоматически. Клиентские компьютеры запрашивают политики в следующих случаях: . • при запуске компьютера; • при входе пользователя; • когда приложение или пользователь запрашивает обновления; • когда истекает интервал обновления групповой политики, установленный для нее. Настройки конфигурации компьютера применяются во время запуска операционной системы. Настройки конфигурации пользователя — при входе пользователя в систему. Если произошел конфликт между настройками пользователя и компьютера, у конфигурации компьютера более высокий приоритет, и именно ее настройки будут применены. Как только настройки политики будут применены, настройки будут обновлены автоматически, чтобы можно было гарантировать, что они являются текущими. По умолчанию интервал обновления для контроллеров домена — 5 минут. Для других компьютеров интервал обновления — 90 минут с 30-минутными вариациями, чтобы избежать перегрузки контроллера домена многочисленными параллельными запросами клиентов. Это означает, что актуальный временной промежуток обновления для компьютеров, не являющихся контроллерами домена, составляет 90—120 минут. Во время обновления групповой политики клиентский компьютер обращается к доступному контроллеру домена в его локальном сайте. Если есть изменения в одном или более объекте политики в домене, контроллер домена предоставляет список объектов политики, которые применяются к компьютеру и к пользователям, которые в данный момент вошли в систему. Контроллер домена делает это независимо от того, изменились ли номера версий на всех перечисленных объектах политики. По умолчанию компью- Справочник системного администратора тер обрабатывает объекты политики, только если изменился номер версии хотя бы одного из объектов политики. Если какая-то из связанных политик изменилась, все политики должны быть обработаны снова из-за наследования и взаимозависимостей между политиками. Настройки безопасности — известное исключение к правилу обработки. По умолчанию эти настройки обновляются каждые 16 часов (960 минут) независимо от того, содержат ли объекты политики изменения. Чтобы уменьшить влияние на контроллеры домена и сеть, во время обновлений добавляется случайное смещение до 30 минут (эффективное окно обновления 960—990 минут). Кроме того, если клиентский компьютер обнаруживает, что подключается по медленному сетевому соединению, он сообщает об этом контроллеру домена, и по сети передаются только настройки безопасности и административные шаблоны. Это означает, когда компьютер работает по медленному соединению, будут применены лишь настройки безопасности и административные шаблоны. Можно настроить способ обнаружения медленного соединения. Необходимо тщательно сбалансировать частоту обновления политики с учетом частоты ее изменения. Если политика изменяется редко, можно увеличить окно обновления, чтобы уменьшить использование ресурсов. Например, можно установить интервал обновления 20 минут на контроллерах домена и 180 минут на других компьютерах. Интервал обновления групповой политики для каждого объекта политики можно настроить индивидуально. Для установки интервала обновления для контроллеров домена выполните следующие действия: 1. В консоли GPMC щелкните правой кнопкой мыши на объекте групповой политики, который нужно изменить, и выберите команду Изменить. Этот GPO должен быть связан с контейнером, который содержит объекты компьютеров контроллера домена. 2. В узле Конфигурация компыотера\Политики\Административные ша-блоны\Система\Групповая политика дважды щелкните на политике Установить интервал обновления групповой политики для контроллеров домена. Аналогичная политика для компьютеров называется Установить интервал обновления групповой политики для компьютеров. В результате будет отображено окно Свойства. 3. Включите политику, выбрав переключатель Включено. Установите базовый интервал обновлений в первом поле Мин. Обычно интервал обновления устанавливают от 5 до 59 минут. Глава 3. Автоматизация административных зада 4. Во втором поле Мин (пролистайте область, чтобы увидеть его) установите случайную величину времени, которая будет добавлена к интервалу обновления. Эта случайная величина создает окно обновления, что препятствует перегрузке сервера при многочисленных параллельных запросах групповой политики клиентами. Нажмите кнопку ОК. Рис. 3.4. Установка интервала обновления групповой политики для контроллеров домена Внимание! В GPO для контроллеров домена вам нужно изменять политику Установка интервала обновления групповой политики для контроллеров домена. Групповую политику Установить интервал обновления групповой политики для компьютеров вам нужно изменять в GPO для домена/ компьютеров! Если вы измените политику для компьютеров в GPO для контроллеров домена, она не будет применена к компьютерам! Инициировать обновление можно несколькими способами. Можно ввести команду gpupdate в командной строке или в поле поиска приложений, в результате будут обновлены и конфигурация компьютера, и конфигурация пользователя на локальном компьютере. Будут обработаны и применены только измененные настройки политики. Для обновления всех настроек политики нужно использовать параметр /Force. 119 Справочник системного администратора Также можно обновлять конфигурации пользователя и компьютера раздельно. Для обновления только конфигурации компьютера введите gpupdate / target:computer в командной строке. Для обновления только конфигурации пользователя предназначена другая команда — gpupdate /target:user. Также можно использовать команду gpupdate для выхода пользователя или перезапуска компьютера после обновления групповой политики. Это полезно, поскольку некоторые политики могут быть применены лишь, когда пользователь входит в систему или только при запуске компьютера. Для выхода пользователя после обновления добавьте параметр /Logoff, а для перезапуска компьютера после обновления — параметр /Boot. 3.1.10. Если политика не применяется. Мастер результатов групповой политики При попытке определить, почему политика не применяется, как ожидалось, первым делом нужно исследовать результаты групповой политики для пользователя и компьютера, чтобы понять суть проблемы. Определить, что политики GPO применены, можно так: 1. В консоли GPMC щелкните правой кнопкой мыши по узлу Результаты групповой политики и выберите команду Мастер результатов групповой политики. Когда мастер запустится, нажмите кнопку Далее. 2. На странице Выбор компьютера установите переключатель Этот компьютер, чтобы просмотреть информацию для локального компьютера. Чтобы просмотреть информацию для удаленного компьютера, отметьте переключатель Другой компьютер и затем нажмите кнопку Обзор. В окне Выбор: -«Компьютер» введите имя компьютера и нажмите кнопку Проверить имена. После того как выберете правильное имя компьютера, нажмите кнопку Далее. 3. На странице Выбор пользователя выберите пользователя, чью информацию о политике нужно просмотреть. Можно просмотреть информацию о политике для любого пользователя, который ранее был зарегистрирован на компьютере. Нажмите кнопку Далее. 4. Просмотрите установленные параметры и нажмите кнопку Далее. После того как мастер получит необходимую информацию, нажмите кнопку Готово. По окончанию создания отчета он будет выбран в левой панели, а результаты будут отображены в правой панели. Глава 3. Автоматизация административных задач 5. Чтобы определить, какие параметры были применены, просмотрите отчет. Информация политики для компьютера и пользователя выводится отдельно: для компьютера — в разделе Сводка о компьютере, для пользователя — в разделе Сводка о пользователе. 3.2. Управление пользователями и компьютерами посредством групповой политики Групповую политику можно использовать для централизованного управления пользователями и компьютерами, например, вы можете управлять сценариями, запускаемыми при запуске/завершении работы компьютера, при входе/выходе пользователя, также вы можете использовать групповую политику для развертывания программного обеспечения на всю сеть. 3.2.1. Управление сценариями пользователя и компьютера В Windows Server можно настроить четыре типа сценариев: • Computer Startup — выполняется при запуске; • Computer Shutdown — выполняется при завершении работы; • User Logon — выполняется, когда пользователь входит в систему; • User Logoff — выполняется, когда пользователь выходит из системы. Windows 2000 и более поздние версии поддерживают сценарии, написанные на языке командной оболочки, с расширением bat и cmd или сценарии, которые используют Windows Script Host (WSH). WSH — это компонент Windows Server, позволяющий использовать сценарии, написанные на языке сценариев вроде VBScript без необходимости вставки сценария в веб-страницу. Для предоставления доступа к многоцелевой среде WSH основывается на движках сценариев. Движок сценариев — это компонент, определяющий основной синтаксис и структуру определенного языка сценариев. Windows Server поддерживает движки сценариев для VBScript и JScript. Также доступны другие движки. Справочник системного администратора Операционные системы Windows 7/8/10, Windows Server 2012/2016/2019 также поддерживают сценарии PowerShell. Если Windows PowerShell установлен на компьютеры, которые обрабатывают определенные GPO, можно использовать сценарии Windows PowerShell так же, как и остальные сценарии. Есть возможность запуска сценариев Windows PowerShell до или после других типов сценариев. Сценарии Computer Startup и Computer Shutdown назначаются как часть GPO. Таким образом, все компьютеры, которые являются членами сайта, домена и организационной единицы или всех трех структур одновременно, выполняют сценарии автоматически, когда загружаются или завершают работу. Чтобы назначить сценарий запуска или завершения работы, выполните следующие действия: 1. В Проводнике Windows откройте папку, содержащую сценарии, которые нужно использовать. 2. В консоли GPMC щелкните правой кнопкой мыши по GPO сайта, домена или организационной единицы, с которыми будете работать. Выберите команду Изменить, чтобы открыть редактор GPO. 3. В узле Конфигурация компьютера дважды щелкните на папке Конфигурация Windows, затем перейдите в подпапку Сценарии (запуск/за-вершение). 4. Для работы со сценариями запуска щелкните правой кнопкой мыши на элементе Автозагрузка и выберите команду Свойства. Для работы со сценариями завершения работы щелкните правой кнопкой на элементе Завершение работы и выберите команду Свойства. Откроется окно, подобное изображенному на рис. 3.5. 5. На вкладке Сценарии можно управлять сценариями командной строки (с расширениями bat или cmd) и сценариями Windows Scripting Host. На вкладке Сценарии PowerShell можно управлять сценариями Windows PowerShell. Для перехода к папке, в которой находятся сценарии, нажмите кнопку Показать файлы. 6. Скопируйте файлы в окне Проводника Windows и вставьте их в окно, которое будет открыто после нажатия кнопки Показать файлы. 7. Нажмите кнопку Добавить для назначения сценария. Откроется окно Добавление сценария. В поле Имя сценария введите имя сценария, который был скопирован в папку Machine\Scripts\Startup или папку Machine\Scripts\Shutdown. В поле Параметры сценария введите лю- Глава 3. Автоматизация административных задач Рис. 3.5. Назначение сценериев компьютера бые параметры, которые нужно передать сценарию. Повторите этот шаг для других сценариев. 8. Во время запуска и завершения работы сценарии будут выполнены в том порядке, в котором они указаны в окне Свойства. Для изменения порядка используйте кнопки Вверх и Вниз. На вкладке Сценарии PowerShell есть также список, позволяющий выбрать, когда должны запускаться сценарии Windows PowerShell: до или после запуска других типов сценариев. 9. Если нужно отредактировать имя сценария или его параметры, выберите сценарий и нажмите кнопку Изменить. Для удаления сценария выберите его и нажмите кнопку Удалить. 10. Для сохранения изменений нажмите кнопку ОК. Сценарии пользователя можно назначить с помощью одного из трех способов. 1. С помощью групповой политики. В этом случае все пользователи, являющиеся членами сайта, домена или организационной единицы (или всех трех сразу) автоматически запустят сценарии при входе или выходе. 2. Можно назначить сценарии входа индивидуально, используя консоль Active Directory - пользователи и компьютеры. В этом случае можно U23J Справочник системного администратора назначить каждому пользователю или каждой группе отдельный сценарий входа. 3. Посредством планировщика заданий. Для создания расписаний задач используется мастер создания задачи. Чтобы назначить сценарии входа или выхода в GPO, выполните следующие действия: 1. В Проводнике Windows откройте папку, содержащую сценарии, которые нужно использовать. 2. В консоли GPMC щелкните правой кнопкой мыши по GPO сайта, домена или организационной единицы, с которыми планируете работать. Выберите команду Изменить, чтобы открыть редактор GPO. - 3. В узле Конфшурация пользователя дважды щелкните на папке Конфигурация Windows, затем перейдите в узел Сценарии (вход/выход из системы). 4. Для работы со сценариями входа щелкните правой кнопкой мыши на папке Вход в систему и выберите команду Свойства. Для работы со сценариями выхода щелкните правой кнопкой мыши на папке Сценарии выхода и выберите команду Свойства. Откроется окно, подобное изображенному на рис. 3.6. Сценарии; "Вкад! РоЬс>' Файл Демтые Вид Справка I Локд ' Политика -Default Domain Controllers Policy !W1!4-LGOG3K^ Имя Конфигурация компьютера Свойства: Вход в систетлу Имя , Расы рентЛ к Стандартный, ЧР ADDS События И Вход с систему Выход из системы .. Настрой® < Конфигурация пользователя Конфигурация программ v <онф гуоация Windows й(енариа {якадЛиюйд изсиС.емъ 5 Параметры безопасности ' 2J Г|ереваправление папки & QoS На основе политихи а* Развернутые иримтеоы Ааминистративные шаблоны ... Настройка (£) Управляем События I 1« Все с ADD St DNS I® И5 «i Файт Рис. 3.6. Назначение сценариев пользователя Сценарии Сценарии PnweFShe- Добавить Для тнхлчетра файлов сценариев, записанных в этом Объекте групповой политики, нажните эту кнопку. 124 Глава 3. Автоматизация административных зада1 5. Далее процесс назначения сценариев аналогичен назначению сценариев для компьютера. 3.2.2. Развертывания программного обеспечения через групповую политику Основы развертывания ПО В групповой политике можно развертывать ПО на основе компьютеров и на основе пользователей. Приложения на базе компьютеров доступны всем пользователям компьютера и настраиваются в узле Конфигурация ком-пьютера\Конфигурация программ\Установка программ. Можно развернуть программы тремя основными способами. • Назначение компьютеру — назначает программное обеспечение на компьютеры клиента, чтобы установка ПО происходила при запуске компьютера. Эта техника не требует какого-либо вмешательства со стороны пользователя, но она нуждается в перезагрузке системы для установки программ. Установленное программное обеспечение будет доступно всем пользователям компьютера. • Назначение пользователю — назначает программное обеспечение пользователям так, что оно будет установлено при входе пользователя в систему. Эта техника не требует какого-либо вмешательства со стороны пользователя, но предполагает входа в систему для установки программы. Установленное программное обеспечение будет доступно только конкретному пользователю. • Публикация пользователю — публикует программное обеспечение так, что пользователи могут установить его вручную с помощью утилиты Программы и компоненты. Эта техника требует вмешательства пользователя для установки программы или активации установки. Установленное программное обеспечение будет доступно только конкретному пользователю. При использовании назначения пользователю или публикации пользователю, можно объявлять программное обеспечение так, чтобы компьютер мог установить программу при ее первом использовании. В этом случае про Справочник системного администратора граммное обеспечение может быть установлено автоматически в следующих ситуациях: • когда пользователь пытается открыть документ, для работы с которым нужна программа; • когда пользователь открывает ярлык приложения; • когда другому приложению требуется компонент программы. При настройке политики Установка щмлрамм не нужно использовать существующие GPO. Вместо этого следует создать объекты GPO, которые будут настраивать установку программ и затем привязать эти GPO к соответствующим контейнерам в групповой политике. При использовании этого подхода значительно проще повторно развернуть программное обеспечение и применить обновления. После создания GPO для разворачивания программного обеспечения нужно настроить точку распространения. Точка распространения — это общая папка, которая доступна компьютерам и пользователям, для которых вы разворачиваете ПО. Как правило, можно подготовить точку распространения путем копирования файла пакета инсталлятора и всех необходимых приложению файлов на общий ресурс и настройкой разрешений так, чтобы все эти файлы были доступны. Для других приложений, например Microsoft Office, можно подготовить точку восстановления путем административной установки на общий ресурс. В случае с MS Office нужно запустить программу установки с параметром /а и указать общий ресурс как назначение установки. Преимущество административной установки состоит в том, что программное обеспечение может быть обновлено и повторно развернуто через политику Установка программ. Развертывание программ в домене Политика Установка программ используется только с пакетами установщика Windows (msi) и пакетами приложений нижнего уровня ZAW (zap). При использовании назначения компьютера, назначения пользователя или публикации можно развернуть ПО с помощью пакетов установщика Windows. При использовании публикации можно применять как msi-пакеты, так и zap-пакеты. Необходимо установить разрешения на файле пакета установщика так, чтобы у соответствующих компьютеров и пользователей был доступ для чтения. Глава 3. Автоматизация административных задач Поскольку политика Установка программ применяется во время обработки настроек политики, развертывание приложения на компьютере обрабатывается при его запуске, а развертывание приложения для пользователя осуществляется при входе в систему. Можно настроить установку с использованием файлов преобразований (mst). Эти файлы изменяют процесс установки согласно настройкам, которые заданы для определенных компьютеров и пользователей. Развернуть программное обеспечение можно с помощью следующих действий: 1. В консоли GPMC щелкните правой кнопкой мыши на GPO, который нужно модифицировать для распространения, и затем нажмите кнопку Изменить. 2. В редакторе политики разверните узел Конфигурация компьютерах Конфигурация программ\Установка программ или узел Конфигурация пользователя\Конфигурация программ\Установка программ в зависимости от типа разворачивания ПО. 3. Щелкните правой кнопкой мыши на политике Установка протрамм. В появившемся контекстном меню выберите команду Создать, Пакет. 4. В окне Открытие перейдите к сетевому ресурсу, в котором размещены пакеты, щелкните на пакете для его выбора и нажмите кнопку Открыть. 5. В окне Развертывание программ, выберите один из следующих методов развертывания и нажмите кнопку ОК (рис. 3.7): Развертывание программ X Выберите метод развертывания публичный -<*Ш°значенныйЁ Q особый Выберите этот параметр для назначении ярлыка приложению без изменений ОК Отмена Рис. 3.7. Развертывание программы » публичный — публикует приложение без изменений; » назначенный — назначает приложение без изменений; 127 Справочник системного администратора » особый — развертывание приложения с использованием расширенных параметров настройки. После добавления пакета можно изменить его параметры. Для этого дважды щелкните по нему, чтобы открыть окно Свойства. На вкладке Развертывание можно изменить тип развертывания и настроить следующие параметры развертывания и установки. • Автоматически устанавливать приложение при обращении к файлу с соответствующим расширением — связывает приложение с файлами, которое оно обрабатывает. Программа будет установлена при первом обращении к файлу связанного типа. Используется по умолчанию. • Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления — удаляет приложение, если оно. больше не применимо к пользователю. • Не отображать этот пакет в окне мастера установки и удаления программ панели управления — запрещает отображение приложения в окне Установка/удаление программ, что предотвращает удаление приложения пользователем. • Устанавливать это приложение при входе в систему — при входе пользователя в систему будет произведена полная установка программы, а не «объявление» приложения. Эта опция не может быть выбрана, когда приложение публикуется для пользователя. • Пользовательский интерфейс при установке — контролирует, как будет произведена установка. Значение по умолчанию — Полный, при этом пользователь увидит все экраны программы установки и все сообщения. При значении Простой пользователь увидит только сообщения об ошибках и сообщение о завершении установки. 3.2.3. Настройка автоматических обновлений ОС Автоматические обновления помогают поддерживать операционную систему в актуальном состоянии. Хотя можно настроить автоматические обновления на основе компьютеров, обычно необходимо настроить эту функцию для всех пользователей и компьютеров, которые обрабатывают GPO — это более эффективная техника управления. Описанные далее групповые политики будут актуальны для систем Windows 8/10/Windows Server 2012/2016/2019. Глава 3. Автоматизация административных задач При управлении автоматическими обновлениями через групповую политику, можно выбрать конфигурацию обновления. 1. Автоматическая загрузка и установка по расписанию — обновления будут автоматически загружены и установлены в соответствии с созданным расписанием. Когда обновления будут загружены, операционная система уведомит пользователя, что он может просмотреть запланированные обновления. Пользователь может установить обновления или подождать, пока придет время запланированной установки. 2. Автоматическая загрузка и уведомление об установке — операционная система получит все обновления и когда они станут доступны, уведомит пользователя, что они готовы к установке. Пользователь может принять или отклонить обновления. Принятые обновления будут установлены. Отклоненные обновления не будут установлены, но останутся в системе и их можно будет установить позже. 3. Уведомление о загрузке и установке — операционная система уведомляет пользователя перед получением любых обновлений. Если пользователь выберет загрузку обновлений, у него есть еще возможность принять или отклонить их. Принятые обновления будут установлены. Отклоненные обновления не будут установлены, но останутся в системе, и их можно будет установить позже. 4. Разрешить локальному администратору выбирать параметры — позволяет локальному администратору настраивать автоматическое обновление. Заметьте, что используются любые другие опции, локальные пользователи и администраторы не могут изменить параметры автоматического обновления. Настроить автоматическое обновление можно так: 1. В консоли GPMC щелкните правой кнопкой мыши по GPO, с которым нужно работать, и выберите команду Изменить. 2. В редакторе политик разверните узел Конфигурация компыотера\По-литики\Административные шаблоны\Компоненты Windows\ Центр обновления Windows. 3. Дважды щелкните на политике Настройка автоматического обновления. В появившемся окне можно включить или отключить управление автоматическими обновлениями с помощью групповой политики. Для включения управления автоматическими обновлениями установите переключатель Включено, для отключения управления — переключатель Отключено. Нажмите кнопку ОК и пропустите следующие шаги. Справочник системного администратора 4. Из списка Настройка автоматического обновления выберите опцию обновления. 5. Если выбрана опция Автоматическая загрузка и установка по расписанию, можете выбрать день и время установки обновлений. Нажмите кнопку ОК для сохранения изменений. 3.3. Планировщик заданий Посредством планировщика заданий можно автоматизировать запуск различных задач на сервере. Вызвать планировщик заданий можно через меню Средства диспетчера серверов (рис. 3.8). Плачиэовщж заданий файл Действие Вид Справка Q Планировщик заданий <Ло Состояние задач, начатых в указанный период времени: м последние 24 часе Сводка. всего - 51,0 - выполнение, 51 • успех. О - остановлено, 0 - ошибка Действия Подключиться к другом,. Создать простую задачу.. * Создать задачу- Импортировать задачу., Отображать все выполн... Я Отключить журнал всех... настройка учетной ыпи_ Зад . Обновить Q Справка название задачи Результ... Началовы- Завершени- Иницииро.. В ЛЕТ Framework NGEN v.. В ЛЕТ Framewoot NG EK v_ В AnaiyzeSystem {последи.. В aptxr-feofenJai’y тпосл.. В Conso-idator {последне.. В Релсе (последнее вы~_ Последнее обновление в 06.04.2020 15:36:59 Рис. 3.6. Планировщик заданий Для создания новой задачи выполните следующие действия: 1. На панели Действия выберите команду Создать задачу. 2. В появившемся окне Создание задачи на вкладке Общие введите название задачи, ее описание (если нужно). 3. Нажав кнопку Изменить можно выбрать учетную запись, от имени которой будет запущена задача. На рис. 3.9 задача будет выполняться от имени администратора. 130 Глава 3. Автоматизация административных зада 0 Создание задачи X Изменить». При выполнении задачи использовать следующую учетную запись пользователя: ЕХАМР1Е\Администратор Выполнять только для пользователей, вошедших в систему О Выполнять для веек пользователей Не сохранять пароль. Будут доступны ресурсы только локального компьютера. ЕН Выполнить с наивысшими правами Q Скрытая задача Настроить для: Windows Vista™. Windows Server™ 2003 ОК Отмена Рис. 3.9. Создание задачи 4. Выберите, для кого нужно выполнять эту задачу - только для пользователей, вошедших в систему или для всех пользователей. 5. Перейдите на вкладку Триггеры и нажмите кнопку Создать. Триггеры позволяют определить, когда именно будет выполнена задача. 6. В окне Создание триггера определите, когда именно будет выполнена задача: » Однократно - задача будет выполнена один раз в указанное время. » Ежедневно - задача будет выполняться каждый день в указанное время. » Еженедельно - задача будет выполняться раз в неделю в указанное время. » Ежемесячно - задача будет выполняться раз в месяц в указанное время. 7. Определите другие параметры триггера, например, задайте срок действия задания. После того, как будете готовы, нажмите кнопку ОК. 8. Перейдите на вкладку Действия и нажмите кнопку Создать. [ 131 , Справочник системного администратора 9. В окне Создание действия выберите тип действия: » Запуск программы - единственное рекомендуемое действие. » Отправить сообщение электронной почты - данное действие не рекомендуется Microsoft. » Вывести сообщение - пользователю будет выведено сообщение в указанное время (не рекомендуется) 10. Установите параметры, в зависимости от выбранного действия. Для запуска программы нужно указать путь к программе и задать (если нужно) аргументы и рабочий каталог. 11. Нажмите кнопку ОК. 12. Перейдите на вкладку Условия и задайте условия, определяющие необходимость выполнения задачи: » Запускать задачу при простое компьютера - будет ли задача запущена при простое компьютера. » Останавливать при выходе из простоя - выполнение задачи будет прервано, как только компьютер выйдет из состояния простоя (пользователь пошевелит мышкой или нажмет любую клавишу). » Перезапускать при возобновления простоя - задача будет перезапущена, если простой возобновится. » Запускать только при питании от электросети - актуально для ноутбуков, чтобы не увеличивать разряд аккумулятора. » Останавливать при переходе на питание от батарей - если выполнение задачи началось, а затем компьютер перешел на питание от батарей, выполнение задачи будет приостановлено. » Запускать только при подключении к следующей сети - позволяет выбрать сеть, при подключении к которой будет выполнено задание. Для серверов этот параметр неактуальный, поскольку они, как правило, подключены к одной и той же сети. 13. Перейдите на вкладку Параметры и установите дополнительные параметры задачи: » Выполнять задачу по требованию - позволяет настроить запуск задания по требованию (то есть, вручную) до или после назначенного запуска. » Немедленно запускать задачу, если пропущен плановый запуск -если случилось так, что задача не была выполнена, например, из-за Глава 3. Автоматизация административных зада' отключения электричества, то этот параметр позволит сразу же, кая только появится возможность, выполнить задачу. » При сбое выполнения перезапускать через - позволяет перезапустить задачу, если произошел сбой. » Останавливать задачу, выполняемую дольше - если выполнение задачи заняло больше указанного промежутка времени, ее выполнение будет прервано. » Принудительная остановка задачи, если она не прекращается пс запросу - если задача не реагирует на «мягкий» останов, она будет остановлена принудительно. » Если повтор задачи не запланирован, удалять через - позволяет удалить задачу, если не запланирован ее повтор. » Если задача уже выполняется, то применять правило - позволяет применить одно из правил к задаче, если она уже выполняется. Допустим, вы создали задачу, которая должна выполняться каждый час. Нс выполнение задачи заняло более часа, поэтому она еще выполняется но пришло время снова выполнить ее. По умолчанию применяется правило Не запускать новый экземпляр, что позволит не запускатт задачу снова, если она еще выполняется. 14. Нажмите кнопку ОК для создания задачи. Мы рассмотрели основные вопросы, связанные с автоматизацией административных задач. В следующей главе мы рассмотрим основы безопасности Windows Server. £ 133 Глава 4. Основы безопасности Windows Server Глава 4. Основы безопасности Windows Server Методы обеспечения безопасности важны для успешного системного администрирования. Существуют два ключевых способа сконфигурировать настройки безопасности: использование шаблонов безопасности и политик безопасности. 4.1. Шаблоны безопасности 4.1.1. Введение в шаблоны безопасности Шаблоны безопасности предоставляют централизованный способ управления настройками, связанными с безопасностью рабочих станций и серверов. Можно использовать шаблоны безопасности для применения их к определениям групповой политики на конкретных компьютерах. Данные определения политики обычно влияют на следующие политики. • Политики учетных записей. Контролируют безопасность для паролей, учетных записей пользователей и безопасность Kerberos. • Локальные политики. Управляют аудитом, назначением прав пользователям и другими настройками безопасности. • Политики протоколирования событий. Управляют безопасностью для протоколирования событий. f 135 Справочник системного администратора • Политики ограниченных групп. Управляют безопасностью локальной группы. • Политики системных служб. Контролируют безопасность и режим запуска локальных служб. • Политики файловой системы. Контролируют безопасность для файлов и папок локальной файловой системы. • Политики реестра. Контролируют права доступа на ключах реестра, связанных с безопасностью. Работа с шаблонами безопасности — сложный процесс, состоящий из следующих шагов: 1. Используйте оснастку Шаблоны безопасности для создания нового шаблона или выбора существующего шаблона, который нужно изменить. 2. Используйте оснастку Шаблоны безопасности для внесения необходимых изменений в настройки шаблона и для сохранения изменений. 3. Используйте оснастку Анализ и настройка безопасности для анализа различий между выбранным шаблоном и текущими настройками компьютерной безопасности. 4. При необходимости пересмотрите шаблон после того, как найдете различия между настройками шаблона и текущими настройками компьютера. 5. Используйте оснастку Анализ и настройка безопасности для применения шаблона и перезаписи существующих настроек безопасности. При работе с шаблонами безопасности нужно определить, можно ли использовать существующий шаблон в качестве отправной точки. Другие администраторы, возможно, тоже создали шаблоны или у организации есть базовые шаблоны, которые нужно использовать. Также можно создать новый шаблон и принять его в качестве начальной точки. Примечание. Шаблоны безопасности доступны во всех инсталляциях Microsoft Windows Server и могут быть импортированы в любой объект групповой политики. Шаблоны безопасности применяются только к области Конфигурация компьютера групповой политики. Они не применяются к области Конфигурация пользователя. В групповой политике вы найдете применяемые параметры в Конфигурация ком- Глава 4. Основы безопасности Windows Servei] пьютера\Конфигурация Windows\riapaMeTpbi безопасности. Некоторые параметры безопасности не включены, например, те, которые применяются к беспроводным сетям, публичным ключам, ограничениям программного обеспечения и IP-безопасности. Когда вы начинаете работать с шаблонами безопасности, вы должны определить, можете ли вы использовать существующий шаблон в качестве начальной точки. Другие администраторы, возможно, тоже создали шаблоны или у вашей организации есть базовые шаблоны, которые вы должны использовать. Вы также можете создать новый шаблон и использовать его в качестве начальной точки. Совет. Если вы выбираете шаблон, который вы хотите использовать в качестве начальной точке, вы должны пройти через каждую установку, которую применяет шаблон. Оценит, как эта установка влияет на вашу среду. Если установка не целесообразна, вы должны изменить или удалить ее. Не используйте оснастку Шаблоны безопасности для применения шаблонов. Для применения шаблонов нужно использовать оснастку Анализ и настройка безопасности. Также вы можете использовать эту оснастку для сравнения настроек шаблона с текущими настройками компьютера. Результаты анализа выделяют области, где текущие настройки не соответствуют настройкам в шаблоне. 4.1.2. Использование оснасток «Шаблоны безопасности» и «Анализ и настройка безопасности» Вы можете открыть оснастки Шаблоны безопасности и Анализ и настройка безопасности (рис. 4.1) так: 1. Запустите консоль управления Microsoft (команда шшс). Один из способов сделать это - нажать клавишу Windows, ввести mmc.exe и нажать Enter. 2. В консоли управления выберите команду Файл, Добавить или удалить оснастку. Справочник системного администратора Добавление и удаление оснасток Вы можете выбрать оснастки для этой консоли ю доступных на компьютере оснасток и затем настроить их. Для расширяемых оснасток можно настроить требуемое расширение. Доступные рснастки: Оснастка Поставщик ^Анализ и настрой. . Корпорация. ЗЭДиспетчер автори... Корпорация... jlДиспетчер служб... Microsoft Со... Л Диспетчер устрой... Корпорация. Локальная архив. (с) Кор пора... ^Локальные польз... Microsoft Со... ]£ Маршрутизация и... Microsoft Со... Монитор IP-безол... Microsoft Со... ЙР Монитор брандма... Microsoft Со- общив папки Microsoft Со... Папка Корпорация... О Планировщик зад... (с) Корпора... j Просмотр событий (с) Корпора... Редактор объекте... Microsoft Со... Изменить расширения— Дополнительно. вверх В-на Описание: “Анализ и настройка безопасности" • это оснастка ММС, позволяющая анализировать и настраивать параметры безопасности на компьютерах Windows с помощью файлов шаблонов безопасности. i ОК Отмена Рис. 4.1. Добавление оснастки Шаблоны безопасности в консоль mmc 3. В окне Добавление и удаление оснасток выберите Шаблоны безопасности и нажмите Добавить 4. Выберите Анализ и настройка безопасности, нажмите Добавить, потом нажмите ОК По умолчанию, оснастка Шаблоны безопасности ищет шаблоны в каталоге %SystemDrive%\Users\%UserName%\Documents\Security\Templates. Вы можете добавить другие пути для поиска шаблонов с помощью следующих действий: 1. Выберите оснастку Шаблоны безопасности в ММС, из меню Действие выберите команду Новый путь для поиска шаблонов. 2. В окне Обзор папок выберите папку с шаблонами, например, %System-Root%\security\templates\policies, и нажмите ОК. Теперь, когда вы определили местоположение для поиска шаблонов, с которыми вы будете работать, выберите шаблон и просмотрите его настройки. Если готовых шаблонов пока нет, самое время их создать. Создать новый шаблон можно так: " 138 j Глава 4. Основы безопасности Windows Server 1. В оснастке Шаблоны безопасности щелкните правой кнопкой мыши по пути, в котором нужно создать шаблон и выберите команду Создать шаблон. 2. Введите имя и описание шаблона в появившемся окне. 3. Нажмите ОК для создания шаблона. Будет создан шаблон, но ни один из параметров не будет настроен, поэтому вам нужно внимательно настроить шаблон перед его использованием. 4. После того, как вы измените настройки шаблона, щелкните на его названии и выберите команду Сохранить. Альтернативно, вы можете использовать команду Сохранить как, чтобы назначить шаблону новое имя. Рис. 4.2. Шаблон Server создан 4.1.3. Изменение настроек для политик учетных записей, локальных политик и журнала событий Настройки политики учетных записей (узел Политики учетных записей) контролируют безопасность паролей, блокировки учетных записей, а также безопасность Kerberos. Параметры локальных политик (узел Локальные политики) контролируют безопасность для аудита, назначения прав пользователям и другие параметры безопасности: Параметры журнала событий (узел Журнал событий) контролируют безопасность журнала событий. Настройки политики учетных записей, локальных политик и журнала безопасности можно изменить с помощью следующих действий: Справочник системного администратора 1. В оснастке Шаблоны безопасности разверните нужный узел, азатем выберите соответствующий подузел, например, Политика паролей или Политика блокировки учетной записи. 2. На правой панели параметры политики выводятся в алфавитном порядке. Значение в колонке Параметр компьютера отображает текущее значение. Если шаблон изменяет настройки так, что политика больше не определена, в этом колонке будет значение Не определено. 3. Дважды щелкните на параметре, чтобы отобразить диалог Свойства, изображенный на рис. 4.3. Для определения назначения параметра перейдите на вкладку Объяснение. Для определения политики в шаблоне включите флажок Определить следующий параметр политики в шаблоне. Для отмены применения политики, снимите этот флажок. Свойства: Минимальная длина пароля Параметр шаблона политики безопасности Объяснение Минимальная длина пароля [^Определить следующий параметр политики в шаблоне Длина пароля не менее ОК | Отмена Применить Рис. 4.3. Изменение настроек шаблона 4. Если вы включите настройку политики, укажите ее значение и любые другие дополнительные параметры 5. Нажмите ОК для сохранения изменений. Вы увидите диалог Suggested Value Changes, показанный на рис. 4.4. Этот диалог информирует вас о других значениях, которые изменены на основании измененных вами 140 Глава 4. Основы безопасности Windows Seiver Предлагаемые изменения значений Так как значение "Пороговое значение блокировки" изменено на "5 ошибок входа в систему” следующие элементы получат предлагаемые значения. Предлагаемое знамен. 30 мин. 30 мин ОК | Отмена Рис. 4.4. Предлагаемые значения значений. Например, когда вы изменяете настройки Пороговое значение блокировки, Windows также может изменить настройки Время до сброса счетчика блокировки и Продолжительность блокировки учетной записи. 4.1.4. Настройка групп с ограниченным доступом Настройки политики групп с ограниченным доступом управляют списком членов групп, а также группами, к которым принадлежит настроенная группа. Вы можете настроить ограниченную группу так: 1. В оснастке Шаблоны безопасности выберите узел Группы с ограниченным доступом. На правой панели вы увидите уже настроенные группы с ограниченным доступом в алфавитном порядке. Также перечислены члены группы. 2. Для добавления ограниченной группы щелкните правой кнопкой мыши по узлу Группы с ограниченным доступом и выберите команду Добавить группу. В диалоге Добавление группы нажмите кнопку Обзор. 3. В диалоге Выбор: «Группы» введите группу, которую вы хотите ограничить или нажмите Проверить имена. Если будет найдено несколько совпадений, выберите учетную запись, которую вы хотите использовать и затем нажмите ОК. Если совпадения не будут найдены, измените введенное вами имя и попытайтесь поискать снова. Повторите этот шаг столько раз, сколько будет необходимо, затем нажмите ОК. 4. В диалоге Свойства, показанном на рис. 4.5, вы можете использовать опцию Добавить членов группы для добавления членов в группу. Нажмите кнопку Добавить членов группы, а затем укажите членов группы. Если в группе не должно быть никаких членов, выделите все члены и нажмите Удалить. Любые члены, которые не определены в установке Справочник системного администратора IISJUSRS Свойства ? X Настройка членства для IISJUSRS Члены этой группы <Эта группа должна быть пустой> I Добавить членов группы.. | Эта группа входит в «Группы которым принадлежит эта группа не должны изненяться> Добавить группы ОК Отмена Применить Рис. 4.5. Свойства группы политики для ограниченной группы, будут удалены при применении шаблона безопасности. 5. В диалоге Свойства нажмите кнопку Добавить группы для указания групп, к которым эта группа будет принадлежать. Если вы не определяете членство в группах, группы, которым принадлежит эта группа, не будут изменены при применении шаблона. 6. Нажмите ОК для сохранения настроек. Для удаления ограниченной группы выполните эти действия: 1. В оснастке Шаблоны безопасности, выберите узел Группы с ограниченным доступом. На панели справа будут в алфавитном порядке выведены группы. Члены группы будут выведены напротив имени группы. 2. Щелкните правой кнопкой мыши (или нажмите и удерживайте имя группы пальцем) и выберите команду Удалить. Когда вас попросят подтвердить действие, нажмите Да. Глава 4. Основы безопасности Windows SeiA/er 4.1.5. Включение, отключение и настройка системных служб Настройки политики для системных служб контролируют общую безопасность и режим запуска локальных служб. Вы можете включить, выключить и настроить системные службы: 1. В оснастке Шаблоны безопасности выберите узел Системные службы. На панели справа будут отображены установленные в данный момент службы, выводится имя службы, тип запуска и настройка разрешений. Когда работаете со службами, помните следующее: » Если шаблон не изменяет тип запуска службы, в колонке Автозагрузка выводится Не определено. В противном случае выводится одно из следующих значений: Автоматически, Вручную, Отключен. » Если шаблон не изменяет конфигурацию безопасности службы в колонке Разрешение, выводится значение Не определено. В противном случае выводится Настроено. 2. Дважды щелкните по записи службы, чтобы открыть ее диалог Свойства, изображенный на рис. 4.6. Чтобы определить и применить параметры политики, включите флажок Определить следующий параметр политики в шаблоне. Для очистки политики и отмены ее применения, снимите этот флажок. Свойства: DHCP-клиент ? X Параметр шаблона политики безопасности 1 DHCP-клиент [^]^пределить^ледук»ций_гараметр политики в шаблоне, Выберите режим запуска службы Q) автоматический Вручную •^Запрещен Изменить параметры. ОК | Отмена Применить Рис. 4.6. Изменяем настройки шаблона для системных служб Справочник системного администратора 3. Если вы включите настройку политики, укажите тип запуска службы: Автоматический, Вручную, Запрещен. Помните следующее: » Автоматический - служба будет запущена автоматически при запуске операционной системы. Выберите эту установку для важных служб, которые точно безопасны. Эти службы будут запущены на всех компьютерах, к которым применяется шаблон безопасности, если, конечно, службы установлены на этих компьютерах. » Вручную - предотвращает автоматический запуск службы, но разрешает запуск службы вручную пользователем, приложением или другой службой. Выберите эту установку, когда нужно ограничить ненужные или неиспользуемые службы или когда вам нужно ограничить службы, которые не совсем безопасны. » Запрещен - предотвращает запуск службы, автоматический или ручной. Выберите эту установку для службы, запуск которой вы хотите запретить. 4. Если вы хотите изменить (или просто просмотреть) конфигурацию безопасности, нажмите кнопку Изменить параметры. Появится диалог Безопасность для <Название службы>, в котором вы сможете установить разрешения для определенных пользователей и групп, которые могут запускать, останавливать и приостанавливать службу на компьютере. 5. Нажмите ОК. 4.1.6. Настройка параметров безопасности для реестра и файловой системы Настройки политик для файловой системы контролируют безопасность для файлов и папок в локальной файловой системе. Параметры политик для реестра контролируют значения ключей реестра, связанных с безопасностью. Вы можете просмотреть или изменить параметры для определенных в данный момент ключей реестра и путей файловой системы с помощью следующих действий: 1. В оснастке Шаблоны безопасности выберите узел Реестр или Файловая система, в зависимости от того, с чем вы хотите работать. На правой панели будет выведен список всех защищенных путей. Для добавления пути в список щелкните правой кнопкой мыши на узле Реестр или Файловая система и выберите команду Добавить раздел или Добавить файл соответственно. Глава 4. Основы безопасности Windows Server S*? *wtip №КДЛ( к;й iX ₽И’,ВД ©ел. Ш Файл Действие Вид Избранное Окно Спмвк» Пс а В_______________& Корен» консоли . Ь Аиалив и м*стро*>« безопасности ,* || Шаблоны безопасности IV S СЧЬегс\Администрагор\0оалт>епО\ v i Serve * Л Политики учетных записей > Л Политика паролей 3 Политика блокировки учетн I > > Политика Кегбетоз > J Локальные-олитихл 3 Журнал событий Д Групгтыс ограничите**! доступ А Системные службы <1 Реестр > < Файловая систем» 4 SOFTWARE &£• Na*r«Mraa ооес Выбранный роздал •^Настроить »тот роздал Действий Peeclp X Дополнительны* _ наследуемым*» Рис. 4.7. Измените параметры шаблона для файлов и ключей реестра 2. Дважды щелкните на пути реестра или файловой системы для просмотра его параметров, как показано на рис. 4.7. 3. Чтобы убедиться, что путь или ключ не заменяется, выберите Запретить замену разрешений в этом разделе, а затем нажмите ОК. Пропустите оставшиеся шаги этой процедуры. 4. Чтобы заменить разрешения выберите Настроить этот раздел, а затем одну из двух опций: » Распространить наследуемые разрешения на все подразделы (или соответствующее название для файлов) - выберите эту опцию для применения всех наследуемых разрешений к этому пути реестра или файловой системы и ко всем вложенным путям реестра/файловой системы. Существующие разрешения будут заменены только, если они конфликтуют с разрешениями безопасности для этого пути. » Запретить текущие разрешения во всех подразделах наследуемыми (или соответствующее название для файлов) - выберите эту опцию для замены всех существующих разрешений для этого пути реестра или пути файловой системы и для всех вложенных путей реестра или путей файловой системы. Любые существующие разрешения будут удалены, останутся только текущие разрешения. 145 Справочник системного администратора 5. Нажмите Изменить параметры. В диалоге Безопасность базы данных для настройки разрешения безопасности для пользователей и групп. Установка разрешений подобна аналогичной процедуре для файлов/па-пок на файловой системе NTFS. 6. Нажмите ОК дважды для сохранения изменений. 4.1.7. Анализ, просмотр и применение шаблонов безопасности Как было указано ранее, оснастка Анализ и настройка безопасности используется для применения шаблонов и для их сравнения с текущими настройками компьютера. Применение шаблона позволяет удостовериться, что параметры шаблона были применены к конфигурации компьютера. Сравнение настроек может помочь идентифицировать любые несоответствия между тем, что реализовано в настоящее время и что определено в шаблоне безопасности. Это может также быть полезно, чтобы определить, изменялись ли настройки безопасности в течение долгого времени. Основной недостаток использования оснастки Анализ и настройка безопасности в том, что вы не можете сконфигурировать несколько компьютеров сразу. Вы можете настроить безопасность только на компьютере, на котором вы запускаете оснастку. Если нужно использовать этот инструмент, чтобы развернуть конфигурации безопасности, вы должны войти в систему и запустить ее на каждом компьютере. Этот метод нормально работает на автономных компьютерах, но является далеко не самым оптимальным в домене. В домене вам нужно импортировать настройки шаблонов в объект групповой политики и затем развернуть конфигурацию безопасности сразу на множестве компьютеров. Об этом мы поговорим позже. Оснастка Анализ и настройка безопасности использует базу данных для хранения настроек шаблона безопасности и затем применяет настройки из этой базы данных. Для анализа и сравнения настройки шаблона перечислены как настройки базы данных, а конфигурация компьютера - как настройки компьютера. Имейте в виду, что если вы активно редактируете шаблон в оснастке Шаблоны безопасности, вам нужно сохранить шаблон, чтобы изменения могли быть проанализированы и использованы. После создания шаблона (или выбора существующего шаблона), вы можете проанализировать и затем настроить шаблон следующим образом: 1. Откройте оснастку Анализ и настройка безопасности Глава 4. Основы безопасности Windows Served 2. Щелкните правой кнопкой мыши на Анализ и настройка безопасности, затем выберите команду Открыть базу данных. Будет открыт одноименный диалог. 3. По умолчанию путь в диалоге Open Database будет установлен в %Sys-temDrive%\Users\%UserName%\Documents\Security\Database. При необходимости смените каталог. В поле Имя файла введите описывающее имя базы данных, например, Сравнение конфигурации, и нажмите Открыть. База данных безопасности будет создана в формате Security Database Files (расширение .sdb) 4. Откроется окно Импорт шаблона. По умолчанию путь для поиска шаблонов - %SystemDrive%\Users\%UserName%\Documents\Security\ Templates. При необходимости вы можете перейти в другую папку. Выберите шаблон безопасности, который вы желаете использовать и нажмите Открыть. Файл шаблона безопасности имеет расширение .inf. 5. Щелкните правой кнопкой мыши по узлу Анализ и настройка безопасности и выберите команду Анализ компьютера. Когда вас попросят установить путь для журнала, нажмите ОК, чтобы использовать путь по умолчанию. 6. Дождитесь, пока оснастка выполнит анализ шаблона. Если во время анализа произойдет ошибка, вы сможете просмотреть журнал ошибок, щелкнув правой кнопкой мыши по Анализ и настройка безопасности и выбрав команду Показать файл журнала. Когда вы работаете с оснасткой Анализ и настройка безопасности, вы сможете просмотреть разницу между настройками шаблона и текущими настройками компьютера. Как показано на рис. 4.8, настройки шаблона выводятся в колонке Параметр базы данных, а настройки компьютера - в Параметр компьютера. Если настройка не анализируется, выводится Не определено. Внести изменения в базу данных (то есть изменить значение в колонке Параметр базы данных) можно следующим образом: 1. В оснастке Анализ и настройка безопасности дважды щелкните на значении, которое вы хотите изменить 2. В диалоге Свойства (рис. 4.9) выводится текущее значение, установленное в настройках компьютера. Если назначение параметра вам непонятно, перейдите на вкладку Объяснение. Справочник системного администратора Консоль! - [Корень консолиХАнвлиэ и настройка 6сэол*атости\Политики учетных мписеР\Полип«ка паролей] .* £ай.Ч Действие Дид Избранное Окно Оправка >- е х в Корень консоли J3 Анализ и настройка безопасности ~ О Политики учетных записей Политика паролей > J Политика блокировки учетной записи Локальные политики к Журнал событий Д Группы с ограниченным доступом а Системные службы Толитика ввести журнал паролей л. Максимальный срок действия пароля Минимальная длина пароля Минимальный срок действия пароля Пароль должен отвечать требованиям слож_ Хранить пароли, используя обратимое шиф_ Параметр баз. Не определено Не определено не с пред едено Не определено Не определено Параметр момпь.. О сохраненных п*~ О АН Включен Отключен 4 Файловая система м (S Шаблоны безопасности * 4 C-\U*enWMHKHCTpaTop\Documene\Securit > Т Server Рис. 4.8. Просмотрите разницу между настройками шаблона и компьютера Свойства: Максимальный срок действия паооля ? X Анализируемый параметр политики безопасности Объяснение ,f Максимальный срок действия пароля Параметр компьютера Срок истечения действия пароля: [?2дн. распределить следующую политику в базе данных:' Срок истечения действия пароля: 42 t ЛН Этот пор 1м«тр влияет только на базу данных Он не изг еняет текущие параметры компьютера OK I Отмена Применить Рис. 4.9. Изменение настройки политики в базе данных перед применением шаблона 148 Глава 4. Основы безопасности Windows Server 3. Для определения значения политики включите флажок Определить следующую политику в базе данных. Для очистки политики и отмены ее применения, выключите этот флажок. 4. Если вы включаете настройку политики, укажите, как значение политики должно использоваться, указав любые дополнительные параметры 5. При необходимости повторите этот процесс. Для сохранения изменений в базе данных щелкните правой кнопкой по узлу Анализ и настройка безопасности и выберите команду Сохранить. Когда вы будете готовы применить шаблон, щелкните правой кнопкой мыши по узлу Анализ и настройка безопасности и выберите команду Настроить компьютер. Когда вас попросят ввести путь к журналу ошибок, нажмите ОК для использования пути по умолчанию. Для просмотра журнала ошибок щелкните правой кнопкой мыши по узлу Анализ и настройка безопасности и выберите команду Показать файл журнала. Обратите внимание на любую проблему и примите соответствующие меры. 4.2. Политики, на которые стоит обратить внимание 4.2.1. Удаляем лишние команды из Проводника Откройте редактор групповой политики (команда gpedit.msc) и перейдите в раздел Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Проводник (рис. 4.10.). Как видите, есть много полезных и не очень политик. Рассмотрим несколько полезных. Так, политика Скрыть выбранные диски из окна «Мой компьютер* (рис. 4.11) позволяет удалить значки выбранных дисков из окна Этот компьютер (в последних версиях Windows это окно называется именно так). Впрочем, если пользователь окажется умным и введет путь диска (например, D:\) в окне Проводника, он сможет получить доступ к нему. Для таких умных пользователей предназначена политика Запретить доступ к дискам через «Мой компьютер* (рис. 4.12). Справочник системного администратора Редактор локжлыюй групповой политики Действие Дид [правка «* Т В Т Windows Jfawe-Jwi * Глюкам Быстрый поиск _ . Чтобы просисгреть «ад* с Гижтрлочтпом 11ИВ „ ио. Диспетчер вложений Диспетчер окон рабочего стом Добавить компоненты г Windows К Запуск при первом вкжочении юнг Звукозапись календарь Windows Консоль управления {MMQ Магазин Найти Общий сетевой доступ Отзыв файлов Отчеты об ошибка* Windows Параметры входа Windows Параметры презентации Планировщик заданий Планшет Политики автозапуска Пользовательский интервейс грани Пользовательский интерфейс учетн Проводнк Проигрыватель Windows Ме-Ъа * Рабочие папки Рас- овожение и датчики Редактор метода ввода < _____> Расширенный 47 параметров Состояние Состояние Комментарий Общее дче теговое окно открытия файлов Панель кадра проводника Предыдущие версии ! ' Откяочить отображение эскизов и отобрми Не задана Нет ЬОткяочип отображение эскизов и сгображ- Не задана Нет т, Откяочить кэширование эскизов в скрытых. Не задана нет Г Не показывать центр начальной настройки. не задана Нет Включить классическую оболочку Не задана Нет Ц Запрашивать подтверждение при удалении. Не задана Нет А, Место, где располагаются все файлы спреде.. Не задана Нет г Отключить прямую привязку к IPropenySeCSt. Не задана Нет :. Отключить возможности библиотеки W>ndo_ Не задана Нет .1 Отключить известные папки Не задана нет у;. Отключить отображение предыдущих поиск. Не задана Нет А. Разрешить использование талы» пользоеат.. Не задана Нет si. Запускать проводник со свернутой лентой Не задана Нет aL Отключить отображение ♦рагчентив в режи.. Не задан* Нет Ж. Не отслеживать ярлыки оболсмги при пере.. Не задана Нет Ж. Максимальная длина списка «Недавние локу^ Не задана Нет £ Удалить возможности записи компакт дисков не задана Нет й. Опсьочить кэширование эскизов изображен. Не задана Нет 1 Запретить изменение видеоэвфектов для ме_ Не задана Нет .г Запретить изменение указателя клввиатурно. не задана нет Уля)'*т^.вяла«* DPS . , _ HejjMja _ . , нет .... iJ Рис. 4.10. Параметры Проводника Рис. 4.11. Ограничиваем доступ пользователей к определенным дискам 150 Глава 4. Основы безопасности Windows Server Рис. 4.12. Запретить доступ к дискам Неплохо было бы еще и запретить пользователю использовать окно Выполнить (открывается при нажатии Win + R). Для этого нужно включить политику Отключить сочетания клавиш Windows + X. Правда, эта политика «убьет» все сочетания, в том числе и Win + R, но отдельной политики, которая бы отключала отдельные команды, в современных версиях Windows нет (хотя раньше была политика, скрывающая команду Выполнить) 4.2.2. Запрещаем доступ к командной строке и PowerShell Окно Выполнить используют самые начинающие пользователи. Продвинутые пользователи используют или командную строку, или PowerShell. Запретить пользователям использовать командную строку можно с помощью политики Конфигурация пользователя, Административные шаблоны, Система, Запретить использование командной строки (рис. 4.13). Также включите опцию Запретить также обработку сценариев в командной строке, чтобы нельзя было запускать сценарии командной строки. 151 Справочник системного администратора % Запретить использование командной строки Запретить испольюмние командной строки Предыдущий параметр □ X Следующий параметр О tie задано Комментарий: •• Включено Q Отключено Треб овния к версию Не ниже Window» 2000 Параметры- I Звпреппь также обработку сценариев в командной строке? Да Этот параметр политики запрещает пользователям запускать окно командной строки Cmd.exe, Этот параметр политики также определяет, могут ли на этом компьютере выполняться пвкетмые файлы (-CMD и ВАТ) [ Если этот параметр политики «ключей и пользоввтел* пытается открыть окно командной строки, система выводит I сообщение о том, что это действие запрещено. Если этот параметр политики отключен или не настроен, пользователи могут выполнять Cmd.exe и пакетные файлы в обычном режиме. I Примечание. Не следует запрещать выполнение пакетных файлов на компьютере если на нем применяются сценарии •хода, выхода, автоматического запуска или завершения работы, а также пользователям, использующим службы | удаленных рабочих столов. OK I Отмена применить Рис. 4.13. Запрещаем использование командной строки Отдельной политики, запрещающей запуск PowerShell, нет, но есть политика, запрещающая запуск определенных приложений. Она называется Не запускать указанные приложения Windows и находится все в том же разделе Система. Включите ее и запретите запуск powershell.exe and powershell ise. ехе (рис. 4.14). Также, пока вы еще не «ушли» из раздела Система, неплохо было бы запретить запуск редактора реестра. Для этого включите политику Запретить доступ к средствам редактирования реестра. 152 Глава 4. Основы безопасности Windows Server Рис. 4.14. Запрет запуска PowerShell 4.2.3. Максимальное время работы пользователя Политика Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Ограничение сеансов по времени, Задать ограничение по времени для активных сеансов служб удаленных рабочих столов позволяет задать максимальную продолжительность сеанса. Ее можно установить, например, в 8 часов. К сожалению, ничто не помешает пользователю снова залогиниться на сервере. Ограничить время входа на сервер можно только с помощью оснастки Пользователи и компьютеры Active Directory, но далеко не все терминальные серверы являются контроллерами домена, к сожалению. Разворачивать контроллер домена только ради этой функции не хочется (например, если терминальный сервер у вас используется только ради совместного доступа к 1С, нет смысла настраивать контроллер домена). L153. Справочник системного администратора Задать ограничение по времени для активных сеансов служб удаленных рабочих столов □ X Задать ©граничение по времени для активных сеансов служб удаленных рабочих столов Пр^дыдуший параметр Следующий параметр ОНеимно ~ кем»!»* у» включено О фкяючено Требования к версии Не ниже операционных систем Windows Server 2003 или ¥/indow$ ХР Professional Параметры: Справка. Ограничение активного сеанса в часов v Этот параметр позволяет задать максимальный период времени, в течение которого сеанс служб удаленных рабочих столов может оставаться активным, прежде чем будет автоматически отключен Если вы включаете этот параметр политики необходимо выбрать требуемое ©граничение по времени г списке ограничений для активных сеансов Службы удаленных рабочих столов автоматически отключают активные сеансы по истечении указанного времени. За две минуты до отключение сеанса служб удаленных рабочих столов пользователь получает пред преждемме, после которого ©и может сохранить открытые файлы и закрыть программы. Для консольного сеанса ограничения по времени к Рис. 4.15. Ограничиваем время сеанса Рис. 4.16. Установка времени входа учетной записи 154 Глава 4. Основы безопасности Windows Server 4.2.4. Отключение элементов панели управления С помощью групповых политик можно отключить некоторые элементы панели управления. В разделе Конфигурация пользователя, Административные шаблоны, Панель управления находятся две замечательных политики - Скрыть указанные элементы панели управления и Запретить доступ к панели управления и параметрам компьютера. Первая позволяет запретить выбранные элементы панели управления, а вторая вообще запрещает доступ к панели управления и к параметрам компьютера. 4.3. Настройка межсетевого экрана с помощью групповых политик В последних версиях Windows брандмауэр по умолчанию включен. Однако его параметры, установленные по умолчанию, удобны не для всех: защита активна, но задействованы исключения, обеспечивающие работу компьютера в локальной сети. В сетях с развернутыми системами управления брандмауэр будет блокировать доступ таких программ. Не будет обеспечиваться и должный уровень защиты в публичных сетях. Именно поэтому брандмауэры Windows нуждаются в централизованной настройке с помощью групповых политик. Параметры настройки групповой политики брандмауэра Windows можно найти по следующему пути: Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Защитника Windows (рис. 4.17). В политике Брандмауэр Защитника Windows вы найдете контейнеры Профиль домена и Стандартный профиль. Первый используется при работе компьютера в домене, а второй — когда компьютер подключен к сети, где нет домена Windows. Если на предприятии внедрена система удаленного мониторинга, то нужно открыть для этой программы все порты и включить опцию Разрешать исключения для удаленного управления — что даст возможность управления через удаленную консоль. Для стандартного профиля нужно запретить использование всех исключений брандмауэра, потому что такой вариант является самым безопасным для публичной сети, а мы организуем сеть предприятия. [ 155 ' Справочник системного администратора Редактор локальной групповой политики — □ X файл Действие Вид Справка * * : < 15- Б : V ______________________ Windows Connect Now А Состояние Состояние Комментарий Автономные файлы Профиль домена Беспрозодной дисплей Стандартный профиль Диспетчер подключений Windows Браидыа^р Защитника Wndc.K-Разрешить.. Не задана Нет Индикатор состояния сетевого подк Обнаружение топологии связи (link Параметры TCP/IP Z2 Параметры взаимодействия клиент. “ IS Параметры конфигурации SSL > . Планировщик пакетов QoS Поставщик сети _ Проверка подлинности для террито СЗ Рабочая станция Lanman Сервер Lanman Сетевая изоляция * Сетевые подключения Брандмауэр Защитника Windows Служба WLAN Служба WWAN Фоновая интеллектуальная служба i v < > , , РасширенныйСтандартный 1 параметров Рис. 4.17. Настройка параметров брандмауэра Windows при помощи групповых политик Рекомендуемые настройки параметров групповой политики для брандмауэра Windows приведены в табл. 4.1. Таблица 4.1. Рекомендуемые параметры настройки брандмауэра Windows Параметр Профиль домена Стандартный профиль Защита всех сетевых подключений Включен Включен Не разрешать исключения Не задан Включен, и настроены исключения для используемых программ Определение входящих исключений программ Включен, и настроены исключения для используемых программ Включен, и настроены исключения для используемых программ Разрешить локальные исключения программ Отключен Отключен 156 Глава 4. Основы безопасности Windows Server Разрешить входящее исключение удаленного администрирования Отключен Отключен Разрешает исключение для входящего общего доступа к файлам и принтерам Отключен Отключен Разрешить исключения ICMP Отключен Отключен Разрешить вводящие исключения удаленного рабочего стола Включен Включен Разрешить исключения входящего трафика для UPnP Отключен Отключен Запретить уведомления Отключен Отключен Разрешить ведение журнала Не задан Не зад ан Запретить одноадресные ответы на многоадресные или широковещательные запросы Включен Включен Определять входящие исключения портов Отключен Отключен Разрешить локальные исключения портов Отключен Отключен 157 Часть II. Служба каталогов Вторая часть посвящена ActiveDirectory. В ней мы рассмотрим разворачивание службы каталогов, основные задачи администрирования, поговорим об управлении учетными записями пользователя и группы и попытаемся интегрировать в состав домена AD машину под управлением Linux. Доменные службы Active Directory (Active Directory Domain Services, AD DS) — расширяемая и масштабируемая служба каталогов, которую можно использовать для активного управления сетевыми ресурсами. Администратору нужно четко понимать, как работает Active Directory. Данная технология усовершенствована и имеет множество функций. Глава 5. Разворачивание Active Directory Глава 6. Основы администрирования AD Глава 7. Управление учетными записями пользователя и группы Глава 8. Подключаем Linux к Windows-инфраструктуре Глава 5. Разворачивание Active Directory 2 правочник системного администратора 5.1. Введение в Active Directory Active Directoiy — сердце доменов на базе Microsoft Windows. Практически любая административная задача в той или иной мере затрагивает Active Directoiy. Технология Active Directoiy основана на стандартных интернет-протоколах и разработана для того, чтобы помочь вам определить четкую структуру вашей сети. Служба каталогов Active Directoiy использует систему доменных имен (Domain Name System, DNS). DNS — это стандартный интернет-сервис, объединяющий группы компьютеров в домены. Домены DNS организованы в иерархическую структуру. Иерархия домена DNS определена на основе всего Интернета, разные уровни в иерархии идентифицируют компьютеры, объединяя их в домены и домены верхнего уровня. DNS также используется для преобразования имен узлов в числовые адреса TCP/IP. С помощью DNS, структура иерархии домена Active Directoiy может быть частью доменной иерархии Интернета или же может быть отделена от Интернета (частной). При обращении к компьютерам в домене DNS используется полное доменное имя (fully qualified domain name, FQDN), например, dev.example.com. Здесь, dev — имя отдельного компьютера, example — домен организации, а сот — домен верхнего уровня. Домены верхнего уровня (top-level domains, TLD) — база DNS-иерархии. TLD организованы по географическому признаку с использованием двухбуквенного кода страны (например, ги для Глава 5. Разворачивание Active Directory России), по типу организации (например, сот для коммерческих организаций), по функции (например, info для информационных ресурсов, org - для общественных организаций). DNS интегрируется в технологию Active Directory, причем так глубоко, что сначала нужно настроить DNS в своей сети, а затем уже устанавливать Active Directory. В случае с Windows Server 2019 процесс установки Active Directory состоит из двух частей. Первая часть - это установка программного обеспечения. Процесс установки начинается в диспетчере серверов выбором команды Добавить роли и компоненты, которая запустит Мастер добавления ролей и компонентов, используемый для установки роли Доменные службы Active Directory (рис. 5.1, рис. 5.2). В результате будут установлены двоичные файлы, необходимые для роли, а процесс установки будет показан на странице Ход установки. Ci Мастер добавления ролей и компонентов Вь бор ролей сервера КОНЕЧНЫЙ СЕРВЕР WN-LGOG8ECFFJ5 Пер*д началом работы ’ип установки Выбор «свел Выберите одну или несколько ролей для установки на этом сервере Роли Описание ₽оли сервера Комгсне-^ы □ DNS-сервер i □ Hyper-V О Аттестация работоспособности устройств г' 'Betr сервер'rttSi1 (Л 1анивлеяи 10 из О— Г~! Доменные службы Active Directory N Сяуийв еяемгне увяв ......—-.......—...- Г~! Службы Active Directory облегченного доступа « О Службы Windows Server Update Services Г~1 Службы активации корпоративных лицензий П Службы печати и документов Г~1 Службы политики сети и доступа Г~1 Службы развертывания Windows Г~1 Службы сертификатов Active Directory 0 Службы удаленных рабочих столов □ Службы управления правами Active Directory Г~1 Службы федерации Active Directory □ Удаленный доступ * I Файловые службы и службы хранилища (Устано [ 1 Факс-сервер : _ _ DHCP-сервер позволяет централизованно настраивать временные IP-адреса и связанные с ними данные, предоставлять их клиентским компьютерам а также управлять ими. < Назад Ддлее > Установить Отмена Рис. 5.1. Установка роли Доменные службы Active Directory В ходе установки вам будет сообщено, что для обеспечения отказоустойчивой работы сети нужно установить как минимум два контроллера домена и что нужно будет настроить DNS-сервер - если такая роль еще не установле- [ 161 ' Справочник системного администратора Мастер добавления ролей и компонентов X Добавить компоненты, необходимые для Доменные службы Active Directory? Вы не можете установить Доменные службы Active Directory, если также не установлены следующие службы ролей или компоненты» <• Средства удаленного администрирования сервера * Средства администрирования ролей * Средства AD DS и AD LDS Модуль Active Directory для Windows PowerShell * Средства AD DS [Средства] Центр администрирования Active Dire [Средства] Оснастки и программы командной ст| [Средства] Управление групповой политикой iV, Включить средства управления (если применимо) Добавить компоненты Отмена Рис. 5.2. Нажмите кнопку Добавить компоненты для установки необходимых для работы AD DS компонентов 1^ Мастер добавления ролей и компонентов Доменные службы Active Directory KOhEMw . й CIP8EP WN-LGOGB£CFFJS Перед началом ргбсть Тип установки Выбор сервера Роли сервера АО OS Годтвезмение Доменные службы Active Directory (AD DS) хранят сведения о пользователях, компьютерах и других устройства* сети. Они помогают администраторам безопасно управлять этими сведениями и упрощают общий доступ к ресурсам и совместную работу пользователей На что обратить внимание • Чтобы пользователи могли входить в сеть в случае отключение сервера, установите в каждом домене как минимум два контроллера домена. • Доменные службы Active Directory требуют наличия в сети установленного DNS-сервера. Если DNS-сервер не установлен будет предложено установить роль DNS-cepeepa на данном компьютере. Отдельная веб-служба Azure Active Directory предоставляет пользователям возможность упрошенного управления удостоверениями и доступом, отчетность о к безопасности, единый вход е облако и локальные веб-приложения Дополнительные сведения о Azure Active Directory Настройка Office 365 с подк-тючением Azure Active Directory i < Назад 1 1 Дале* > Рис. 5.3. На что обратить внимание при установке 162 ] Глава 5. Разворачивание Active Directory КОНЕЧНЫЙ СЕРВЕР WN-LGOG8ECFHS Перед началом работы Тип установка Выбор сервера Роля сервера Компоненты AD DS на, ее будет предложено установить на этом же компьютере (рис. 5.3). Просмотрите список устанавливаемого программного обеспечения и нажмите Установить. Все, можно сделать перерыв на кофе, а потом приступим ко второй части. L Мастер добавления ролей и компонентов — □ X I Подтверждение установки компонентов Чтобы установить на выбранном сервере следующие роли службы ролей или компоненты, нажмите кнопку ’Установить*. У Автоматический перезапуск конечного сервера, если требуется На этой странице могут быть отображены дополнительные компоненты (например, средства администрирования), так как они были выбраны автоматически. Если вы не хотите устанавливать эти дополнительные компоненты., нажмите кнопку “Назад”, чтобы снять их слежки Доменные службы Active Directory Средства удаленного администрирования сервера Средства администрирования ролей Средства AD DS и AD LDS Модуль Active Directory для Windows PowerShell Средства AD DS Центр администрирования Active Directory Оснастки и программы командной строки AD DS I Управление групповой политикой Экспорт параметров конфигурации Указать альтернативный исходный путь [^< Назад /Шее > । Установить Отмена . ие Рис. 5.4. Нажмите кнопку Установить Вторая часть развертывания - необходимо Повысить роль этого сервера до уровня контроллера домена (рис. 5.5). Нажмите данную ссылку и приступим ко второй части развертывания AD DS. Будет запущен Мастер настройки доменных служб Active Directory (рис. 5.6). Данный мастер заменяет файл Dcpromo.exe, который использовался для настройки контроллеров домена в старых версиях Windows Server. Мастер также запускает файл Adprep.exe для подготовки надлежащей схемы. Если ранее Adprep.exe не запускался отдельно, будет установлен первый контроллер домена на базе Windows Server 2019 в существующем домене/ лесу, мастер попросит ввести соответствующие учетные данные, необходимые для запуска команды Adprep. Для подготовки леса нужно предоставить учетные данные члена одной из следующих групп: Администраторы предприятия, Администраторы схемы или Администраторы домена. Для подготовки домена необходимо предоставить учетные данные члена группы Администраторы домена. При установка первого контроллера домена только ЦбГ Справочник системного администратора В. Мастер добавления ролей и компонентов Ход установки КОНЕЧНЫЙ СЕРВЕР WW-U3OG8ECFWS Резугтагы Просмотр года установки Q Установка компонента Гребуептт настройка. Установка выгюлненя на WIN-L6OGBECFW. Доменные службы Active Directory Чтобы сделать этот компьютер контроллером домена, требуются дополнительные действия. Повысить роль этого сервере до уровня контроллера домена Средства удаленного администрирования серэера Средства администрирования ролей Средства ADDS и AD LDS Модуль Active Directory для Wlndowt PowerShell Средства AD DS Центр администрирования Active Directory Этот мастер можно закрыть, не прерывая выполняющиеся задачи Наблюдайте за ходом выполнения задачи или откройте эту страницу снова, выбрав на панели команд пункт 'Уведомления', а затем ‘Сведения о задаче Экспорт параметров конфигурации < Назад J Далее > Закыть Отмене Рис. 5.5. Установка AD DS завершена L Мастер настройки доменных служб Active Directory Конфигурация развертывания □ х ЦЕЛЕВОЙ СЕРВЕР WIN-LGOGBECFFJS Конфигураци и . t Параметры контроллера... Дополнительные парам . Пути Просмотреть параметры Проверка предваритель Выберите операцию развертывания О Добавить контроллер домена в существующий домен О Добавить новый домен в существующий лес • Добавить новый дес Укажите сведения о домене для этой операции Имя корневого домена iexample.corr| Подробнее о возможных конфигурациях развертывания < Нааад | Далее > усмноонть' [ Отмена | Рис. 5.6. Мастер настройки доменных служб Active Directory 164 Глава 5. Разворачивание Active Directoiy для чтения (read-only domain controller, RODC) в лесу нужно предоставить учетные данные члена группы Администраторы предприятия. Ваши действия зависят от текущей инфраструктуры. При настройке новой сети, когда не было существующих контроллеров домена, нужно выбрать Добавить новый лес и указать имя корневого домена, например, example, com. Далее нужно выбрать режим работы леса и режим работы домена. Если вы не планируете в этом домене использовать старые версии Windows Server, выбирайте самый новый режим - Windows Server 2016. Да, даже если вы используете Windows Server 2019, самым новым режимом работы леса является Windows Server 2016. Обратите внимание на следующие параметры: • Режим работы леса - определяет, какие функции и возможности есть на уровне леса. • Режим работы домена - определяет, какие функции будут доступны на уровне домена. • DNS-сервер - если DNS-сервер еще не был установлен, тогда не выключайте этот параметр. lb Мастер настройки доменных служб Active Cirectory — □ X п ЦЕЛЕВОЙ СЕРВЕР Параметры контроллера домена win-lgogbecffjs Выберите режим работы нового леса и корне»ого домена Параметры» Режим работы леса. Windows Server 2016 * Режим работы домена: Windows Server 2016 * Укажите возможности контроллера домена V] DNS-сервер Глобальный каталог (GQ Контроллер домена только для «гения (RODCJ Введите пароль для режима восстановления служб каталогов (DSRM) Паролд: И Г 1 Подтверждение пароля: Дополнительные сведения о параметрах контроллера домена < Назад J Далее Установить [~ Огмена Рис. 5.7. Параметры контроллера домена Справочник системного администратора • Глобальный каталог - на начальной установке доменных служб Active Directoiy обязателен, когда вы разворачиваете второй контроллер домена, то вы можете не устанавливать этот параметр. • Контроллер домена только для чтения (RODC) - позволяет настроить этот сервер, как контроллер домена только для чтения. При установке первого контроллера в этом домене данная опция будет недоступной. Но вы сможете настроить RODC после установки первого контроллера домена. Позже мы еще не раз поговорим о RODC. • Пароль для режима восстановления служб каталогов (DSRM) - он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора. Данный пароль должен отличаться от того, который вы используете для учетной записи Администратор. Сохраните этот пароль в надежном месте. Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем - просто нажмите кнопку Далее (рис. 5.8). Следующий шаг - задаем короткое имя (NetBIOS) домена, обычно оставляют то, что предлагается мастером установки домена Active Directoiy. Мастер настройки доменных служб Active Directory — □ X ГЧК1Г ЦЕЛЕВОЙ СЕРВЕР Параметры DNS win-lgogbecfhs | > Делегирование для этого DNS-сервера невозможно создать, поскольку полномочная родительск... Дрг:с яните дыне X [ КсхСйгурасия размерь Укажите параметры делегирования DN5 П?оам=(“ЗЬ! .. Создать делегирование DNS DNS Дэполнвельные Пу’и Просмотреть параметры проверь» предваритепь. Дополнительные сррдения о делегировании ONS < Назад Далее > | ' тзь'-йюъ | Отмена Рис. 5.8. Просто нажмите кнопку Далее 166 Глава 5. Разворачивание Active Directory & Мастер настройки доменных служб Active Directory Дополнительные параметры ЦЕЛЕВОЙ СЕРВЕР WtN-LGOGBECFWS разверы Гзране-'ъ’ контроллера.. Параме-ры DNS Проверьте NetBIOS-имя, присвоенное домену, и при необходимости измените его Имя домена NetBIOS: EXAMPLE Дэполнигел' опарам... Ррссмсхеъ иаргштры Проверка предварить,. Подробнее о дсполнительнь.х возможностях < Назад Далее > 1 Установить ; Q Отмена Рис. 5.9. Короткое имя домена Затем нужно указать расположение базы данных AD DS, файлов журналов и папки SYSVOL. Как правило, предложенные значения нет смысла менять. Просмотрите заданные параметры (рис. 5.10) и нажмите кнопку Далее, если все правильно. Нажмите кнопку Установить, чтобы приступить к повышению уровня сервера. Сервер будет автоматически перезагружен поле повышения уровня. 167 Справочник системного администратора Мастер настройки доменных служб Active Directory — "* X Просмотреть параметры ЦЕЛЕВОЙ СЕРВЕР WIN-LGOGBECFFJS кокнтурация раэаерты. Параметры контроллера Параметры DNS Дополнительные парам Проверка гэедэгритедь Просмотрите выбранные параметры: Сделать данный сервер первым контроллером домена Active Directory в новом лесу, ^ыя нового домена: "example com*. Это имя является также именем нового леса. NetBIOS-имя домена; EXAMPLE Режим работы леса: Windows Server 2016 Режим работы домена: Windows Server 2016 Дополнительные параметры: Глобальный каталог Да DNS -сервер- Да Создать DNS-делегирование: Нет Для автоматизации дополните иных установок эти параметры можно экспортировать в сценарий Windows Power Shell Просмотреть сценарий jQc ”*?* Ц^денип c BafinWax установки «Назад™] [ Дадее» стагюьи-. .. Отмена I Рис. 5.10. Просмотр параметров Мастер настройки доменных служб Active Directory Проверка предварительных требований ЦЕЛЕВОЙ СЕРВЕР WIN-LGOGBECFFJS Все проверки готовности к установке выполнены успешно. Чтобы запустить установку, нажмите... ,*к нитеи^з X Конфигурация разеерть Параметры контролера. Параметры DNS перем. Пути Просмотреть параметры Перед установкой доменных служб Active Directory на этом компьютере нужно проверить, что выполнены предварительные требования Повторить проверку предварительных требований <*) Просмотр результатов | На контроллерах домена под управлением Windows Server 2019 по умолчанию применяется параметр безопасности "Разрешать алгоритмы шифрования, совместимые с Windows NT 4.0”, который не позволяет использовать менее надежные алгоритмы шифрования при создании сеансов по защищенным каналам. Дополнительные сведения об этом параметре см. в статье 942564 базы знаний (http: //go.microsoftxom/twIinkr'TLinkld=104751). j Данный компьютер имеет по крайней мере один физический сетевой адаптер свойствам 1Р которого не наэначен(-ы) статический(-ие) IP-адреска}. Если для j. Если вы нажмете кнопку "Установить”, сервер будет автоматически перезапущен посте повышения уровня. Подробнее.о 1 । Г" Остановить ] Отмена Рис. 5.11. Нажмите кнопку Установить < Назад ] Дд/ее 168 Глава 5. Разворачивание Active Directoiy 5.2. Контроллер домена только для чтения (RODC) Любой контроллер домена под управлением Windows Server 2008 R2 или более поздней версии может быть настроен как RODC. После установки службы DNS-сервера на RODC последний может также работать, как DNS-сервер только для чтения (read-only DNS, RO DNS). Примечание. С одной стороны, возможность использования древних версий Windows Server позволяет использовать старые серверы, работающие под управлением этих версий, как RODC, что позволяет сэкономить некоторые средства. С другой стороны, тогда уровень леса/домена придется понижать до уровня этих серверов, что лишит вас функционала, который предоставляют новые версии Windows Server. Выбор за вами. Функции RODC: • RODC тиражирует разделы каталога приложения, которые использует DNS, включая раздел ForestDNSZones и DomainDNSZones. Клиенты могут запрашивать RODNS-сервер для разрешения имен. Однако RODNS-сервер не поддерживает прямые клиентские обновления, поскольку RODNS не регистрирует записи ресурсов ни для какой размещаемой зоны Active Directoiy. • Когда клиент пытается обновить DNS-записи, сервер возвращает ссылку. Затем клиент может попытаться обновить DNS-сервер, указанный в ссылке. Посредством репликации в фоновом режиме сервер RODNS пытается получить обновленную запись от DNS-сервера, который и произвел обновление. Этот запрос репликации делается только для измененной записи DNS. Данные зоны или домена не передаются во время этого специального запроса. Первый установленный в лесу или домене контроллер домена не может быть контроллером домена только для чтения. Однако можно настроить последующие контроллеры домена как RODC. [ 169 ] Справочник системного администратора Разворачиваются RODC-контроллеры аналогичным образом: нужно включить параметр Контроллер домена только для чтения (RODC) в настройках контроллера домена. 5.3. Компоненты Active Directory Функциональный уровень домена задает функциональность, доступную в этом домене. Для доменов Windows Server 2016/2019 доступны следующие компоненты: • Корзина Active Directory — позволяет администраторам отменять ошибочное удаление объектов Active Directory аналогично восстановлению удаленных файлов из обычной Корзины Windows. • Управляемые учетные записи служб — представляют специальный тип доменной учетной записи пользователя для управляемых служб, которые сокращают приостановки обслуживания и устраняют другие проблемы путем автоматического управления паролями учетной записи и SPN (Service Principal Name, имя участника службы). • Управляемые виртуальные учетные записи — представляют специальный тип локальной учетной записи компьютера для управляемых служб, которые обеспечивают доступ к сети с идентификацией компьютера в окружении домена. • Обеспечение механизма аутентификации — улучшает процесс аутентификации, позволяя администраторам управлять доступом к ресурсам на основе входа пользователя в систему с применением метода входа на основании сертификата. Таким образом, администратор может определить, какой набор прав доступа есть у пользователя: при входе в систему с использованием смарт-карты применяется один набор прав доступа, при входе в систему без смарт-карты — другой набор прав доступа. • Оффлайн-соединение с доменом — позволяет администраторам предварительно настраивать учетные записи компьютера в домене, чтобы подготовить операционные системы к развертыванию. Это дает возможность компьютерам присоединяться к домену без необходимости связи с контроллером домена. • Модуль Active Directory для Windows PowerShell — предоставляет командлеты Windows PowerShell для управления Active Directory. Импортировать модуль Active Directory можно с помощью команды importmodule activedirectory, введенной в командной строке PowerShell. 170 ] Глава 5. Разворачивание Active Director II Центр администрирования Active Directory — предоставляет ориентируемый на задачу интерфейс для управления Active Directoiy. В диспетчере серверов в меню Средства выберите команду Центр администрирования Active Directory. Веб-службы Active Directory — представляют веб-интерфейс для доменов Active Directoiy. Активация с помощью Active Directory - позволяет использовать AD для автоматической активации клиентов под управлением Windows 8/10 и Windows Server 2012/2016/2019. Любой клиент, подключенный к службе, активирован Средства управления политикой на основе заявок - предоставляет доступ и гибкие политики аудита. Создание индекса с задержкой - позволяет задерживать создание индекса в каталоге, пока не получен UpdateSchemaNow, или пока не перезагружен контроллер домена. Расширенная детальная политика паролей - позволяет администраторам использовать Центр администрирования Active Directory Windows Server для создания и управления объектами настроек пароля (passwordsettings objects, PSO) Расширенная Корзина - Позволяет администраторам восстанавливать удаленные объекты с использованием Центра администрирования Active Directoiy для Windows Server. Групповые управляемые учетные записи службы - позволяет нескольким службам использовать одну управляемую учетную запись службы. Ограниченное делегирование Kerberos по доменам - позволяет управляемым учетным записям службы действовать от имени пользователей в доменах и лесах. Защита Kerberos - улучшает безопасность домена; позволяет присоединенному к домену клиенту и контроллеру домена связываться по защищенному каналу. Внешнее подключение к домену - позволяет подключение компьютера к домену по Интернету. Предупреждения относительных идентификаторов - добавляет предупреждения, поскольку глобальное пространство RID израсходовано. Добавляет мягкий потолок в 900 млн. RID, что предотвращает переопределение RID администратором. Справочник системного администратора • Интеграция диспетчера серверов - позволяет выполнять все шаги, необходимые для разворачивания локальных и удаленных контроллеров домена. • Клонирование виртуального контроллера домена - позволяет безопасно развертывать виртуальные копии контроллеров домена. Также помогает поддерживать состояние контроллера домена. • Присоединение AD к Azure (Azure Active Directoiy Join) - предоставляет преимущества локальной Active Directory среды без сопутствующей сложности владения и управления. Устройства, поставляемые с Windows 10, могут быть включены в Azure AD и это позволяет компаниям без полноценного IT отдела управлять своими корпоративными ресурсами. • Управление привилегированным доступом (Privileged Access Management) - предназначен для управления лесом, группами безопасности и членством в группах. Microsoft йолагает, что если организации потребовался РАМ, то её Active Directoiy лес уже скомпрометирован. Поэтому при настройке РАМ создаётся новый AD лес. Он изолирован для работы с привилегированными учётными записями и, так как MIM его только что создал, чист от любых сторонних действий. • Microsoft Passport - предоставляет двухфакторную аутентификацию при работе с пользовательскими паролями. При использовании Microsoft Passport, IT администратор может больше не беспокоиться о смене паролей пользователей, так как всё равно нужен второй метод аутентификации. 5.4. Структуры домена Active Directory предоставляет логические и физические структуры для сетевых компонентов. Логические структуры помогают организовать объекты каталога и управляют сетевыми учетными записями и общими ресурсами. К логическим структурам относятся: • организационные единицы (подразделения) — подгруппа доменов, которая зеркально отображает бизнес-структуру или функциональную структуру предприятия; • домены — группа компьютеров, которые совместно используют общую базу данных каталога; Глава 5. Разворачивание Active L,rectory • деревья домена — один или более доменов, разделяющих непрерывное пространство имен; • лес домена — одно или более деревьев, которые делятся общей информацией каталога. Физические структуры служат для упрощения сетевых коммуникаций и установки физических границ вокруг сетевых ресурсов. Физические структуры, помогающие отображать физическую структуру сети следующие: • подсети — сетевая группа с определенным диапазоном IP-адресов и маской сети; • сайты — одна или более подсетей. Сайты используются для настройки доступа к каталогу и репликации. 5.4.1. Домены Домен Active Directoiy — это просто группа компьютеров, разделяющих общую базу данных. Имена доменов Active Directory должны быть уникальными. Например, у вас не может быть двух доменов example.com, но допустимо иметь родительский домен example.com и дочерние домены dev. example.com и sales.example.com. Если домен — это фрагмент частной сети, то имя, присвоенное новому домену, не должно конфликтовать с другими существующими доменными именами этой частной сети. Если домен — часть Интернета, то имя, присвоенное новому домену, не должно конфликтовать с другими существующими именами Интернета. Чтобы обеспечить уникальность имени в Интернете, нужно зарегистрировать родительское доменное имя перед его использованием. Домен можно зарегистрировать через любого регистратора доменных имен, например, reg.ru. У каждого домена есть собственная политика безопасности и доверительные отношения с другими доменами. Также домены могут охватывать несколько физических расположений. Это означает, что домен может состоять из множества сайтов, а у этих сайтов может быть много подсетей, В базе данных каталога домена находятся объекты, определяющие учетные записи для пользователей, группы и компьютеров, а также совместно используемые ресурсы, такие как принтеры и папки. Функции домена ограничены и контролируются функциональным уровнем (режимом работы) домена. Доступно несколько режимов работы домена: • Windows Server 2003 — поддерживаются контроллеры домена, работающие под управлением Windows 2003 и более поздних версий; [ЧтГ Справочник системного администратора • Windows Server 2008 — поддерживаются контроллеры домена под управлением Windows 2008 и более поздних версий; • Windows Server 2008 R2 — поддерживаются контроллеры домена под управлением Windows 2008 R2 и Windows Server 2012; • Windows Server 2012 — поддерживаются контроллеры домена, работающие только под управлением Windows Server 2012,2012 R2,2016,2019; • Windows Server 2012 R2 — поддерживаются контроллеры домена, работающие только под управлением Windows Server 2012 R2,2016,2019; • Windows Server 2016 — поддерживаются контроллеры домена, работающие только под управлением Windows Server 2016,2019. Примечание. Операционная система Windows Server 2019 не имеет новых режимов работы леса или домена. Подробная информация доступна по адресу https://docs.microsoft. com/ru-ru/windows-server/identity/ad-ds/active-directory-functional-levels. 5.4.2. Лес и дерево домена У каждого домена Active Directory есть доменное имя DNS, например, ех-ample.com. Один или более доменов, разделяющих один общий каталог, называются лесом. Доменные имена в этом лесу могут быть последовательными или непоследовательными в иерархии имен DNS. Когда у доменов последовательная структура имен, говорят, что они образуют дерево домена. Представим, что у корневого домена example.com есть два дочерних домена: sales.example.com и dev.example.com. Эти домены, в свою очередь, имеют поддомены. Все домены являются частью одного дерева, поскольку у них один и тот же корневой домен. Получить доступ к доменным структурам можно с помощью оснастки Active Directory - домены и доверие (рис. 5.12). Данную оснастку можно вызвать в консоли управления Microsoft (Microsoft Management Console, ММС). Также можно запустить ее из меню Средства диспетчера серверов. В оснастке находятся отдельные записи для каждого корневого домена. На рис. 5.12 активный домен — example.com. Глава 5. Разворачивание Active Directory Рис. 5.12. Оснастка Active Directory - домены и доверие Режимы работы леса/домена определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Они также определяют, какие операционные системы Windows Server можно запускать на контроллерах домена в домене или лесу. Однако режимы работы не влияют на то, какие операционные системы можно запускать на рабочих станциях и рядовых серверах, которые присоединены к домену или лесу. При развертывании AD DS задайте для режимов работы домена и леса самое высокое значение, которое может поддерживать среда. Так вы сможете использовать максимальное количество функций AD DS. При развертывании нового леса будет предложено задать его режим работы, а затем задать режим работы домена. Для режима работы домена можно установить значение, превышающее значение режима работы леса. Однако для него нельзя задать значение, которое будет ниже значения режима работы леса. При наличии разношерстного парка серверов помните, что вы можете повысить режим работы домена/леса, например, до Windows Server 2016, но не сможете понизить его. Следовательно, в его состав уже не смогут входить контроллеры под управлением более старых версий Windows Server. Повысить функциональный уровень домена можно с помощью следующих действий: ПтГ Справочник системного администратора 1. Запустите оснастку Active Directory - домены и доверие. В дереве консоли щелкните правой кнопкой мыши по домену а затем выберите команду Изменение режима работы домена. 2. В окне Повышение режима работы домена будет отображено текущее имя домена и его функциональный уровень. 3. Для изменения функциональности домена выберите новый функциональный уровень домена из предоставленного списка, а затем нажмите кнопку Повысить. 4. Нажмите кнопку ОК. Новый функциональный уровень домена будет реплицирован каждому контроллеру домена. Эта операция может занять некоторое время в большой организации. Повысить функциональный уровень леса можно с помощью следующих действий: 1. Откройте оснастку Active Directory — домены и доверие. В дереве консоли щелкните правой кнопкой мыши по узлу Active Directory — домены и доверие, а затем выберите команду Изменение режима работы леса. 2. В окне Повышение режима работы леса будет отображено имя леса и текущий режим его работы. 3. Для изменения режима работы леса выберите новый функциональный уровень леса и нажмите кнопку Повысить. 4. Нажмите кнопку ОК. Новый режим работы леса будет реплицирован на каждый контроллер домена в лесу. В большой организации данная операция займет некоторое время. 5.4.3. Организационные единицы (подразделения) Организационные единицы (ОЕ), или подразделения, являются подгруппами в доменах, которые часто зеркально отражают функциональную или деловую структуру организации. Также можно представлять ОЕ, как логические контейнеры, в которые помещаются учетные записи, общие ресурсы и другие организационные единицы. Например, можно создать ОЕ с названием Sales, IT, Marketing для домена example.com. Позже можно развернуть эту схему, включив дочерние единицы. Объекты, помещенные в ОЕ, могут прибыть только из родительского домена. Например, организационная единица, связанная с sales.example.com, может содержать объекты только для этого домена. Нельзя добавить объекты из dev.example.com в эти контейнеры, но можете создать отдельную ОЕ, чтобы зеркально отразить структуру sales.example.com. Организационные подразделения полезны в организационных объектах для отражения деловой или функциональной структуры. Но это не единственная причина использовать ОЕ. Есть и другие причины. • Организационные единицы позволяют назначить групповые политики небольшому числу ресурсов домена без применения этих политик ко всему домену. Это помогает устанавливать и управлять групповыми политиками на соответствующем уровне в предприятии. • Организационные единицы создают небольшие, более управляемые представления объектов каталога в домене. Это помогает более эффективно управлять ресурсами. • Организационные единицы позволяют делегировать полномочия и легко управлять административным доступом к доменным ресурсам. Это помогает управлять объемом полномочий администратора в домене. Можно предоставить пользователю А административные полномочия для одной организационной единицы, а пользователю Б — для всех организационных единиц в домене. Active Directory - пользователи и компьютеры файл Действие Вид Справка 3 Пользователи и компыс Имя example.com Computers i. Domain Controllers Тип builtinDomam Контейнер Подразделение Описание ForeignSecuntyPrincip... Контейнер Managed Service Acco... Контейнер Default container for upgraded computer accounts Default container for domain controllers Default container for security identifiers (SIDs) asso... Default container for managed service accounts Default container for upgraded user accounts Рис. 5.13. Оснастка Пользователи и компьютеры Active Directory Справочник системного администратора В оснастке Пользователи и компьютеры Active Directory организационные единицы представлены в виде папок (рис. 5.13). Эта утилита выполнена в виде оснастки для ММС, ее также можно запустить из меню Средства диспетчера серверов. 5.4.4. Сайты и подсети Сайт — это группа компьютера в одной или более IP-подсети. Сайты используются для отображения физической структуры вашей сети. Отображение сайта независимо от логических структур домена, поэтому нет необходимости устанавливать связь между физической структурой сети и ее логической доменной структурой. С помощью Active Directoiy можно создавать множество сайтов в пределах одного домена или создать один сайт, который будет обслуживать несколько доменов. Диапазоны IP-адресов, используемые сайтом и пространством имен домена, также не связаны. Можно подумать о подсети, как о группе сетевых адресов. В отличие от сайтов, где могут быть разные диапазоны IP-адресов, у подсетей есть только один определенный диапазон IP-адресов и сетевая маска. Имена подсетей выводятся в форме «сеть/битовая маска», например, 192.168.19.0/24. Здесь, адрес сети 192.168.19.9 и маска 255.255.255.0 комбинируются для создания имени подсети 192.168.19.0/24. Компьютеры объединяются в сайты на основе их расположения в подсети или ряде подсетей. Если компьютеры в подсетях могут эффективно взаимодействовать друг с другом, говорят, что они хорошо соединены. Идеально, если сайты состоят из подсетей и компьютеров, которые хорошо соединены. Если подсети не являются хорошо соединенными, возможно, нужно установить несколько сайтов. Есть несколько преимуществ хорошего соединения. • Когда клиенты входят в домен, процесс аутентификации сначала ищет контроллеры домена, которые находятся в том же сайте, что и клиент. Это означает, что сначала используются локальные контроллеры домена, если это возможно, что в итоге локализует сетевой трафик и ускоряет процесс аутентификации. • Информация каталога тиражируется чаще в пределах сайта, чем между сайтами, что уменьшает сетевой трафик, вызванный репликацией, а также позволяет убедиться, что локальные контроллеры домена быстро получили актуальную информацию. Также можно использовать соединения сайта, чтобы настроить, как информация каталога будет реплицироваться между сайтами. Контроллер домена, выделенный для осуществления межсайтовой репликации, называется сервером-плацдармом Глава 5. Разворачивание Active Directory (bridgehead-сервером). Определяя сервер-плацдарм для обработки репликации между сайтами, администратор помещает основную нагрузку на определенный сервер, а не на любой доступный сервер сайта. Доступ к сайтам и подсетям администратор получает через утилиту Active Directory — сайты и службы. Данная утилита — оснастка для ММС, и ее можно добавить к любой обновляемой консоли. Также можно запустить оснастку Active Directory — сайты и службы из меню Средства диспетчера серверов. в* Active Directory — сайты и службы Файл Действие Дид Справка Вя‘2 йй Active Directory — сай^ь имя * Site5 * Default-First-Site-Name j inter-Site Transports Subnets Размещение Тип Описание Сайт Контейнер... Контейнер.» Рис. 5.14. Оснастка Active Directory — сайты и службы 5.5. Структура каталога У Active Directory есть много компонентов, поскольку он основан на многих технологиях. Данные каталога сделаны доступными для пользователей и компьютеров через хранилища данных и глобальные каталоги. Несмотря на то, что задачи Active Directory наиболее влияют на хранилище данных, глобальные каталоги одинаково важны, потому что они используются во время входа в систему и для поиска информации. Фактически, если глобальный каталог недоступен, типичные пользователи не смогут войти в домен. Единственный способ изменить это поведение заключается в локальном кэшировании состава универсальной группы. У кэширования состава [ 179 ] Справочник системного администратора универсальной группы есть преимущества и недостатки, которые мы рассмотрим чуть позже. Администратор получает доступ и распределяет данные Active Directory с помощью протоколов доступа к каталогу и репликации. Протоколы доступа к каталогу позволяют клиентам связываться с компьютерами, на которых выполняются службы Active Directory. Репликация нужна, чтобы убедиться, что обновления данных отправлены контроллерам доменов. Не смотря на то что мульти-мастер репликации — основной метод тиражирования обновлений, некоторые изменения в данных должны быть обработаны только индивидуальными контроллерами домена, которые называются хозяевами операций (operation master). Одна из функций, которая также изменяет способ работы мульти-мастера репликации — Application Directory Partitions (разделы каталога приложений). С помощью разделов каталога приложений администраторы предприятия (принадлежат к группе Администраторы предприятия) могут создавать разделы репликации в лесу доменов. Эти разделы — логические структуры, используемые для управления репликацией данных в лесу доменов. Например, можно создать раздел, чтобы строго управлять репликацией информации DNS в домене, предотвращая репликацию информации DNS на другие системы. Раздел каталога приложения может появиться как дочерний элемент домена, дочерний элемент другого раздела приложения или новое дерево в лесу доменов. Копии раздела каталога приложения можно сделать доступными на любом контроллере домена Active Directory, работающем под управлением Windows Server 2012 (или более поздних версий), в том числе серверы глобального каталога. Несмотря на то, что разделы каталога приложения полезны в больших доменах и лесах, они добавляют издержки с точки зрения планирования, администрирования и обслуживания. 5.5.1. Хранилище данных Хранилище данных содержит информацию об объектах, таких как учетные записи, совместно используемые ресурсы, организационные единицы и групповые политики. Другое название хранилища данных — каталог, что относится к самому Active Directory. На контроллерах домена хранится файл Ntds.dit (обычно находится в папке C:\Windows\NTDS). Расположение этого файла устанавливается при установке Active Directory, он должен находиться на системном диске с файловой системой NTFS, отформати Глава 5. Разворачивание Active Directoi а рованном для использования с Windows Server 2012 или более поздними версиями. Также можно хранить данные каталога отдельно от основного хранилища данных. Так лучше делать для групповых политик, сценариев и других типов публичной информации, которая хранится на общем системном томе (SYSVOL). Предоставление общего доступа к информации каталога называется публикацией. Например, можно опубликовать информацию о принтере путем предоставления к нему общего доступа по сети. Точно также публикуется информация о папке — путем предоставления к ней общего доступа. Контроллеры домена тиражируют большинство изменений в хранилище данных способом мульти-мастера. Администраторы сетей небольшого и среднего размера редко управляют репликацией хранилища данных. Репликация обрабатывается автоматически, но можно настроить ее, чтобы она соответствовала потребностям крупных организаций или организаций с особыми требованиями. Не все данные каталога реплицируются. Вместо этого реплицируется только публичная информация, попадающая в одну из трех категорий: 1. Данные домена — содержит информацию об объектах домена: учетные записи, общие ресурсы, организационные единицы и групповые политики; 2. Конфигурационные данные — описывают топологию каталога. Содержат список всех доменов, деревьев домена и леса, также расположений контроллеров домена и глобальных серверов каталога; 3. Данные схемы — описывают все объекты и типы данных, которые могут храниться в каталоге. Схема по умолчанию, предоставляемая с Windows Server, описывает объекты учетных записей, объекты общих ресурсов и др. Можно расширить схему по умолчанию, определяя новые объекты и атрибуты или добавляя атрибуты в существующие объекты. 5.5.2. Глобальные каталоги Когда состав универсальной группы не кэшируется локально, глобальные каталоги включают сетевой вход в систему, предоставляя информацию о составе универсальной группы при инициировании процесса входа в систему. Также глобальные каталоги включают поиск по каталогу по всем доменам леса. Контроллер домена, определяемый как глобальный каталог, хранит в Справочник системного администратора каталоге полную копию всех объектов для его домена и частичную копию (partial replica) для всех других доменов в лесу. По умолчанию первый установленный в домене контроллер назначается глобальным каталогом. Если в домене есть только один контроллер домена, то контроллер домена и глобальный каталог — один и тот же сервер. В противном случае глобальный каталог находится на специально настроенном контроллере домена. Также можно добавить глобальные каталоги в домен, чтобы улучшить время отклика при входе в систему и поиске информации. Рекомендуется иметь один глобальный каталог для сайта в пределах домена. Контроллеры домена, размещающие глобальный каталог, должны быть хорошо соединены с контроллерами домена, действующими как владельцы инфраструктуры. Роль владельца инфраструктуры (infrastructure master) — одна из пяти операций, которую можно назначить контроллеру домена. В домене мастер инфраструктуры отвечает за обновление ссылок на объект. Хозяин инфраструктуры делает это, сравнивая ее данные с данными из глобального каталога. Если хозяин инфраструктуры находит устаревшие данные, он запрашивает обновленные данные из глобального каталога. После этого мастер инфраструктуры реплицирует изменения другим контроллерам домена. Если в домене находится только один контроллер, можно назначить роль мастера инфраструктуры и роль глобального каталога на один и тот же сервер. Когда в домене два или больше контроллера, глобальный каталог и хозяин инфраструктуры должны располагаться на отдельных контроллерах домена. Если это не так, тогда хозяин инфраструктуры не сможет найти устаревшие данные, и больше никогда не будет реплицировать изменения. Единственное исключение — ситуация, когда все контроллеры домена содержат глобальный каталог. В этом случае нет разницы, какой из них является мастером инфраструктуры. Одна из основных причин сконфигурировать дополнительные глобальные каталоги в домене заключается в том, чтобы убедиться в доступности каталога при входе в систему и при поиске по каталогу. Снова, если у домена есть только один глобальный каталог, который не доступен, и нет локального кэширования состава универсальных групп, обычные пользователи не смогут войти в систему, а те, которые уже вошли, не смогут произвести поиск по каталогу. В этом случае единственные пользователи, которые могут войти в домен (при недоступности глобального каталога) — члены группы Администраторы домена. Глава 5. Разворачивание Active Director у Поиск в глобальном каталоге очень эффективен. Каталог содержит информацию обо всех объектах во всех доменах в лесу. Это позволяет разрешать поисковые запросы в локальном домене, а не в домене другой части сети. Локальное разрешение запросов уменьшает сетевую нагрузку и в большинстве случаев гарантирует более быстрые ответы на поисковые запросы. 5.5.3. Роли FSMO (Flexible Single-Master Operations) Роли хозяина операций выполняют задачи, решение которых способом мульти-мастера непрактично. Определено пять ролей операций и можно присвоить эти роли одному или нескольким контроллерам домена. Несмотря на то, что определенные роли могут быть присвоены только один раз в лесу, некоторые другие роли должны быть определены один раз в каждом домене. У каждого леса Active Directory должны быть следующие роли. • Владелец схемы (Schema Master) — контролирует обновления и модификации схемы каталога. Для обновления схемы каталога нужно получить доступ к владельцу схемы. Чтобы определить, какой сервер является текущим владельцем схемы в домене, откройте окно командной строки и введите команду dsquery server -hasfsmo schema. • Владелец доменных имен (Domain Naming Master) — контролирует добавление или удаление доменов в лесу. Для добавления или удаления доменов нужно получить доступ к владельцу доменных имен. Для определения, какой сервер является текущим хозяином доменных имен, откройте окно командной строки и введите команду dsquery server -hasfsmo name. Эти роли должны быть уникальными в лесу. То есть можно назначить лишь одного владельца схемы и одного владельца доменных имен в лесу. У каждого домена Active Directory должны быть следующие роли. • Владелец относительных идентификаторов (Relative ID master) — распределяет относительные идентификаторы контроллерам домена. Независимо от того, создается ли объект пользователя, группы или компьютера, контроллеры домена присваивают этому объекту уникальный идентификатор безопасности. Идентификатор безопасности состоит из префикса идентификатора безопасности домена и уникального относительного идентификатора, назначенного владельцем относительных идентификаторов. Для определения, какой сервер является текущим [ 183 Справочник системного администратора владельцем относительных идентификаторов для домена, отройте окно командной строки и введите команду dsquery server -hasfsmo rid. • Эмулятор основного контроллера домена (PDC emulator) — при использовании операции смешанного режима эмулятор PDC работает, как Windows NT PDC. Его задача — аутентификация входов Windows NT, изменение паролей и репликация обновлений на BDC. Эмулятор PDC является сервером времени по умолчанию и как таковой осуществляет синхронизацию времени в домене. Чтобы определить, какой сервер является текущим эмулятором PDC, откройте окно командной строки и введите команду dsquery server -hasfsmo pdc. • Владелец инфраструктуры домена (Infrastructure master) — обновляет ссылки объектов путем сравнения их данных каталога с глобальным каталогом. Если данные устарели, владелец инфраструктуры запрашивает обновленные данные из глобального каталога и затем реплицирует изменения на другие контроллеры домена. Чтобы определить, какой сервер является владельцем инфраструктуры, откройте окно командной строки и выполните команду dsquery сервер -hasfsmo infr. Эти роли должны быть уникальными в пределах домена. Это означает, что в пределах домена можно назначить только одного владельца относительных идентификаторов, один PDC-эмулятор и одного владельца инфраструктуры. Роли FSMO обычно назначаются автоматически, но при желании можно назначить их вручную. При установке новой сети для выполнения всех пяти FSMO-ролей назначается первый контроллер домена. Если позже будет создан дочерний домен или корневой домен в новом дереве, автоматически будет назначен первый контроллер домена нового домена для выполнения FSMO-ролей. В новом лесу контроллер домена назначается для выполнения всех FSMO-ролей. Если новый домен находится в том же лесу, назначаются следующие роли: владелец относительных ID, PDC-эмулятор и владелец инфраструктуры. Роли хозяина схемы и хозяина доменных имен остаются в первом домене леса. Когда в домене только один контроллер домена, то этот компьютер обрабатывает все FSMO-роли. Если вы работаете с единственным сайтом, назначение ролей FSMO по умолчанию является вполне приемлемым. Когда же добавите новые контроллеры домена и новые домены, возможно, понадобится распределить FSMO-роли на другие контроллеры домена. Если в домене есть два или больше контроллера, можно настроить два владельца операций. Здесь один контроллер домена можно сделать владельцем операций, а второй сервер сделать резервным. Резервный владелец one- Глава 5. Разворачивание Active Directory раций будет использоваться, когда что-то случится с основным сервером. Убедитесь, что контроллеры домена — прямые партнеры по репликации и хорошо соединены. Когда доменная структура вырастет, можно разделить роли между различными контроллерами домена. Это повысит скорость отклика владельцев операций. Обратите внимание на текущие обязанности контроллера домена, который планируется использовать. 5.6. Корзина Active Directory Корзина Active Directory добавляет легкую в использовании функцию восстановления для объектов Active Directory. При включении этой функции все атрибуты удаленного объекта сохраняются, позволяя восстановить объект в том же состоянии, что и до удаления. Также можно восстановить объекты из Корзины без инициирования аутентичного восстановления (authoritative restore). Это существенно отличается от ранее доступного метода, который использовал авторитетное восстановление для восстановления удаленных объектов из контейнера Deleted Objects. Ранее, при удалении объекта большая часть нессылочных атрибутов очищалась, а все ссылочные атрибуты удалялись. В результате даже если получалось восстановить удаленный объект, то нельзя было восстановить его состояние. По умолчанию Корзина выключена и для ее активации ее необходимо включить. Помните, что после включении Корзины вы больше не сможете ее отключить. Для включения Корзины выполните следующие действия: 1. Из меню Средства выберите команду Центр администрирования Active Directory. 2. Выберите ваш домен из списка слева. 3. На панели Задачи (справа) выберите команду Включить корзину (рис. 5.15) 4. В появившемся окне нажмите ОК 5. В следующем окне внимательно прочитайте предупреждение и снова нажмите ОК. 6. Нажмите кнопку Обновить в Центре администрирования Active Directory. Команда Включить корзину станет недоступной - это свидетельствует о том, что корзина включена. [ 125 ' Справочник системного администратора Рис. 5.15. Центр администрирования Active Directory Центр администрирования Active Directory X Обновите центр администрирования Active Directory прямо сейчас Доменные службы Active Directory приступили к включению корзины для этого леса. Корзина не будет работать надежна пока все контроллеры доменов в лесу не реплицируют изменение конфигурации этой корзины. ОК Рис. 5.16. Предупреждение о включении корзины Теперь при удалении объекта Active Directory он будет переведен в состояние «логически удален» и перемещен в контейнер Deleted Objects (рис. 5.17). Также изменится его имя. Удаленный объект остается в контейнере Deleted Objects определенный период времени, который по умолчанию равен 180 дней. Для восстановления ранее удаленного объекта выполните действия: 1. Перейдите в контейнер Deleted Object 2. Выберите объект, щелкнув на нем. 3. На панели справа выберите команду Восстановить (рис. 5.18). Глава 5. Разворачивание Active Directory ° example (локальный) * * (^) I Угчмваение Справка U Центр админист... < example (локальный) 04) Задачи Е = S Обзор (локальиый) М Builtm butltinOom „ 8 Deleted Objects Соадатъ Si Динамический контроль.. ► M Проверка подл нности ► fi Глобальный поиск М Computers Контейнер Default container for upgr... Кони-iwp (M*# < <v»rз#ич tot tleM. fi Domain Controllers Подраздел... Default container for don»... Ш ForeignSecurityPMKipais Контейнер Default container for secur.. Infrastructure M Keys Контейнер Default container tor key о , M LOttAncTound lostAndFou- Default container for orph Deleted Objects Удалить Искать а этом узле Свойства example (локальный) Смена кон’рол лера домена Повышение режима работы... Повыигенме режима работы.. Включить корзину.. Создать Класс объекта Контейнер Описание- Default согЛаитег for deleted objects Изменено: 03 O42C2D 15:48 Сводка ЖУРНАЛ WINDOWS POWERSHELL Рис. 5.17. Контейнер Deleted Objects Команда Восстановить в восстанавливает объект в альтернативный контейнер в пределах исходного домена или в другой домен в пределах текущего леса. В этой главе было показано, как развернуть Active Directory и были объяснены некоторые основные понятия, без понимания которых невозможна работа с AD. В следующей главе мы рассмотрим основы администрирования Active Directory. example (локальный). » Deleted Objects f Центр админист.. < Deleted Objects (1) E 3 Обзор jewted Objects М Динамический контроль... > Печное имя Последний из Гел WW/t59~ Ch-users» .. Педюоеэт . Si роверка подлинности Глобальный поиск Й test (отключено) Восстановить Восстановить в... Найти родите» ьский элемент Свойства Deleted Objects Создзть Усллип, Искать в этом узле Свсйстьз test (отключено) Вход пельзева'елгг Эл. почта: Изменено. Описание jest 03.04-2020 19:59 СреклеГстмж «Некогда» Время последнего входа: <не задано* Сводка ЖУРНАЛ WINDOWS POWERSHELL Рис. 5.18. Восстановление удаленного объекта Глава 6. Основы администрирования AD Глава 6. Основы администрирования AD Базовое администрирование Active Directory фокусируется на ключевых задачах доменных служб Active Directory: создание учетной записи компьютера или присоединение компьютера к домену. В этой главе будут рассмотрены средства, которые используются для управления Active Directory, а также методы для управления компьютерами, контроллерами доменов и организационными подразделениями. В следующей главе мы поговорим об управлении пользователями 6.1. Утилиты управления Active Directory Для управления Active Directory используются следующие основные утилиты: • Центр администрирования Active Directory — для осуществления задач управления; • Active Directory - домены и доверие — для работы с доменами, деревьями доменов и лесами доменов; • Модель Active Directory для Windows PowerShell — для управления Active Directory при работе с Windows PowerShell; • Active Directory — сайты и службы — для управления сайтами и подсетями; 189 < Справочник системного администратора • Пользователи и компьютеры Active Directory — для управления пользователями, группами, компьютерами и организационными подразделениями; • Управление групповой политикой — для управления способом использования групповой политики в организации. Предоставляет доступ к RSoP для моделирования и журналирования. Запустить эти средства администрирования Active Directory можно из меню Средства диспетчера серверов или добавить их в любую консоль ММС. Разумеется, Active Directory должен быть развернут, иначе эти инструменты будут недоступны С компонентом Средства удаленного администрирования сервера устанавливается множество утилит поддержки Active Directory. В табл. 6.1 представлен список наиболее полезных утилит поддержки для настройки, управления и решения проблем Active Directory. Таблица 6.1. Утилиты поддержки Active Directory Утилита Имя исполнимого файла Описание Редактирование ADSI (ADSI Edit) Adsiedit.msc Открывает и редактирует Active Directory Services Interface для контейнеров домена, схемы и конфигурации Active Directory Administration Tool Ldp.exe Осуществляет операции LDAP на Active Directory Утилита отображения разрешений (список ACL) объекта доменных служб AD DS (Directory Services Access Control Lists Utility) Dsacls.exe Управляет списками контроля доступом (ACL) для объектов в Active Directory Г 1 L 190 h.____4 Глава 6. Основы администрирования AD Управление пространствами имен, серверами и клиентами DFS (Distributed File System Utility) Dfsutil.exe Управляет распределенной файловой системой (DFS) и отображает информацию DFS DNS Server Troubleshooting Tool Dnscmd.exe Управляет свойствами DNS-серверов, зонами и записями ресурсов Replication Diagnostics Tool Repadmin.exe Управляет и контролирует репликацию с использованием командной строки Windows Domain Manager Netdom Позволяет управлять доменами и доверительными отношениями из командной строки 6.1.1. Оснастка Пользователи и компьютеры Active Directory Данная оснастка является одной из основных утилит администратора, которая используется для управления каталогом. С ее помощью можно управлять всеми задачами, связанными с пользователем, группой и компьютером, а также организационными утилитами. Запустить оснастку можно через меню Средства диспетчера серверов. Команда называется Пользователи и компьютеры Active Directory. Обратите внимание, что заголовок самой оснастки немного отличается от названия команды, использующейся для ее вызова - Active Directory - пользователи и компьютеры (рис. 6.1). В оснастке Active Directory - пользователи и компьютеры отображается стандартный набор папок: • Builtin — список встроенных пользователей и групп; • Computers — контейнер по умолчанию для учетных записей компьютера; • Domain Controllers — контейнер по умолчанию для контроллеров домена; Справочник системного администратора Active Directory - пользователи и компьютеры файл Действие £ид Справка В fflSi J шт« * 3 Пользователи и компью Имя ’ Сбхраненные запрос i ^onsAdmins * .fe example com Builtin 2. Computers Domain Controllers ForeignSecuntyPrin< Managed Service At-Users Гмп Группа безопасности - -Группа безопасности - Г... Группа безопасности - Г.-Пользователь Группа безопасности - Г... Группа безопасности - Г., J&DnsUpdateProxy Jft Protected Users ^Администратор * ^Администраторы домена h ^Администраторы основного уровня ^Администраторы основного у ров ня п... Г руппа безопасности - У... Администраторы предприятия Группа безопасности - У... ^Администраторы схемы Группа безопасности - У.„ Владельцы-создатели групповой поли.. Группа безопасности - Г_ % Гости домена ?.;ГОСТЬ %Группа с запрещением репликации п... Группа с разрешением репликации п... Издатели сертификатов ^Клонируемые контроллеры домена ^Компьютеры домена ^АКпмтполлепы ллмеад_______________ Группа безопасности ~ Г... Пользователь Группа безопасности - -Группа безопасности - -Группа безопасности ~ -Группа безопасности - Г„ Группа безопасности - С... Гпуппа бегопаснпст* - Г~. Описание Группа адмикистр... DNS-клиенты, кот_. Участникам этой г.„ Встроенная учетн_. Назначенные адм.. Члены этой групп. Члены этой групп-Назначенные адм... Назначенные адм.. Члены этой групп-Все гости домена Встроенная учетн.. Пароли членов да... Пароли членов да... Члены этой групп-Члены этой групп-Все рабочие стан-ЯсЕКРНд>одлепн1..._ Рис. 6.1. Оснастка для управления пользователями и компьютерами • ForeignSecurityPrincipals — содержит информацию по объектам из доверенного внешнего домена. Обычно эти объекты создаются, когда объекты из внешнего домена добавлены в группу текущего домена; • Managed Service Accounts — контейнер по умолчанию для управляемых учетных записей служб; • Users — контейнер по умолчанию для пользователей. Оснастка Active Directory - пользователи и компьютеры обладает расширенными параметрами, которые по умолчанию не отображаются. Для получения доступа к этим опциям в меню Вид выберите команду Дополнительные компоненты. После этого будут доступны следующие дополнительные папки: • LostAndFound — содержит объекты, которые потеряли родителя. Такие объекты можно удалить или восстановить; • NTDS Quotas — содержит данные квотирования службы каталога; • Program Data — содержит сохраненные в Active Directory данные для приложений Microsoft; • System — содержит встроенные системные параметры; • TPM Devices — выводит устройства с сохраненной в Active Directory информацией владельца TPM (Trusted Platform Module). Глава 6. Основы администрирования AD По умолчанию оснастка подсоединяется к локальному домену и к первому контроллеру домена, который ответит на запрос. Можно работать с любым доменом леса, при условии, что есть соответствующие правами доступа. Для смены домена из меню Действия нужно выбрать команду Сменить домен. В оснастке Active Directory - пользователи и компьютеры есть встроенная функция поиска, которую можно использовать для нахождения учетных записей, совместно используемых ресурсов и других объектов каталога. Можно легко произвести поиск по текущему домену, определенному домену или всему каталогу. Для активации функции поиска выполните команду меню Действия, Найти. Далее (рис. 6.2) выберите, что нужно найти: • Пользой., контакты и группы — поиск учетных записей пользователей и групп, а также контактов, сохраненный в каталоге; • Компьютеры — поиск учетных записей компьютеров по типу, имени и владельцу; • Принтеры — поиск принтеров по имени, модели и функциям; • Общие папки — поиск общих папок по имени или ключевым словам; • Организационные подразделения — поиск организационных подразделений по имени; • Пользовательский поиск — расширенный поиск или LDAP-запрос; • Общие запросы — быстрый поиск по именам учетных записей, описаниям учетных записей, отключенным учетным записям, паролям и дням с момента последнего входа в систему. ~ Поиск: Пользов., контакты и группы — □ X Файл Правка £ид Найти Пользов.. контакты и груг v Еде example.com v Q630p. Пользов. контакты и группы Дополнительно .---------------------------------------------1 [ НеДти Имя: J_____________ ___________ ___________________I -------------- ।---------------------------------------------1 С 1хановить Описание: | Очистить все Рис. 6.2. Что нужно найти 193 Справочник системного администратора 6.1.2. Центр администрирования Active Directory Центр администрирования Active Directory предоставляет ориентированный на задачу интерфейс для управления Active Directory (рис. 6.3). Для запуска этой утилиты выберите соответствующую команду из меню Средства диспетчера серверов. Эту утилиту можно использовать для выполнения множества задач, в том числе: • подключения к одному или нескольким доменам; • создания и управления учетными записями пользователей, групп и организационными подразделениями; • создания и управления объектов параметров паролей; • повышения режима работы леса и домена; • восстановления удаленных объектов из корзины Active Directory. Рис. 6.3. Центр администрирования Active Directory Центр администрирования Active Directory по умолчанию устанавливается в Windows Server 2012 - 2019, а на клиентских компьютерах эта программа доступна после установки компонента Средства удаленного администрирования сервера (RSAT, Remote Server Administration Tools). Эта утилита использует Windows PowerShell для осуществления административных задач и основана на Microsoft .NET Framework. Оба этих компонента должны быть установлены и правильно настроены, иначе нельзя будет использовать Центр администрирования Active Directory. .194 J Глава 6. Основы администрирования AD В Центре администрирования Active Directory по умолчанию для администрирования открыт локальный домен. Если нужно работать с другим доменом, в меню Управление выберите команду Добавить узлы перехода. В окне Добавление узлов выберите домен, с которым нужно работать, и нажмите кнопку ОК. После этого выберите домен, щелкнув по нему на левой панели. По умолчанию утилита подключается к первому контроллеру домену, ответившему на запрос. Чтобы соединиться с определенным контроллером домена, щелкните правой кнопкой мыши по имени домена на панели слева и выберите команду Смена контроллера домена. Подобно утилите Active Directory - пользователи и компьютеры, Центр администрирования Active Directory имеет встроенные функции, которые можно использовать для поиска объектов каталога. Основной поисковый фильтр, находящийся на левой панели, можно использовать для выбора контейнера каталога. Поисковый фильтр поможет быстро найти объекты уровня контейнера в пределах домена или дочернего организационного подразделения. После выбора узла домена на панели слева можно использовать фильтр, чтобы быстро найти организационное подразделение высшего уровня или встроенные контейнеры, которые начинаются с введенных в фильтр букв. 6.2. Управление учетными записями компьютера Учетные записи компьютеров хранятся в Active Directory в виде объектов. Учетные записи используются для контроля доступа к сети и ее ресурсам. Администратор может добавить учетные записи компьютера в стандартные контейнеры, отображенные в оснастке Active Directory - пользователи и компьютеры. Как правило, учетные записи компьютеров хранятся в контейнере Computers, контроллеров домена - в Domain Controllers. При желании вы можете создать любые другие организационные подразделения. 6.2.1. Создание учетной записи компьютера Создать учетную запись компьютера можно с помощью любого инструмента - как с помощью Центра администрирования Active Directory, так и с помощью оснастки Active Directory - пользователи и компьютеры. Справочник системного администратора В первом случае щелкните правой кнопкой мыши на контейнере, в который нужно поместить учетную запись компьютера, далее выберите команду Создать, Компьютер. Это откроет окно Создать Компьютер, показанное на рис. 6.4. Рис. 6.4. Создание учетной записи компьютера с помощью Центра администрирования AD В оснастке Active Directory - пользователи и компьютеры щелкните правой кнопкой мыши по контейнеру, в который нужно поместить учетную запись компьютера, затем выберите команду меню Создать, Компьютер. Будет отображено окно Новый объект - Компьютер, изображенное на рис. 6.5. Очевидно, что при использовании Центра администрирования Active Directory у вас будет больше возможностей при создании учетной записи компьютера - вы сможете заполнить больше полей с информацией о создаваемом объекте. Но нужно ли вам все это? Обычно возможностей оснастки Active Directory - пользователи и компьютеры вполне достаточно: 1. Введите имя компьютера. 2. По умолчанию только члены группы Администраторы домена могут присоединить этот компьютер к домену. Чтобы разрешить другому пользователю или группе присоединять компьютер к домену, нажмите кнопку Изменить, а затем выберите учетную запись пользователя или группы в окне Выбор: «Пользователь» или «Группа». 196 Глава 6. Основы администрирования AD Новый объект - Компьютер X • Создать в: example.com/Computers Инд компьютера: |~ admlrj Имя компьютера (пред-Windows 2000): рЪмт Присоединить к домену этот компьютер могут пользователь или группа пользователей, указанные ниже. Имя пользователя или группы: | По умолчанию: администраторы домена ' Изменить... | | Назначить учетной записи статус пред-Windows 2000 компьютера ОК_____ Отмена Справка Рис. 6.5. Создание учетной записи компьютера посредством оснастки Active Directory - пользователи и компьютеры 3. Если эта учетная запись будет использоваться со старыми операционными системами, отметьте флажок Назначить учетной записи статус пред-Windows 2000 компьютера. 4. Если службы развертывания Windows не установлены, нажмите кнопку ОК, чтобы создать учетную запись компьютера. В противном случае нажмите кнопку Далее дважды, а затем — кнопку Готово. После создания учетной записи в оснастке Active Directory - пользователи и компьютеры нужно пометить учетную запись, как защищенную. Защищенные учетные записи не могут быть удалены до тех пор, пока предварительно не будет сброшен флаг защиты. Для защиты учетной записи компьютера выполните следующие действия: 1. Убедитесь, что в меню Вид оснастки включен режим Дополнительные компоненты. 2. Дважды щелкните на учетной записи компьютера, чтобы открыть окно Свойства. 3. На вкладке Объект установите флажок Защитить объект от случайного удаления, а затем нажмите кнопку ОК. [ 197 } Справочник системного администратора Свойства: admin ? X Входящие звонки Редактор атрибутов Восстановление BrtLocker Общие Операционная система Член групп Делегирование Репликация паролей Размещение Управляется Объект Безопасность Каноническое имя объекта I example. com/Computers/admin Класс объекта Компьютер Создан. 08 04 202016.19.50 Изменен: 08.04 20201619Ы Номера последовательных обновлений (USN): Текущий: 41058 Исходный 41054 [^Защитить объект от случайного удаления) ОК ] Отмена Применить Справка Рис. 6.6. Защита от случайного удаления 6.2.2. Удаление учетной записи компьютера Если учетная запись компьютера больше не нужна, ее можно удалить из Active Directory. Вместо удаления можно временно отключить учетную запись и включить ее позже, когда она снова понадобится. Чтобы удалить, отключить или снова включить учетную запись компьютера, выполните следующие действия: 1. Запустите оснастку Active Directory - пользователи и компьютеры или Центр администрирования Active Directory. В дереве консоли выберите контейнер, в котором размещена учетная запись компьютера. 2. Щелкните правой кнопкой мыши по учетной записи компьютера и затем выберите одну из следующих команд: » Удалить — удаление учетной записи. Нажмите кнопку Да для подтверждения удаления; Глава 6. Основы администрирования AD » Отключить — временное отключение учетной записи. Затем нажмите кнопку Да для подтверждения действия. Красный кружочек с крестиком внутри свидетельствует о том, что учетная запись отключена; » Включить — включает учетную запись, после чего ее можно снова использовать. Если учетная запись защищена, нужно сбросить флаг защиты перед ее удалением. Дважды щелкните на учетной записи компьютера для отображения окна Свойства, затем выключите параметр Защитить объект от случайного удаления и нажмите кнопку ОК. При использовании оснастки Active Directory - пользователи и компьютеры этот параметр находится на вкладке Объект окна Свойства. При использовании Центра администрирования Active Directory этот параметр находится на панели Компьютер. 6.2.3. Сброс заблокированных учетных записей Учетные записей компьютера имеют пароли, точно так же как и учетные записи пользователей. В отличие от учетных записей пользователей, пароли учетных записей компьютера управляются и обслуживаются автоматически. Для этого автоматического управления в домене хранится пароль учетной записи компьютера, который меняется каждые 30 дней (по умолчанию), а также пароль безопасного канала для установки безопасной связи с контроллерами домена. Пароль безопасного канала также обновляется каждые 30 дней. Оба пароля должны синхронизироваться. Если эти пароли не будут синхронизированы, то компьютер не сможет войти в домен, а для службы Netlogon будет зарегистрировано сообщение об ошибке аутентификации с идентификатором 3210 или 5722. Если это произошло, необходимо сбросить пароль учетной записи компьютера. Один из способов сделать это — щелкнуть правой кнопкой мыши на учетной записи компьютера в окне Active Directory - пользователи и компьютеры и выбрать команду Переустановить учетную запись. После этого нужно удалить компьютер из домена (сделав его членом рабочей группы или другого домена), а затем снова подключить компьютер к домену. 6.2.4. Перемещение учетных записей компьютера Как правило, учетные записи компьютера помещаются в контейнеры Computers или Domain Controllers или же в контейнеры пользовательских Справочник системного администратора организационных подразделений. Переместить учетную запись в другой компьютер можно так: выберите компьютер в оснастке Active Directory - пользователи и компьютеры, а затем переместите его в другое место. В Центре администрирования Active Directory переместить пользователей нельзя. Можно также использовать следующий метод для перемещения учетной записи компьютера при любом активном инструменте: 1. В дереве консоли выберите контейнер, в котором расположена учетная запись компьютера. 2. Щелкните правой кнопкой мыши и выберите команду Переместить. Будет отображено одноименное окно (рис. 6.7). 3. Выберите контейнер, в который нужно переместить компьютер. Перейдите в подконтейнер или дочернее организационное подразделение. Нажмите кнопку ОК. Переместить Переместить объект в контейнер: example ф Builtn Й Computers u Domain Controllers ЕВ ForeignSecurityPrincipals ф Keys Й LostAndFound ffi Managed Service Accounts FB NTDS Quotas Program Data Ф System ffi TPM Devices OK | Отмена Рис. 6.7. Окно перемещения учетной записи компьютера 6.2.5. Присоединение компьютера к домену Компьютер, присоединенный к домену или рабочей группе, может войти и получить доступ к сети. Для начала убедитесь, что сетевые компоненты надлежащим образом установлены на вашем компьютере. Они должны быть установлены во время инсталляции операционной системы. Перед подклю Глава 6. Основы администрирования AD чением компьютера к домену убедитесь, что протокол TCP/IP, а также параметры DNS и DHCP настроены надлежащим образом (см. гл. 15). Операционная система Windows Server автоматически предоставляет право Добавление рабочих станций к домену неявной группе Прошедшие проверку. Это означает, что любой пользователь, который регистрируется в домене и проходит аутентификацию, может добавить рабочие станции в домен без необходимых полномочий администратора. Однако, из соображений безопасности, количество рабочих станций, которые аутентифицированный пользователь может добавить в домен, ограничено десятью. Если пользователь превысит этот предел, он получит сообщение об ошибке. Во время установки операционной системы, вероятнее всего, уже было настроено сетевое соединение или же ранее компьютер был соединен с доменом или рабочей группой. Если это так, можно соединить компьютер с новым доменом или рабочей группой. Для этого используется вызовите окно Система, напротив имени компьютера нажмите Изменить параметры. В появившемся окне вы можете нажать кнопку Изменить для присоединения к другому домену (рис. 6.8,6.9). Пепел управления — I Локальный «jj Свойства, ь Вер серверы "1> ADDS * DNS Панель управления Файловые слуэ| Windows Server 2019 Microsoft vwnpHcom Чтобы переименовать компьмпвр или I параметры рабочей группы ИН-LGOGBKFFK ^-LGOGBKH^eampfeccm yampie.com AmHMUHBWhtlows Эьпод-ы «д.. /слэ»*.в аицгоиО-о <? (менять параметры Налрилер- та-сьрмр произволе >-венного отдела пли *€*омр Оу кг аптерии* WN-LGOGBECFFJS .вквтрй сот И-разрядям операционная система. процессор хо4 |еро и сенсорный ввод нежтупны для ятого херена ие)=«г СогеПМ' .5-72000 CPU О ZSOGHz 2.71 GHz ЙЗГБ Рис. 6.8. Свойства системы Примечание. Контроллер домена нельзя присоединить к другому домену. Его нужно сначала понизить до уровня обычного сервера, уже только потом присоединять к другому домену. Далее будет показано, как это сделать. [ 201 Справочник системного администратора Изменение имени компьютера или домена X Вы можете изменить имя и принадлежность этого компьютера Изменения могут повлиять на доступ к сетевым ресурсам Имя компьютера: .DESKTOP-IU66CN2 Полное имя компьютера. DESKTOP-IU66CN2 Дополнительно. Является членом ф домена example.com I__________________________________________J о рабочей группы: WORKGROUP ОК____] Отмена Рис. 6.9. Изменение имени компьютера или домена Если имя не удалось изменить, будет отображено соответствующее сообщение, информирующее об этом, или сообщение о том, что учетная запись уже существует. Данная проблема может возникнуть при попытке изменить имя компьютера, который уже подключен к домену, либо если этот компьютер имеет активную сессию в этом домене. Можно закрыть приложение, подключенное к домену, например Проводник, получающий доступ к общей папке в сети. После этого можно повторить процесс изменения имени компьютера. Если есть другие проблемы при соединении с доменом, убедитесь, что у настраиваемого компьютера правильная конфи1урация сети. На компьютере должны быть установлены сетевые службы и в свойствах TCP/IP должен быть указан правильный DNS-сервер. У всех аутентифицированных пользователей есть полномочия Добавление рабочий станций к домену, и по умолчанию пользователи могут создавать до 10 учетных записей компьютера при присоединении компьютера к домену. Пользователи, у которых есть полномочия Создание объектов: account, для контейнера Computers могут создать неограниченное количество учетных записей компьютера в домене. Однако, у учетных записей компьютера, созданных аутентифицированными пользователями, владельцем является член группы Администраторы домена, а у учетных записей, созданных пользователями с правами Создание объектов: account, в качестве вла Глава 6. Основы администрирования AD дельца устанавливается пользователь, создавший эту учетную запись. Если предоставить полномочие Создание объектов: account, можно также предоставить полномочие Удаление объектов: account, чтобы пользователи могли удалить учетные записи компьютера из домена. Предоставить привилегии Создание объектов: account, Удаление объектов: account (или обе эти привилегии) для контейнера Computers можно с помощью следующих действий: 1. Откройте оснастку Active Directory - пользователи и компьютеры или Центр администрирования Active Directory. В оснастке Active Directory - пользователи и компьютеры убедитесь, что в меню Вид активирована команда Дополнительные параметры. 2. Щелкните правой кнопкой мыши по контейнеру Computers и выберите команду Свойства. 3. На вкладке Безопасность нажмите кнопку Дополнительно. В диалоговом окне Дополнительные параметры безопасности для «Computers»' нажмите кнопку Добавить, чтобы открыть окно Элемент разрешения для «Computers». 4. Щелкните по ссылке Выберите субъект. В окне Выбор: «Пользователь», «Компьютер», «Учетная запись служба» или «Группа» выберите пользователя или группу, котором нужно предоставить полно- □ X Элемент разрешения для 'Computers' Разрешения: О Полный доступ 0 Слисок содержимого 0 Прочитать все свойства 0 Записать все свойства □ Удаление □ Удалить поддерево 0 Чтение разрешений □ Сменить разрешения □ Сменить владельца □ Все проверенные операции записи □ Создать все дочерние объекты О Удалить все дочерние объекты □ Создание объектов: account □ Удаление объектов; account 0 (Создание объектов; aCSResoutcel ттЦ □ Удаление объектов; aCSResourceLrmits □ Создание объектов. appiicationVefson 0 Удаление объектов: ар J-cat»onVef Jon 0 Создание объектов: cemficationAuthonty 0 Удаление объектов: cemfscationAuthonty □ Создание объектов: document 0 Удаление объектов: document ______ Г~1 Гобъект»- jdOCumentS»'чм _--------- □ Создание объектов: msDS-Va!ueType □Удаление объектов: msDS-VaiueType □ Создание объектов; msieee80211-Л?!ку □ Удаление объектов; т$»ееев0211 -ftiitcy □ Создание объектов: msimaging-PSPs □ Удаление объектов: msJmagrng-PSPs □ Создание объектов: msKds-ProvfiootKey 0 Удаление объектов: msXdi-ProvRootKey □ Создание объектов: msKds-ProvServerConfiguration 0 Удаление объектов1 msKas-ProvServerConfiQuration 0 Создание объектов: ms-net-<eee-S0211-GroupPoUcy □ Удаление объектов: ms-net-ieee-80211-Gcoupft>l*cy □Создание объектов: mi-net-ieee-8O23-Group$b(icy 0 Удаление объектов: m$-net-eee-8023-Groupft3!icy □ Создание объектов: msPKJ-Enterpnse-Oid 0 Удаление объектов msPKl-Enterprise-Oid □ Создание объектов: msPKl-Key-Recovery-Agent 0 Удаление объектов msPXl-Key-Recovery-Agent □ Создание объектов: msPKJ-PnvateKeyReccveryAgent 0 Уда лен г е объектов: msPKI-PnvateKeyftecoveryAgent □Создание объектов: mrf’nnt-ConnectionPolicy □Удаление объектов: msPnnt-Connect’OnRolicy £7 Гпчдадме объекте- mrSfUlWcirwolofn _ ______ | ОК Отмена Рис. 6.10. Предоставление полномочий Справочник системного администратора мочия, и нажмите кнопку ОК. Задайте привилегии и снова нажмите кнопку ОК. 6.3. Управление контроллерами домена 6.3.1. Понижение роли контроллера домена В предыдущей главе был подробно рассмотрен процесс установки контроллера домена (развертывания AD DS), сейчас же мы рассмотрим, как понизить роль контроллера домена до уровня обычного сервера, что позволит переместить этот сервер в другой домен. Для понижения роли контроллера домена выполните следующие действия: 1. В консоли Диспетчер серверов в меню Управление выберите команду Удалить роли и компоненты, в результате будет запущен мастер удаления ролей и компонентов. Если мастер отобразит страницу Перед началом работы, прочитайте приветствие и нажмите кнопку Далее. 2. На странице Выбор целевого сервера показан пул серверов, добавленных для управления. Выберите сервер, который нужно настроить, и нажмите кнопку Далее. 3. На странице Выбор ролей сервера сбросьте флажок Доменные службы Active Directory, указав тем самым, что нужно удалить эту роль. 4. Появится новое окно. В нем установите флажок Удалить средства управления, чтобы средства управления AD DS были удалены, нажмите кнопку Удалить компоненты. После этого нажмите кнопку Продолжить. Затем нажмите кнопку Далее дважды. 5. На странице Учетные данные обратите внимание на вашу текущую учетную запись. Если нужно, предоставьте другие учетные данные с правами, необходимыми для удаления контроллера домена. Нажмите кнопку Далее. 6. Если будет отображена страница Предупреждения, отметьте флажок Продолжить удаление, а затем нажмите кнопку Далее. 7. Введите новый пароль и его подтверждение для вашей локальной учетной записи Администратор. Пароли должны совпадать. Нажмите кнопку Далее. Глава 6. Основы администрирования AD 8. На странице Подтверждение удаления компонентов есть возможность установить флажок Автоматический перезапуск конечного сервера, если требуется. Поскольку для полного удаления необходим запуск сервера, можно выбрать эту опцию, а затем подтвердить ее, нажав кнопку Да. Когда будете готовы продолжить, нажмите Удалить. 6.3.2. Просмотр и передача ролей домена Оснастку Active Directory - пользователи и компьютеры можно также использовать для просмотра или изменения FSMO-ролей. На уровне домена можно работать с ролями для владельцев относительных ID, владельцев эмулятора первичного контроллера домена и владельцев инфраструктуры. Чтобы просмотреть текущие FSMO-роли, выполните следующие действия: 1. В оснастке Active Directory - пользователи и компьютеры щелкните правой кнопкой мыши по элементу Пользователи и компьютеры Active Directory в дереве консоли. Из контекстного выберите команду Все задачи | Хозяева операций. Будет открыто окно Хозяева операций, изображенное на рис. 6.11. Оайл Действие Вид Спреем * S8 А' В ’3 & Ш Y 2 X ~ Польэоышы и оыпмяеры Active №ei . Сохраненные ылросы ~ jfeexampiexom Buittin j Computers a. Domain Controllers . FweignSecwiir₽rtncipais - Keys - . LostAndFound 4 Managed Service Accounts ... Program Data - System " Users . NTDS Quotas ” TFM Devices t ИМЯ j- ------------------------------------------- Дгмгыы»-------- = Сохранен^ операций ’ X examptexoj „ F® РОС Инфраструктура Хозяин огмрвсив управляет раэпаиачгам пулов РЮ для «фугга контроллеров дои*но Эту роли выполни*» голый» Осин сарвар в до* ram Хозяин операция WtNLOOGBECFFJS eampta со" W*KGOG8ECFFJS axampixt» Рис. 6.11. Хозяева операций Справочник системного администратора 2. В окне Хозяева операций есть три вкладки. Вкладка RID показывает текущее положение владельца относительных идентификаторов, на вкладке PDC отображено местоположение текущего владельца эмулятора PDC, а вкладка Инфраструктура демонстрирует положение текущего мастера инфраструктуры. Передать текущие операции другим серверам можно так: 1. В дереве консоли щелкните правой кнопкой мыши на узле Пользователи и компьютеры Active Directory, а затем выберите команду Сменить контроллер домена. 2. В окне Смена сервера каталогов выберите опцию Этот контроллер домена или экземпляр AD LDS, затем выберите контроллер домена, на который нужно перенести FSMO-роли, и нажмите кнопку ОК. 3. В дереве консоли щелкните правой кнопкой мыши на узле Пользователи и компьютеры Active Directory. В контекстном меню выберите команду Все задачи | Хозяева операций. 4. В окне Хозяева операций перейдите на вкладку RID, PDC или Инфраструктура (в зависимости от типа роли, которую нужно перенести). 5. Нажмите кнопку Изменить для передачи роли ранее выбранному контроллеру домена. Нажмите кнопку ОК. 6.4. Управление организационными единицами Организационные единицы помогают организовать объекты, применить групповую политику к ограниченному числу объектов и т. д. Далее будет показано, как создавать и управлять организационными подразделениями. 6.4.1. Создание организационных подразделений Обычно организационные подразделения создаются для отображения деловой или функциональной структуры организации. Также можно создавать подразделения из административных соображений, например, если нужно предоставить права делегирования пользователям или администра Глава 6. Основы администрирования AD торам. Можно создать организационные подразделения как подгруппы домена или как дочерние подразделения в пределах существующего организационного подразделения. Для создания организационного подразделения выполните следующие действия: 1. В оснастке Active Directory - пользователи и компьютеры или Центре администрирования Active Directoiy щелкните правой кнопкой мыши на узле домена или существующего организационного подразделения, в зависимости от того, куда нужно добавить новое организационное подразделение. Из контекстного меню выберите команду Создать | Подразделение. 2. Введите имя организационного подразделения и нажмите кнопку ОК. 3. Теперь можно переместить учетные записи и общие ресурсы в организационное подразделение. 6.4.2. Просмотр и редактирование свойств организационных подразделений Для просмотра и редактирования свойства организационного подразделения выполните действия: 1. Откройте оснастку Active Directory - пользователи и компьютеры или Центр администрирования Active Directory. 2. Щелкните правой кнопкой мыши на организационном подразделении, с которым нужно работать, а затем выберите команду Свойства. Это отобразит окно Свойства, позволяющее просмотреть и отредактировать свойства. 6.4.3. Переименование и удаление организационных подразделений Переименовать или удалить организационное подразделение в оснастке Active Directory - пользователи и компьютеры можно так: 1. Щелкните правой кнопкой мыши на организационном подразделении, которое нужно переименовать или удалить. Справочник системного администратора 2. Для удаления подразделения выберите команду Удалить, затем подтвердите удаление, нажав кнопку Да. 3. Для переименования подразделения выберите команду Переименовать, затем введите новое название подразделения и нажмите клавишу <Enter>. В Центре администрирования Active Directory аналогичным образом можно удалить подразделение, но для переименования нужно открыть его окно Свойства, ввести новое имя и нажать кнопку ОК. 6.4.4. Перемещение организационных подразделений Любое организационное подразделение можно переместить в любое место пределах домена. В оснастке Active Directory - пользователи и компьютеры просто выберите подразделение и переместите его в нужное местоположение. В оснастке Active Directory - пользователи и компьютеры и в Центре администрирования Active Directory организационное подразделение можно переместить также с помощью команды Переместить: 1. Щелкните правой кнопкой мыши на папке подразделения, которое нужно переместить, и выберите команду Переместить. 2. В окне Переместить разверните домен и затем выберите контейнер, в который нужно переместить организационное подразделение. Нажмите кнопку ОК. Мы только что рассмотрели управление компьютерами, контроллерами доменов и организационными подразделениями. В следующей главе мы рассмотрим управление учетными записями пользователей. 208 ] Глава 7. Управление учетными записями пользователя и группы Справочник системного администратора Управление учетными записями пользователей - одна из самых важнейших задач администратора Windows Server. Вам не просто придется создавать и удалять учетные записи, иногда сбрасывая их пароль, вам нужно будет балансировать между потребностями пользователей по мере выполнения их служебных обязанностей и потребностями организации по защите важной или даже секретной информации. В небольшой организации можно с легкостью предоставить доступ «всем ко всему», но в таких организациях, как правило, и нет потребности в Active Directory и Windows Server вообще -все можно решить с помощью рабочих групп. На таких предприятиях, где число компьютеров не превышает 15-20 штук, можно обойтись вообще без Windows Server, а использовать только клиентские версии Windows, объединенные в одну рабочую группу - вполне нормальная практика из соображений экономии. Не нужно ни покупать сам Windows Server, ни выделять отдельный компьютер под него. С ростом числа пользователей администрирование такой сети становится все менее и менее удобным. При работе с Windows вы должны понимать, что существуют учетные записи трех типов - локальные, учетные записи домена и учетные записи Microsoft. В этой главе уделяется внимание доменным учетным записям и отчасти будут затронуты локальные. Операционная система Windows Server предоставляет учетные записи пользователя и группы (членом которых являются пользователи). Учетные записи пользователя предназначены для отдельных пользователей. Учетные записи групп разработаны для упрощения администрирования мно Глава 7. Управление учетными записями пользователя и группы жества пользователей. В отличие от учетной записи пользователя, учетная запись группы не может использоваться для входа в систему. Учетные записи группы часто называют просто группами. 7.1. Типы учетных записей пользователей Как уже отмечалось во введении в эту главу, существует два три типа учетных записей: • Учетные записи пользователей, определенные в Active Directory, называются учетными записями пользователей домена. Посредством единого входа в систему учетные записи пользователей домена могут получить доступ ко всем ресурсам домена. Учетные записи пользователей домена создаются в оснастке Active Directory - пользователи и компьютеры. • Учетные записи пользователей, определенные на локальном компьютере, называются локальными учетными записями пользователей. Локальные учетные записи пользователей имеют доступ только, к локальному компьютеру и должны пройти аутентификацию перед обращением к сетевым ресурсам. Создать локальные учетные записи может с помощью утилиты Локальные пользователи и группы. • Учетные записи Microsoft. Используются для доступа к многочисленным устройствам и службам Майкрософт: для входа в Skype, Outlook com, OneDrive, Windows Phone и Xbox LIVE, для получения доступа к своим файлам, фотографиям, контактам и настройкам с любого устройства. Такие учетные записи более характерны для домашних и личных компьютеров, нежели для корпоративной сети. 7.2. Имя входа и идентификаторы безопасности Все учетные записи пользователей идентифицируются с помощью имени входа. В Windows Server имя входа состоит из двух частей: • имя пользователя — текстовая метка учетной записи; • домен пользователя или рабочая группа — рабочая группа или домен, где существует учетная запись пользователя. Справочник системного администратора Для пользователя mark, чья учетная запись создана в домене example.com, полное имя входа будет mark@example.com. Имя входа в старом формате (в ОС, предшествовавших Windows 2000) — EXAMPLE\mark. При работе с Active Directory также нужно указать полное имя пользователя (fully qualified domain name, FQDN). FQDN-имя пользователя — это комбинация доменного имени пользователя DNS (Domain Name System), контейнера или организационного подразделения, где находится учетная запись пользователя, и имени пользователя. Для пользователя example. com\users\mark, example.com — это доменное имя DNS, users — контейнер или организационное подразделение, a mark — имя пользователя. Учетные записи пользователей также имеют пароли и публичные сертификаты, связанные с ними. Пароли — это аутентификационные строки для учетной записи. Публичные сертификаты состоят из публичного и частного ключей для идентификации пользователей. Можно войти интерактивно, используя пароль. Также можно войти, предоставив сертификат на смарт-карте. Хотя Windows Server отображает имя пользователя для описания его привилегий и разрешений, ключевыми идентификаторами для учетных записей являются идентификаторы безопасности (Security Identifiers, SID). SID — это уникальные идентификаторы, которые генерируются при создании учетных записей. Каждый SID учетной записи состоит из ID безопасности домена и уникального относительного ID (relative ID, RID), который выделен хозяином относительных идентификаторов. Операционная система Windows Server использует эти идентификаторы для отслеживания учетных записей отдельно от имен пользователей. SID применяется для разных целей. Две самые важные цели: простое изменение имен и безопасное удаление учетных записей (не нужно волноваться, что кто-то получит доступ к ресурсам, воссоздав учетную запись с таким же именем). При изменении имени пользователя Windows Server связывает определенный SID с новым именем. При удалении учетной записи SID, связанный с ней, больше не является действительным. Позже, даже если кто-то создаст учетную запись с тем же именем пользователя, у новой учетной записи не будет тех же полномочий и разрешений, как у предыдущей. Потому что у новой учетной записи будет новый SID. 7.3. Учетные записи групп В дополнение к учетным записям пользователей Windows Server предоставляет группы. Вообще говоря, группы используются для предоставления Глава 7. Управление учетными записями пользователя и группы полномочий пользователям, выполняющим похожие действия, и упрощения администрирования учетных записей. Если пользователь — участник группы, которая может получить доступ к ресурсу, то и этот определенный пользователь тоже может получить доступ к этому ресурсу. Таким образом, можно предоставить доступ пользователю к различным необходимым ему для выполнения своих обязанностей ресурсам, сделав его членом определенной группы. Обратите внимание, несмотря на то, что можно войти в систему, используя учетную запись пользователя, нельзя войти в систему с помощью учетной записи группы. Например, у нас есть отдел продаж, сотрудники которого нуждаются в доступе ко всем ресурсам, относящимся к маркетингу. Вместо предоставления необходимого доступа к этим ресурсам каждому отдельному сотруднику, можно сделать пользователей членами группы маркетинга. В этом случае будут автоматически получены привилегии группы. Поскольку разные домены Active Directory могут иметь группы с одинаковым названием, группы часто указываются в виде домен\группа, например, example\sales для группы sales в домене example. При работе с Active Directory также нужно указать FQDN для группы. FQDN для группы — это конкатенация DNS-имени, контейнера или организационного подразделения и имени группы. Для группы example.com\users\sales: example.com — DNS-имя домена, users — название контейнера или организационного подразделения и sales — имя группы. 7.3.1. Типы групп ОС Windows Server поддерживает группы трех типов. • Локальные группы — группы, определенные на локальном компьютере. Они используются только на локальном компьютере и создаются с помощью утилиты Локальные пользователи и группы. • Группы безопасности — группы, которые имеют связанные с ними дескрипторы безопасности. Группы безопасности в доменах создаются с помощью оснастки Active Directory - пользователи и компьютеры. • Группы рассылки — группы, которые используются в списках рассылки электронной почты. Они не имеют дескрипторов безопасности, связанных с ними. Создаются оснасткой Active Directory - пользователи и компьютеры. Справочник системного администратора 7.3.2. Область действия группы В Active Directory есть .несколько областей (диапазонов) групп — локальный домен, встроенный локальный, глобальный и универсальный. Область группы определяет, что можно сделать, а что — нет. То есть группы можно создавать и использовать в разных областях. • Локальные группы домена — группы в основном используются для назначения разрешений доступа к ресурсам в пределах одного домена. Локальные группы домена могут включать членов из любого домена в лесу и из доверяемых доменов в других лесах. Обычно глобальные и универсальные группы являются членами локальных групп домена. Лучше всего такие группы использовать для управления доступом к ресурсам, таким как принтеры и совместно используемые папки. • Встроенные локальные группы — группы со специальной областью группы, имеют разрешения локального домена и часто, для простоты, относятся к локальным группам домена. Разница между локальными встроенными группами и другими группами в том, что нельзя создавать или удалять встроенные локальные группы. Можно только модифицировать встроенные локальные группы. Упоминание локальных групп домена относится и к встроенным локальным группам, если явно не указано иное. • Глобальные группы — группы, которые используются преимущественно для определения прав пользователей и компьютеров в одном и том же домене, разделяющих подобную роль, функцию или работу. Члены глобальных групп — только учетные записи и группы из домена, где они были определены. • Универсальные группы — группы, используемые преимущественно для определения наборов пользователей или компьютеров, которые должны иметь широкие разрешения по всему домену или лесу. Членами универсальных групп могут быть учетные записи пользователей, глобальные группы и другие универсальные группы из любого домена в дереве доменов или лесу. 7.3.3. Идентификаторы безопасности и учетные записи групп Как и с учетными записями пользователей, ОС Windows Server отслеживает учетные записи группы с помощью уникальных SID. Это означает, что невозможно удалить учетную запись группы, воссоздать ее снова и затем Глава 7. Управление учетными записями пользователя и групп ожидать, что все полномочия останутся теми же. У новой группы будет новый SID, и все полномочия старой группы будут потеряны. ОС Windows Server создает маркеры безопасности для каждого входа пользователя. Маркеры безопасности определяют ID учетной записи и SID всех групп безопасности, к которым принадлежит пользователь. Размер маркера увеличивается по мере добавления пользователя в дополнительные группы безопасности, и у этого есть последствия: • маркер безопасности должен быть передан процессу входа пользователя перед завершением входа. Когда число групп безопасности высокое, процесс входа занимает больше времени; • чтобы определить права доступа, маркер безопасности отправляется на каждый компьютер, к которому пользователь хочет получить доступ. Поэтому у размера маркера безопасности есть прямое влияние на загрузку сети. 7.4. Учетные записи пользователей и групп по умолчанию При установке Windows Server 2019 операционная система устанавливает учетные записи групп и пользователей по умолчанию. Эти учетные записи разработаны для обеспечения базовой установки, необходимой для построения сети. По умолчанию доступны учетные записи трех типов: • встроенные (Built-in) — учетные записи пользователя и группы, устанавливаемые с операционной системой, приложениями и службами; • предопределенные (Predefined) — учетные записи пользователя и группы, установленные с операционной системой; • неявные (Implicit) — специальные группы, также известные как специальные идентификаторы, создаваемые неявно, когда происходит доступ к сетевым ресурсам. 7.4.1. Встроенные учетные записи пользователей Встроенные учетные записи пользователей имеют специальное назначение в Windows Server. Все системы Windows Server имеют несколько встроенных учетных записей пользователей: [ 215 Справочник системного администратора • LocalSystem — псевдоучетная запись для запуска системных процессов и управления задачами уровня системы. Эта учетная запись — часть группы Администраторы на сервере и имеет все права пользователя на сервере. Если настраиваете приложения или службы на использование этой учетной записи, все связанные процессы получат полный доступ к системе сервера. Много служб запускается с помощью учетной записи LocalSystem. В некоторых случаях эти службы имеют привилегии взаимодействовать с рабочим столом. Службы, которым нужны альтернативные привилегии или права входа, запускаются под учетными записями LocalService или NetworkService. • LocalService — псевдоучетная запись с ограниченными привилегиями, которая предоставляет доступ только к локальной системе, является частью группы Пользователи на сервере и имеет те же права, что и учетная запись NetworkService, за исключением, что она ограничена только локальным компьютером. Настройте приложения и службы на использование этой учетной записи, когда соответствующим процессам не нужно получать доступ к другим серверам. • NetworkService — псевдоучетная запись для запуска служб с необходимыми дополнительными привилегиями и правами входа в локальную систему и сеть. Эта учетная запись — часть группы Пользователи на сервере и предоставляет меньше разрешений и привилегий по сравнению с учетной записью LocalSystem (но больше, чем LocalService). В частности, процесс, запущенный с этой учетной записью, может взаимодействовать всюду по сети, используя учетные данные учетной записи компьютера. • При установке дополнений или приложений на сервер могут быть установлены другие учетные записи по умолчанию. 7.4.2. Учетная запись Администратор Администратор — предопределенная учетная запись, обеспечивающая полный доступ к файлам, каталогам, службам и другим объектам. В Active Directory у учетной записи Администратор есть полный доступ и полные полномочия, распространяющиеся на весь домен. В противном случае у учетной записи Администратор есть доступ только к локальной системе. Несмотря на то, что некоторые файлы и каталоги могут быть временно защищены от учетной записи Администратор, она может взять под свой контроль эти ресурсы в любое время, изменив права доступа. По умолчанию, учетная запись Администратор включена, но можно отключить или пере Глава 7. Управление учетными записями пользователя и группы именовать ее, чтобы улучшить безопасность. Для переименования учетной записи используется политика безопасности Учетные записи: переименование учетной записи администратора. По умолчанию, учетная запись Администратор для домена — член групп Администраторы, Администраторы домена, Пользователи домены, Администраторы предприятий, Владельцы-создатели групповой политики и Администраторы схемы. Информацию об этих группах можно найти в следующем разделе. 7.4.3. Учетная запись Гость Учетная запись Гость предназначена для пользователей, которым необходим одноразовый или случайный доступ. Хотя гости получают ограниченный доступ к системе, нужно быть очень осторожными при использовании этой учетной записи. При каждом использовании этой учетной записи гарантированы потенциальные проблемы безопасности. Риск настолько большой, что по умолчанию в Windows Server эта учетная запись отключена. Учетная запись Гость по умолчанию является членом групп Гости домена и Гости. Обратите внимание, что учетная запись Гость, как и другие именованные учетные записи, также является членом неявной группы Все. Группа Все обычно имеет доступ к файлами и папкам. Также у этой группы есть набор прав пользователя по умолчанию. 7.4.4. Неявные группы и специальные идентификаторы В Windows Server неявные группы назначаются неявно во время входа и основаны на том, как пользователь получает доступ к сетевому ресурсу. Например, если пользователь получает доступ к ресурсу с помощью интерактивного входа, пользователь автоматически становится членом неявной группы Интерактивные. Не смотря на то, что все еще нельзя просмотреть членство специальных идентификаторов, можно предоставить членство в неявных группах пользователям, группам и компьютерам. Чтобы отразить измененную роль, неявные группы также называют специальными идентификаторами. Специальный идентификатор — это группа, членство в которой устанавливается неявно, например, во время входа в систему, или явно через специальные разрешения доступа. Как и в случае [ 217 ' Справочник системного администратора с другими группами по умолчанию, доступность определенной неявной группы зависит от текущей конфигурации. Список специальных идентификаторов приведен далее. • Анонимный вход — в эту группу зачисляется любой пользователь, получивший доступ к системе посредством анонимного входа. Эта группа разрешает анонимный доступ к ресурсам, например, к веб-странице, опубликованной на корпоративном сервере. • Прошедшие проверку — в эту группу попадает пользователь, прошедший проверку подлинности. Идентификатор разрешает доступ к общим ресурсам в пределах домена, например, к файлам в общей папке, которые должны быть доступны всем сотрудникам организации. • Пакетные файлы — к этой группе относится любой пользователь, получивший доступ к системе в качестве пакетного задания. Позволяет запускать запланированные задачи, например, ночное удаление временных файлов. • Группа-создатель — Windows Server использует эту специальную группу для автоматичного предоставления доступа пользователям, являющимся членами той же группы, что и создатель файла или каталога. • Создатель владелец — лицо, создавшее файл или каталог, становится членом этой специальной группы. Windows Server использует эту группу для автоматического предоставления разрешений создателю файла или каталога. • Удаленный доступ — любой пользователь, получивший доступ в систему с помощью коммутируемого соединения, попадает в группу Удаленный доступ. Эта группа позволяет разграничить пользователей dial-up от других типов аутентифицированных пользователей. • Контроллеры домена предприятия — контроллеры домена, выполняющие роли уровня предприятия. Эта группа позволяет выполнять определенные задачи с помощью транзитивного доверия. • Все — все интерактивные, сетевые, dial-up и аутентифицированные пользователи являются членами данной группы. Это специальная группа предоставляет широкий доступ к ресурсам системы. • Интерактивные — любой пользователь, выполнивший локальный вход в систему. Данная группа позволяет предоставить доступ к ресурсу только локальным пользователям. Глава 7. Управление учетными записями пользователя и группь • Сеть — членом этой группы является любой пользователь, вошедший в систему по сети. Данная группа позволяет предоставить доступ к ресурсу только удаленным пользователям. • Proxy — пользователи и компьютеры, получающие доступ к ресурсам через прокси, попадают в эту группу. Группа используется, когда в сети реализованы прокси-серверы. • Пользователи удаленного рабочего стола — любой пользователь, получивший доступ к системе с помощью служб удаленного рабочего стола. Позволяет пользователям удаленного рабочего стола получать доступ к приложениям служб удаленного рабочего стола и осуществлять другие необходимые задачи с этими службами. • Ограниченные — пользователи и компьютеры с ограниченными возможностями. • Self — указывает на сам объект и позволяет объекту изменять самого себя. • Служба — любая служба, получающая доступ к системе. Данная группа предоставляет доступ к процессам, запущенным службами Windows Server. • Система — сама операционная система Windows Server. Группа используется, когда операционной системе нужно выполнить действия на уровне системы. 7.4.5. Группы, используемые администраторами Администратор — тот, у кого есть широкий доступ к сетевым ресурсам. Администраторы могут создавать учетные записи, изменять права пользователей, устанавливать принтеры, управлять общими ресурсами и т. д. Основные группы администратора — Администраторы, Администраторы домена и Администраторы предприятия. В табл. 7.1 сравниваются группы администратора. [ 219 [ Справочник системного администратора Таблица 7.1. Обзор групп администратора Тип группы администратора Сетевая среда Действие группы Членство Администраторы Домены Active Directory Локальный домен Администратор, Администраторы домена, Администраторы предприятия Администраторы Рабочие группы. компьютеры, не входящие в домен Локальное Администратор Администраторы домена Домены Active Directory Глобальное Администратор Администраторы предприятия Домены Active Directory Глобальное или универсальное Администратор Администраторы схемы Домены Active Directory Универсальное Администратор • Администраторы — это локальная группа, предоставляющая полный административный доступ к отдельным компьютерам или к единственному домену, в зависимости от его расположения. Поскольку у этой учетной записи есть полный доступ, нужно быть очень осторожными при добавлении пользователей в эту группу. Чтобы назначить кого-то администратором локального компьютера или домена, все, что нужно сделать — это добавить человека в эту группу. Только члены группы Администраторы могут изменить эту учетную запись. • Администраторы домена — глобальная группа, разработанная, чтобы помочь управлять ресурсами в домене. Члены этой группы имеют полный контроль над доменом. Эта группа обладает административным контролем над всеми компьютерами в домене, потому что она — член группы Администраторы по умолчанию на всех контроллерах домена, всех рабочих станциях и всех рядовых серверах домена, как только они присоединяются к домену. Чтобы назначить кого-то администратором домена, сделайте этого человека членом данной группы. • Администраторы предприятия — глобальная группа, призванная помочь управлять ресурсами леса. Члены этой группы имеют полный контроль над всеми доменами в лесу. Эта группа обладает полным административ Г 220 1 Глава 7. Управление учетными записями пользователя и группы ным контролем над контроллерами домена в предприятии, потому что эта группа является членом группы Администраторы по умолчанию на всех контроллерах домена в лесу. Чтобы сделать кого-то администратором предприятия, просто добавьте его в эту группу. • Администраторы схемы — универсальная группа, разработанная для управления схемой в Active Directoiy Члены этой группы могут работать со схемой и изменять схему Active Directory. Перед тем, как кто-либо сможет редактировать схему, нужно сделать его членом этой группы. 7.5. Возможности учетной записи В Windows Server можно назначить следующие типы возможностей учетной записи. • Привилегия — тип права пользователя, предоставляющий разрешения на выполнение определенных административных задач. Можно назначить привилегии учетным записям пользователя и группы. Примером привилегии является возможность завершать работу системы. • Права входа — тип права пользователя, предоставляющий разрешения входа в систему. Можно назначить право входа, как учетной записи пользователя, так и группы. Примером права входа является право входа локально. • Встроенные возможности — тип права пользователя, который назначается группам и включает автоматические возможности группы. Встроенные возможности предопределены и неизменны, но они могут быть делегированы пользователям с разрешением управлять объектами, организационными подразделениями и другими контейнерами. Пример встроенной возможности — возможность создавать, удалять и управлять учетными записями пользователей. Эта возможность присвоена операторам учетной записи и администраторам. Таким образом, если пользователь — участник группы Администраторы, то он может создавать, удалять и управлять учетными записями пользователей. • Разрешения доступа — тип права пользователя, определяющий операции, которые могут быть выполнены на сетевых ресурсах. Можно назна Справочник системного администратора чить разрешения доступа пользователям, компьютерам и группам. Пример разрешения доступа — возможность создавать файл в каталоге. 7.5.1. Привилегии Привилегии — это назначение права пользователя, предоставляющее разрешения на выполнение определенных административных задач. Можно назначить привилегии с помощью групповых политик, которые могут быть применены к отдельным компьютерам, организационным подразделениям и доменам. Хотя можно назначить привилегии как пользователям, так и группам, обычно нужно назначать привилегии группам. В этом случае пользователи автоматически получат соответствующие права, как только они станут членами группы. Назначение привилегий группам также упрощает управление учетными записями. В табл. 7.2 приведено краткое описание каждой привилегии, которую можно назначить пользователям и группам. Таблица 7.2. Привилегии пользователей и групп Привилегия Описание Работа в режиме операционной системы Позволяет процессу допускать любого пользователя к работе в системе без проверки подлинности. Добавление рабочих станций к домену Разрешает пользователям добавлять компьютеры в домен Настройка квот памяти для процесса Разрешает пользователям изменять максимальный объем памяти, используемый процессом Архивация папок и каталогов Позволяет пользователям архивировать систему, независимо от разрешений, установленных для файлов и каталогов Обход перекрестной проверки Позволяет пользователям производить обзор деревьев каталога, даже если у этих пользователей отсутствуют разрешения на каталог. Привилегия не позволяет пользователям просматривать содержимое каталога, а только производить его обзор Изменение системного времени Разрешает пользователям устанавливать время системных часов Г 222 1 Глава 7. Управление учетными записями пользователя и групп Привилегия Описание Изменение часового пояса Разрешает пользователям устанавливать часовой пояс системных часов. По умолчанию эта привилегия есть у всех пользователей Создание файла подкачки Позволяет пользователям создавать и изменять размер файла подкачки для виртуальной памяти Создание маркерного объекта Позволяет процессам создавать маркерные объекты, которые могут использоваться для предоставления доступа к локальным ресурсам. Процессы, которым нужна эта привилегия, должны использовать учетную запись LocalSystem Создание глобальных объектов Позволяет процессам создавать глобальные объекты. Эта привилегия по умолчанию есть у учетных записей LocalService и NetworkService Создание постоянных общих объектов Позволяет процессам создавать объекты каталога в диспетчере объектов. У большинства компонентов уже есть эта привилегия, и не нужно назначать ее специально Создание символических ссылок Определяет для пользователя возможность создавать символические ссылки. Символьные ссылки позволяют файлу или папке появится в определенном расположении, когда на самом деле этот файл или папка находится в другом расположении. Использование символических ссылок по умолчанию ограничено из соображений безопасности Отладка программ Разрешает пользователям осуществить отладку программ Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Определяет, какие пользователи могут устанавливать параметр Делегирование разрешено для пользователя или объекта-компьютера Принудительное удаленное завершение работы Позволяет пользователям завершать работу компьютера с удаленной системы Создание аудитов безопасности Разрешает процессам создавать записи журнала для аудита доступа к объектам Справочник системного администратора Привилегия Описание Имитация клиента после проверки подлинности Позволяет веб-приложениям действовать как клиентам во время обработки запросов. Службы и пользователи также могут работать как клиенты Увеличение рабочего набора процесса Разрешает пользователю увеличить размер рабочего набора процесса. Рабочий набор процесса — это набор страниц памяти, видимых в данный момент процессу в физической памяти. При увеличении рабочего набора снижается количество ошибок страниц и повышается производительность Увеличение приоритета выполнения Позволяет процессам повышать приоритет выполнения другого процесса, при условии, что у них есть доступ для записи к процессу Загрузка и выгрузка драйверов устройства Позволяет пользователям устанавливать и деинсталлировать драйверы РпР-устройств. Это не влияет на драйверы не-РпР-устройств, которые могут устанавливать только администраторы Блокировка страниц в памяти Позволяет процессам хранить данные в физической памяти, запрещая системе выгружать данные в виртуальную память на диск Управление аудитом и журналом безопасности Позволяет пользователям указывать опции аудита и получать доступ к журналу безопасности. Сначала нужно включить аудит в политике группы Изменение метки объекта Позволяет пользовательскому процессу изменять метки целостности объектов, таких как файлы, разделы реестра или процессы, владельцами которых являются другие пользователи. Эти привилегии могут быть использованы для понижения приоритета других процессов. Процессы, запущенные под учетной записью пользователя, могут модифицировать любой объект, который принадлежит пользователю без запроса этой привилегии 224 Глава 7. Управление учетными записями пользователя и групп Привилегия Описание Изменение параметров среды изготовителя Разрешает пользователям и процессам изменять системные переменные среды Выполнение задач по обслуживанию томов Разрешает администрирование сменных носителей, дефрагментацию диска и управление диском Профилирование одного процесса Разрешает пользователям контролировать производительность несистемных процессов Профилирование производительности системы Позволяет пользователям следить за производительностью системных процессов Отключение компьютера от стыковочного узла Разрешает отключение лэптопа от стыковочного узла и его удаление из сети Замена маркера уровня процесса Позволяет процессам заменять маркер по умолчанию для подпроцессов Восстановление файлов и каталогов Разрешает пользователям восстанавливать заархивированные файлы и каталоги, независимо от разрешений, установленных для файлов и каталогов Завершение работы системы Разрешает пользователям выключать локальный компьютер Синхронизация данных службы каталога Позволяет пользователям синхронизировать данные службы каталога на контроллерах домена Смена владельцев файлов и других объектов Разрешает пользователям сменять владельцев файлов и любых других объектов Active Directory 7.5.2. Право входа Право входа — право пользователя, предоставляющее полномочия входа в систему. Можно назначить право входа как учетной записи пользователя, так и учетной записи группы. Как и в случае с привилегиями, права входа назначаются через групповые политики, кроме того права входа проще назначать сразу группам, нежели отдельным пользователям. [ 225 правочник системного администратора В табл. 7.3 приведено краткое описание каждого права входа, которое можно назначить пользователям и группам. Таблица 7.3. Права хода для пользователей и групп Право входа Описание Доступ к диспетчеру учетных данных от имени доверенного вызывающего Предоставляет разрешение устанавливать доверенное соединение с диспетчером учетных данных (Credential Manager). Учетные данные (имя пользователя и пароль или смарт-карта) обеспечивают идентификацию Доступ к компьютеру из сети Предоставляет удаленный доступ к компьютеру Локальный вход в систему Предоставляет разрешение войти в систему с клавиатуры компьютера. На контроллерах домена зто право по умолчанию ограничено и доступно только следующим группам: Администраторы, Операторы учета, Операторы архива, Операторы печати и Операторы сервера Разрешить вход в систему через службу удаленных рабочих столов Предоставляет доступ с помощью службы удаленных рабочих столов. Это право необходимо для удаленной помощи и удаленного использования рабочего стола Отказать в доступе к этому компьютеру из сети Запрещает удаленный доступ к этому компьютеру по сети Отказать во входе в качестве пакетного задания Запретить право входа в качестве пакетного задания или сценария Отказать во входе в качестве службы Запрещает вход в качестве службы Запретить локальный вход Запрещает локальный вход в систему с использованием клавиатуры компьютера Запретить вход в систему через службу удаленных рабочих столов Запрещает вход в систему с использованием удаленных рабочих столов Вход в качестве пакетного задания Предоставляет разрешение войти в систему в качестве пакетного задания Вход в качестве службы Предоставляет разрешение войти в систему в качестве службы. Это право есть у учетной записи LocalSystem. Данное право нужно назначить учетной записи службы Глава 7. Управление учетными записями пользователя и группы 7.5.3. Встроенные возможности для групп в Active Directory Встроенные возможности, назначаемые группам в Active Directoiy, зависят от конфигурации компьютера. С помощью Редактора локальной групповой политики (рис. 7.1) можно просмотреть возможности, которые назначаются каждой группе, раскрыв узел Конфигурация компыотера\Конфигу-рация Windows\IIapaMeTpbi безопасности\Локальные политики и выбрав узел Назначение прав пользователя. Редактор локальной групповой политики 6 2? Политика 'Локальный компьютер' и ФУ Конфигурация компьютере Конфигурация программ * Конфигурация Window^ ь Политика разрешения имен : Сценарии Смпуск/эавершениС «В Развернутые принтеры * f Параметры безопасности ► S Политики учетных записей1: * 4 Локальные политики а ”олитмча аудита S Назначение прав пользе • Параметры безопасное/’ ^Загрузка и выгрузка дра'вероя устройств Л Монитор брандмауэра Заш Тслитлси диспетчера спио <<•-. Политики открытого ключа. 8 Политики ограниченного и Политики управления при/ * Политики Р-беэоласиости Конфигурация расширение: /ч Изменение системного времени Изменение часового пояса Имитация клиетга после проверки подлини... I Локал -чдй вход в систему i да Настройка квот памяти для процесса ; S Обход перекрестной проверки ^..Отказать в доступе к этому компьютеру из се... . Отказать яо вкоае в качестве пакетного зада... . г-.Стсазат» во входе в качестве службы ; ^Отключение компьютера от стыковочного уз. Администраторы Ji QoS на основе политики Административные шаблоны < Конфигурация пользователя Конфигурация программ Конфигурация Windows Административные шаблоны Политика 1 траме-р безопасности блокировка стоа-ии в памяти *’Восстамсаве*- е файлов и каталогов . ‘Вход в качестве пакетного задания ’ ас Входе качестве службы . Выполнение задач по обслуживанию томов ; " Добавление рабочих станций к домену Доступ к диспетчеру учетных данных от име_ ' jg Доступ к компьютеру из сети • Завершение работы системы -’Замена маркера уровня процесса «£ За-реттъ вход в систему через службу удал_ - Запретить локальный вход Изменение метки. объема Админястраторы.Операторы сервера.Операторы архива Администра-сры.Олераторы архиааЛольэователк журналов произв_ NT SERVKEWl SERVICES Аанинистпаторы Про а.е.-ш -e проверку ВсеЛрсшедшие проверхуАймииистраторы.Прел-’^пОотм 2000досгу-Администс>а''сры.Операторы сервера Операторы печа’*'Операторы -Адциг<истра’сры Операторы печати LOCAL S£RWE.NETAORX SERVICE Администраторы LOCAL SERVJCEAnfMH -стратосы, Огер агоры сервера LOCAL SERVKf^AiXMH. стра-оры,Оператеры сервера LOCAL SERVKE NETWORK 5ЕК\’1СЕДаминистраторы.й5_лЛД5,СЖ*£А Администраторы Операторы учетаЛператоры сервера.Операторы г;, LOCAL SERVICEAItTWORK SERVICE Администраторы Все^рошедх/е проверку .LOCAL SERVICE,NETWORK SERVICE Ддыинист- Рис. 7.1. Назначение прав пользователя Описание той или иной политики можно узнать на вкладке Объяснение. Как правило, назначение политики понятно по ее названию, а колонка Параметр безопасности содержит список групп, которым назначено то или иное право. Рис. 7.2. Вкладка Объяснение 7.6. Требования к именам пользователей и паролям 7.6.1. Требования к имени учетных записей У учетных записей есть отображаемые имена и имена входа. Отображаемое имя (или полное имя) — имя, отображаемое пользователям и имя, показываемое в сеансах пользователя. Имя входа — это имя, используемое для входа в домен. Для учетных записей домена отображаемое имя обычно состоит из фамилии, имени и отчества, но можно указать любую строку. Отображаемое имя должно соответствовать следующим правилам: • локальные отображаемые имена должны быть уникальными на отдельном компьютере; Глава 7. Управление учетными записями пользователя и групп • отображаемые имена должны быть уникальными в пределах домена; • максимальная длина отображаемого имени — 64 символа; • отображаемые имена могут содержать алфавитно-цифровые и специальные символы. Имена входа должны следовать этим правилам: • локальные имена входа должны быть уникальными в пределах отдельного компьютера, глобальные имена входа должны быть уникальными в пределах домена; • имена входа MOiyr состоять из 256 символов. Однако очень непрактично использовать имена входа длиной более 64 символов; • старые имена входа (в формате для ОС, предшествовавших Windows 2000) назначаются всем учетным записям. По умолчанию, в качестве этого имени входа используются первые 20 символов обычного имени входа. Имена входа в старом формате тоже должны быть уникальными в пределах домена; • пользователи, входящие в домен с компьютера, могут использовать свои стандартные имена входа или свои имена в старом формате (для ОС, предшествовавших Windows 2000) независимо от режима работы домена; • имена входа не могут содержать определенных символов. Следующие символы недопустимы: </\[];| = ,+ *?<>; • имена входа могут содержать все остальные специальные символы, в том числе пробелы, двоеточия, тире и символы подчеркивания. Однако использовать данные символы в именах учетных записей — не очень хорошая идея. 7.6.2. Использование безопасных паролей Пароль — это чувствительная к регистру строка, которая может содержать 127 символов и более при использовании Active Directoiy и до 14 символов при использовании Windows NT Security Manager. Допустимые символы для паролей — буквы, цифры и другие символы. При установке пароля для учетной записи Windows Server сохраняет пароль в зашифрованном виде в базе данных учетных записей. правочник системного администратора Но простого наличия пароля не достаточно. Ключ к предотвращению несанкционированного доступа к сетевым ресурсам — использование безопасных паролей. Разница между среднестатистическим и безопасным паролем — безопасные пароли трудно подобрать и взломать. Сделать пароль сложным для подбора и взлома можно, используя комбинацию всех доступных типов символов, в том числе символов разного регистра, цифр и прочих символов. Например, вместо того, чтобы использовать topsecret в качестве пароля, лучше выбрать tOPsECret& или TO12pSeCre7*. Также можно использовать парольные фразы. В этом случае пароль содержит несколько слов и знаки пунктуации, как в предложении. Например, «Му very secret passwOrd!». Эта фраза содержит знаки пунктуации, цифры и удовлетворяет всем требованиям сложности и невероятно трудна для взлома. К сожалению, нет никакой разницы, насколько безопасным будет начальный пароль, пользователь со временем может установить собственный пароль. Поэтому необходимо установить политики учетных записей, определяющие, каким будет безопасный пароль для имеющихся систем. Политики учетных записей — это подмножество политик, настраиваемых в групповой политике. 7.7. Политики учетной записи 7.7.1. Установка политик учетных записей Политики учетной записи должны быть сконфи1урированы в GPO с наивысшим приоритетом, связанным с доменом. По умолчанию, GPO с наивысшим приоритетом называется Default Domain Policy GPO. Как только будет получен доступ к Default Domain Policy GPO или другому надлежащему GPO, можно установить политики учетных записей с помощью этих действий: 1. В утилите Редактор управления групповыми политиками (рис. 7.3) разверните узел Политики учетных записей, находящийся в узле Конфигурация компьютера\Конфигурация Windows\napaMerpbi безопасности. Дерево консоли покажет имя настраиваемого компьютера или домена. Убедитесь, что выполняется настройка нужного сетевого ресурса. Глава 7. Управление учетными записями пользователя и группы Фейа Действие Вид Окно Слоавка » т X Вт а Управление групповой политиков “ £ Лес: еытр'е стхп * Л Домен» » । ewno'e сот . Defauft Domain ВД<у * . Domam Controflen •k Default Domain Controller» Pt Объест» группе», й политики » Фильтры WMi Э Начальные объекты групповод bj Сайты <> Моделирование групповой политик; Результаты тэупповой политики Defeutt Domain Policy О«лесть Сведения Параметры Делегированы* Редактор управления групповыми пол*ъ*иыи Поймать евлзиврв Файл ДеАпие Вид Слрмка Q - С GPO свлзамы слых Фильтры беэолес Параметры данного елшуюцга групп, гх Ооъьчт GPO с»лз-1 А Политика Default Domain fc:icy ГА * Имя Описание - * КОНЬ. гураиил компьютера J Политика паролей Политика паролей •Политики 4 Политика блокировки учетной_ 'кимглка блокировки учетной зал. К « .» и* »ы> По^кст»™. м Конфигурация Windows Политика разрешения £. Сценарии (мпуск/мве» * Развернутые принтер» м 11 Параметры безопасной jg Политики учетных» J Локальные политик» J Журнал событий > * Группы с ограничен! 4 Системные службы _4 Реестр « Файловая система Sf Политики проводк» Монитор Ьрандмауз Политики диспетчер > Й Политики беслрсао' «отсутствует» Рис. 7.3. Редактор управления групповыми политиками 2. Теперь можно управлять политиками учетных записей с помощью узлов Политика паролей, Политика блокировки учетной записи и Политика Kerberos. Чтобы настроить политику, дважды щелкните по ней или щелкните правой кнопкой мыши и выберите команду Свойства. Откроется одноименное окно (рис. 7.4). Все политики могут быть или определены, Свойства: Пароль должен отвечать требованиям сложное, ? X Параметр политики йвзопасности Объяснение Пароль должен отвечать требованиям сложности [^Определить следующий параметр политики" Д'Включен (2)Стхлючен ОК | Отмена Г'рмефниг& Рис. 7.4. Свойства групповой политики правочник системного администратора или не определены. Это означает, что они могут быть либо настроены, либо не настроены для использования. Политика, не определенная в текущем контейнере, может быть наследована из следующего контейнера. 3. Установите или сбросьте флажок Определить следующий параметр политики, чтобы указать, определена ли политика Далее будут рассмотрены некоторые политики и рекомендуемые параметры для них. 7.7.2. Настройка политики паролей Политики паролей, приведенные здесь, контролируют безопасность паролей: • вести журнал паролей; • максимальный срок действия пароля; • минимальная длина пароля; • минимальный срок действия пароля; • пароль должен отвечать требованиям сложности; • хранить пароли, используя обратимое шифрование. Использование этих политик обсуждается в следующих разделах. Вести журнал паролей Политика Вести журнал паролей устанавливает, как часто старые пароли могут использоваться повторно. С помощью этой политики можно отучить пользователей использовать несколько общих паролей. В журнале паролей Windows Server может хранить до 24 пароля для каждого пользователя. Чтобы отключить эту опцию, установите число паролей, равное 0. Чтобы активировать ее, установите значение истории паролей, используя поле Вести журнал для. После этого Windows Server будет отслеживать старые пароли на основе истории паролей, уникальной для каждого пользователя. Пользователям не разрешается устанавливать ранее использованные пароли. [ 232 ] Глава 7. Управление учетными записями пользователя и группы Максимальный срок действия пароля Политика Максимальный срок действия пароля определяет, сколько дней пользователи могут хранить пароль перед его обязательным изменением. Цель этой политики — заставить пользователей периодически менять свои пароли. Установите значение, имеющее смысл в конкретной сети. В целом, нужно использовать более короткий период, когда безопасность очень важна, и более длительный период, когда безопасность менее важна. Можно установить максимальный срок действия пароля от 0 до 999 дней. Величина 0 означает, что пароли не истекают. Несмотря на желание не устанавливать дату истечения пароля, пользователи должны менять пароль регулярно, чтобы обеспечить безопасность сети. Там, где важна безопасность, используйте значение 30,60 или 90 дней. Где безопасность менее важна, хорошие значения равны 120,150 или 180 дней. Минимальный срок действия пароля Политика Минимальный срок действия пароля определяет, сколько дней должно пройти перед тем, как пользователь сможет изменить его. Можно использовать эту политику, чтобы помешать пользователям несколько раз подряд менять пароль, чтобы установить старый пароль. Если минимальный срок действия пароля установлен в 0, пользователи сразу могут изменить свои пароли. Чтобы предотвратить это, установите определенный минимальный срок. Имеет смысл использовать значения от 3 до 7 дней. Таким образом, пользователи не смогут сразу перейти на старый пароль, но при необходимости смогут изменить пароль, не дожидаясь максимального срока действия. Имейте в виду, что минимальный срок действия пароля может препятствовать смене скомпрометированного пароля. Если пользователь не может изменить пароль, это должен сделать администратор. Минимальная длина пароля Политика Минимальная длина паролей устанавливает минимальное число символов пароля. Если значение по умолчанию не было изменено, сделайте это немедленно. Значение по умолчанию в некоторых случаях позволяет устанавливать пустые пароли (пароли с 0 символов), что определенно не очень хорошая идея. [ 233 ' Справочник системного администратора Из соображений безопасности нужно использовать пароли длиной минимум 8 символов. Если необходима еще большая безопасность, установите минимальную длину пароля, равную 14 символов. Пароль должен отвечать требованиям сложности ОС Windows Server содержит средства для дополнительного управления паролем. Эти средства заставляют использовать безопасные пароли, которые устанавливаются в соответствии со следующими требованиями: • минимальная длина паролей — 6 символов; • пароли не могут содержать имя пользователя, например markf, или часть полного имени, например mark; • пароли должны содержать как минимум три из четырех типов символов: буквы в нижнем регистре, буквы в верхнем регистре, цифры и неалфавитные символы. Для применения этих правил включите политику Пароль должен отвечать требованиям сложности. Хранить пароли, используя обратимое шифрование Пароли в базе данных хранятся в зашифрованном виде. Обычно это шифрование не может быть обращено. Единственный случай, когда нужно изменить это поведение — ситуация, когда организация использует приложения, которым нужно считать пароль. Если это так, включите политику Хранить пароли, используя обратимое шифрование для всех пользователей. При включении этой политики пароли также могут быть сохранены как обычный текст. Это тоже представляет угрозу безопасности. Помните это. Намного лучше включить эту опцию для конкретных пользователей, как только она будет действительно необходима им. 7.7.3. Политики блокировки учетной записи Политики блокировки учетной записи, приведенные здесь, контролируют, как и когда учетные записи будут заблокированы доменом или локальной системой: Глава 7. Управление учетными записями пользователя и группы • пороговое значение блокировки; • продолжительность блокировки учетной записи; • время до сброса счетчика блокировки. Редактор управления групповыми политиками — □ X файл Действие £ид Справка ♦ Й J Bl .Jf В Tl —- . — _ "’i v Политика Параметр политики Время до сброса счетчика блокировки Не определено i Пороговое значение блокировки 0 ошибок входа в систе_ Продолжительность блокировки учетной за... Не определено Политика Default Domain Ройсу [W * * Конфигурация компьютера v Политики Конфигурация программ * Конфигурация Windows Политика разрешения aih Сценарии запуск/заве| > Ж Развернутые принтеры ~ № Параметры безопасное Л Политики учетных за Ц Политика паролей ЛВ Политика блокир< > Ji Политика Kerbero! > « Локальные политик» J Журнал событий 5 -4 Группы с ограничен! а Системные службы А Реестр > Файловая система > &Г Политики ПрОВОДНО! Рис. 7.5. Политики блокировки учетной записи Пороговое значение блокировки Политика Пороговое значение блокировки определяет число попыток входа в систему, которые может сделать пользователь, прежде чем учетная запись будет заблокирована. Если решите использовать управление блокировкой, вам придется балансировать между предотвращением взлома учетной записи и потребностями пользователей, которые испытывают затруднения при получении доступа к своим учетным записям. Очень часто пользователи забывают свои пароли. Если это так, им понадобится несколько попыток входа в систему. У пользователей рабочей группы также могут быть проблемы при доступе к удаленной системе, если их текущие пароли не совпадают с паролями, которые ожидает удаленная система. Например, удаленная система могла записать несколько неудачных попыток входа в систему, прежде чем пользователь получит приглашение ввести НзГ Справочник системного администратора правильный пароль, потому что Windows Server попытался автоматически войти в удаленную систему. В доменной среде это обычно не происходит благодаря функции единого входа в систему. Можно установить значение порога блокировки от 0 до 99. Значение 0 установлено по умолчанию — учетные записи не будут заблокированы из-за неуспешных попыток входа. Любое другое значение указывает порог блокировки. Помните, что высокое значение повышает риск взлома системы хакером. Рекомендуемый диапазон для этого порога — от 7 до 15 попыток. Этого достаточно, чтобы пользователь ввел правильный пароль, и снижает вероятность взлома хакером. Продолжительность блокировки учетной записи Если чья-то учетная запись будет заблокирована, политика Продолжительность блокировки учетной записи установит время блокировки. Можно установить продолжительность блокировки от 1 до 99 999 минут или же задать неограниченное время блокировки, установив значение 0. Лучшая рекомендация — блокировать учетную запись навсегда. Тогда только администратор сможет ее разблокировать. Это предотвращает повторные попытки взлома хакерами и заставляет обратиться пользователей, чья учетная запись заблокирована, за помощью к администратору, что обычно — хорошая идея. Поговорив с пользователем, можно определить, что пользователь делает неправильно, а затем поможете ему избежать будущих проблем. Время до сброса счетчика блокировки ОС Windows Server отслеживает каждую неудачную попытку входа и увеличивает число неудачных попыток входа. Чтобы поддерживать баланс между потенциальными блокировками от допустимых проблем безопасности и блокировками, которые могут произойти от простой человеческой ошибки, другая политика определяет, сколько времени поддерживать информацию о неудачных попытках входа в систему. Эта политика называется Время до сброса счетчика блокировки. Используйте ее, чтобы сбросить счетчик неудачных попыток входа в 0 после определенного периода ожидания. Способ работы политики прост: если период ожидания истек с момента последней неудачной попытки входа, счетчик плохих попыток сбрасывается в 0. Счетчик плохих попыток входа также сбрасывается, когда пользователь успешно входит в систему. Глава 7. Управление учетными записями пользователя и группы Если политика Время до сброса счетчика блокировки включена, можно установить любое значение — от 1 до 99 999 минут. Как и с пороговым значением блокировки, необходимо выбрать оптимальное значение между нуждами безопасности и потребностями пользователя. Хорошее значение — от одного до двух часов. Такой период ожидания должен быть достаточно продолжительным, чтобы заставить хакеров ждать дольше, чем они хотят перед повторной попыткой получить доступ к учетной записи. Если политика Время до сброса счетчика блокировки не установлена или отключена, счетчик плохих попыток сбрасывается только при успешном входе пользователя в систему. 7.7.4. Политики Kerberos Kerberos — основной механизм аутентификации, используемый в домене Active Directory. Протокол Kerberos применяет билеты для проверки идентификации пользователей и сетевых служб. Билеты содержат зашифрованные данные, которые подтверждают идентификационные данные в целях аутентификации и авторизации. Редактор управления групповыми политиками файл Действие Вид Справка Политика Default Domain Policy [W * Конфигурация компьютера Л Политики > Конфигурация программ v Конфигурация Windows > Политика разрешения Сценарии (запуск/заве| я* Развернутые принтеры v i Параметры безопасное ~ Л Политики учетных за > Л Политика пароле! > Ji Политика блокирс > ' Политика КегЬего: Л Локальные политикк > J Журнал событий > з* Группы с ограничен» > а Системные службы > 14 Реестр > 4 Файловая система р 2в‘ Политики проводно! < > Политика Параметр политики U Максимальная погрешность синхронизации... 5 мин. « Максимальный срок жизни билета пользова... 10 ч. чн. Максимальный срок жизни билета службы 600 мин. Максимальный срок жизни для возобновлен 7 дн. Принудительные ограничения входа пользе... Включен Рис. 7.6. Политики Kerberos 237 Справочник системного администратора Можно контролировать продолжительность билета, его обновление и принудительное ограничение с помощью следующих политик: • принудительное ограничение входа пользователей; • максимальный срок жизни билета службы; • максимальный срок жизни билета пользователя; • максимальный срок жизни для возобновления билета пользователя; • максимальная погрешность синхронизации часов компьютера. Максимальная погрешность синхронизации часов компьютера Это одна из политик Kerberos, которую, возможно, следует изменить. По умолчанию все компьютеры в домене должны синхронизироваться с разницей в 5 минут. Если это не так, будет сбой аутентификации. Если есть удаленные пользователи, входящие в домен без синхронизации своих часов с сервером времени сети, возможно, нужно скорректировать это значение. Можно установить любое значение от 0 до 99 999. Значение О не устанавливает погрешность, т. е. удаленные системы должны точно синхронизировать время, иначе произойдет сбой аутентификации. Принудительное ограничение входа пользователей Политика Принудительное ограничение входа пользователей позволяет убедиться, что применены все ограничения, установленные для учетной записи пользователя. Например, если лимитированы часы регистрации пользователя, эта политика осуществляет ограничение. По умолчанию политика включена, а ее отключение требуется лишь в очень редких случаях. Политики задания максимального срока жизни Политики Максимальный срок жизни билета службы и Максимальный срок жизни билета пользователя устанавливают максимальную продолжительность действия билета службы или пользователя. По умолчанию у билетов службы максимальная продолжительность жизни — 600 минут, у билетов пользователя — 10 часов. Можно изменить срок жизни билетов. Для билетов службы допустимый диапазон — от 0 до 99 999 минут, для билетов пользователя — от 0 до 99 Глава 7. Управление учетными записями пользователя и группы 999 часов. Значение 0 отключает отслеживание срока жизни. Любое другое значение устанавливает определенное время жизни.Истекающий билет пользователя может быть возобновлен при условии, что возобновление допустимо настройками политики Максимальный срок жизни для возобновления билета пользователя. По умолчанию максимальный период возобновления составляет 7 дней. Можно изменить период возобновления на любое значение от 0 до 99 999 дней. Значение 0 выключает максимальный период возобновления, а любые другие значения устанавливают определенный период возобновления. 7.8. Настройка глобальных прав пользователя При работе в Active Directory для администрирования политик прав пользователя воспользуйтесь следующими инструкциями: 1. Откройте GPO, с которым нужно работать, а затем разверните узел Локальные политики, раскрыв дерево консоли. Этот узел находится в узле Конфигурация компыотера\Конфигурация Windows\IIapaMeTpbi безопасности. Файл Действие Вил Справка вл Политика Defaun Domain Fte«cy (W!N LGOGBECFF л * fl* Конфигурация компьютера м ” Политую* Конфигурация программ - Конфигурация Windows Политика разрешения имен Сценарии 'залусю завершение* ВВ Развернутые принтеры ~ 1 Параметры безопасности *3 Политики учетных записей •_> Политика паролей > Jl Политика блокировки учетной в X Политика Кегвепи ~ J Локальные политики ж Политика аудита Назначение прав пользователе J Пврвметрь* безопаснос-и J Журнал событий •В Группы с ограниченным доступом • * Системные службы а Реестр .# Файловая система > Sil Политики •чхжад-ойсети 0EEE ВО. Монитор брандмауэра Защитника Постны диспетчера списка сетей - Политики беспроводной сети ОЕЕЕ Политики отчэь*того ключа > 3 Политики ограниченного «польз* Политика Архивация Файлов и каталогов Блокировка страниц в памяти . Восстановление файлов и каталогов Вход в качестве пакепкио мдания Вход в качестве службы ^Выполнение задач по обслуживанию томов Добавление рабочих станций, к домену _ Доступ к диспетчеру ученых данных от чме * Завершение работы системы 9 Загрузка и выгрузка драйверов устройств ... Замена маркера уровня процессе Запретить вход в систему через службу удал - Запретить локальный вход Изменение параметров среды из отовителл . Изменение системного времени ». Изменение часового пояса Имитация клиента после проверки подла» н Лекальный вход с с «тему ч„ Настройка «от памяти для процесса ..Обход перекрестной проверки Опя за-ь в доступе кзтому компьютеру из се- Не= Отказать аи входе в качестве пакетного зада Не Параметр политики : Свойства’ Завершение работы системы Пвранатр политики веэопаености Овыкнатьтя Отказать во входе в качестве службы Не- Отключение компьютера от стыковочного ух, Не: Рис. 7.7. Настройка глобальных прав пользователя Справочник системного администратора 2. Выберите политику Назначение прав пользователя для управления правами пользователя. Для настройки назначения прав пользователя дважды щелкните на праве пользователя или щелкните правой кнопкой мыши и выберите команду Свойства 3. Включите параметр Определить следующие параметры политики. После этого нажмите кнопку Добавить пользователя или группу, чтобы добавить в список учетную запись пользователя/группы. 4. Нажмите кнопку ОК для закрытия окна Свойства. 7.9. Создание учетной записи пользователя Учетные записи пользователя и группы позволяют Windows Server отслеживать и управлять информацией о пользователях, в том числе разрешениями и привилегиями. Для создания учетной записи пользователя обычно применяются две следующие административных утилиты: • Active Directory - пользователи и компьютеры - используется для администрирования учетных записей через домен Active Directory; • Центр администрирования Active Directory - с его помощью также можно управлять учетными записями Active Directory; • Локальные пользователи и группы - используется для администрирования учетных записей на локальном компьютере. Для каждого пользователя, которому необходим доступ к сетевым ресурсам, необходимо создать учетную запись пользователя. Для создания учетных записей пользователей домена применяется Центр администрирования Active Directory или оснастка Active Directory - пользователи и компьютеры. Локальные учетные записи пользователей можно создать с помощью утилиты Локальные пользователи и группы. Создание пользователя в Центр администрирования Active Directory и оснастке Active Directory - пользователи и компьютеры равносильно. В результате использования этих оснасток будет создан объект пользователя. Вы можете использовать то средство, которое вам больше нравится. Далее будет рассмотрен процесс создания паролей в Центре администрирования Active Directory. Глава 7. Управление учетными записями пользователя и группы 1. В дереве консоли Центра администрирования Active Directory перейдите в контейнер, в который нужно поместить учетную запись пользователя (обычно это контейнер Users), а затем выберите команду Создать, Пользователь (рис. 7.8). Откроется окно Создать Пользователь, изображенное на рис. 7.9. Рис. 7.8. Центр администрирования Active Directory. Пользоввтели Создать Пользователь: | ЗАДАЧИ £ [ РАЗДЕЛУ ♦ ^четная запись Организация Членство Парамедзы паролей Профиль Политика Приемник команд Учетная запись Имя: Отчество: Фамилия: Полное имя: ф Вход пользователя (... @ Вход пользователя (.. example \3|t Пароль- Подтверждение пар.. Создать в- CN=UsersDC-example, DC=сот Изменить... Срок действия учетн • Никогда О Конец Г юаметры пароля: < • Требовать смены пароля при следующем входе в си О Другие параметры пароля Для интерактивного входа требуется смарт-карта Срок действия пароля не ограничен Запретить смену пароля пользователем Параметры шифрования ’ Другие параметры: ’ !_j Защита от случайного удаления Время входа в систему.. Организация Отображаемое имя: Комната Эл. почта- tW-CTlAHJHX *• Дополнительные сведения Должность: Отдел: Организация: Рис. 7.9. Окно создания пользователя Справочник системного администратора 2. Введите имя, отчество и фамилию в предоставленные текстовые поля. Эти текстовые поля используются для создания полного имени, которое также является отображаемым именем. 3. При необходимости внесите изменения в поле Полное имя. Полное имя должно быть уникальным в пределах домена, максимальная длина — 64 символа. 4. В поле Вход пользователя (UPN) введите имя входа пользователя. Из раскрывающегося списка выберите домен, с которым нужно связать учетную запись. Это действие установит полное имя входа. 5. Первые 20 символов имени входа используются для заполнения поля Вход пользователя (SAMAccountName). Это имя пользователя в старом формате (для ОС, предшествовавших Windows 2000), оно должно быть уникальным в пределах домена. 6. Все другие текстовые поля в окне являются необязательные. Установите и подтвердите пароль пользователя (при желании). Дополнительно установите флажок Защита от случайного удаления, чтобы отметить учетную запись как защищенную в Active Directory. Защищенные учетные записи могут быть удалены только, если флаг защиты будет удален перед попыткой удаления учетной записи. 7- Если нужно, установите параметры пароля: » Требовать смены пароля при следующем входе в систему — если флажок установлен, пользователь должен изменить пароль сразу после входа в систему; » Запретить смену пароля пользователем — если флажок установлен, пользователь не сможет изменить пароль; » Срок действия пароля не ограничен — если флажок установлен, время действия пароля для этой учетной записи никогда не истекает. Эта установка переопределяет политику учетной записи домена. Неограниченный срок действия пароля — плохая идея, поскольку она не мотивирует пользователя изменять свой пароль; 8. Нажмите кнопку ОК для создания учетной записи пользователя. Для создания локальной учетной записи пользователя можно использовать утилиту Локальные пользователи и группы: 1. В диспетчере серверов выберите команду Средства, а затем Управление компьютером. Либо можно нажать комбинацию клавиш <Windows>+<X> и выбрать из появившегося меню команду Управление компьютером. " 242 J Глава 7. Управление учетными записями пользователя и группы 2. Щелкните правой кнопкой мыши на записи Управление компьютером в дереве консоли и выберите команду Подключиться к другому компьютеру. Теперь можно выбрать систему, локальными записями которой нужно управлять. У контроллеров домена нет локальных пользователей и групп. 3. В узле Служебные программы выберите узел Локальные пользователи и группы. 4. Щелкните правой кнопкой мыши на узле Пользователи, а затем выберите команду Новый пользователь. Откроется одноименное диалоговое окно (рис. 7.10). Заполните поля. 5. Нажмите кнопку Создать. Новый пользователь ? X f/j Требовать смены пароля при следующем входе в систему Запретить смену пароля пользоветегем Срок действия пароля не ограничен I I Отключить учетную запись Справка Закрыть Рис. 7.10. Создание локального пользователя 7.10. Создание учетной записи группы Учетные записи групп применяются для управления привилегиями сразу для многих пользователей. Создать глобальные учетные записи групп можно в Центре администрирования Active Directory или оснастке Active Directory - пользователи и компьютеры. Локальные учетные записи групп создаются в утилите Локальные пользователи и группы. Если вы собираетесь создавать учетные записи группы, помните, что учетные записи групп обычно создаются для подобных типов пользователей. Следующие типы групп, возможно, придется создать. [ 243 .. правочник системного администратора • Группы для подразделений в пределах организации — в большинстве случаев пользователи, которые работают в одном отделе (подразделении), нуждаются в доступе к одним и тем же ресурсам. Часто нужно создавать группы, организованные по подразделению, например, Руководство, Продажи, IT и т. д. • Группы для определенных приложений — пользователи часто нуждаются в доступе к приложению и ресурсам, относящимся к приложению. Если создать группу для приложения, можно быть уверены в том, что у пользователей есть соответствующий доступ к необходимым ресурсам и файлам приложения. • Группы для ролей в пределах организации — также можно организовать группы по ролям пользователей в пределах организации. Например, руководители нуждаются в доступе к одним ресурсам, а супервизоры и обычные пользователи — к другим. Создавая группы на основе ролей в организации, можно убедиться, что вы предоставляете пользователям доступ, в котором они нуждаются. Для создания глобальной группы нужно выполнить действия: • В Active Directory - пользователи и компьютеры: щелкните правой кнопкой мыши по контейнеру, в который нужно поместить группу, затем выберите команду Создать, Группа. Откроется окно Новый объект - Группа (рис. 7.11) Новый объект - Группа Создать в: exampfe.com/Users Имя группы: HMg группы (пред-Windows 2000): Область действия группы О Локальная в домене ^Глобальная ОУниверсальная Тип группы Группа безопасности О Группа распространения I Отмена Рис. 7.11. Создание глобальной группы Глава 7. Управление учетными записями пользователя и группы • В консоли Центра администрирования Active Directory: щелкните правой кнопкой мыши по контейнеру, в который нужно поместить группу. Выберите команду Создать на панели контейнера, а затем команду Группа. Откроется окно Создать Группа. В большинстве случаев нужно только ввести название группы и нажать кнопку ОК. 7.11. Управление членством в группе Несколько замечаний относительно членстве в группе: • все новые пользователи домена являются членами группы Пользователи домена, их основная группа указывается как Пользователи домена; • все новые рабочие станции домена и рядовые серверы являются членами группы Компьютеры домена, их основная группа — Компьютеры домена; • все новые контроллеры домена становятся членами группы Контроллеры домена, их основная группа — Контроллеры домена. Можно управлять членством в группе несколькими способами: • индивидуально управлять членством в группе; • множественно управлять членством в группе; • установить основную группу для отдельных пользователей и компьютеров Управлять членством в группе для учетной записи любого типа можно так: 1. Дважды щелкните на пользователе, компьютере или группе в оснастке Active Directory - пользователи и компьютеры или в Центре администрирования Active Directory. Откроется окно Свойства учетной записи. 2. На вкладке или панели Член групп выбраны группы, членом которых является выбранная учетная запись. Нажмите кнопку Добавить, чтобы сделать учетную запись членом дополнительной группы. Откроется окно Выбор: «Группа»’. Теперь можно выбрать группы, членом которых должна стать учетная запись. 245 _____J Справочник системного администратора 3. Для удаления учетной записи из группы, выберите группу и затем нажмите кнопку Удалить. 4. Нажмите кнопку ОК. На рис. 7.12 пользователь test помещен в две группы - Пользователи домена и Пользователи удаленного рабочего стола. Членство в первой группе дает возможность пользователю входить в домен и пользоваться всеми предоставляемыми ресурсами домена. Членство во второй группе позволяет использовать удаленный рабочий стол (RDP) для удаленного входа на сервер. В этой главе мы рассмотрели основные аспекты управления учетными записями пользователя и группы. В следующей главе мы рассмотрим, как подключить Linux к домену Active Directory. Свойства: test ? X Входящие звонки Объект Безопасность Среда Сеансы Удаленное управление Профиль служб удаленных рабочих столов СОМ+ Редактор атрибутов Общие Адрес Учетная запись Профиль Телефоны Организация Опубликованные сертификаты Член групп Репликация паролей Нлен групп. Добавить Удадить Основная группа Пользователи домена Нет необходимости изменять основную Д ‘оенон- . н группу. если только не используются клиенты Macintosh или POSIX-совнестимые приложения OK j Отмена Применить Сир -тела Рис. 7.12. Изменение группы пользователя 246 Глава 8. Подключаем Linux к Windows-инфраструктуре ^Справочник системного администратора 8.1. Знакомство с Samba «Чистокровные» UNIX-сети существовали, наверное, только в 70-ых годах, когда кроме UNIX, по сути, не было других операционных систем. В современной компьютерной сети взаимодействуют самые различные устройства, управляемые самыми разными операционными системами: стационарные компьютеры и ноутбуки под управлением Windows, Linux и MacOS, смартфоны под управлением Linux, Android и iOS и т.д. Samba - это сервис, позволяющий Linux-машине интегрироваться в Windows-сеть и стать ее полноценным участником. С помощью Samba вы можете использовать ресурсы Windows-сети, предоставлять ресурсы Windows-машинам и даже выступать в роли контроллера Active Directoiy Конечно, если честно, Samba в качестве контроллера Active Directoiy используется довольно редко. Чаще требуется настройка иного плана - включение Linux-cepeepa в состав домена ActiveDirectory, что и будет рассмотрено в этой главе. После произведенной настройки наш сервер под управлением Linux сможет стать полноценным сервером домена ActiveDirectoiy и предоставлять другим компьютерам домена ресурсы, например, принтеры или дисковые ресурсы. 248 Глава 8. Подключаем Linux к Windows-инфраструктуре 8.2. Установка необходимого программного обеспечения Для реализации поставленной задачи нам нужно установить Samba, Kerberos и Winbind. Конечно, если вам не нужно Интегрировать сервер в домен AD, то будет достаточно одного пакета Samba, но такие конфигурации встречаются редко, а интегрироваться в домен AD без Kerberos и Winbind невозможно. Итак, установим необходимые пакеты (на примере Debian/Ubuntu): sudo apt-get install install samba krb5-user winbind Первый пакет (samba) позволяет стать членом домена и предоставлять/ использовать ресурсы. Второй пакет необходим для работы протокола Kerberos, который используется для аутентификации в Windows. Без третьего пакета нельзя использовать учетную запись пользователя из AD. Далее мы будем использовать следующие параметры для настройки: • Имя домена - MY.COMPANY • Имя контроллера ActiveDirectory - dc.my.company • I P-адрес контроллера домена -192.168.1.2 • Имя Linux-сервера - linux 8.3. Подготовительная настройка Первым делом на компьютере linux нужно настроить DNS и синхронизацию времени. Откройте файл /etc/resolv.conf и добавьте в него следующие строки: domain my.company search my.company nameserver 192.168.1.2 Нужно запретить редактировать этот файл, чтобы его не изменил NetworkManager: sudo chattr +i /etc/resolv.conf [ 249 ' Справочник системного администратора Также нужно отредактировать /etc/hosts: 127.0.0.1 localhost 127.0.1.1linux.my.company linux Также убедитесь, что файл /etc/hostname содержит правильное имя узла (linux). На этом настройка DNS закончена, а после нее нужно настроить синхронизацию времени, что очень важно для нормальной работы нашего сервера в AD. Для автоматической синхронизации времени используется демон ntpd. Установим его: sudo apt-get install ntp После этого нужно отредактировать файл /etc/ntp.conf и добавить в него строку: server de.my.company Теперь перезапускаем сеть и ntpd: service networking restart service ntp restart 8.4. Настройка Kerberos Теперь мы можем приступить к настройке нашей связки Kerberos + Samba + Winbind. Первым делом настроим Kerberos. Нужно отредактировать файл / etc/krb5.conf и привести его к виду, представленному в листинге 8.1. Строки, выделенные жирным, необходимо заполнить своими данными. Листинг 8.1. Файл /etc/krt»5.conf [libdefaults] default_realm = MY.COMPANY kdc_timesync = 1 ccache_type = 4 Глава 8. Подключаем Linux к Windows-инфраструктур forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true [realms] LAB.LOCAL = { kdc = de admin_server = de default_domain = MY.COMPANY } [domain_realm] .lab.local = MY.COMPANY lab.local = MY.COMPANY [login] krb4_convert = false krb4_get_tickets = false Теперь проверим, работает ли Kerberos и можем ли мы аутентифицироваться в домене: kinit пользователь@МУ.COMPANY Здесь нужно указать имя пользователя, зарегистрированного в домене MY.COMPANY. Имя домена нужно писать заглавными буквами. Если аутентификация прошла успешно и вы не получили сообщения об ошибке, значит вы все сделали правильно. В результате вам будет назначен тикет Kerberos. Просмотреть все тикеты можно командой klist, а уничтожить все тикеты - командой kdestroy. Справочник системного администратора 8.5. Настройка Samba Следующий шаг - это настройка Samba. Вам нужно отредактировать файл / etc/samba/smb.conf, в котором прописываются параметры входа в домен, а также предоставляемые нашим сервером ресурсы. Самое главное в файле /etc/samba/smb.conf - это секция global, где описываются основные параметры Samba. Остальные секции, как правило, описывают предоставляемые ресурсы. В листинге 8.2 будут приведены секции global и public. В последней описывается общий каталог, который будет доступен всем пользователям. Дополнительную информацию о настройке Samba можно получить по адресу https://help.ubuntu.com/community/ Samba. Сейчас главное интегрировать Samba в домен AD, а описать дополнительные ресурсы и настроить к ним права доступа, думаю, вы сможете самостоятельно. Листинг 8.2. Пример файла конфигурации /etc/samba/smb.conf для интеграции сервера в домен AD [global] # Имя рабочей группы и домена нужно указывать заглавными буквами workgroup = MY realm = MY.COMPANY # Авторизация через AD security = ADS encrypt passwords = true # Отключаем прокси DNS dns proxy = no # Ускоряем работу Samba socket options = TCP_NODELAY # Если не хотите, чтобы Samba стала контроллером домена, установите # следующие параметры таким образом domain master = no local master = no preferred master = no Глава 8. Подключаем Linux к Windows-инфраструктуре os level = О domain logons = no # Отключаем поддержку принтеров load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes [public] # Комментарий comment = Public Directory # путь path = /var/samba # не только чтение, но и запись read only = no # явно разрешаем запись writable = yes # разрешаем гостевой доступ guest ok = yes # разрешить просмотр содержимого каталога browseable = yes Сохраните файл конфигурации и введите команду testparm, которая проверит файл конфигурации Samba и сообщит, нет ли в нем ошибок: # testparm Load smb config files from /etc/samba/smb.conf Loaded services file OK. Server role: ROLE_DOMAIN_MEMBER Как видите, файл в порядке, а роль сервера - член домена (ROLE_DOMAIN_ MEMBER). Все, как нам и нужно. Теперь запустим Samba: sudo service smbd start Попробуем подключиться к нашему домену как пользователь user: # net ads join -U user -D MY Enter user's password: Using short domain name — MY Joined 'linux' to realm 'my.company' [ 253 ’ Справочник системного администратора Если при подключении к домену вы увидите сообщение «DNS update failed!», попробуйте первым делом перезагрузить свой компьютер (linux), прежде чем разбираться, почему не обновляется DNS. 8.6. Настройка Winbind Если вам нужно только добавить свой сервер в состав домена AD, то на этом вся настройка закончена, но если вам нужно еще и взаимодействовать с пользователями домена, например, настраивать SMB-шары с разграничением доступа, вам нужен Winbind. Демон Winbind используется для связи локальной системы управления пользователями Linux с системой управления пользователями AD. Другими словами, Winbind нужен, если вы хотите видеть пользователей домена AD на локальной машине. Благодаря этому вы можете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, связанные с правами доступа. Для настройки Winbind используется опять файл конфигурации /etc/ samba/smb.conf. В секцию global добавьте следующие строки: # Диапазоны идентификаторов для виртуальных пользователей и групп idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # He изменяйте эти строки winbind enum groups = yes winbind enum users = yes winbind use default domain = yes template shell = /bin/bash winbind refresh tickets = yes После этого нужно перезапустить Samba и Winbind, но сделать это нужно в определенной последовательности: sudo service winbind stop sudo service smbd restart sudo service winbind start 254 Глава 8. Подключаем Linux к Windows-инфраструктуре После этого Winbind уже будет работать, но он все еще не интегрирован. Для интеграции Winbind в Linux. Откройте файл /etc/nsswitch.conf и найдите в нем строчки: passwd: compat group: compat Эти строки нужно изменить так: passwd: compat winbind group: compat winbind Раз мы уже настраиваем интеграцию с сетью Microsoft, то не грех и компьютер перезагрузить - по примеру Microsoft. После этого ваш сервер linux станет полноценным членом AD-домена MY.COMPANY. 255 Часть III. Администрирование данных В этой части мы подробно рассмотрим администрирование данных. Будут подробно изучены: резервное копирование, совместный доступ к данным, RAID-массивы, шифрование данных. Глава 9. Управление файловыми системами и дисками Глава 10. RAID-массивы Глава 11. Совместный доступ к данным Глава 12. Windows Server Backup: создание резервной копии и восстановление с нее Глава 13. Шифрование данных Глава 9. Управление файловыми системами и дисками Справочник системного администратора Жесткйй диск - наиболее часто используемое устройство хранения данных, используемое на рабочих станциях и серверах сети. Пользователи зависят от жестких дисков, поскольку они хранят на них текстовые документы, электронные таблицы и другие типы данных. Диски организованы в файловые системы, к которым пользователи могут получить доступ или локально или удаленно. Локальные файловые системы установлены на компьютере пользователя и доступ к ним может быть получен без установки удаленных сетевых соединений. Диск С, доступный на большинстве рабочих станций и серверов, является примером локальной файловой системы. Получить доступ к диску С можно с использованием пути С:\. 9.1. Управление ролью Файловые службы Файловый сервер предоставляет централизованное место для хранения и совместного использования файлов по сети. Когда много пользователей нуждается в доступе к одним и тем же файлам и данным приложений, вам нужно настроить файловые серверы в домене. В более ранних версиях операционной системы Microsoft Windows Server все серверы устанавливались с базовыми файловыми службами. Начиная с Windows Server 2012, вы должны специально настроить сервер быть файловым сервером, добавив роль Файловые службы и настроив эту роль использовать надлежащие службы роли (табл. 9.1). [ 258 ] Глава 9. Управление файловыми системами и дисками Таблица 9.1. Службы ролей для Файловых служб Служба роли Описание Служба BranchCache для сетевых файлов Позволяет компьютерам в филиале кэшировать часто используемые файлы в совместно используемых папках. Такое решение использует методы дедупликации данных, чтобы оптимизировать передачу данных по глобальным сетям (WAN) к филиалам. Дедупликация данных Для достижения большей эффективности хранения использует разделение файлов на блоки переменного размера и сжатие. Суть процесс заключается в том, чтобы хранить большее количество данных на меньшем пространстве в небольших (32 - 128 Кб) блоках разного размера, определяя дублирующие блоки и сохраняя одну копию для каждого блока. Оптимизированные файлы хранятся как точки повторного анализа. После дедупликации, файлы на томе больше не хранятся как потоки данных, а вместо этого они заменяются заглушками, указывающими на блоки данных, хранящиеся в общем хранилище блоков. Пространства имен распределенной файловой системы (DFS) Позволяет вам группировать совместно используемые папки, находящиеся на разных серверах в одно или нескольких логически структурированных пространств имен. Каждое пространство имен появляется как единственная общая папка с серией подпапок. Однако, структура пространства имен может быть получена из совместно используемых папок на множественных серверах в различных сайтах. Репликация DFS Позволяет вам синхронизировать папки на множественных серверах, находящихся в локальной или глобальной сети с использованием механизма репликации multimaster. Механизм репликации использует протокол RDC (Remote Differential Compression) для синхронизации порций файлов, которые изменились с момента последней репликации. Вы можете использовать репликацию DFS с пространствами имен DFS или без них. Когда домен работает в режиме Windows Server 2008 или выше, контроллеры домена используют репликацию DFS для обеспечения большей отказоустойчивой репликации каталога SYSVOL. Файловый сервер Позволяет вам управлять совместно используемыми файлами, к которым пользователи могут получить доступ по всей сети. Диспетчер ресурсов файлового сервера (FSRM) Устанавливает набор утилит, которые администраторы могут использовать для лучшего управления хранимыми на сервере данными. Используя FSRM, администраторы могут генерировать отчеты хранения данных, настраивать квоты, определять политики файлов. Справочник системного администратора Служба роли Описание Служба агента VSS файлового сервера Позволяет VSS-совместимым утилитам резервного копирования создавать непротиворечивые теневые копии (снимки) приложений, которые хранят файлы данных на файловом сервере. Сервер цели iSCSI Превращает любой Windows Server в доступное по сети блочное устройство хранения, которое может использоваться для тестирования приложений перед развертыванием SAN-хранилища. Поддерживает совместно используемые хранилища на не-Windows iSCSI-инициаторах и сетевую/бездисковую загрузки для бездисковых серверов. Поставщик целевого хранилища iSCSI Поддерживает управление виртуальными дисками iSCSI и теневыми копиями (снимками) из iSCSI-инициатора. Сервер для NFS Предоставляет решение обмена файлами для предприятий со смешанной средой Windows и UNIX. Когда вы устанавливаете Службы для сетевой файловой системы (Network File System, NFS), пользователи смогут обмениваться файлами между Windows Server и UNIX с использованием протокола NFS. Службы хранилища Позволяет вам управлять хранилищем, в том числе пулами и пространствами. Пулы хранилищ группируют диски так, что вы можете создать виртуальные диски из доступной емкости. Каждый созданный вами виртуальный диск - это пространство хранилища. Добавить роль Файловые службы на сервер можно с помощью следующих действий: 1. В Диспетчере серверов выберите Управление, а затем - Добавить роли и компоненты или же выберите Добавить роли и компоненты на плитке приветствия. Это запустит Мастер добавления ролей и компонентов. Если мастер отобразит страницу Перед началом работы, нажмите Далее. 2. На странице Выбор типа установки по умолчанию выбрано Установка ролей или компонентов. Нажмите Далее. 3. На странице Выбор целевого сервера вы можете выбрать, где нужно установить роли и компоненты — на сервере или виртуальном жестком диске. Выберите сервер из пула серверов или выберите сервер, на котором можно смонтировать виртуальный жесткий диск (VHD). Если вы добавляете роли и компоненты на VHD, нажмите Обзор, а затем ис Г 260 1 Глава 9. Управление файловыми системами и дисками пользуйте диалог Обзор виртуальных жестких дисков для выбора вашего VHD. Когда будете готовы продолжить, нажмите Далее. 4. На странице Выбор ролей сервера выберите роль Файловые службы и службы хранилища. Если для установки роли требуются дополнительные компоненты, вы увидите дополнительное диалоговое окно. Нажмите Добавить компоненты для добавления необходимых компонентов в инсталляцию сервера. Нажмите кнопку Далее для продолжения. Примечание. Краткое описание каждой службы роли приведено в таблице 9.1. Например, чтобы разрешить взаимодействие с Linux, выберите Сервер для NFS. 5. На странице Выбор компонентов выберите один или несколько компонентов для установки. Если нужно установить дополнительные компоненты, от которых зависит устанавливаемый компонент, вы увидите соответствующее диалоговой окно. Нажмите Добавить компоненты для закрытия этого окна и установки требуемых компонентов на сервер. Когда вы будете готовы продолжить, нажмите Далее. Мастер добавления ролей и компонентов Выбор ролей сервера КОНЕЧНЫЙ СЕРВЕР W1N-LGOG6ECFFJS Перед началом работы Тил установки Выбор сервера Выберите одну или несколько ролей для установки на этом сервере. Роли Описание Роли сервера Компоненты Гэдтверхдегие П Службы удаленных рабочих столов П Службы управления правами Active Directory П Службы федерации Active Directory П Удаленный доступ * Файловые службы и службы хранилища (Уставе V Службы хранения (Установлено) м V) Файловые службы и службы iSCSI у ДЯЬ. *» I I Дедупликация данных □ Диспетчер ресурсов файлового сервера □ Поставщик целевого хранилища iSCSI (аг |О Пространства имен DFS □ Рабочие папки □ Репликация DFS □ Сервер для NFS □ Сервер цели iSCSI □ Служба BranchCache для сетевых файлов □ Служба агента VSS файлового сервера □ Факс-сервер Файловый сервер управляет общими папками и предоставляет пользователям доступ к файлам на этом компьютере по сети- Рис. 9.1. Установка Файлового сервера [ 261 ' Справочник системного администратора 6. После того, как вы просмотрите опции установки и сохраните их при необходимости, нажмите кнопку Установить для начала процесса установки. Страница Ход установки позволяет отслеживать процесс инсталляции. Если вы закрыли мастер, нажмите значок Уведомления в Диспетчере серверов, а затем нажмите ссылку, предназначенную для повторного открытия мастера. 7. Когда мастер закончит установку выбранных ролей и компонентов, страница Ход установки сообщит вам об этом. Просмотрите подробности установки, чтобы убедиться, что все фазы инсталляции завершены успешно. Обратите внимание на любые действия, которые могут потребоваться для завершения установки, например, перезагрузка сервера или осуществление дополнительных инсталляционных задач. Если какая-либо часть установки провалена, запомните причину сбоя. Просмотрите записи Диспетчера сервера, чтобы понять суть проблемы и примите соответствующие корректирующие действия. Если роль Файловые службы уже установлена на сервере и вы хотите установить дополнительные службы для файлового сервера, вы можете добавить службы роли на сервер, используя аналогичный процесс. 9.2. Физические диски Прежде, чем вы сделаете жесткий диск доступным для пользователей, вы должны настроить его и определить, как он будет использоваться. Операционная система Windows Server 2019 позволяет настроить жесткие диски многими способами. Метод, который вы выбираете, зависит, прежде всего, от типа данных, с которыми вы работаете, и от нужд вашей сетевой среды. Для общих пользовательских данных, хранящихся на рабочих станциях, вы можете настроить отдельные диски как автономные устройства хранения. В этом случае пользовательские данные хранятся на жестком диске рабочей станции, где к ним можно получить доступ локально. Несмотря на то, что хранить данные на единственном диске удобно, это не самый надежный способ хранения данных. Чтобы улучшить надежность и производительность, вам нужно заставить набор дисков работать вместе. Windows Server 2019 поддерживает наборы дисков и массивы с использованием технологии RAID (Redundant Array of Independent Disks — избыточный массив независимых жёстких дисков), которая встроена в операционную систему. Правда, о настройке RAID-массива вы поговорим в следующей главе. [ 262 ] Глава 9. Управление файловыми системами и дисками 9.2.1. Выбор физического диска Используете ли вы отдельные диски или управляете наборами дисков, вам нужны физические диски. Физические диски - устройства, которые используются для хранения данных. Объем данных, который может быть записан на диск, зависит от его размера и от того, использует ли он сжатие. Windows Server 2019 поддерживает много разных интерфейсов дисков, в том числе: • Small Computer System Interface (SCSI) • Serial ATA (SATA) Другими словами, диски с интерфейсом РАТА (IDE, EIDE) больше не поддерживаются. Поддержка таких дисков «ушла» еще со времен Windows Server 2016. Причин тому несколько. Во-первых, они не обеспечивают должны уровень производительности, характерный для современных систем. Во-вторых, производители жестких дисков уже давно отказались от РАТА в пользу интерфейса SATA. Поэтому вероятность встретить в продаже относительно современную машину с РАТА-диском равна 0. Если вам по каким-то причинам необходимо использовать РАТА-диски, рассмотрите использование Windows Server 2012 - это последняя версия серверной операционки от Microsoft, которая поддерживает этот интерфейс. Если вы только выбираете жесткий диск для вашего сервера, кроме объема нужно обратить внимание на следующие характеристики: • Скорость вращения - мера того, как быстро вращается диск. Для сервера этот показатель должен быть не менее 10 000 об/мин, в то время как для настольных систем скорость вращения шпинделя составляет 5400 об/ мин (ноутбуки) или 7200 об/мин (стационарные компьютеры). Конечно, сейчас мы говорим о SATA. Если говорить о SCSI, скорость вращения будет выше - на уровне 15 000 об/мин. • Среднее время поиска - показывает, сколько времени нужно для поиска между дорожками диска во время последовательных операций ввода/ вывода. В среднем, считается хорошим показателем 3 мс - чем меньше, тем лучше. Некоторые производители «железа» выпускают специальные серверные версии жестких дисков. Они будут отличаться от своих собратьев, предназначенных для персональных компьютеров, как раз этими двумя параметрами. Так, у Seagate соответствующая линейка называется Enterprise Performance, поэтому, можно встретить, что серверные жесткие диски [ 263 Справочник системного администратора называют также корпоративными или жесткими дисками для непрерывного доступа. Что же касается интерфейса, то для сервера, если конечно вы строите именно сервер, а не его подобие - лучше использовать интерфейс SAS/SCSI. Все-таки SATA больше подходит для персональных компьютеров. Не будем вдаваться в технические детали - их полно в Интернете. Если вы не понимаете, чем отличается SAS от SATA, рекомендую заполнить пробел в знаниях. Отдельного разговора заслуживают SSD-диски. Уровень пропускной способности SSD намного больше, чем у HDD, но их эффективность в значительной степени зависит от вида Доступа. Прямое сравнение жестких дисков и твердотельных накопителей в тестах имеют неоднозначные результаты. Традиционные тесты производительности HDD обычно нацелены на те области применения, где есть трудности именно у жестких дисков: задержки, связанные с вращениём, и время поиска. SSD не имеют этих проблем, и можно говорить, что твердотельные накопители предлагают гораздо более высокую производительность, чем жесткие диски в большинстве сценариев использования. Хотя на дворе 2020 год, автор этой книги настоятельно рекомендует пока отказаться от использования SSD на серверах. Тому есть как минимум две причины: • Относительно небольшой срок жизни SSD-дисков. Хорошим показателем для настольной системы является срок 3 года. Однако на сервере нагрузка на такой накопитель будет в несколько раз выше, следовательно, можно ожидать, что проживет такой накопитель гораздо меньше. • Особенности восстановления удаленной информации. По сути, если файл удален, то с SSD-диска восстановить его практически невозможно, во всяком случае, программно. Восстановление можно произвести в лабораторных условиях, но все это требует финансовых и временных затрат. А иногда на сервере, диск которого используют десятки пользователей, может понадобиться восстановление удаленных файлов. Для персонального компьютера такая особенность SSD может и к лучшему -в период тотальной слежки можно сказать, что с SSD файлы удаляются действительно безвозвратно. Заметьте, я не затрагиваю вопрос цены. Ранее считалось, что SSD на сервере использовать финансово нецелесообразно, поскольку диски большого размера стоили действительно дорого. Единственное, что пока улучшилось -это стоимость. Сегодня SSD-диски доступны всем, но их надежность пока не соответствует статусу сервера. Если уже говорить о финансах, то и хоро Глава 9. Управление файловыми системами и дисками ший SAS-диск тоже относительно дорогой - дешево в случае с серверным «железом» никогда не бывает. Есть одно исключение, когда можно использовать SSD-диски - это виртуальные серверы. Если вы арендуете виртуальный сервер, и провайдер заявляет о том, что используются SSD-диски - можно смело его покупать: 1. Часто SSD - это финансовая уловка. Просто скорость дисковой системы виртуального сервера соответствует скорости SSD-диска. 2. Даже если провайдер действительно использует SSD-диски, вас это никак не должно волновать, поскольку за работоспособность оборудования сервера вы не несете ответственность. Если сломается, покупать новый придется не вам. Также провайдер должен обеспечить сохранность данных, так что это тоже не ваша головная боль. Единственное, что стоит проверить - это производительность диска перед арендой виртуального сервера (это можно сделать тем же Crystal Disk Mark). У некоторых провайдеров SSD, к сожалению, только на бумаге, а скорость записи составляет на уровне 100 M6ai$r/c - это явно не показатель SSD. Другие факторы, которые вы можете рассмотреть: • Максимальная устойчивая скорость передачи данных - показывает, сколько данных диск может передавать постоянно. • Среднее время наработки на отказ (MTTF) - через сколько часов работы вы можете ожидать отказ диска, перед тем как он перестанет работать. • Нерабочие температуры - при каких температурах происходит сбой диска. У большинства дисков сопоставимого качества скорость передачи данных и MTFF подобны. Например, если вы сравните диски SCSI Ultra320 со скоростью вращения 15 000 об/мин различных производителей, вы обнаружите подобные скорости передачи и МТТЕ Температура - другой важный фактор, на который нужно обратить внимание при выборе диска, но его принимают во внимание немного администраторов. Как правило, чем быстрее вращается диск, тем более он горячий. Это не всегда так, но при выборе диска вы должны рассмотреть и фактор температуры. Например, диски со скоростью 15К более горячие и вы должны убедиться, что вы тщательно контролируете температуру. Windows Server 2019 поддерживает диски с аппаратным шифрованием (они также называются зашифрованными жесткими дисками). У зашифро [ 265 Справочник системного администратора ванных жестких дисков есть встроенные процессоры, которые перемещают функции шифрования с операционной системы на аппаратные средства, освобождая ресурсы операционной системы. Windows Server 2019 будет использовать аппаратное шифрование с BitLocker, если это возможно. Другие средства защиты, доступные в Windows Seiver 2019, включают Защищенную загрузку (Secure Boot) и Разблокировку по сети (Network Unlock). Защищенная загрузка обеспечивает целостность начальной загрузки, проверяя настройки BCD (Boot Configuration Data) согласно настройкам профиля проверки TPM (Trusted Platform Module). 9.2.2. Подготовка физического диска к использованию Оснастка консоли управления Microsoft (ММС) Управление дисками используется для настройки дисков. Управление дисками позволяет легко работать, как с внутренними, так и внешними дисками на локальной или удаленной системе. Управление дисками является частью консоли Управление компьютером. Вы можете также добавить ее в пользовательскую консоль ММС. В Управлении компьютером вы можете получить доступ к оснастке Управление дисками, развернув узел Запоминающие устройства и затем выбрав Управление дисками. Оснастка обладает тремя представлениями: Список дисков, Список томов и Графическое представление. На удаленных системах функциональность оснастки ограничена: вы можете просмотреть подробную информацию о диске, изменить буквы дисков и пути, конвертировать типы дисков. Для съемных дисков вы также можете удаленно извлечь носитель. Для осуществления расширенной манипуляции с удаленными дисками вы можете использовать утилиту командной строки DiskPart. Примечание. Если вы создаете раздел, но не форматируете его, раздел отмечается как Свободное пространство. Если вы не назначаете часть диска разделу, эта секция диска помечается как Не распределена. На рис. 9.2 в верхней части окна используется представление Список томов, а в нижней части - Графическое представление. Вы можете изменить представление верхней или нижней панели так: • Для изменения представления верхней панели выберите Вид, Верх, и выберите тип представления. 266 j Глава 9. Управление файловыми системами и дисками jjf Управление компьютером файл Действие Дид £.прав«з • /правление комльюте) ~ 1 Служебные програ ***HW Пл*ниров|Ди* за4 U Просмотр собь-'у’ В Общие валки 1 * Лежать»-, е польз. Производительна Л Диспетчер устрой * • В Запоминающие упр it1 Система архивам яг Управление диске ____ Простой — SSS_XM?RE£N-US_DV9U>) Простой — зарезервировано системой Простой Расположение ‘ Тип Файловая ггстема i Состояние Базовый HTFS Базовый UDF Базовый NTrS Исправен (Затрузы. Аварийный дамп памяти. Основной о- Исправен (Основной раздел’ Исправен <Сютема, Активен. Оо-овной раздел! Действия Управление дисками Дололнительи.. Диск О Базовый 60,00 Гз 6000 ГБ 60.00 Г5 )Дн«2 Нет данных * ?» ра»пределе! • Кновнойраздел Рис. 9.2. Управление дисками • Для изменения представления нижней панели выберите Вид, Низ, и выберите тип представления. • Чтобы скрыть нижнюю панель, выберите Вид, Низ, Скрыть. Windows Server 2019 поддерживает четыре типа конфигурации дисков: • Базовый - стандартный тип жесткого диска (фиксированный), используемый в предыдущих версиях Windows. Базовые диски делятся на разделы и являются исходным типом диска для ранних версий Windows. • Динамический - расширенный тип жесткого диска (фиксированный) для Windows Server 2019, который вы можете обновлять без необходимости перезапуска системы (в большинстве случаев). Динамические диски делятся на тома. • Сменный - стандартный тип диска, ассоциируемый со сменными устройствами хранения данных. • Виртуальный - тип виртуального жесткого диска (Virtual Hard Disk, VHD), используемый в виртуализации. Компьютеры могут использовать VHD так же, как они используют обычные жесткие диски, могут даже загружаться с VHD. 267 Справочник системного администратора Получить более подробную информацию о диске вы можете, щелкнув на диске правой кнопкой мыши и выбрав команду Свойства. Когда вы сделаете это, вы увидите диалог Свойства (рис. 9.3). 4. Свойства: Локальный диск (С) X Безопасность Теневые копии Предыдущие версии Квота Общие Сервис Оборудование Доступ Тил' Локальный диск Файловая система NTFS Занято 11390 595 072 байт 10.6 ГБ Щ Свободно 52456144 896 байт 48.8 ГБ Емкость 63 846 739 968 бейт 59.4 ГБ ДиетС: Очистка диска I 1Сжать этот диск для экономии места £/]Разрешить индексировать содержимое файлов на этом диске в дополнение к свойством файле OK j Отмена । Ч Применить Рис. 9.3. Свойства диска Если вы настроили удаленное управление через Диспетчер серверов и ММС, вы можете использовать Управление дисками, чтобы управлять дисками удаленного компьютера. Имейте в виду, что в этом случае функции управления удаленными дисками отличаются от функций управления локальными дисками. Вы можете выполнить следующие задачи: • Просмотр ограниченных свойств диска, но не свойств тома. Когда вы просматриваете свойства диска, вы увидите только вкладки Общие и Тома. Но не вы сможете просмотреть свойства дисков. • Изменение букв дисков и путей монтирования • Форматирование, уменьшение и расширение томов. Вы можете добавить и настроить параметры зеркальных, составных и чередующихся томов. • Удалять тома (кроме системных и загрузочных томов) Глава 9. Управление файловыми системами и дисками • Создавать, присоединять и отключать виртуальные диски VHD. Когда создаете и присоединяете VHD, вам нужно ввести полный путь к файлу, у вас не будет возможности выбрать .vhd файл (использовать функцию Обзор) Физическая установка и проверка нового диска Горячая замена (hot swap) - это функция, позволяющая демонтировать внутренние устройства, не отключая при этом компьютер. Как правило, внутренние диски, поддерживающие горячую замену, устанавливаются и извлекаются с передней части компьютера. Если ваш компьютер поддерживает горячую замену внутренних дисков, вы можете установить новые диски без необходимости выключения компьютера. После установки нового диска откройте Управление дисками и из меню Действие выберите команду Повторить проверку дисков. Новые диски, которые будут найдены, будут добавлены с надлежащим типом диска. Если диск, который вы добавили, недоступен, перезагрузите компьютер. Если компьютер не поддерживает горячую замену внутренних дисков, вы должны выключить компьютер и затем установить новые диски. Затем вы можете просканировать диски, как было описано ранее. Если вы работаете с новыми дисками, которые еще не были инициализированы, это означает, что у них еще нет подписей диска, и оснастка Управление дисками запустит диалог Инициализация дисков, как только обнаружит новые диски. Примечание. При использовании MBR диски поддерживают тома до 4 Тбайт и используют один из двух типов разделов: первичный или расширенный. У каждого MBR-диска может быть до четырех первичных (основных) разделов или три первичных и один расширенный раздел. Первичные разделы - это разделы диска, к которым можно получить доступ непосредственно для файлового хранилища. Создав файловую систему на нем, вы сделаете первичный раздел доступным для пользователей. Получить прямой (непосредственный) доступ к расширенному разделу нельзя. Вместо этого в расширенном разделе создается один или больше логический диск, который используются для хранения файлов. Учитывая, что вы можете разделить расширенный раздел на логические диски, вы можете разделить физический диск больше, чем на четыре раздела. 269 Справочник системного администратора GPT был первоначально разработан для высокоэффективных компьютеров на базе процессора Itanium. GPT рекомендуется использовать для дисков, больших 2 ТБ на х86 и х64 или на любых дисках, установленных в компьютер на базе Itanium. Основная разница между MBR и GPT - в способе хранения данных. В случае с GPT критические данные раздела хранятся на разных разделах, для улучшенной структурной целостности используются избыточные основные и резервные таблицы разделов. Также GPT-диски поддерживают тома до 18 эксабайт и целых 128 разделов. Не смотря на то, что у GPT и MBR есть базовые различия, большинство связанных с диском задач выполняется таким же образом. Однако вы должны знать, что поведение оснастки зависит от установленных политик. Ранее оснастка сразу показывала диалог Инициализация дисков. В Windows Server 2016/2019 новые и неинициализированные диски имеют статус Вне сети (offline). Чтобы приступить к инициализации диска, нужно в графическом представлении щелкнуть на статусе Вне сети правой кнопкой мыши и выбрать состояние В сети. Состояние диска изменится на Не проинициализирован (рис. 9.4). Снова щелкните по пиктограмме диска и выберите команду Инициализировать диск. Появится окно Инициализация дисков, в котором можно будет выбрать стиль разделов - MBR или GPT и нажать кнопку ОК. Глава 9. Управление файловыми системами и дисками Инициализация дисков X Чтобы диспетчер локальных дисков мог получить к нему доступ, надо инициализировать диск Выбор дисков: '/Диск 1 Использовать указанный ниже стиль разделов для выбранных дисков •^Основная загрузочная запись (MBR - Master Boot Record) QХаблица с GUID разделов (GPT - GUiD Partition Table) Примечание: стиль разделов GPT не распознается всеми предшествующими версиями Windows. ОК Отмена Рис. 9.5. Инициализация дисков Состояния дисков Знание статуса диска полезно, когда вы устанавливаете новые диски или разрешаете проблемы с дисками. Управление дисками показывает состояние диска в графическом представлении и в представлении Список томов. В таблице 9.2 представлены общие значения состояния. Таблица 9.2. Состояния дисков Состояние Описание В сети Нормальное состояние диска. Оно означает, что диск доступен и с ним нет никаких проблем. Это состояние показывают базовые и динамические диски. У диска нет никаких видимых проблем. Вам не нужно предпринимать каких-либо корректирующих действий В сети (Ошибки) На динамическом диски были обнаружены ошибки ввода/вывода. Вы можете попытаться исправить временные ошибки, щелкнув правой кнопкой мыши по диску и выбрав команду Реактивировать диск. Если это не поможет, у диска, вероятно, есть физические повреждения или вам нужно запустить полную проверку диск 271 Справочник системного администратора Состояние Описание Вне сети Диск недоступен и может быть поврежден или временно недоступен. Если имя диска изменено на Отсутствует, диск больше может быть идентифицирован в системе. Проверьте наличие проблем с диском, с его контроллером и кабелями. Убедитесь, что к диску подключено питание и он подключен правильно (имеется в виду интерфейсный кабель). Используйте команду Активировать диск, чтобы вернуть диск в состояние В сети (если возможно) Чужой Диск был перемещен в ваш компьютер, но не был импортирован для использования. Отказавший диск может иногда выводиться как Чужой Щелкните правой кнопкой по диску и выберите команду Импорт чужих дисков для добавления диска в систему. Не читается Диск в данный момент недоступен, может произойти, когда диски повторно сканируются. Это состояние отображают и базовые, и динамические диски. Вы можете увидеть это состояние на FireWire/USB кардридерах, если карта памяти не форматирована или неверно форматирована. Неопознан Диск неизвестного типа и не может использоваться в системе. Это состояние могут отображать не-Windows диски Если диск относится к другой операционной системе, ничего не делайте. Вы не можете использовать этот диск на компьютере, поэтому попытайтесь использовать другой диск, иначе вы потеряете данные Не проинициализи-рован У диска нет верной подписи. Это состояние может отображать диск с не-Windows файловой системой. Если диск относится к другой операционной системе, ничего не делайте. Вы не можете использовать этот диск на компьютере, поэтому попытайтесь использовать другой диск. Нет носителя В DVD или другой съемный дисковод не вставлен носитель или же носитель был удален. Это состояние могут отображать только DVD и другие типы сменных дисков. Базовые, динамические, виртуальные диски Операционная система Windows Server 2019 поддерживает базовые, дисковые и виртуальные конфигурации дисков. В этом разделе обсуждаются техники работы с диском каждого типа конфигурации. Глава 9. Управление файловыми системами и дисками Обычно разделы диска Windows Server инициализируются как базовые диски. Вы не можете создать новые отказоустойчивые наборы дисков, используя базовый тип диска. Вам нужно конвертировать ваши базовые диски в динамические и затем создать тома, которые используют чередование, зеркалирование или чередование с контролем четности (RAID 0, 1 и 5 соответственно). Отказоустойчивость и возможность смены дисков без. необходимости перезапуска компьютера - ключевые возможности, которые отличают динамические диски от базовых. Другие функции дисков зависят от его форматирования. Вы можете использовать базовые и динамические диски на одном и том же компьютеры. Однако набор томов должен использовать диски одного типа и стиля разделов. Например, если вам нужно зеркалировать диски С и D, оба диска должны быть динамическими и использовать одинаковый стиль разделов, который может быть или MBR или GPT. Вы можете осуществлять различные задачи конфигурации диска для базовых и динамических дисков. Над базовыми дисками вы можете выполнять следующие действия: • Форматировать разделы и помечать их как активные. • Создать и удалять первичные и расширенные разделы. • Создать и удалять логические диски на расширенных разделах. Операции над динамическими дисками: • Создать и удалять простые, чередуемые, составные (spanned), зеркальные и RAID 5 тома. • Удалять зеркало из зеркального тома. • Расширять простые или составные тома. • Разделить том на два тома. • Восстанавливать зеркальные или RAID 5 тома. • Реактивировать отсутствующий или диск с состоянием «вне сети». • Перейти обратно к базовому диску (требует удаления томов и восстановления их из резервной копии). Над дисками любого типа вы можете выполнить следующие операции: • Просматривать свойства дисков, разделов и томов. Справочник системного администратора • Назначать буквы дискам. • Настраивать безопасность и общий доступ к диску. Работаете ли вы с основными или динамическими дисками, вы должны иметь в виду пять специальных типов секций диска: • Активен - активный раздел или том - это секция диска, использующаяся для кэширования и запуска системы. Некоторые устройства со сменным носителем могут быть выведены как устройства с активным разделом. • Загрузка - загрузочный раздел или том, содержащий операционную систему и ее вспомогательные файлы. Разделы Система и Загрузка могут быть одним и тем же разделом. • Аварийный дамп памяти - раздел, на который компьютер пытается записать файлы дампа в случае отказа системы. По умолчанию файлы дампа записываются в папку %SystemRoot%, но они могут быть расположены на любом разделе или томе. • Файл подкачки - раздел, содержащий файл подкачки, используется операционной системой. Поскольку компьютер может использовать для подкачки несколько дисков, в зависимости от настройки виртуальной памяти, у компьютера может быть несколько разделов/томов этого типа. • Система - системный раздел или том, содержит аппаратно-зависимые файлы, необходимые для загрузки операционной системы. Системный раздел не может быть частью составного или чередуемого тома. Изменение типа диска Базовые диски разработаны для использования с предыдущими версиями Windows. Динамические диски позволят вам получить все преимущества последних функций Windows. Только компьютеры, работающие под управлением Windows 2000 и более поздних выпусков Windows, могут использовать динамические диски. Однако вы можете использовать динамические диски и с другими операционными системами, например, в UNIX. Чтобы сделать это, вам нужно создать отдельный том для не-Windows операционной системы. Вы не можете использовать динамические диски на портативных компьютерах. Windows Server предоставляет средства, необходимые для конвертирования базового диска в динамический и обратно в базовый. Когда вы конвертируете диск в динамический, разделы автоматически становятся томами Глава 9. Управление файловыми системами и дисками надлежащего типа. Вы не можете изменить эти тома обратно в разделы. Вместо этого вы должны удалить тома на динамическом диске, затем обратно преобразовать диск в базовый. Удаление томов уничтожает всю информацию на диске. Перед конвертированием базового диска в динамический вы должны убедиться, что вам больше не понадобится загружать компьютер в старых версиях Windows. Только компьютеры под управлением Windows 2000 и более поздних выпусков могут использовать динамические диски. В случае с MBR-дисками вы также должны убедиться, что диск имеет хотя бы 1 Мб свободного места в конце диска. Хотя оснастка Управление дисками резервирует это пространство при создании разделов и томов, средства управления дисками других операционных систем могут этого не делать. Без свободного пространства в конце диска конвертировать диск не получится. В случае с GPT вы должны иметь непрерывные, распознанные разделы данных. Если GPT-диск содержит разделы, которые Windows не распознала, например, созданные другой операционной системой, вы не сможете конвертировать этот диск в динамический. Для конвертирования базового диска в динамический выполните следующие действия: 1. В Управлении дисками щелкните правой кнопкой мыши на базовом диске, который вы хотите конвертировать (без разницы в каком режиме вы находитесь - Список дисков или Графическое представление). Затем выберите команду Преобразовать в динамический диск. 2. В диалоге Преобразование в динамические диски отметьте флажки напротив дисков, которые вы хотите конвертировать. Если вы преобразовываете составной, чередующийся, зеркалируемый или RAID 5 том, убедитесь, что вы выбрали все базовые диски в этом наборе. Вы должны конвертировать набор дисков вместе. Нажмите ОК для продолжения. Это отобразит диалог Диски для преобразования. 3. Диалог Диски для преобразования показывает диски, которые будут конвертированы. Рассмотрим кнопки и колонки в этом диалоге: » Имя - показывает номер диска » Оглавление диска - показывает тип и состояние разделов, например, Загрузочный раздел, Активный раздел или Используется. 275 Справочник системного администратора » Будет преобразован - будет ли диск преобразован. Если диск не соответствует критериям, он не будет преобразован и вы должны внести корректирующие действия, описанные ранее. » Сведения - показывает тома на выбранном диске. » Преобразовать - начинает преобразование. 4. Для начала преобразования нажмите Преобразовать. Управление дисками предупредит, что после завершения преобразования будет невозможно загрузить предыдущие версии Windows с томов на выбранных дисках. Нажмите Да для продолжения. 5. Управление дисками перезагрузит компьютер, если выбранный диск содержит загрузочный раздел, системный раздел или используется. Перед преобразованием динамического диска в базовый вам нужно удалить все динамические тома на этом диске. После этого щелкните правой кнопкой мыши на диске и выберите команду Преобразовать в базовый диск. Это изменит тип диска на базовый. Затем вы сможете создать новые разделы и логические диски. Реактивация диска Если состояние динамического диска - В сети (ошибки), часто повторная активация диска помогает решить проблему. Реактивировать диск можно так: 1. В Управлении дисками щелкните правой кнопкой мыши по динамическому диску и затем выберите команду Реактивировать диск 2. Если состояние диска не изменилось, перезагрузите компьютер. Если это не помогло решить проблему, проверьте сам диск, его контроллер и кабели. Также убедитесь, что диск правильно подключен и к нему поступает питание. 9.3. Виртуальные диски Используя Управление дисками, вы можете создавать, присоединять и отсоединять виртуальные жесткие диски (VHD). Создать виртуальный диск можно командой Действие, Создать виртуальный жесткий диск. В диалоге Создать и присоединить виртуальный жесткий диск нажмите Обзор. Ис- [ 276 ] Глава 9. Управление файловыми системами и дисками Создать и присоединить виртуальный жесткий диск X Укажите расположение виртуального жесткого диска на компьютере Восположение !| Обзор... Размер виртуального жесткого диске МБ v- Формат виртуального жесткого диска ®УНО Поддерживает виртуальные диски размером до 2040 ГБ OVHDX Поддерживает виртуальные диски размером более 2040 ГБ (поддерживаемый максимум — 64 ТБ) и устойчив к сбоям питания Этот формат не поддерживается в более ранних операционных системах, чем Windows 8 или Windows Server 2012 Тип виртуального жесткого диска ® Фиксированный размер (Рекомендуется) Файл виртуального жесткого диска выделяется в полном объеме при создании виртуального жесткого диска. О Динамически расширяемый Файл виртуального жесткого диска расширяется до максимального размера по мере записи данных на виртуальный жесткий диск. Отмена Рис. 9.6. Диалог создания виртуального жесткого диска пользуйте диалог Просмотр файлов виртуального диска для выбора места, в котором будет создан .vhd файл виртуального диска, введите его имя и нажмите Сохранить. В списке Размер виртуального жесткого диска введите размер диска в МБ, ГБ или ТБ. Укажите, должен ли файл виртуального жесткого диска расширяться до максимального размера по мере записи данных на него или же место для файла виртуального жесткого диска будет выделено в полном объеме, независимо от объема данных сохраненных на нем. Когда вы нажмите ОК, Управление дисками создаст виртуальный жесткий диск. Виртуальный диск будет присоединен автоматически и добавлен как новый диск. Чтобы инициализировать диск для использования щелкните по нему правой кнопкой мыши в Графическом представлении и выберите команду Инициализировать диск. В диалоге Инициализация дисков выберите диск для инициализации. Укажите стиль разделов - MBR или GPT - и нажмите ОК. Справочник системного администратора После инициализации диска щелкните правой кнопкой мыши по нераспределенному пространству на диске и создайте том надлежащего типа. После того, как вы создадите том, VHD будет доступен для использования. Как только VHD будет создан, присоединен, инициализирован и отформатирован, вы сможете работать с ним точно так же, как и с другими дисками. Вы можете записывать и читать данные. Вы можете даже загрузить компьютер с VHD. Вы можете перевести диск в состояние В сети и Вне сети, для этого щелкните на диске правой кнопкой мыши в Графическом представлении и выберите команду В сети и Вне сети соответственно. Если вы больше не хотите использовать VHD, вы можете отсоединить его. Для этого в Графическом представлении щелкните правой кнопкой мыши по диску и выберите команду Отсоединить виртуальный жесткий диск, а затем нажмите ОК в окне Отсоединить виртуальный жесткий диск. Вы можете использовать VHD, созданные другими программами. Если вы создали VHD в другой программе или вы хотите присоединить отключенный VHD, вы можете работать с VHD так: 1. В Управлении дисками выберите команду Присоединить виртуальный жесткий диск из меню Действие 2. В окне Присоединить виртуальный жесткий диск нажмите кнопку Обзор. Используйте диалог Просмотр файлов виртуального диска для выбора .vhd файла и затем нажмите Открыть. 3. Если вы хотите подключить VHD в режиме только для чтения, выберите Только для чтения. Нажмите ОК для подключения VHD. 9.4. Использование базовых дисков и разделов Когда вы устанавливаете новый компьютер или обновляете существующий компьютер, вам нужно часто создать разделы надисках компьютера. Вы можете сделать это, используя Управление дисками. В Windows Server 2019 физический диск, использующий стиль разделов MBR может иметь до четырех первичных разделов и один расширенный раздел. Это позволяет вам настраивать MBR-диски одним из двух способов: или использовать четыре первичных раздела или использовать от одного до трех первичных раздела и один расширенный раздел. Основной раздел может заполнить весь диск или же вы можете установить подходящий [ 274 ] Глава 9. Управление файловыми системами и дисками для вашей рабочей станции или сервера размер. В расширенном разделе вы можете создать один или больше логических дисков. Логический диск - это просто секция раздела с его собственной файловой системой. Обычно логические диски используется, чтобы разделить большой диск на управляемые разделы. Помня это, вам захочется разделить расширенный раздел размером 600 Гб на три логических диска по 200 Гб. У физических дисков со стилем разделов GPT может быть до 128 разделов. После того, как вы разделите диск на разделы, нужно отформатировать разделы, чтобы присвоить буквы дискам. Это - высокоуровневое форматирование, создающее структуру файловой системы, но не низкоуровневое, инициализирующее диск для начального использования. Вероятно, вы очень знакомы с диском С:, используемым Windows Server 2019. Диск С: - это просто указатель раздела диска. Если ваш диск поделен на несколько разделов, у каждого раздела будет своя собственная буква диска. Вы используете буквы дисков для доступа к файловым системам на разных разделах физического диска. В отличие от MS-DOS, которая присваивает буквы дисков автоматически, начиная с буквы С, Windows Server 2019 позволяет вам определять буквы дисков. Обычно, для вашего использования доступны буквы от С до Z. Используя буквы дисков, у вас может быть только 24 активных тома. Чтобы преодолеть это ограничение, вы можете монтировать диск к путям дисков. Путь диска - это каталог, через который осуществляется доступ к другому диску. Например, у вас могут быть дополнительные диски E:\Filesl, Е:\ Files2 и E:\Files3. Вы можете использовать пути дисков с базовыми и динамическими дисками. Есть только одно ограничение - пути дисков должны быть пустыми папками на NTFS-дисках. Чтобы было проще различать первичные и расширенные разделы в Управлении дисками используются цветовые коды. Например, темно-синей полосой отмечаются первичные разделы, а логические диски в расширенном разделе отмечаются голубой полосой. Ключ для цветовой схемы показан в основании окна Управления дисками. Вы можете изменить цвета в диалоговом окне Параметры, которое появится при выборе команды Параметры из меню Вид. 9.4.1. Создание разделов и простых томов Перед созданием разделов диск нужно инициализировать, как было показано ранее. После инициализации диска можно приступить к созданию разделов. 279 t Справочник системного администратора Рассмотрим, как можно создать разделы, логические диски и простые тома: 1. В графическом представлении Управления дисками щелкните правой кнопкой мыши на нераспределенной или свободной области, а затем выберите команду Создать простой том. Будет запущен Мастер создания простых томов. Прочитайте страницу приветствия и нажмите Далее. 2. Будет показана страница Указание размера тома (см. рис. 9.7), показывающая минимальный и максимальный размер тома в мегабайтах. Укажите размер создаваемого тома в пределах ограничений в поле Размер простого тома (МБ) и нажмите Далее. Мастер создания простых томов X Указание размера тома Выберите размер тома в пределах минимального и максимального значений Максимальный размер (МБ): Минимальный размер раздела (МБ): Размер простого тома (МБ): < Назад Далее > | Отмена Рис. 9.7. Мастер создания простых томов 3. На странице Назначение буквы диска или пути (см. рис. 9.8) укажите, что нужно назначить букву диска или путь, а затем нажмите Далее. Вам доступны следующие опции: » Назначить букву диска - выберите эту опцию, чтобы назначить букву диска. Затем выберите доступную букву в предоставленном списке. По умолчанию Windows Server выбирает наименьшую доступную букву диска и исключает зарезервированные буквы, назначенные локальным и сетевым дискам. » Подключить том как пустую NTFS-папку - выберите эту опцию для монтирования раздела к пустой NTFS-папке, затем вам нужно ввести Z230J Глава 9. Управление файловыми системами и дисками путь к существующей папки или же нажать Обзор для поиска или создания папки, которую вы будете использовать. » Не назначать буквы диска или пути диска - выберите эту опцию, если вы хотите создать раздел без назначения разделу буквы или пути. Если вы позже захотите назначить разделу букву или диск, вы сможете сделать это в любое время. Мастер создания простых томое X Назначение буквы лиска или пути Чтобы упростить доступ, вы можете назначить разделу букву диска или путь к диску. ©Назначитьбукву диске (A-Z)j Е О Подключить том как пустую NTFS-папку: О Не назначать буквы диска или пути диска < Назад I Далее > | Отмена Рис. 9.6. Нвзнвчение буквы диска или пути 4. На странице Форматирование раздела (рис. 9.9) определите, будет ли форматирован том. Если вы хотите отформатировать том, выберите Форматировать этот том следующим образом и укажите следующие параметры: » Файловая система - выберите тип файловой системы: FAT, FAT32, exFAT, NTFS или ReFS. Типы файловых систем доступны в зависимости от размера форматируемого тома. Хотя все эти системы и поддерживаются Windows Server, файловая система NTFS является единственной рекомендуемой. Если вы используете FAT32, вы позже сможете конвертировать том в NTFS утилитой Convert. Однако вы не можете конвертировать NTFS-разделы в FAT32. Справочник системного администратора Мастер создания простых томов X Форматирование раздела Для сохранения данных на этом разделе его необходимо сначала отформатировать Укажите, хотите ли вы форматировать этот том и какие параметры форматирования при этом нужно использовать. OHfi форматировать данный том •^Форматировать этот том следующим образом. файловая система: Размер кластера: Метка тома р] Быстрое форматирование | ] Применять сжатие файлов и папок NTFS По умолчанию Новый том «Назад Далее > Отмена Рис. 9.9. Параметры форматирования » Размер кластера - устанавливает размер кластера для файловой системы. Это базовая единица, в которой распределяется дисковое пространство. Размер кластера по умолчанию основывается на размере тома и устанавливает динамически до форматирования. Чтобы переопределить эту функцию, вы можете установить размер кластера в определенное значение. Если у вас много маленьких файлов, вы можете установить наименьший размер кластера, например, 512 или 1024 байта. Так маленькие файлы используют меньше дискового пространства. » Метка тома - устанавливает текстовую метку раздела. Эта метка - имя тома раздела и по умолчанию используется значение Новый том. Вы можете изменить метку тома в любое время, щелкнув по диску правой кнопкой мыши в окне Проводника и выбрав команду Свойства. Новую метку можно ввести в поле Метка на вкладке Общие. » Быстрое форматирование - указывает Windows Server 2012, что нужно отформатировать раздел без проверки ошибок. На больших разделах эта опция может сэкономить несколько минут. Однако обычно лучше производить проверку на ошибки, в результате которой Управление дисками пометит плохие секторы диска и заблокирует их. Глава 9. Управление файловыми системами и дисками » Применять сжатие файлов и папок - включает сжатие для диска. Встроенное сжатие доступно только для NTFS (и оно не поддерживается системами FAT, FAT32, exFAT и ReFS). При использовании NTFS сжатие будет прозрачным для пользователей, и доступ к сжатым файлам ничем не будет отличаться от доступа к обычным файлам. Если вы выберете эту опцию, файлы и каталоги на этом диске автоматически будут сжиматься. 5. Нажмите Далее, подтвердите выбранные параметры и нажмите Готово. Мастер создания простых томов Завершение мастера создания простого тома Мастер создания простого тома успешно завершил работу Выбраны следующие параметры Т ип том а ^Простой том___________ Выбраны диски: Диск 1 Размер тома: 61437 МБ Буква диска или путь Е: Файловая система. NTFS Размер кластера: Основной Метка тома Новый том Быстрое форматирование: Да Применение сжатия файлов и папок: Нет Для закрытия мастера нажмите кнопку "Готово" - Назад Готово | Отмена Рис. 9.10. Раздел успешно создан Примечание. Не смотря на то, что сжатие, конечно, полезная функция, когда нужно сэкономить дисковое пространство, однако вы не можете зашифровать сжатые данные. Сжатие и шифрование - это взаимоисключающие альтернативы для NTFS-томов, что означает, что вы должны использовать или сжатие или шифрование. Вы не можете использовать оба метода. Если вы пытаетесь сжать зашифрованные данные, Windows Server 2019 автоматически расшифрует их, а затем выполнит сжатие. Аналогично, если вы пытаетесь зашифровать сжатые данные, Windows Server 2019 сначала распакует их, а затем - зашифрует. [ 283 ] Справочник системного администратора Обратите внимание, что сжать диск для экономии пространства, можно не только при его форматировании. Для сжатия диска и всего его содержимого следуйте следующим действия: 1. В Проводнике или Управлении дисками щелкните правой кнопкой мыши по диску, который вы хотите сжать и выберите команду Свойства. 2. На вкладке Общие диалога Свойства выберите Сжать этот диск для экономии места и нажмите ОК. 3. В диалоге Подтверждение изменения атрибутов выберите применение ко всем подпапкам и файлам и нажмите ОК. В следующей главе мы поговорим о чередовании данных и RAID-массивах, а вот процесс шифрования данных будет рассмотрен в главе 13. 284 Глава 10. RAID-массивы Справочник системного администратора Обычно при работе с внутренними жесткими дисками нужно часто выполнять процедуры настройки диска: создание томов или настройку избыточного массива независимых жестких дисков (Redundant Array of Independent Disks, RAID). Администратор создает тома или массивы, которые могут состоять из нескольких физических дисков. 10.1. Тома и массивы томов При использовании массива томов можно создать один том, состоящий из нескольких дисков. Пользователи могут получить доступ к этому тому, как будто это единственный диск, независимо от того, сколько дисков входит в состав тома. Том, находящийся на одном диске, называется простым томом. Том, охватывающий множество дисков, называется составным томом. С помощью RAID-массивов можно защитить важные деловые данные и в некоторых случаях улучшить производительность дисков. RAID может быть реализован посредством встроенных функций операционной системы (программный RAID) или с помощью аппаратных средств (аппаратный RAID). Windows Server 2012/2016/2019 поддерживает три уровня программного RAID: 0,1 и 5. RAID-массивы реализуются как зеркальные, чередующиеся и чередующиеся с контролем четности. Массивы томов и RAID-массивы создаются на динамических дисках, которые доступны только в Windows 2000 и более поздних версиях. Однако компьютеры под управлением ранних версий Windows смогут получить доступ к таким дискам по сети, как и к любому другому сетевому диску. Глава 10. RAID-массивы Создание и управление томами осуществляется так же, как и создание и управление разделами. Том — это часть диска, которую можно использовать для хранения данных непосредственно. 10.1.1. Использование базовых томов В оснастке Управление дисками тома разных типов помечаются цветом аналогично разделам. На рис. 10.1 показано, что тома имеют следующие свойства: • Расположение — может быть: простой, составной, зеркальный чередующийся и чередующийся с контролем четности; • Тип — тома всегда имеют тип динамический; • Файловая система — подобно разделам, каждый том может иметь собственную файловую систему, например FAT или NTFS. Обратите внимание, что FAT16 доступна только, если размер раздела или тома 2 Гбайт или меньше; • Состояние — состояние диска. В графическом представлении показано состояние диска как Исправен, Отказавшая избыточность и т. д. В следующем разделе мы обсудим массивы томов и различные состояния; файл Действие Виа Справка * Ф _£Ю » У X '=т JF Управление компьютером (локлльнь * Й Служебные программы > ф Планировщик заданий titi Просмотр событий з£ Общие папки > Ф Производительность Л Диспетчер устройств * !ft Запоминающие устройства Простой 44'SSSjC64rR£_fcN--JS^DV9(D:) Простой - WIN IGO 2020_D4_02 1М2 DISK.OT Простой — Зареэерв чровано системой Простой “ Новый TOM (fr) Простой [ Расположение] Тип {Файловая система Базовый NTFS Базовый UDF Базовый NTFS Базовый NTFS Базовый NTFS (Шифрование 8’Иоскео Исправен -Основной раздел. [ Состояние Исправен 'Загрузка, Аварий Исправен Основной раздел' Исправен Основной разде т Действия Управление «коми Долалнительн Я* Управление дисками Ci Службы и приложения Базовый 60.00 ГБ 549 МБ NVS Исправен Система. Активен. Оснот 59.46 ГБ NTrS ^Исправен -Загрузка. Аварийный вамп памяти. Основной разде. 59.98 ГБ в сети WTN-LGO Z020 04 02 17:12 USX 01 Э9ЛТБМ£$ Исправен .-Основной раздел) 132 МБ Не распределена Невый том (t) -Дис2 Базовый К Л ПО ГЙ _ ... .......... И Не распределен! Я основной раздел Рис. 10.1. Управление дисками Справочник системного администратора • Емкость — емкость диска; • Свободно — сколько свободного пространства осталось на томе; • Свободно % — процентное соотношение свободного пространства к емкости тома. Важное преимущество динамических томов по сравнению с базовыми в том, что они позволяют вносить изменения в тома и диски без необходимости перезапуска системы (в большинстве случаев). Тома также позволяют использовать улучшения отказоустойчивости Windows Server 2019. Можно установить другие операционные системы и использовать двойную загрузку. Чтобы сделать это, нужно создать отдельный том для другой операционной системы. Например, можно установить Windows Server 2019 на томе С, a Windows 10 на томе D. На практике подобные решения используются редко, но вы должны знать, что такая возможность есть. 10.1.2. Массивы томов При работе с массивами томов можно создать тома, состоящие из нескольких дисков. Для этого объедините свободное пространство на разных дисках, чтобы пользователи увидели его как общий том. Файлы хранятся в массиве томов посегментно. Когда первый сегмент свободного пространства заполняет, используется второй сегмент и т. д. Можно создать массив томов, основанный на свободном пространстве до 32 жестких дисков. Основное преимущество массивов томов заключается в том, что они позволяют использовать свободное пространство и создавать используемую файловую систему. Основной недостаток — если какой-то жесткий диск в массиве выйдет из строя, массив томов больше нельзя будет использовать, т. е. все данные массива томов будут потеряны. Диск может находиться в разных состояниях, все они приведены в таблице 10.1. Также в ней приведены пояснения, что нужно делать в том или ином случае. 288 ] Глава 10. RAID-массивы Таблица 10.1. Состояние диска Состояние Рекомендация Неполные данные Составные тома на чужом диске неполные. Администратор забыл добавить другие диски из составного массива томов. Нужно добавить диски, составляющие оставшуюся часть тома. Нет избыточности данных Была импортирована только часть зеркального тома. Администратор забыл добавить другие диски зеркала или массива RAID 5. Неисправен Состояние ошибки диска. Диск недоступен или поврежден. Можно попробовать реактивировать диск посредством команды Реактивировать диск, но сначала его нужно перевести в состояние В сети. Если речь идет о базовом, а не о динамическом диске, то проверьте физическое подключение диска к контроллеру. Возможно, что-то с кабелем (он отошел) или с питанием. Может, конечно, и сам диск вышел со строя. Исправен Нормальное состояние. Ничего делать не нужно. Исправен(Под угрозой) Windows обнаружила проблемы чтения или записи на физическом диске, на котором расположен динамический том. Состояние появляется, когда Windows обнаружила ошибки. Попробуйте выполнить команду Реактивировать диск. Если это не поможет, немедленно выполните резервное копирование всех данных. Готовьтесь к отказу диска. Исправен (Неизвестный раздел) Скорее всего, раздел принадлежит другой операционной системе. Ничего предпринимать не нужно, иначе можете потерять данные, находящиеся на этом разделе. Инициализация Временное состояние, диск в данный момент инициализируется Регенерация Временное состояние, данные и четность для RAID 5 тома регенерируются Ресинхронизация Временное состояние, показывающее, что зеркало в данный момент ресинхронизируется Устаревшие данные Сбой данных на чужих дисках. Пересканируйте диски или перезагрузите компьютер, а затем проверьте состояние. Вполне возможно, что диск перейдет в состояние Отказавшая избыточность. Нет данных Нет доступа к тому. Скорее всего, поврежден загрузочный сектор. Возможен вирус в загрузочном секторе. Проверьте диск антивирусной программой. Вполне возможно, что после перезагрузки компьютер не загрузится или этот диск будет недоступен. Если это возможно, выполните резервное копирование данных. |равочник системного администратора 10.1.3. Составные и чередующиеся тома Простые тома можно отформатировать как exFAT, FAT, FAT32 или NTFS. Для упрощения управления составные тома должны быть отформатированы как NTFS. NTFS-форматирование позволяет расширить тома в случае необходимости. Если понадобится больше пространства на томе, можно расширить простой или составной том. Это можно сделать, выбрав свободное пространство и добавив его в том. Можно расширить простой том в пределах этого же диска. Также можно расширить простой том на другие диски. После этого будет создан расширенный том, который должен быть отформатирован как NTFS. Далее будет показано, как создать составной и чередующиеся тома. Составной (spanned) том соединяет области свободного пространства, минимум - 2, и максимум - 32 жестких дисков, в один логический диск. Подобно составному тому, чередующийся (striped) том также требует наличия двух или более жестких дисков; однако, чередующиеся тома отображают данные на жестких дисках циклически. Составные тома используются, когда нужно объединить несколько областей свободного пространства на двух или более жестких дисках. Среди преимуществ использования составных томов - изоляция отказов, несложное планирование мощностей, и прямой анализ производительности. Характеристики составных томов: • На динамических дисках можно создать только составные тома. • При создании тома можно определить, сколько пространства, должно быть выделено от каждого физического диска. • Составной, том соединяет свободные области пространства от 2 до 32 дисков в один логический диск. • Этот тип тома не обеспечивает сохранения работоспособности при сбоях. • Реализация составных томов не дает какого либо выигрыша в производительности; производительность ввода-вывода сопоставима с простыми томами. • Можно уменьшить весь составной том; однако, выборочно удалить определенные области из диска не возможно. • Можно расширить составной том, чтобы включать свободные области на новом диске, но, не превышая 32 дискового лимита. Глава 10. RAID-массивы Чередующийся том (или RAID 0) требует двух или более дисков (до 32) и циклически отображает на дисках одинакового размера данные. Можно удалить чередующийся том, но не возможно его расширить или уменьшить. Характеристики чередующихся томов: • Чередующееся расположение данных обеспечивает лучшую производительность, чем простые или составные тома. Чередующиеся тома предусматривают более высокую пропускную способность распределения ввода-вывода, когда все диски сконфигурированы как часть целого. • Поскольку мощность для избыточных данных не выделяется, RAID 0 не обеспечивает сохранение работоспособности при сбоях как RAID 1 и RAID 5. • Чередующиеся тома хорошо подходят для того, чтобы изолировать файл подкачки от фрагментирования, что помогает улучшить производительность. • Чем больше дисков, вы комбинируете, тем выше потенциальная пропускная способность, но ниже надежность. • Потеря любого диска приводит к потере информации в более крупном масштабе, чем на простом или составном томе, потому что разрушается вся файловая система на нескольких физических дисках. Создать тома или массивы томов можно с помощью следующих действий: 1. В графическом представлении оснастки Управление дисками щелкните правой кнопкой мыши на нераспределенном пространстве и выполните команду Создать составной том или Создать чередующийся том. Прочтите страницу приветствия и нажмите кнопку Далее. 2. На странице Выбор дисков (рис. 10.2) выберите диски, которые должны быть частью тома, а также укажите размер сегментов тома на этих дисках. Доступные диски показаны списке Доступны. Если необходимо, выберите диск в этом списке и нажмите кнопку Добавить для добавления диска в список Выбраны. Чтобы диск появился в списке Доступны, необходимо, чтобы он был в состоянии Онлайн и проинициализиро-ван. Если на диске создан раздел (том), то его нужно удалить (щелчок правой кнопкой мыши, команда Удалить том), иначе он не появится в списке. 3. Выберите диск в списке Выбраны, а затем укажите размер тома на диске в поле Выберите размер выделяемого пространства (МБ). Поле Максимальное доступное пространство (МБ) показывает наибольшую Справочник системного администратора Новый составной том X Выбор дисков Вы можете выбрать диск и установить размер диска для этого тома Выберите диск, который вы хотите использовать, и нажмите кнопку "Добавитьг Доступны: Общий размер тома (МБ): Выбраны: Диск2 61437 МБ Добавить > < Удалить < Удалить gee 122874 Максимальное доступное пространство (МБ): 61437 Выберите размер выделяемого пространства (МБ): 6'437 * < Назад | Далее > | Отмена Рис. 10.2. Выбор дисков область свободного пространства, доступного на диске. Общий размер тома (МБ) показывает общее дисковое пространство, которое будет использовано для тома. Нажмите кнопку Далее. 4. Укажите, нужно ли назначить букву диска тому или том будет подключен как пустая NTFS-папка, а затем нажмите кнопку Далее. Доступны следующие варианты: » Назначить букву диска — позволяет назначить букву диска, отметьте эту опцию и затем выберите доступную букву из предоставленного списка; » Подключить том как пустую NTFS-папку — используется для назначения пути диска, выберите эту опцию и затем введите путь к существующей папке на NTFS-диске, нажмите кнопку Обзор для поиска или создания папки; » Не назначать буквы диска или пути диска — выберите эту опцию для создания тома без назначения буквы диска или пути. Можно назначить букву диска или путь в любом время. 5. Укажите, должен ли том быть отформатированным. Если нужно отформатировать том, установите следующие опции форматирования: i 292 ] Глава 10. РАЮ-массивк » Файловая система — укажите тип файловой системы. В оснастке Управлении дисками доступна только файловая система NTFS; » Размер кластера — устанавливает размер кластера для файловой системы. Это базовая единица, с помощью которой распределяется дисковое пространство. Размер кластера по умолчанию основывается на размере тома и устанавливается динамически до форматирования. Чтобы переопределить эту функцию, можно установить размер кластера в определенное значение. Если есть много маленьких файлов, можно задать наименьший размер кластера, например, 512 или 1024 байта. Так маленькие файлы используют меньше дискового пространства; » Метка тома — определяет текстовую метку для раздела. Эта метка — имя тома раздела; » Быстрое форматирование — указывает Windows Server, что нужно отформатировать раздел без проверки ошибок. На больших разделах эта опция может сэкономить несколько минут. Однако обычно лучше производить проверку на ошибки, в результате которой оснастка Управление дисками пометит плохие секторы диска и заблокирует их; » Применять сжатие файлов и папок — включает сжатие для диска. Сжатие прозрачно для пользователей, и доступ к сжатым файлам осуществляется подобно доступу к обычным файлам. Если выбрать эту опцию, файлы и каталоги на этом диске будут сжиматься автоматически. В главе 9 мы говорили об этом. 6. Нажмите кнопку Далее, а затем кнопку Готово. Тома всех типов (простые, составные, зеркальные, чередующиеся или RAID 5 (чередующиеся с контролем четности)) удаляются одним и тем же способом. Удаление массива томов удаляет связанные файловые системы и все данные на них. Перед удалением массива томов необходимо сделать резервную копию файлов и каталогов, хранящихся на этих массивах томов. Нельзя удалить том, содержащий системные, загрузочные файлы или файлы подкачки Windows Server 2019. Для удаления томов выполните действия: 1. В оснастке Управление дисками щелкните правой кнопкой мыши по тому в массиве и выберите команду Удалить том. Нельзя удалить часть составного тома без удаления всего тома. 2. Нажмите кнопку Да для подтверждения удаления тома. [ 293 правочник системного администратора 10.2. Создание RAID-массивов Технология RAID (Redundant Array of Independent Disks — избыточный массив независимых (самостоятельных) дисков) используется для защиты данных от отказов диска. С помощью RAID можно увеличить целостность данных и их доступность, создавая избыточные копии данных. Также можно использовать RAID, чтобы повысить производительность дисков. Доступны различные реализации технологии RAID. Эти реализации описаны в терминах уровней. На данный момент определены уровни RAID от О до 5. Каждый уровень RAID отличается набором функций. Операционная система Windows Server 2019 поддерживает уровни RAID 0, 1 и 5. Можно использовать уровень RAID 0 для повышения производительности дисков. Уровни RAID 1 и RAID 5 применяются для повышения отказоустойчивости данных. В табл. 10.2 предоставлен краткий обзор поддерживаемых уровней RAID. Поддержка осуществляется полностью программно. Таблица 10.2. Уровни RAID, поддерживаемые Windows Server Уровень Тип Описание 0 Чередование Два или более тома, каждый из которых находится на отдельном диске, настраиваются как чередующийся набор. Данные разбиваются на блоки — страйпы, а затем записываются последовательно на все диски в наборе. Отказ одного диска приводит к неработоспособности массива. Преимущество этого уровня - производительность. 1 Зеркалирование Два тома на двух дисках настраиваются идентично. Данные записываются на оба диска. Если один диск откажет, потерь данных не будет, поскольку другой диск содержит данные (этот уровень не поддерживает чередования). Преимущество этого уровня - отказоустойчивость и более высокая производительность по сравнению с RAID 5. 5 Чередование с контролем четности Использует три или более тома, каждый на одном из дисков для создания чередования с контролем четности проверки ошибок. В случае сбоя данные могут быть восстановлены. Лучшая отказоустойчивость с меньшим количеством издержек, чем зеркалирование. Наиболее часто используемые на Windows-серверах уровни RAID — 1 (зеркалирование) и 5 (чередование с контролем четности). Зеркалирование ................................................... - Глава 10. RAID-массивь диска — наименее дорогой способ повысить защиту данных с избыточностью. Здесь, для создания избыточного набора данных используются два тома одинакового размера на двух разных дисках. Если один из дисков откажет, можно восстановить данные с другого диска. С другой стороны, чередование дисков с контролем четности требует большего числа дисков — как минимум три, зато предлагает отказоустойчивость с наименьшим числом издержек, чем зеркалирование дисков. Если произошел сбой диска, можно восстановить данные, комбинируя блоки данных на оставшихся дисках с записью четности. Четность — метод проверки ошибок, которая использует операцию «исключающее ИЛИ» для создания контрольной суммы для каждого блока данных, записанного на диск. Эта контрольная сумма используется для восстановления данных в случае отказа. Когда говорим об издержках, то подразумеваем дисковое пространство. Представим, что мы хотим организовать RAID 1 на базе двух дисков каждый размером по 300 Гб. Один диск будет использоваться для хранения данных - второй для «зеркала». В итоге суммарный объем данных массива составит всего 300 Гб. В случае с RAID 5 нам понадобится 3 диска. Объем такого массива рассчитывается по формуле (n-l)*hddsize, где п - это количество дисков в массиве, a hddsize - размер диска. Итого, у нас будет 3 диска по 300 Гб, подставляем эти значения в формулу: 2 * 300 = 600 Гб Если в случае с RAID 1 мы получили 50% от емкости всего массива, то RAID 5 при трех дисках мы получили 66% емкости и с ростом количества дисков этот процент будет увеличиваться, например, в случае с 5 дисками мы получим 1200 из 1500 Гб, что равно 80% емкости. Примечание. Для новичков, впервые пытающихся разобраться с администрированием сервера, емкость диска 300 Гб в 2020 году может вызвать недоумение. Спешу вас заверить: это вполне нормальная емкость недорогого серверного диска. Недорогого - Относительно, например, диск Seagate ST300MM0048 (SCSI, 1000 RPM, 300 GB) на данный момент стоит 150$. Диск объемом 2.4 ТБ Seagate (ST2400MM0129) обойдется в 520$. Серверное железо никогда не стоит дешево. 295 Справочник системного администратора 10.2.1. Реализация RAID 0: чередование Уровень RAID 0 — это чередование диска. При чередовании диска два или более томов каждый на отдельном диске настраиваются как чередующийся набор. Данные, записываемые в чередующийся набор, называются страй-пами. Эти страйпы записываются последовательно на все диски в наборе. Тома чередующегося набора могут быть размещены на 32 дисках, но более целесообразно использовать наборы из 2—5 томов для лучшей производительности. При большем числе дисков значительно снижается производительность. Основное преимущество чередования дисков — это скорость. Поскольку данные находятся на нескольких дисках и для доступа к ним используется несколько головок, в результате повышается производительность. Однако этот прирост производительности стоит денег. При работе с наборами томов, если один из дисков откажет, чередующийся набор больше нельзя будет использовать, т. е. все данные в этом наборе будут потеряны. При создании чередующихся наборов нужно использовать тома приблизительно одинакового размера. Управление дисками вычисляет полный размер чередующегося набора по наименьшему размеру тома. Максимальный размер набора — количество дисков, умноженное на размер наименьшего тома. Например, если наименьший размер тома равен 20 Гбайт и нужен набор из трех дисков, максимальный размер набора — 60 Гбайт. Максимизировать производительность чередующегося набора можно несколькими способами: • используйте диски, размещенные на разных дисковых контроллерах. Это позволяет системе одновременно получать доступ к дискам; • не используйте диски, входящие, в состав чередующего набора в других целях. Это позволяет диску выделить все свое время чередующемуся набору. Процесс создания RAID 0 уже был рассмотрен в предыдущем разделе. При создании тома нужно выбрать команду Создать чередующийся том и следовать инструкциям мастера создания тома. Помните, что нельзя расширить чередующийся том, как только он будет создан. Поэтому к созданию томов отнеситесь со всей ответственностью. Глава 10. RAID-массивы 10.2.2. Реализация RAID 1: зеркалирование RAID 1 — это зеркалирование диска. При зеркалировании используются тома одинакового размера на двух разных дисках для создания избыточного набора данных. На диски записываются идентичные наборы информации, и если один из дисков откажет, информацию все еще можно будет получить со второго диска. Зеркалирование дисков тоже предлагает отказоустойчивость, как и чередование дисков с четностью. Поскольку диски зеркала не должны записывать контроль четности, они обеспечивают лучшую производительность записи в большинстве случаев. Однако чередование с контролем четности обычно выигрывает в скорости чтении, поскольку операции чтения распределяются по нескольким дискам. Основной недостаток зеркалирования — неэффективное использование дискового пространства. Например, для зеркалирования диска на 500 Гбайт нужен еще один такой диск на 500 Гбайт. Это означает, что фактически дисковое пространство в 1000 Гбайт будет использоваться для хранения 500 Гбайт информации. Как и с чередованием дисков, зеркально отраженные диски должны быть на отдельных дисковых контроллерах. Это обеспечивает дополнительную защиту в случае отказа одного из дисковых контроллеров. Если один из контроллеров откажет, диск на втором контроллере будет все еще доступен. Создать зеркальный набор можно с помощью следующих действий: 1. В графическом представлении оснастки Управление дисками щелкните на нераспределенной области динамического диска и выберите команду Создать зеркальный том. Будет запущен мастер создания образа. Прочитайте страницу приветствия и нажмите кнопку Далее. 2. Создайте том, как было ранее в этой главе. Основное отличие — нужно создать два тома одинакового размера, и эти тома должны быть расположены на разных динамических дисках. На странице Выбор диска нельзя продолжить, пока не выберете два диска, с которыми будете работать. Подобно другим техникам RAID, зеркалирование прозрачно для пользователей.. Пользователи будут видеть зеркальный набор как единственный диск, доступ к которому может быть получен как к любому другому диску. [ 297 •Справочник системного администратора Чтобы удалить зеркальный набор, выполните следующие действия: 1. В оснастке Управление дисками щелкните правой кнопкой мыши по одному из томов зеркального набора и выберите команду Удалить зеркало. Откроется одноименное окно. 2. В окне Удалить зеркало выберите диск, с которого нужно удалить зеркало. 3. Подтвердите действие, когда появится соответствующий запрос. Все данные на удаляемом зеркале будут уничтожены. 10.2.3. Реализация RAID 5: чередование с контролем четности Уровень RAID 5 — это чередование диска с контролем четности. Эта техника требует как минимум трех жестких дисков для настройки отказоустойчивости. Размеры томов на всех трех дисках должны быть одинаковыми. RAID 5, по сути, является улучшенной версией RAID-1 с ключевым добавлением отказоустойчивости. Отказоустойчивость гарантирует, что отказ одного диска не приведет к отказу всего набора. Вместо отказа набор продолжает функционировать с оставшимися томами в наборе. Для обеспечения отказоустойчивости RAID 5 записывает контрольные суммы четности с блоками данных. Если любой из дисков набора откажет, можно использовать информацию четности для восстановления данных. Если откажут два диска, информации четности будет недостаточно для восстановления данных и нужно будет восстановить набор из резервной копии. В оснастке Управление дисками можно создать чередующийся набор с четностью с помощью следующих действий: 1. В графическом представлении оснастки Управление дисками щелкните правой кнопкой мыши на нераспределенном пространстве динамического диска и выберите команду Создать том RAID 5. Будет запущен мастер создания томов RAID 5. Прочитайте страницу приветствия и нажмите кнопку Далее. 2. Создайте том, как было описано ранее в этой главе. Основное отличие — нужно выбрать три нераспределенных области на трех разных динамических дисках. После создания чередующегося набора с контролем четности (RAID 5) пользователи могут использовать том, как обычный диск. Помните, что нельзя расширить чередующийся раздел после его создания. Глава 10. RAID-массивы 10.3. Управлением RAID-массивами Управление зеркальными дисками и чередующимися массивами иногда отличается от управления другими томами, особенно, когда речь идет о восстановлении после сбоя. Техники, используемые для управления RAID-массивами и восстановления после сбоя, описаны в этом разделе. 10.3.1. Разделение зеркального набора Разделить зеркальный набор необходимо по одной из двух причин. 1. Если один из зеркальных дисков откажет, дисковые операции могут быть продолжены. Когда пользователи будут читать и записывать данные, эти операции будут произведены с оставшимся диском. Однако нужно исправить зеркало и для этого необходимо сначала разбить зеркало, заменить отказавший диск и затем переустановить зеркало. 2. Если больше не нужно зеркально отражать диск, тогда тоже необходимо разбить зеркало. Это позволит использовать дисковое пространство для других целей. В оснастке Управление дисками можно разбить зеркальный набор с помощью следующих действий: 1. Щелкните по одному из томов зеркального набора и выберите команду Разделить зеркальный том. 2. Подтвердите действие, нажав кнопку Да. Если том используется, будет отображено другое предупреждение. Опять подтвердите свое намерение, нажав кнопку Да. Операционная система Windows Server разобьет зеркало, создав два независимых тома. 10.3.2. Восстановление зеркального набора (RAID 1) Операционная система Windows Server автоматически синхронизирует зеркальные тома на динамических дисках. Однако данные на зеркальных дисках могут оказаться рассинхронизированными. Например, если один из [ 299 , ючник систег‘"ого администратора дисков перешел в состояние Вне сети, а данные были записаны только на диск, находящийся в состоянии В сети. Можно ресинхронизировать и восстановить зеркальные наборы, но перед этим нужно сначала восстановить набор, используя диски с тем же стилем разделов — либо с главной загрузочной записью (MBR), либо с таблицей GUID (GPT). Необходимо получить оба диска в зеркальном наборе в состоянии В сети. Состояние зеркального набора должно быть Отказавшая избыточность. Меры по ликвидации последствий, которые можно предпринять, зависят от состояния отказавшего тома: 1. Если активно состояние Отсутствует или Вне сети, убедитесь, что к диску подключено питание и он правильно подключен. Затем запустите оснастку Управление дисками, щелкните правой кнопкой мыши по отказавшему тому и выберите команду Реактивировать том. Состояние диска должно измениться на Регенерация, а затем — на Исправен. Если том не возвращается в состояние Исправен, щелкните по этому тому и выберите действие Ресинхронизация зеркала. 2. Если активно состояние В сети (Ошибки), щелкните правой кнопкой мыши по отказавшему томе и выберите команду Реактивировать том. Состояние диска должно измениться на Регенерация, а затем — на Исправен. Если том не возвращается в состояние Исправен, щелкните правой кнопкой на томе и выберите команду Ресинхронизация зеркала. 3. Если один из дисков находится в состоянии Не читается, нужно пересканировать диски системы, выбрав команду Действие | Повторить проверку дисков. Если состояние диска изменится, нужно перезагрузить компьютер. 4. Если один из дисков не возвращается в состояние В сети, щелкните правой кнопкой мыши на отказавшем томе и выберите команду Удалить зеркало. Теперь нужно создать зеркало тома на нераспределенной области свободного пространства. Если нет свободного места, его нужно создать, удалив другие тома или заменив отказавший диск. 10.3.3. Восстановление RAID 5 При использовании RAID 5 можно восстановить чередующийся массив с контролем четности, если один из дисков выйдет из строя. Какой именно из дисков вышел из строя, можно понять по его состоянию: состояние массива I лава 1 . п’Л1Ь-массивы будет изменено на Отказавшая избыточность, а состояние отдельного тома должно быть изменено на Отсутствует, Вне сети или В сети (Ошибки). Можно восстановить диски RAID 5, но нужно перестроить массив с использованием того же стиля разделов — либо MBR, либо GPT. Необходимо, чтобы все диски в наборе RAID 5 были в состоянии В сети. Состояние массива должно быть Отказавшая избыточность. Предпринимаемые вами меры зависят от состояния отказавшего диска. • Если активно состояние Отсутствует или Вне сети, убедитесь, что к диску подключено питание и он правильно подключен. Затем запустите оснастку Управление дисками, щелкните правой кнопкой мыши по отказавшему тому и выберите команду Реактивировать том. Состояние диска должно измениться на Регенерация, а затем на Исправен. Если состояние диска не вернулось на Исправен, щелкните правой кнопкой мыши по тому и выберите команду Регенерация четности. • Если активно состояние В сети (Ошибки), щелкните правой кнопкой мыши по отказавшему тому и выберите команду Реактивировать том. Состояние диска должно быть изменено на Регенерация, а затем на Исправен. Если состояние диска не вернулось на Исправен, щелкните правой кнопкой по тому и выберите команду Регенерация четности. • Если состояние одного из дисков — Не читается, нужно пересканировать диски, используя команду Действие | Повторить проверку дисков. Если состояние диска не изменится, перезагрузите компьютер. • Если после этого один из дисков все еще Вне сети, нужно восстановить отказавший регион массива RAID 5. Щелкните правой кнопкой мыши на отказавшем томе и выберите команду Удалить том. Теперь нужно выбрать нераспределенное пространство на другом динамическом диске для использования в массиве RAID 5. Это пространство должно быть больше, чем область, которую нужно восстановить, и не может быть на диске, который уже используется в массиве RAID 5. Если недостаточно места, команда Восстановить том будет недоступна и необходимо получить свободное пространство путем удаления других томов или замены отказавшего диска. Глава 1 Совместный доступ к данным правочник системного администратора Для предоставления общего доступа к файлам и папкам используется протокол SMB (Server Message Block). Протокол SMB использует сквозное шифрование, что избавляет от необходимости использования протокола IPsec и специальных аппаратных средств для защиты данных от перехвата. Шифрование SMB может быть включено индивидуально для каждого общего ресурса. 11.1. Папка Общие При использовании SMB Windows Server 2019 поддерживает две модели предоставления общего доступа к файлам: стандартный общий доступ и папка Общие. Стандартный общий доступ позволяет удаленным пользователям получить доступ к сетевым ресурсам — файлам, папкам и дискам. При предоставлении общего доступа к папке или диску все их файлы и подпапки также станут доступными определенным пользователям. Не нужно перемещать файлы из их текущего местоположения для предоставления общего доступа к ним. Включить стандартный общий доступ к файлам можно на дисках, отформатированных как FAT, FAT32, exFAT, NTFS и ReFS. К дискам exFAT, FAT или FAT32 применяется один набор разрешений — разрешения общего доступа. Наличие двух наборов разрешений позволяет точно определять, кто Г лава 11. Совместный доступ к данным получит доступ к общим файлам, а также уровень назначенного доступа. С NTFS-разрешениями или разрешениями общего доступа не нужно перемещать файлы, к которым предоставляется общий доступ. При использовании папки Общие (%5уз1етВпуе%\Пользователи\Об-щие) нужно просто скопировать или переместить файлы в папку Общие компьютера. Общие файлы доступны любому, кто входит в компьютер локально, независимо от того, есть ли у него стандартная учетная запись или учетная запись администратора. Также можно предоставить сетевой доступ к папке Общие. Если сделать это, возможности как-либо ограничить доступ не будет. Папка Общие и все ее содержимое открыты для всех, кто может получить доступ к компьютеру по локальной сети. В папке Общие есть несколько подпапок, которые можно использовать для организации общих файлов. • Общий рабочий стол — используется для предоставления общего доступа к элементам рабочего стола. Любые файлы и ярлыки программ, помещенные в эту папку, появятся на рабочем столе всех пользователей, которые зайдут на этот компьютер (и всех сетевых пользователей, если к папке Общие был предоставлен сетевой доступ). • Общие документы, Общая музыка, Общие изображения, Общие видео — используются для предоставления общего доступа к документам и файлам мультимедиа. Все файлы, помещенные в одну из этих папок, доступны всем пользователям, которые зашли на этот компьютер (и всем сетевым пользователям, если к папке Общие был предоставлен сетевой доступ). • Общие загруженные файлы — используется для предоставления общего доступа к загруженным файлам. Любые загрузки, помещенные в подпапку Общие загруженные файлы, статут доступны всем пользователям, которые зашли на этот компьютер (и всем сетевым пользователям, если к папке Общие был предоставлен сетевой доступ). По умолчанию, доступ к палке Общие есть у любого пользователя с учетной записью и паролем. При копировании или перемещении файлов в папку Общие разрешения доступа изменяются так, чтобы соответствовать папке Общие, а также добавляются некоторые дополнительные разрешения. Можно изменить настройки общего доступа папки Общие двумя основными способами. • Разрешить пользователям, которые зарегистрировались на компьютере, просматривать и управлять общими файлами, но запретить сетевым пользователям доступ к этим файлам. После настройки этой опции [ 305 Справочник системного администратора неявные группы Интерактивные, Пакетные файлы и Служба получат особые разрешения для публичных файлов и папок. • Разрешить пользователям с сетевым доступом просматривать и управлять общими файлами. Это разрешит сетевым пользователям открывать, изменять, создавать и удалять публичные файлы. Неявной группе Все будут предоставлены полные права к публичным файлам и папкам. Операционная система Windows Server 2019 может использовать одну или обе модели совместного использования в любое время. Однако стандартный общий доступ к файлам более безопасен и предоставляет лучшую защиту, чем использование папки Общие, а улучшение безопасности очень важно для защиты данных организации. Со стандартным общим доступом к файлам, разрешения общего доступа используются только, когда пользователь пытается получить доступ к файлу или папке с другого компьютера по сети. Права доступа (разрешения доступа) используются всегда, независимо от того, зарегистрировался ли пользователь локально или удаленно для получения доступа к файлу или папке по сети. Если доступ к данным •4 Дополнительные параметры общего доступа — □ X <- V т ч « Центр упра... > Дополнительные параметры общего доступа v О Поиск в панели управления Р Изменение параметров общего доступа для различных сетевых профилей Windows создает отдельный сетевой профиль для каждой используемой сети Для каждого профиля вы можете выбрать особые параметры. Частная Гостевая или общедоступная Доменный (текущий профиль) Сетевое обнаружение Если включено сетевое обнаружение, этот компьютер может видеть другие компьютеры и устройства в сети и виден другим компьютерам О Включить сетевое обнаружение Отключить сетевое обнаружение Общий доступ к файлам и принтерам Если общий доступ к файлам и принтерам включен, то файлы и принтеры, к которым разрешен общий доступ на этом компьютере будут доступны другим пользователям в сети Включить общий доступ к файлам и принтерам Q Отключить общий доступ к файлам и принтерам Ягр грти | Отмена | Рис. 11.1. Центр управления сетями и общим доступом Глава 11. Совместный доступ к данным осуществляется удаленно, сначала применяются разрешения общего доступа, а затем — обычные разрешения доступа. Как показано на рис. 11.1, можно настроить параметры базового общего доступа, используя опцию Дополнительные параметры общего доступа в Центре управления сетями и общим доступом. Отдельные параметры предусмотрены для сетевого обнаружения, общего доступа к файлам и принтерам. В Windows Server 2019 открыть Центр управления сетями и общим доступом можно так: 1. Щелкните правой кнопкой мыши на значке сетевого соединения в системном трее. Выберите команду Открыть «Параметры сети и Интернет* либо откройте окно Параметры через главное меню и перейдите в раздел Сеть и Интернет, 2. Пролистайте страницу вниз. Выберите команду Центр управления сетями и общим доступом. В Центре управления сетями и общим доступом щелкните по ссылке Изменить дополнительные параметры общего доступа на панели слева. Выберите профиль сети, для которой нужно включить общий доступ к файлам и принтерам. Обычно, это профиль Доменный. Стандартный общий доступ к файлам и принтерам управляет сетевым доступом к общим ресурсам. Для настройки стандартного общего доступа к файлам выберите одну из опций: • Включить общий доступ к файлам и принтерам для включения общего доступа; • Отключить общий доступ к файлам и принтерам для отключения общего доступа. Доступ к общедоступным папкам контролирует доступ к папке Общие компьютера. Для настройки этого доступа разверните панель Все сети, нажав соответствующую кнопку. Выберите одну из опций: • Включить общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках — включает доступ к папке Общие и ко всем общим данным для всех, кто может получить доступ к компьютеру по сети. Настройки Брандмауэра Windows могут , предотвращать внешний доступ; 307 Справочник системного администратора • Отключить общий доступ — отключает общий доступ, предотвращая доступ локальной сети к папке Общие. Любой пользователь, который зарегистрировался локально на компьютере, все еще сможет получить доступ к папке Общие и к ее файлам 11.2. Настройка стандартного общего доступа к файлам Общие ресурсы используются для контроля доступа удаленных пользователей. Разрешения на общих папках не имеют никакого эффекта для пользователей, зарегистрировавшихся локально на сервере или рабочей станции, на которой размещены общие папки. 11.2.1. Просмотр существующих общих ресурсов Для работы с общими ресурсами можно использовать и оснастку Управление компьютером и консоль Диспетчер серверов. Также можно просмотреть текущие общие ресурсы на компьютере с помощью команды net share, введенной в командной строке, или команды get-smbshare, введенной в приглашении PowerShell. Рис. 11.2. Команда net share " 308 ] Глава 11. Совместный доступ к данным В оснастке Управление компьютером можно просмотреть общие папки на локальном или удаленном компьютере так: 1. По умолчанию оснастке подключена к локальному компьютеру. Если нужно подключиться к удаленному компьютеру, щелкните по узлу Управление компьютером правой кнопкой мыши и выберите команду Подключиться к другому компьютеру. В появившемся окне введите имя или IP-адрес компьютера, к которому нужно подключиться, а затем нажмите кнопку ОК. 2. В дереве консоли перейдите к узлу Служебные программы\Общие папки, а затем выберите узел Общие ресурсы.. Будет отображена информация о текущих общих ресурсах в системе (рис. 11.3). Рис. 11.3. Просмотр общих ресурсов 3. Колонки узла Общие ресурсы предоставляют следующую информацию: » Общие ресурс — имя общей папки; » Путь к папке — полный путь к папке на локальной системе; » Тип — тип компьютеров, которые могут использовать этот ресурс. Обычно здесь выводится Windows, поскольку SMB-ресурсы предназначены для Windows-компьютеров; » Количество клиентских подключений — число клиентов, подключенных в данный момент к ресурсу; _ » Описание — описание общего ресурса. [ 309 Справочник системного администратора В диспетчере серверов можно просмотреть общие папки на локальном или удаленном компьютере с помощью следующих действий: 1. Выберите опцию Файловые службы и службы хранилища, а затем подузел Общие ресурсы. 2. Подузел Общие ресурсы предоставляет информацию о каждом ресурсе на каждом сервере, который был добавлен для управления (рис. 11.4). Колонки узла Общие ресурсы предоставляют следующую информацию: » Общий ресурс — имя общей папки; » Локальный путь — полный путь к папке на локальной системе; » Протокол — используемый протокол, SMB или NFS; » Тип доступности — если сервер, предоставляющий общий доступ к папке, часть кластера, здесь показан тип кластера. В противном случае, тип кластера — Некластерный. Рис. 11.4. Просмотр общих ресурсов через Диспетчер серверов 11.2.2. Создание общего ресурса Создать общий ресурс можно, как с помощью оснастки Управление компьютером, так и с помощью Диспетчера серверов. Оснастка Управление компьютером наверняка известна вам по старым версиям Windows Server и настольным версиям Windows. Для создания нового общего ресурса нужно Глава 11. Совместный доступ к данны щелкнуть правой кнопкой мыши по узлу Общие ресурсы и выбрать команду Новый общий ресурс. Будет запущен мастер создания общих ресурсов и вам нужно следовать его инструкциям. Далее будет рассмотрен процесс создания общих ресурсов посредством Диспетчера серверов. В диспетчере серверов можно предоставить общий доступ к папке так: 1. Подузел Общие ресурсы в Файловые службы и хранилища показывает существующие общие ресурсы на всех файловых серверах, добавленных для управления. 2. На панели Общие ресурсы выберите меню Задачи, а затем команду Новый общий ресурс. Будет запущен мастер создания общих ресурсов. Выберите один из профилей общего ресурса и нажмите кнопку Далее. Мастер предлагает несколько профилей (рис. 11.5): » Общий ресурс SMB — быстрый профиль — основной профиль для создания общего ресурса SMB, который позволяет настраивать свои параметры и разрешения; » Общий ресурс SMB — дополнительные — дополнительный профиль для создания SMB-pecypca, позволяющий настроить параметры, разрешения, свойства управления и NTFS-квоты (если применимо); (ь Мастер создания общих ресурсов Выбор профиля для общего ресурса выберите • Расположение обще о р Профиль общего файлового ресурса Списание- Этот базовый профиль позволяет быстро создать файловый ресурс SMB, который обычно используется для предоставления доступа к файлам компьютерам с ОС Windows. • Подходит для общей настройки доступа к файлам • Дополнительные параметры можно настроить позже в диалоговом окне Свойства' Общий ресурс SMB — быстрый I } Общий ресурс SMB — дополнит» Общий ресурс SMB — профиль I . Общий ресурс NFS — быстрый г ; Общий ресурс NFS — дополнив < Йазал Г~Ддлее> | Создать j Отмена Рис. 11.5. Выбор профиля общего ресурсе 311 Справочник системного администратора » Общий ресурс SMB — профиль приложений — пользовательский профиль для создания SMB-ресурсов с параметрами, подходящими для Hyper-V, определенных СУБД и других серверных приложений. Это почти то же самое, что и быстрый профиль, но не позволяет включать перечисление на основе доступа — ABE (Access-based Enumeration) и автономное кэширование. 3. На странице Укажите сервер и путь к этой общей папке (рис. 11.6) выберите сервер и том, на которых нужно создать общую папку. Доступны только файловые серверы, добавленные для управления. Как только будете готовы продолжить, нажмите кнопку Далее. По умолчанию консоль Диспетчер серверов создает общий ресурс как новую папку в каталоге \ Shares на выбранном томе. Чтобы переопределить это, выберите опцию Ввести пользовательский путь и затем введите нужный путь общего ресурса, например, C:\Data или нажмите кнопку Обзор и используйте окно Обзор папок для выбора пути общего ресурса. Рис. 11.6. Путь к общей папке 4. На странице Выбор имени общего ресурса введите имя общего ресурса (рис. 11.7). Это имя папки, к которой будут подключаться пользователи. Имена общих ресурсов должны быть уникальными для каждой систем. 312 Глава 11. Совместный доступ к данным! Рис. 11.7. Выбор имени общего ресурса 5. При необходимости введите описание общего ресурса в поле Описание общего ресурса. При просмотре списка общих ресурсов на определенном компьютере описание будет показано в оснастке Управление компьютером. 6. Запишите локальный и удаленный пути доступа к общему ресурсу. Эти пути установлены на основании расположения папки и указанного имени. Нажмите кнопку Далее для продолжения. 7. На странице Настройка параметров общего ресурса можно задать способ использования общего ресурса. » Включить перечисление на основе доступа — настраивает разрешения так, что при просмотре паки пользователями будут отображены только файлы и папки, которым как минимум предоставлено право чтения. Если у пользователя нет права чтения (или эквивалентного) для файла или папки внутри общей папки, этот файл или папка будут скрыты. (Эта опция недоступна, если создается SMB-pecypc, оптимизированный для приложений.) » Разрешить кэширование общего ресурса — настраивает общий доступ для кэширования только файлов и программ, которые пользователи выберут для автономного использования. Хотя можно поз- Справочник системного администратора Еыберге профиль Расположение осще^ ₽ Oou^ifl per/ас Другие параметра Разрешения Мастер создания общих ресурсов — □ X Настройка параметров общего ресурса Г~|.Вкядомить перечисление на основе доступа При перечислении на основе доступа отображаются только файлы и папки, на доступ к которым у пользователя есть разрешения Если у пользователя нет разрешений на чтение палки (или эквивалентных), система Windows скрывает папку от пользователя У Разрешить кэширование общего ресурса Благодаря кэшированию содержимся общего ресурса становится доступным пользователям, находящимся не сети Если установлена служба роли BranchCache для сетевых файлов, можно включить BranchCache для ресурса Включить BranchCache для общего файлового ресурса BranchCache позволяет компьютерам в филиале кэшировать Файлы скачанные из этой общей палки а затем безопасно предоставлять их другим компьютерам в филиале □ Зашифровать доступ к данным Когда этот параметр включен, -при удаленном доступе к файлам на этом общем ресурсе выполняется шифрование дайны* Это защищает данные от несанкционированного доступа в процессе их передачи в обоих направлениях Если этот флажок установлен и снять его невозможно, это означает, что администратор включил шифрование для всего сервера. । < Назад | Г' Далее > Г Отмена ~1 Рис. 11.8. Параметры общего доступа же отредактировать свойства общего ресурса и изменить настройки автономного режима, обычно нужно выбрать эту опцию, поскольку она позволяет пользователям использовать преимущества функции Всегда не в сети. Дополнительно, если служба роли BranchCache для сетевых файлов установлена на файловом сервере, отметьте флажок Включить BranchCache для общего файлового ресурса, чтобы включить кэширование файлов компьютерами филиалов, которые были загружены из общего ресурса. Эти файлы также будут безопасно предоставлены в общий доступ другим компьютерам филиала. (Эта опция недоступна при создании SMB-pecypca, оптимизированного для приложений.) » Зашифровать доступ к данным — включает SMB-шифрование, которое защищает данные файла от прослушивания при их передаче по сети. Опция полезна в ненадежных сетях. 8. На странице Определение разрешений для управления доступом назначены разрешения по умолчанию (рис. 11.9). По умолчанию специальной группе Все предоставляется полный доступ, также перечислены разрешения папки. Для изменения разрешений ресурса, папки (или обоих типов разрешений) нажмите кнопку Настройка разрешений и затем Глава 11. Совместный доступ к данны Мастер создания общих ресурсов Определение разрешений для управления доступом Разрешения на доступ к файдам общего ресурса задаются при помощи комбинации разрешений для папки, разрешений для общего ресурса и, при жевании политики централизованного доступа Разрешения общего ресурса. Полный доступ для всех Разрешения для папки’ Тип Субъект Разре.. СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Разре... ВиИТОДПользоеавели Разре.. ЕичТ^хПользсБэтеяи Доступ Полный доступ Особые Чтение и. выполнение Применяется к Только для вложенных папок » Для этой папки и вложенных п Для уой папки, вложенных па Разре Blit’ *^\Админлстраторы Полный досуп Разре.. NT AU7HORJTY\CHCTEVA Ислный доступ Для этой папки, вложенных па Для этой папки, вложенных па Настройка разрешений < Назад % Отмена Рис. 11.9. Определение разрешений для управления доступом используйте окно Дополнительные параметры безопасности для настройки требуемых полномочий. 9. Если используется дополнительный профиль, можно установить свойства управления папки и затем нажать кнопку Далее. Эти свойства определяют назначение папки и тип данных, сохраненных в ней так, что политики управления данными, такие как правила классификации, могут использовать эти свойства. 10. Если используется расширенный профиль, дополнительно можно установить квоты папки по шаблону и затем нажать кнопку Далее. Можно выбрать только шаблон квоты, который уже создан. 1 l.Ha странице Подтверждение выбора просмотрите установленные параметры (рис. 11.10). После нажатия кнопки Создать, мастер создаст общий ресурс, настроит его и установит разрешения. В случае успешного создания ресурса будет установлено состояние Общий ресурс успешно создан (рис. 11.11). Если вместо этого будет отображено сообщение об ошибке, запишите его и примите меры по исправлению ошибки перед повторением этой процедуры. Нажмите кнопку Закрыть. [ 315 ' Справочник системного администратора Мастер создания общих ресурсов Подтверждение выбора Выберите профиль Расположение общего р Общий ресурс Другие параметры Раэ??шения Подтвеодите. что следующие параметры верны, и щепкните ‘Создать’ Пэдгтарж,.. РАСПОЛОЖЕНИЕ ОБЩЕГО РЕСУРСА Орверг Роль кластера: Локальный путь. СВОЙСТВА ОБЩЕГО РЕСУРСА Общий ресурс Протокол Перечисление на основе доступа Кэширование: ВгапсЪСасЬе Шифрование данных. WIN-LGOGBECFFJS Некластерный C:\Share Share SMB Отключено Включено Отключено Отключено [~< Назад Далее > Создать j Отмена Рис. 11.10. Почти все готово Мастер создания общих ресурсов — □ X Просмотр результатов Общий ресурс успешно создан. Задача Ход выполнения Состояние Создать общий ресурс SMB Завершено Задать разрешения SMB шшшшяшяшшш Завершено Г- *- Назад Да* ‘ > j Закрыть | Отмена Рис. 11.11. Общий ресурс успешно создан Глава 11. Совместный доступ к данным Для прекращения доступа к папке щелкните по ней в Диспетчере серверов и выберите команду Прекратить общий доступ, после чего нажмите кнопку Да для подтверждения. 11.2.3. Изменение параметров общей папки После создания общего ресурса можно настроить множество базовых и расширенных параметров, включая перечисление на основе доступа, зашифрованный доступ к данным, автономное кэширование и свойства управления. В диспетчере серверов можно модифицировать эти свойства так: 1. Подузел Общие ресурсы узла Файловые службы и службы хранилища показывает существующие общие ресурсы для всех файловых серверов, добавленных для управления. 2. Щелкните правой кнопкой мыши на общем ресурсе, с которым нужно работать, и выберите команду Свойства. 3. В окне Свойства (рис. 11.12) есть несколько панелей с параметрами. Можно развернуть панели по одной или выбрать опцию Показать все, чтобы просмотреть все панели за один раз. ’Й Свойства: Share — □ X Share Общи® Разрешения Параметр! Общий ресурс Share Описание общего ресурса: Путь к папке: CAShare Протокол: SMB Тил доступности: Некластерный Разрешения Разрешения на доступ к файлам общего ресурса задаются при помощи комбинации разрешений для папки разрешений для общего ресурса и, при желании, политики централизованного доступа. Разрешения общего ресурса: Полный доступ для всех Разрешения для палки: ОК * Г Отмена Применить Рис. 11.12. Свойства общего ресурса Справочник системного администратора 11.3. Управление разрешениями общих ресурсов Разрешения доступа устанавливают максимальные допустимые действия с общим ресурсом. По умолчанию при создании общего ресурса каждый пользователь с доступом к сети имеет право чтения содержимого общего ресурса. Это очень важное изменение с точки зрения безопасности — в ранних выпусках Windows Server (до версии 2012) разрешением по умолчанию было Полный доступ. Для томов NTFS и ReFS можно использовать разрешения файла и папки, а также разрешения общего доступа для ограничения доступа к ресурсу. Для томов FAT можно устанавливать только разрешения общего доступа. Различные разрешения общего ресурса Список разрешений от самого строгого до наименее строгого таков: • Нет доступа — ресурсу не предоставлены какие-либо разрешения; • Чтение — с этим разрешением пользователи могут: » просматривать имена файлов и подпапок; » получать доступ к подпапкам общей папки; » читать данные и атрибуты файла; » запускать программы; • Изменение — у пользователей есть разрешение Чтение и возможность выполнять следующие операции: » создавать файлы и подпапки; » изменять файлы; » изменять атрибуты файлов и подпапок; » удалять файлы и подпапки; • Полный доступ — у пользователей есть разрешения Чтение и Изменение, а также дополнительные возможности на NTFS-томах: » изменение разрешений файлов и папок; » изменение владельца файлов и папок. Глава 11. Совместный доступ к данны Можно назначить разрешения доступа пользователям и группам, в том числе даже неявным группам. Просмотреть и настроить разрешения общего доступа можно в оснастке Управление компьютером или в консоли Диспетчер серверов. Для просмотра и настройки разрешений общего доступа в оснастке Управление компьютером выполните следующие действия: 1. В оснастке Управление компьютером подключитесь к компьютеру, на котором создан общий ресурс. В дереве консоли разверните узел Служебные программы\Общие папки\Общие ресурсы. 2. Щелкните правой кнопкой мыши на ресурсе, настройки которого нужно изменить, и выберите команду Свойства. 3. В окне Свойства перейдите на вкладку Разрешения для общего ресурса, как показано на рис. 11.13. Теперь можно просмотреть список пользователей и групп, у которых есть доступ к этому ресурсу, а также тип предоставленного им доступа. Свойства: Share X Общие Публикация Разрешения для общего ресурса Безопасность Группы или пользователи: Добавить. /делить Еазрешения для группы "Все* Разрешить Запретить Полный доступ 0 О Изменение 0 0 Чтение 0 0 ОК Отмена Рис. 11.13. Разрешения для общего доступа 319 Справочник системного администратора Для просмотра и настройки разрешений общего доступа в диспетчере серверов выполните следующие действия: 1. Щелкните правой кнопкой мыши на общем ресурсе, с которым нужно работать, и выберите команду Свойства. 2. В окне Свойства выберите опцию Разрешения на панели слева. Теперь можно просмотреть, кому и какие разрешения предоставлены. 3. Для изменения разрешений общего доступа или папки (или обоих типов разрешений) нажмите кнопку Настройка разрешений (рис. 11.14). Дополнительные параметры безопасности для "Share" Имя Владелец: Разрешения C:\Share Администраторы (ЕХАМПЕХАаминистраторы) ^змештть Отправить Аудит Действующие права доступа Для получения дополнительных сведений дважды щелкните запись разрешения. Чтобы изменить записи разрешения, выделите ее и нажмите кнопку "Изменить" (если она доступа Элементы разрешений' Тип Субъект Доступ А* Разре . СИСТЕМА Полный доступ Ц Разре... Админисптаторы (ЕХАМР1Е\Ад... Полный доступ в4 Разре-. Пользователи ЕХАМР1Е\Пояь- Чтение и выполнение М Разре . Пользователи (ЕХАМРШПолы- Особые Разре- СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Полный доступ Унаследовано от С:\ С\ С\ СЛ С:\ Применяется к Для этой папки, ее подпапок и _ Для этой папки, ее подпапок и _ Для этой папки, ее подпапок и.. Для этой папки и ее подпапок Только для подпапок и еайлоа Добавить Отключение наследования □ Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта OK J Отмена Рис. 11.14. Настройка разрешений для общего доступа (через Диспетчер серверов) 4. Перейдите на вкладку Отправить. Пользователи и группы, которым предоставлен доступ к ресурсу, выводятся в списке Элементы разрешений. Можно удалить разрешения для пользователей и'групп, выделив пользователя или группу и нажав кнопку Удалить. Изменить разрешения для пользователя или группы можно так: » выберите пользователя или группу и нажмите кнопку Изменить; » разрешите или запретите разрешения доступа в списке Элементы разрешений и нажмите кнопку ОК. 5. Чтобы добавить разрешения для другого пользователя или группы, нажмите кнопку Добавить. Откроется окно Элемент разрешения. Глава 1 1. Совместный доступ к данным 6. Щелкните по ссылке Выберите субъект для отображения окна Выбор: «Пользователи*, «Компьютеры*, «Учетные записи служб* или «Группы*. Введите имя пользователя или группы. Убедитесь, что ссылаетесь на учетное имя пользователя, а не на полное имя пользователя. За один раз можно ввести только одно имя. 7. Нажмите кнопку Проверить имена. Если отыщется одно совпадение, диалоговое окно обновится, а найденная запись будет подчеркнута. В противном случае откроется дополнительное окно. Если совпадения не обнаружились, значит, было введено некорректное имя или выбрано некорректное размещение. Измените имя й попытайтесь снова либо нажмите кнопку Размещение для выбора нового размещения. Если будет найдено несколько совпадений, в окне Найдено несколько имен выберите имя, которое нужно использовать, и нажмите кнопку ОК. 8. Нажмите кнопку ОК. Пользователь или группа будут добавлены как Субъект, а окно Элемент разрешения будет обновлено, чтобы отобразить это. 9. Используйте список Тип, чтобы указать, что нужно сделать: разрешить или запретить разрешения. А затем выберите разрешения, которые нужно разрешить или запретить. 10. Нажмите кнопку ОК, чтобы вернуться в окно Дополнительные параметры безопасности. 11.4. Особые общие ресурсы При установке Windows Server операционная система автоматически создает особые общие ресурсы, которые также известны как административные общие ресурсы (administrative shares) или скрытые общие ресурсы (hidden shares). Эти ресурсы разработаны с целью сделать системное администрирование проще. Нельзя установить разрешения доступа на автоматически созданных особых общих ресурсах. ОС Windows Server назначает разрешения доступом (можно создать собственные скрытые ресурсы, добавив символ $ в качестве последнего символа общего ресурса). Можно временно удалить особые общие ресурсы, если какие-то из них не нужны. Однако общие ресурсы будут созданы вновь при следующем запуске операционной системы. Для постоянного отключения административных общих ресурсов установите следующие значения реестра в 0: Справочник системного администратора • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters\AutoShareServer; • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters\AutoShareWks. Какие особые ресурсы будут доступны, зависит от конфигурации системы. В табл. 11.1 перечислены специальные ресурсы и указано их использование. Таблица 11.1. Особые общие ресурсы Имя ресурса Описание ADMIN$ Используется во время удаленного администрирования системы. Предоставляет доступ к папке %SystemRoot% операционной системы. На контроллерах домена доступ к этому ресурсу могут получить также операторы сервера FAXS Используется факс-клиентами при отправке факсов IPC$ Используется программами при осуществлении удаленного администрирования и при просмотре общих ресурсов. Поддерживает именованные каналы во время межпроцессного взаимодействия NETLOGON Используется службой Net Logon при обработке запросоа входа в домен. Каждый пользователь имеет доступ Чтение к этому ресурсу PRINTS Поддерживает общие ресурсы принтера, предоставляя доступ к драйверам принтеров SYSVOL Используется для хранения данных и объектов для Active Directory Буква_диска$ Общий ресурс, позволяющий администраторам подключаться к корневой папке диска. Эти общие ресурсы показаны как С$, D$, Е$ и т. д. К этим ресурсам на рабочих станциях и серверах имеют доступ администраторы, операторы архива. На контроллерах домена также доступ к ресурсам есть и у операторов сервера Подключиться к особому ресурсу можно точно так же, как и к обычному ресурсу. В окне Подключение сетевого диска (рис. 11.15) введите имя ре- [ 322 ] Глава 11. Совместный доступ к данным X С- Подключение сетевого диска Какую сетевую папку вы хотите подключить? Укажите букву диска для подключения и папку, к которой вы хотите подключиться: Диск 2: у Папка: [v,W'N-LGOGBEC“JS,AJM’NS J Обзор.. Пример: \\сервер\общий _ресурс 0Восстанавливать подключение при входе в систему □ Использовать другие учетные данные Подключение к **е6-сайту, на котором вы можете хранись документы и изображения. [" Готово | Отмена Рис. 11.15. Подключение сетевого диска сурса, например, \\SERVER\ADMIN$. После этого вы увидите содержимое особого ресурса (рис. 11.16), если, конечно, ваши полномочия это позволяют. * ЬЗ - Улсееленге ADMINS (\\WIN-LGOG8ECFFJS) (Z:) - □ X В Главная Поделиться Вид Средства работы с дисками t . > Этот компьютер > ADMINS (\\WIN-LGOGBECFFJS) (Z:) > <* О Поиск: ADV;\5 .a^IVlGOG., P Й' Быстрый доступ Имя Дата изменений Тип Размер Рабочий стол ADFS 15.09.201 S 10:19 Папка с файлами ♦ Загрузки ADWS 03.04.2020 14:59 Папка с файлами * 01042020 984 ?? Документы appcompat Папка с файлами * apppatch 14.10.2019 1.27 Папка с файлам.* »* Изображения AppReadiness 31.032020 921 Папка с сайтами Этот компьютер assembly 01.042020 11:21 Папка с файлами bcastdvr 15.09201810.19 Папка с файлами Ф Сеть Boot 15.092G18 W19 Папка с файлам»* Branding 15.09 2018 10:19 Папка с файлами CbsTemp 04.04 2020 1028 Папка с файлами Containers 15.69201810:19 Палка с файлами Cursors 15.o9.2C1810:19 Папка с файлами debug 07X3420208.08 Папка с файлами diagnostics 15.092018 10:19 Папка с файлами Digital Locker , к - - Рис. 11.16. Содержимое ресурса ADMINS 323 Справочник системного администратора Примечание. В Проводнике перейдите на вкладку Компьютер, на ней будет кнопка Подключить сетевой диск - именно так можно открыть окно Подключение сетевого диска. 11.5. Просмотр сессий пользователя и компьютера Оснастку Управление компьютером можно использовать для отслеживания всех соединений к общим ресурсам на системе Windows Server. Независимо от того, кто подключился к ресурсу — пользователь или компьютер, Windows Server выводит соединение в узле Сеансы (рис. 11.17). • Управление компьютером файл Действие 2ид Справка В Й Нм Управление компьютером (локалы* Пользователь - П Служебные программы & Администратор > © Планировщик заданий * Просмотр событий * Общие папки Общие ресурсы i Сеансы Открытые файлы - ® Производительность Л Диспетчер устройств ' Й Запоминающие устройства [ । | Службы и приложения Компьютер Тип Количество открытых Файлов Время г I Действия WIN-LGOGBECFFJS,. Windows 2 00:03:12; Сеансы * Дополнительн» ► Рис. 11.17. Установленные сеансы Колонки в узле Сеансы предоставляют следующую важную информацию о соединениях пользователей и компьютеров: • Пользователь — имя пользователя или компьютера, подключенного к общему ресурсу. Чтобы различать имена пользователей и компьютеров, к имени компьютера добавляется суффикс $; • Компьютер — имя используемого компьютера; • Тип — тип используемого соединения; 324 Глава 11. Совместный доступ к данным • Количество открытых файлов — число файлов, с которыми работает пользователь. Для более подробной информации (какие именно файлы открыты), перейдите в узел Открытые файлы; • Время подсоединения — время, которое прошло с момента установки соединения; • Время простоя — время, прошедшее с момента последнего использования ресурса; • Гость — зарегистрирован ли пользователь как гость. Для отключения отдельных пользователей от общего ресурса введите команду net session \\computemame /delete в командной строке или выполните эти действия: 1. В оснастке Управление компьютером подключитесь к компьютеру, на котором создан общий ресурс. 2. В дереве консоли разверните узел Служебные программы\Общие пап-ки\Сеансы. 3. Щелкните правой кнопкой мыши на сеансе пользователя и выберите команду Закрыть сеанс. 4. Нажмите кнопку Да для подтверждения действия. Для закрытия всех сеансов выберите команду Отключить все сеансы (см. рис. 11.18). Рис. 11.18. Отключение всех сеансов Справочник системного администратора Каждый раз, когда пользователи соединяются с общими ресурсами, открытые ими файлы и объекты ресурсов отображаются в узле Открытые файлы (рис. 11.19). Узел Открытые файлы показывает файлы, открытые пользователем, но в данный момент не редактируемые. Рис. 11.19. Открытые файлы Получить доступ к узлу Открытые файлы можно так: 1. В оснастке Управление компьютером подключитесь к компьютеру, на котором создан общий ресурс. 2. В дереве консоли разверните узел Служебные программы\Общие папки, а затем — Открытые файлы. Узел Открытые файлы предоставляет следующую информацию об использовании ресурса: » Открытый файл — путь к файлу (или папке), который пользователь открыл на локальной системе. Путь также может быть именованным каналом, например \PIPE\spools, который используется для спула принтера; » Пользователь — имя пользователя, получающего доступ к файлу; » Тип — тип используемого сетевого соединения; » Блокир. — число блокировок ресурса; 326 Глава 11. Совместный доступ к данным » Режим открытия — режим доступа, используемый при открытии ресурса, например, Чтение (read), Запись (write) или Чтение + Запись (read + write). Для закрытия открытого файла щелкните на нем правой кнопкой мыши и выберите команду Закрыть открытый файл, а для закрытия всех открытых файлов выберите команду Отключить все открытые файлы (рис. 11.20). В следующей главе будет рассмотрен очень важный вопрос - вопрос резервного копирования данных. Ъ Управление компьютером файл Действие £ид Справка и ..CXWtndowft Администратор Windows CAWindowsK Администратор Winaows li Средства рЛЛСТЫ Г АККЭЫО Отпитые файлы .Отключает все открытые файлы Рис. 11.20. Закрытие всех открытых файлов Й* Управление компьютером ' Отбытый фа_ Пользователь * й Служебные программы > ©Планировщик заданий Просмотр событий * «£ Общие палки •J Сеансы «Ь Открытые файлы и (•; Производительность Л Диспетчер устройств EJ Запоминающие устройства j г Службы и приложения Режим открытия Чтение Чтение действия Все задачи Ви* Обновить Экспортировать список- Справка 327 Глава 12. Windows Server Backup: создание резервной копии и восстановление с нее Справочник системного администратора Поскольку данные — основа предприятия, их защита очень важна. И чтобы защитить данные организации, нужно реализовать план резервного копирования и восстановления. Резервное копирование файлов может защитить их от неожиданной потери, повреждения базы данных, сбоев оборудования и даже от стихийных бедствий. Задача администратора — убедиться, что резервные копии создаются часто и хранятся в безопасном месте. 12.1. Создание плана резервного копирования и восстановления Резервное копирование данных — это план страхования. Каждый раз важные файлы случайно удаляются. Критически важные данные могут быть повреждены. Стихийные бедствия могут разрушить офис. Благодаря плану резервного копирования и восстановления, можно восстановить свои данные, чтобы ни случилось. 12.1.1. Нюансы плана резервного копирования Настало время создать и реализовать план резервного копирования и восстановления. Нужно выяснить, какие данные нуждаются в резервном копировании, как часто оно должно происходить и т. д. Чтобы все прояснить, ответьте на следующие вопросы. Глава 1 2. Windows Server Backup: создание резервной копии и восстановление с нее • Какие важные или чувствительные данные хранятся на системах? Знание, насколько данные важны, позволит определить, нужно ли их архивировать, а также когда и как они должны быть заархивированы. Для критических данных, например для базы данных, должны быть избыточные резервные копии, покрывающие несколько резервных периодов. Для чувствительных данных нужно убедиться, что резервные копии физически находятся в безопасном месте или зашифрованы. Для менее важных данных, например для ежедневных пользовательских файлов, нет необходимости в таком тщательно продуманном плане резервного копирования, но следует регулярно архивировать данные и гарантировать, что они могут быть легко восстановлены. • Какой тип информации содержат данные? Данные, на первый взгляд не содержащие ничего интересного для администратора, для кого-то могут быть очень важными. Тип информации поможет определить, нуждаются ли в архивировании эти данные, а также когда и как они должны быть заархивированы. • Как часто изменяются данные? Частота изменений может повлиять на то, как часто эти данные должны архивироваться. Например, данные, которые изменяются ежедневно, должны ежедневно архивироваться. • Можно комбинировать резервные копии с теневыми копиями? Теневые копии — копии документов в совместно используемых папках. Эти копии делают восстановление документов очень простым, поскольку можно быстро вернуться к более старой версии документа, если он был удален или случайно перезаписан. Нужно использовать теневые копии в дополнение к стандартным резервным копиям, но не в качестве замены резервного копирования. • Как быстро нужно восстановить данные? Время восстановления — очень важный фактор в плане резервного копирования. Для критических систем резервные копии должны быть восстановлены в оперативном режиме. Чтобы сделать это, возможно, придется изменить свой план резервного копирования. • Есть ли оборудование для выполнения резервного копирования? Организация должна обладать аппаратными средствами резервного копирования. Чтобы выполнить своевременное резервное копирование, возможно, понадобятся несколько таких устройств и несколько наборов носителей резервной копии. К такому оборудованию относятся: жесткие диски, стримеры, накопители на оптических дисках и съемные диски. В большинстве случаев для резервного копирования предпочтительнее использовать жесткие диски. И [ 331 Справочник системного администратора • Кто будет ответственен за план восстановления и резервное копирование? Идеально, когда кто-то один отвечает за резервное копирование в организации и за план восстановления. Этот человек может быть также ответственен за выполнение фактического резервного копирования и восстановление данных. • Какое наилучшее время для запланированного резервного копирования? Планируйте резервное копирование, когда система практически не используется, это ускорит процесс создания резервных копий. Однако не всегда можно запланировать архивирование вне часов пик, поэтому нужно внимательно планировать, когда будут изменяться системные данные. • Нужно ли хранить копии за пределами организации? Хранение копий за пределами организации важно для восстановления систем в случае стихийного бедствия. В безопасном месте также должны храниться копии программного обеспечения, которые понадобятся для восстановления операционных систем. Примечание. Целевое время восстановления (Recovery Time objective, RTO) и целевая точка восстановления (Recovery Point Objective, RPO) — важные факторы резервного копирования. RTO представляет собой время восстановления, которое может составить два часа для одного сервера и четыре часа для другого сервера. RPO представляет потенциальную утрату данных, которая в случае с одним сервером может быть один рабочий день, с другим — два рабочих дня. Среда с высоким RTO — это среда, в которой можно быстро восстановить функциональность сервера после сбоя. Среда с высоким RPO — это среда, в которой восстановленные данные максимально актуальны. Частота резервных копий всего сервера будет изменяться согласно скорости системы резервного копирования и объема данных, которые нуждаются в резервном копировании. Частота, с которой можно создавать резервные копии, управляет доступными RPO и RTO. Например, в случае с ночными резервными копиями, RPO — один рабочий день, что означает, что любое отключение сервера, вероятно, приведет к потере данных всего рабочего дня. RTO показывает, сколько фактически займет процедура восстановления и зависит от объема данных, который нужно восстановить. Глава 1 2. Windows Servei Backup: создание резервной копии и восстановление с нес 12.1.2. Основные типы резервного копирования Существует много техник архивирования файлов. Используемые техники зависят от типа архивируемых данных, от того, каким будет процесс восстановления и т. д. Если просмотреть свойства файла или каталога в Проводнике, можно обнаружить атрибут «архивный». Этот атрибут используется, чтобы определить, должен ли тот или иной файл или каталог быть заархивирован. Если атрибут включен, файл или каталог будет помещен в резервную копию. Могут осуществляться следующие основные типы резервных копий: • Обычная/полная резервная копия. Все выбранные файлы, независимо от установки атрибута «архивный», будут помещены в резервную копию. После помещения файла в резервную копию атрибут «архивный» очищается. Если файл в дальнейшем будет модифицирован, атрибут снова будет установлен, что сообщает, что в следующий раз файл нуждается в архивировании. • Копирование. Все выбранные файлы, независимо от установки атрибута «архивный», будут помещены в резервную копию. Отличие от предыдущего метода в том, что атрибут «архивный» не модифицируется. Это позволяет использовать другие типы резервного копирования позже. • Дифференцированное (выборочное) резервное копирование. Разработано для архивирования копий файлов, которые изменились с последнего обычного резервного копирования. Наличие атрибута «архивный» указывает, что файл был изменен и нуждается в архивировании. Архивируются только файлы с этим атрибутом. Однако после создания резервной копии сам атрибут «архивный» не изменяется, что позволяет выполнить другие типы резервного копирования позже. • Добавочное резервное копирование. Разработано, чтобы архивировать файлы, которые изменились с момента последнего нормального или добавочного резервного копирования. Наличие атрибута «архивный» указывает, что файл был изменен и нуждается в архивировании. Архивируются только файлы с этим атрибутом. После помещения файла в резервную копию атрибут «архивный» очищается. Если файл в дальнейшем будет модифицирован, атрибут снова будет установлен, указывая, что в следующий раз файл нуждается в архивировании. • Ежедневное резервное копирование. Предназначено для архивирования файлов по дате последнего изменения. Если файл был изменен в день Справочник системного администратора создания резервной копии, он архивируется. Данный способ не изменяет атрибут «архивный». Обычно полные резервные копии создаются раз в неделю и дополняются ежедневными, дифференцированным или добавочным резервным копированием. Также можно создавать расширенную резервную копию каждый месяц или каждый квартал и включать в нее дополнительные файлы, которые не архивируются регулярно. 12.1.3. Дифференцированное и добавочное резервное копирование Разница между дифференцированным и добавочным резервным копированием очень важна. Чтобы понимать, в чем она заключается, рассмотрим табл. 12.1. Как видите, при дифференцированном резервном копировании архивируются все файлы, которые были изменены с момента полной резервной копии (это означает, что размер дифференцированной резервной копии увеличивается со временем). При добавочном резервном копировании копируются только те файлы, которые были изменены с последнего полного или добавочного резервного копирования (т.е. размер добавочной резервной копии обычно меньше, чем размер полной резервной копии). Таблица 12.1. Добавочное и дифференцированное резервное копирование День недели Еженедельная полная резервная копия с дифференцированным резервным копированием Еженедельная полная резервная копия с добавочным резервным копированием Воскресенье Создается полная резервная копия Создается полная резервная копия Понедельник Дифференцированная резервная копия (далее ДРК) содержит все изменения, начиная с воскресенья Добавочная резервная копия (далее ДРК) содержит все изменения, начиная с воскресенья Вторник ДРК содержит все изменения, начиная с воскресенья ДРК содержит все изменения, начиная с понедельника Глава 12. Windows Server Backup: создание резервной копии и восстановление с нее День недели Еженедельная полная резервная копия с дифференцированным резервным копированием Еженедельная полная резервная копия с добавочным резервным копированием Среда ДРК содержит все изменения, начиная с воскресенья ДРК содержит все изменения, начиная со вторника Четверг ДРК содержит все изменения, начиная с воскресенья ДРК содержит все изменения, начиная со среды Пятница ДРК содержит все изменения, начиная с воскресенья ДРК содержит все изменения, начиная с четверга Суббота ДРК содержит все изменения, начиная с воскресенья ДРК содержит все изменения, начиная с пятницы После того как будет определено, какие данные нужно архивировать и как часто, можно выбрать устройства для создания резервных копий и носители данных, которые поддерживаются этими устройствами. Эти вопросы рассмотрены в следующем разделе. 12.1.4. Выбор устройств и носителей данных для резервного копирования Для резервного копирования доступно множество утилит. Некоторые — быстрые и дорогие. Другие — медленные, но очень доступные. Решение, подходящее для конкретной организации, зависит от многих факторов, в том числе от следующих. • Емкость. Какой объем данных нужно архивировать? Сможет ли оборудование выдержать требуемую нагрузку в приемлемое время? • Надежность. Надежность оборудования для резервного копирования и носителей данных. Можно ли пожертвовать надежностью ради времени или бюджета? [ 335 ] Справочник системного администратора • Расширяемость. Расширяемость решения для резервного копирования. Будет ли выбранное решение соответствовать потребностям организации при ее расширении? • Скорость. Скорость архивирования и восстановления данных. Можно ли пожертвовать скоростью с сервером или временем простоя службы, чтобы уменьшить затраты? • Стоимость. Стоимость решения для резервного копирования. Соответствует ли решение выделенному бюджету? 12.1.5. Общие решения для резервного копирования Емкость, надежность, расширяемость, скорость и стоимость — факторы, управляющие планом резервного копирования. Если администратор понимает, как эти факторы влияют на организацию, он должен выбрать подходящее решение для резервного копирования. Рассмотрим часто используемые решения для резервного копирования. • Накопители на цифровой аудиопленке (Digital Audio Таре, DAT). DAT-устройства быстро заменили стандартные стримеры. Сегодня доступно много разных DAT-форматов. Наиболее часто используются форматы DLT (Digital Linear Таре) и SDLT (Super DLT). Самые древние стандарты SDLT 320 и 600 позволяют записывать 160 и 300 Гбайт несжатой информации соответственно (320 и 600 Гбайт сжатых данных). В больших организациях Используется технология LTO (Linear Таре Open). LTO-5, LTO-6 и LTO-7 позволяют записывать 1500, 2500, 6000 Гбайт несжатой информации соответственно (сжатой информации — в два раза больше). Самый последний стандарт LTO-8 поддерживает запись 12800 Гбайт несжатой информации. Планируются стандарты LTO-9 и LTO-Ю, которые будут поддерживать емкость 25 Тб и 48 Тб соответственно. Крупные предприятия, облачные провайдеры, дата-центры - все они используют DAT-накопители из-за дешевизны хранения одного гигабайта информации. Небольшие и средние предприятия используют, как правило, жесткие диски или NAS. • Системы автоматической загрузки кассет. Такие системы базируются на магазинах кассет для создания расширенных томов резервного копирования, способных удовлетворить потребности предприятия в большой емкости. При использовании автоматической загрузки кассеты в магазине автоматически изменяются по мере необходимости при резервном Глава 1 2. Windows Seivei Backup: создание резервной копии и восстановление с несч копировании или восстановлении данных. Большинство систем автозагрузки используют DAT-кассеты, отформатированные как DLT, SDLT или LTO. Типичные DLT-устройства могут записывать до 45 Гбайт информации в час, и можно еще повысить скорость, купив библиотеку с несколькими накопителями. Таким образом, можно записать несколько лент одновременно. Большинство SDLT- и LTO-устройств могут записывать информацию со скоростью 100 Гбайт/ч, а используя несколько накопителей, можно записывать сотни гигабайт в час. В качестве примера для предприятия можно привести решение, использующее 16 LTO-накопителей, достигающее скорости передачи данных более 13,8 Тбайт/ час и позволяющее хранить до 500 лент общей емкостью до 800 Тбайт. • Жесткие диски предоставляют один из быстрейших способов резервного копирования и восстановления файлов. С их помощью за минуты можно выполнить те операции, которые в случае со стримерами занимают часы. Когда нужно быстро восстанавливать данные, нет ничего лучше жесткого диска. Недостаток — относительно высокая стоимость по сравнению с системами на магнитной ленте. • Системы резервного копирования на основе дисков. Такие сйстемы предоставляют полные решения резервного копирования и восстановления с использованием больших массивов дисков для достижения высокой производительности. Высокая надежность достигается при использовании избыточных массивов независимых дисков (RAID) для обеспечения избыточности и отказоустойчивости. Типичные системы используют технологию виртуальной библиотеки так, что Windows видит их как системы автозагрузки кассет. Это существенно упрощает работу с такой системой. Например, в решении для предприятия может быть 128 виртуальных дисков и 16 виртуальных библиотек на один узел с общей емкостью хранилища 7,5 Тбайт на один узел. При полной загрузке это решение может хранить до 640 Тбайт информации и передавать данные со скоростью 17,2 Тбит/ч. 12.1.6. Покупка и использование носителей резервной копии Выбор устройства для резервного копирования является важным шагом к реализации плана резервного копирования и восстановления. Но также нужно купить кассеты, диски для реализации плана. Количество кассет и дисков зависит от того, какой объем данных надо архивировать и как часто нужно создавать резервные копии и расширенные наборы данных. Справочник системного администратора Типичный способ использования кассет для резервного копирования заключается в настройке расписания вращения между двумя или более наборами кассет/дисков. Идея заключается в том, что увеличивается долговечность кассеты, уменьшается ее использование и одновременно сокращается число кассет. При этом под рукой будут все необходимые данные. Одно из наиболее часто используемых расписаний вращения кассеты — десятикассетное вращение. В этом случае используются 10 кассет, разделенных на два набора по 5 кассет в каждом (одна кассета для каждого рабочего дня). Первый набор кассет используется на одной неделе, а второй — на следующей неделе. В пятницу запланировано полное резервное копирование. С понедельника по четверг — добавочное резервное копирование. Если добавить третий набор кассет, можно каждую неделю отправлять один из наборов кассет во внешнее хранилище. Расписание с десятью кассетами подходит для пятидневной рабочей недели. В среде 24/7 (круглосуточно, 7 дней в неделю) нужно добавить дополнительные кассеты для субботы и воскресенья. В этом случае используйте два набора по 7 кассет (14 кассет всего). Полное резервное копирование запланируйте на воскресенье, а с понедельника по субботу — добавочное резервное копирование. Жесткие диски стали более доступными и применяются во многих организациях вместо магнитной ленты. Диски также позволяют использовать расписание вращения, подобное тому, которое используется с кассетами. Однако нужно модифицировать способ вращения дисков в соответствии с объемом архивируемых данных. Ключевая идея заключается в периодическом перемещении дисков во внешнее хранилище (возможно - в облако). 12.1.7. Выбор утилиты для резервного копирования Для использования в Windows Server 2019 доступно множество решений резервного копирования и восстановления. При выборе средства резервного копирования следует помнить о типах резервного копирования и типах архивируемых данных. ОС Windows Server содержит следующие средства резервного копирования и восстановления. • Windows Server Backup — базовое и простое в использовании средство резервного копирования и восстановления. Когда этот компонент установлен на сервере, можно открыть эту утилиту из меню Tools в диспетчере серверов. Глава 1 2. Windows Server Backup: создание резервной копии и восстановление с нее • Средства архивирования командной строки — набор команд для резервного копирования и восстановления средствами утилиты командной строки Wbadmin. Запускать Wbadmin нужно из командной строки с правами администратора. Введите wbadmin /? для вывода полного списка поддерживаемых команд. Также доступны командлеты Windows PowerShell для управления резервными копиями. • Модуль резервного копирования Windows Server для Windows PowerShell. Набор командлетов для резервного копирования и восстановления, доступных через Windows PowerShell. Данные командлеты можно запускать из командной строки Windows PowerShell. Для получения полного списка доступных командлетов введите команду get-help *wb*. • Служба Azure Backup. Служба облачного копирования от Microsoft. Позволяет хранить резервные копии в облаке, что позволяет защитить сами бэкапы от повреждения. Представьте ситуацию, что в офисе произошел пожар и все носители с резервными копиями сгорели вместе с серверами. Хранение резервных копий в облаке позволяет защититься от подобных ситуаций. Дополнительная информация доступна по адресу https:// azure.microsoft.com/en-us/services/backup/. Обратите внимание, что Система архивации данных Windows Server поддерживает службу Azure Backup и вам не нужно устанавливать какое-либо другое ПО для резервного копирования в облако. Далее будет рассмотрено средство резервного копирования Windows Server Backup. 12.2. Windows Server Backup: установка и использование 12.2.1. Установка По умолчанию компонент Windows Server Backup не установлен. Используя Мастер добавления ролей и компонентов, установите компонент (страница Выбор компонентов) Система архивации данных Windows Server, см. рис. 12.1. [ 339 Справочник системного администратора Рис. 12.1. Установка Windows Server Backup Подробно описывать процесс установки нет смысла, он устанавливается, как любой другой компонент системы. 12.2.2. Создание резервной копии Перед настройкой расписания архивации нужно добавить еще один жесткий диск, который вы будете использовать для хранения резервных копий - хранить резервную копию данных сервера на одном и том же диске с самими данными подобно хранению всех яиц в одной корзине. Если что-то случится с этим диском, вы потеряете все - и данные, и их копию. Откройте Диспетчер серверов, из меню Средства выберите команду Система архивации данных Windows Server. Основное окно средства резервного копирования показано на рис. 12.2. На данный момент резервная копия не создавалась. Выберите команду Расписание архивации (данная команда будет доступна на панели справа после перехода в раздел Локальная архивация на панели слева). Для настройки расписания следуйте следующим инструкциям: 1. На странице Приступая к работе нажмите кнопку Далее. 2. Выберите, что именно нужно архивировать. Рекомендуется делать резервную копию всего сервера (Весь сервер), чтобы можно было без про- 340 1 Глава 12. Windows Server Backup: создание резервной копии и восстановление с нее * wbadmrn • {Система архивации данных Windows Server 1 Локальный) J файл Действие Вид Справка $*• Система архивации | ie Локальная ®ж • 1&ГС1 1ВДЦИЙ данных Wil Tt/io. •* ИЙ) Архивация важных данных на локальном или сетевом компьютере Локальная архивация Действия Системе архивации данных. Bw 1 И Справка Состояние последней архива. Время следующей архивации: Число доступных резервных... Оперативная архивация I Резервные копии в Azure не настроены для зтого сеовера Защитите этот сервер от повреждений и других угроз путем вп Рис. 12.2. Windows Server Backup «ф wbadmtn - (Система архивации данных Windows Serve' <Локальный)\/1окальная архивация; файл Действие Справка ? К •* •$> Система арэиэацм» 5Р Локальная apxwi |'Ж _ЛЬНи,. *pw <ция С помощью этого приложения вы можете выполнять однократную или регулярную архива! Л Архивация не настроена для данного компьютера. Используйте мастер расписания архивации или мастер однократной выполнения регулярной или разовой архивации Сообщения {полученные м последнюю неделю: для просмотре сведений дважды щелкните сообщение) Время Сообщение Описание Действия Локальная архивация V Расписание архивации-»Г Однократная архивация.,. #> Восеановление- Настройка параметров -Вил Б Справка Состояние Последняя архивация Следующая архивация Все архивы Состояние Состояние: Всего архивов: 0 чэпий Время Время: Последняя копия, Рис. 12.3. Раздел Локальная архивация блем восстановиться из резервной копии в случае сбоя (рис. 12.4). Программа сообщит, сколько дискового пространства понадобится. 3. Установите время архивации. Как правило, одного раза в день вполне достаточно. Но при желании вы можете создавать резервные копии чаще. [ 341 Справочник системного администратора Мастер расписания архивации Конфигурация архивации Приступая к работе Конфигурация архив- Время архивации Тип места назначения Подтверждение опе.„ Какой тип конфигурации вы котите планировать? Ф £есь сервер (рекомендуется) Необходимо архивировать все данные сервера, приложения и состояние системы. Размер архива: 11.12 Г5 О Настраиваемый Выбрать настраиваемые тома, файлы для архивации. < Назад | Дадее > j Отмена Рис. 12.4. Конфигурация архивации Выберите время архивации (рис. 12.5). Резервное копирование лучше всего проводить в нерабочее время, например, ночью, рано утром, или в конце рабочего дня. 4. Выберите тип места назначения (рис. 12.6). Рекомендуется производить архивацию на жесткий диск для архивов, то есть выбрать первый вариант. С другой стороны, дополнительный жесткий диск стоит определенных денег. Если средств нет, можно произвести архивацию на этот же диск - тогда нужно выбрать второй вариант - Архивация на том. Но мы настоятельно рекомендуем выполнять архивацию на диск для архивов. 5. На странице Выбор диска назначения нажмите кнопку Показать все доступные диски. Добавьте диск, который вы будете использовать для резервного копирования. 6. Выберите диск, добавленный вами ранее. На выбранном диске должно быть достаточно места. Нажмите кнопку Далее. 7. Затем ответьте OK/Да на два последующих запроса. 342 Глава 12. Windows Server Backup: создание резервной копии и восстановление с нее +* Мастер расписания архивации Время архивации Приступая к работе Конфигурация аркив„ Тип места назначения Подтверждение one... Сводка бремя архиаШн Как часто и когда вы хотите выполнять архивацию? @ Раз в день Выберите время дня: 21:00 О Больше одного раза в день Выберите доступное время и нажмите кнопку “Добавить", чтобы добавить его в расписание архивации. Доступное «0.-00 1:00 1.30 2:00 300 330 400 Время начала < Назад Дадее > j Отмена Рис. 12.5. Время архивации Мастер расписания архивации Тип места назначения Приступая к работе Конфигурация архив... Время архивации Тип места назначения В«.-6ор диска казнам... Подтверждение one... Сводка Где вы хотите хранить архивы? ''•) Архивация на жесткий диск для архивов ^рекомендуется) Выберите этот параметр для наиболее безопасного хранения архивов. Выбранные жесткие диски форматируются и используются только для хранения архивов. О Архивация на том Выберите этот параметр, если нет возможности выделить целый диск для хранения архивов. Обратите внимание, что при использовании тома для хранения архивов его производительность может снизиться на 200 процентов. Хранить другие данные сервера на этом же томе не рекомендуется. О Архивация в общую сетевую гаъку Выберите этот параметр, если архивы не следует хранить локально на самом сервере. Обратите внимание, что одновременно может храниться только один архив, поскольку при создании нового предыдущий перезаписывается. Рис. 12.6. Где хранить резервные копии? 343 Справочник системного администратора X Мастер расписание архивации Выбор диска назначения Приступая к работе Конфигурация архив... Время архивации Тип места «значения Выберите один или несколько дисков для хранения резервных копий. Несколько дисков можно использовать, если вы планируете хранить их вне офиса Доступ ны е диски: Выбор диска назнач... Подтверждение one... Сводка Диск Имя Размер Занято Тома на д. 01 Wware, 60,00 ГБ 98,66 МБ Е\ Показать все доступные диск*'.... Рис. 12.7. Выбор диска назначения £ Мастер расписания архивации Подтверждение операций Приступая к работе Конфигурация архив... 8ремя архивации Тип места назначения Выбор диска назнач... Будет создано следующее расписание архивации. Время архивации: 21:00 Исключенные файлы: Отсутствует Дополнительные параметры: Полная архивация VSS Подтверждение Сводка Места назначения архива ; Имя Только заг„ Размер Занято Е VMware, V.. WiN-LGO 2., 60.00 ГБ 98,66 МБ Архивные элементы \ Имя 4S Восстановление исходного состояния систе.. ’ «й»Зарезервировано системой •ж» Локальный диск (С:) ©Состояние системы Назад Готово Отмена X Рис. 12.8. Подтверждение операций ' 344 ] Глава 1 2. Windows Server Backup: создание резервной копии и восстановление с нее 8. Просмотрите страницу Подтверждение операций. Если все нормально, нажмите кнопку Готово. Внимание! Выделенный для резервного копирования диск будет отформатирован. Поэтому постарайтесь, чтобы на нем не было важных данных! После того, как вы нажмете кнопку Готово, начнется форматирование диска для архивации. Нужно дождаться завершения этого процесса. Затем мастер сообщит вам время первой архивации (рис. 12.9). Нажмите кнопку Закрыть. Архивация успешно настроена. Мастер расписания архивации Сводка Приступая к работе Консигурания архив... Время архивации Тил места назначения Выбор диска назнач... Подтверждение one Состояние Расписание архивации успешно создано Первая архивация по расписанию произойдет: 02.04.2020 21:00. Убедитесь, что диски используемые для хранения созданных по расписанию архивов, подключены к данному компьютеру и доступны. < Назад | Закрыть^ Рис. 12.9. Время первой архивации Примечание. Пока с сервером ничего не случилось до времени создания первой резервной копии, на панели справа выберите команду Однократная архивация для создания одной резервной копии (рис. 12.10). [ 345 , Справочник системного администратора Мастер однократной архивации Параметры архивации Параметры архмжац... Подтверждение Ход архивации Создать архив сейчас используй; ® Параметры архивации по расписанию Выберите этот параметр, если создан архив по расписанию и для этого архива требуется использовать те же параметры. О Другие параметры Выберите этот параметр, если вы не создали архивацию по расписанию либо чтобы указать для этой архивации расположение или элементы, отличающиеся от заданных в архивации по расписанию. Для продолжения нажмите «снопку "Далее". Отмена Рис. 12.10. Процесс создания одной резервной копии Рис. 12.11. Резервная копия создана Глава 12. Windows Server Backup: создание резервной копии и восстановление с нее 12.2.3. Восстановление из резервной копии Для восстановления из резервной копии нужно выбрать команду Восстановление на панели Действия (см. рис. 12.3). 1. Первым делом нужно выбрать, где находится архив - на этом сервере или в другом расположении (рис. 12.12). Мастер восстановления Приступая к работе выбор даты архивац. Тип восстановления Восстанавливаемые... Параметры восстано... Подтверждение Ход восстановления Вы можете использовать этот мастер для восстановления файлов, приложений томов и состояния системы из созданной ранее резервной копии, Где расположен архив, который вы хотите восстановить? (9> Этот сервер (WlN-LGOGStCFFJS) О йрхив находится в другом расположении Для продолжения нажмите кнопку "Далее". Отмена Рис. 12.12. Выбор расположения архива 2. Выберите дату создания архива (рис. 12.13). 3. Далее нужно уточнить, что именно нужно восстановить. Можно восстановить файлы и папки, тома, приложения или же только состояние системы (рис. 12.14). Если вы выбрали первый вариант, далее мастер предоставит вам возможность выбрать файлы и папки, подлежащие восстановлению. На рис. 12.15 показано, какие папки будут восстановлены. 4. Выберите, как нужно восстанавливать. Обычно нужно восстановить файлы и папки в исходное расположение (Исходное расположение), но вы можете выбрать другую папку (Другое расположение). Также выберите, что сделать с элементами резервной копии, которые уже есть в L 347 Справочник системного администратора & Мастер восстановления Выбор даты архивации Приступая к работе Тип восстановления Восстанавливаемые. Параметры восстано... Подтверждение Ход восстановления Самый старый доступный архив: 02.042020 1719 Последний доступный архив: 02.04.2020 17:19 Доступные архивы Выберите дату архива, используемого для восстановления. Доступные архивы отображаются полужирным шрифтом Выбор Даг' jpxHiaty Апрель 2020 Пн Вт Ср Пт Сб Вс 1 L.2J 3 4 5 6 7 В 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Дата архивации: Время: Папка: Состояние: Элементы, подлежащие восстановлению: 02.042020 17:19 WtN-LGO 2020_04_0217^ Доступно по сети Восстановление исходного состояния система. Состояние сис„ < Назад 1: Дадее > Отмена Рис. 12.13. Выбор даты архива р Мастер восстановления X Тип восстановления Приступая к работе ____ . Что вы хотите восстановить? Выбор даты архивам.. MRMBMMHM файлы и папки Восстанавливаемы: Вы ’иожете просмотреть тома, включенные в эту резервную копию, и выбрать файлы и папки. Параметры восстано,. Подтверждение Ход восстановления О 1ома Можно восстановить весь том например, все данные, сохоаненные на диске С. С Приложения Можно восстановить приложения, зарегистрированные системой архивации данных Windows Server О Состояние системы Можно восстановить только состояние системы. i Назад | Дадее > Отмена Рис. 12.14. Что нужно восстановить 348 Глава 12. Windows Server Backup: создание резервной копии и восстановление с нее Мастер восстановления Восстанавливаемые элементы Приступая к работе Выбор даты архивам,. Тип восстановления Просмотрите дерево в окне "Доступные элементы" чтобы найти файлы или папки, которые вы хотите восстановить. Щелкните элемент в дереве или в разделе "Имя*, чтобы выбрать его для восстановления. Восстанавяиваемые.. Параметры восстано». Подтверждение Ход восстаноеземия Доступные элементы. Восстанавливаемые элементы: Рис. 12.15. Выбор файлов и папок папке. Как правило, нужно выбрать Перезаписывать существующие версии восстановленными. Мастер восстановления Параметры восстановления Приступая к работе Выбор даты архивац_ Тип восстановления Восстанавливаемые... Подтверждение Ход восстановления Папка для восстановления ф Исходное расположение О Другое расположение П..., аметры soca д > о,. Для элементов резервной копии, которые уже присутствуют в этой папке О Создавать копии, чтобы иметь обе версии Перезаписывать существующие версии восстановленными О Не восстанавливать элементы, уже существующие в этой папке Параметры безопасности г—т Восстановить разрешения из списка управления доступом для восстанавливаемого файла или папки Рис. 12.16. Параметры восстановления 349 Справочник системного администратора 5. Нажмите кнопку Далее. Просмотрите сводку и если все правильно, нажмите кнопку Восстановить (рис. 12.17). Остается только дождаться процесса восстановления, а потом нажать кнопку Закрыть (рис. 12.18). На этом все. Мы рассмотрели, как запланировать резервное копирование и как восстановиться из резервной копии при восстановлении. , Мастер восстановления Подтверждение Приступая к работе Выбор даты архивац» Тип восстановления Восстанавливаемые ... Параметры восстано... Подтверждение Ход восстановления Из архива: Элементы восстановления: I C:\inetpub\custerr I C:\inetpub\f tproot • C:\inetpub\hi5tory C:\inetpub\logs CiiinetpubXtemp C\inetpub\wwwroot 02.04202017:19 Рис. 12.17. Сводке по восствновлению . Мастер восстановления Ход восстановления Приступая к работе Выбор даты архивами Тип восстановления Восстанавливаемые « Параметры восстано.. Подтверждение Ход выполнения восстановления файла: Состояние: Завершено с предупреждениями Сведения о восстановлении: Ошибки I Предыд... CMnelpik. Ctfnetpu... CVnetpm. C:\inetpu_ CMnetpu... CVnelpik. Назначение CMnetpub\ C\inetpub\ Ci\inetpub\ C\inetpub\ C:\ine tpub\ CVnetpub\ Состояние Переданные _ Завершено. 154 КБ из 154„ Завершено. 0 КБ из 0 КБ Завершено. 96 КБ из 96 КБ Завершено. 0 КБ из 0 КБ Завершено. 0 КБ из 47 КБ Завершено. 98 КБ из 98 КБ Чтобы завершить работу мастера, нажмите кнопку “Закрыть"; операция восстановления будет продолжена в фоновом режиме. Чтобы просмотреть ход выполнения операции, откройте сообгцение о выполнении архивации в консоли системы архивации данных Windows Server. Рис. 12.18. Процесс восстановления Глава 13. Шифрование данных Справочник системного администратора Шифрование данных на сегодня является самым надежным способом обеспечения конфиденциальности информации. Шифрование не всегда защищает от утечек данных, поскольку заинтересованное лицо может передать информацию в открытом виде после ее расшифровки, но если такие ситуации исключить, надежнее шифрования пока еще никто ничего не придумал. Существуют различные способы защиты данных на компьютере. Самыми радикальными являются шифрование всего диска или шифрование одного из разделов, на котором хранятся конфиденциальные данные. Такой вариант не подходит для сервера, поскольку при перезагрузке последнего придется вводить пароль для расшифровки информации, а если эта перезагрузка удаленная... Да, есть вариант активации BitLocker при перезагрузки, но для контроллера домена этот вариант не подходит. Менее радикальные - криптоконтейнеры (виртуальные диски). Файл виртуального диска хранится на жестком диске, как обычный файл. Но его можно открыть в программе шифрования и она подмонтирует содержимое виртуального диска к одной из свободных букв. После этого пользователь сможет работать с виртуальным диском, как с обычным диском. Но такой способ не реализован стандартными средствами Windows Server, поэтому он рассматриваться в книге не будет. Есть и еще прозрачное шифрование, когда шифруется одна из папок на жестком диске. Все файлы, помещенные в эту папку, автоматически шифруются. В Windows Server прозрачное шифрование реализовано посредством надстройки над NTFS - файловой системы EFS. Глава 13. Шифрование данны 13.1. Выбор оптимального средства шифрования К стандартным средствам шифрования относят BitLocker и EFS. Первое средство позволяет зашифровать раздел диска или же весь жесткий диск сервера. Второй используется для выборочного прозрачного шифрования папок/файлов. Разберемся, какой способ оптимальный для вас. Шифрование всего диска - наиболее радикальный метод шифрования. Преимущество этого способа в том, что пока вы введете пароль (или кто-то другой, кому в руки попал ваш компьютер), операционная система не загрузится. Если вы - агент 007 или просто страдаете паранойей, то этот способ для вас. Но это далеко не самый оптимальный способ шифрования данных. Во-первых, вы должны понимать, что любое шифрование - это, прежде всего, преобразование, видоизменение данных. Следовательно, при записи данных на диск их нужно зашифровать, а при чтении - расшифровать. В результате снижается общая производительность работы с системой. Во-вторых, далеко не все данные нужно шифровать. Например, зачем шифровать файлы операционной системы, исполнимые файлы программ? Если вы - настоящий параноик, то можете возразить, мол, операционная система и приложения могут хранить конфиденциальные данные не только в пользовательских файлах, но и во временных файлах, в Cookies, в реестре, в файлах программы (каталог AppData). Когда нет времени, желания или возможности выяснить, что нужно шифровать, а что нет, часто шифруют весь жесткий диск, жертвуя производительностью; В-третьих, проблемы с перезагрузкой. Рабочие станции и обычные серверы (не контроллеры домена) можно настроить на автоматическую активацию BitLocker для загрузки без ввода пароля при условии их подключения к домену. С контроллером домена такой вариант не пройдет. Менее радикальный способ - шифрование одного из разделов. Вы можете выделить один из разделов для своих секретных документов и зашифровать его. Все ваши секретные данные (и приложения - при желании) будут храниться на этом диске. У шифрования раздела есть огромное преимущество перед шифрованием всего диска. Во-первых, больше выбор программ, которые могут шифровать раздел диска (просто не все программы шифрования могут зашифровать [ 353 , Справочник системного администратора системный диск, а вот программ для шифрования обычных разделов гораздо больше). Хотя эти программы и не рассматриваются в этой книге, но вы должны знать, что вы не привязаны к BitLocker. Вы можете использовать ту же VeraCrypt, немного устаревший, но вполне рабочий TrueCrypt и множество других программ. Во-вторых, все-таки файлы операционной системы не шифруются, как и файлы приложений, следовательно, с производительностью все будет в порядке. Далеко не всегда можно зашифровать весь жесткий диск или даже раздел. Типичный пример - офисный компьютер. Вы хотите, чтобы ваши данные остались секретными и хотите скрыть их от других коллег, которые, возможно, работают за вашим же компьютером (общее рабочее место), но в то же время у вас нет прав администратора, которые необходимы при шифровании диска или раздела. В этом случае на помощь придут виртуальные диски или криптоконтейнеры. Виртуальный диск представляет собой файл, внутри которого находятся ваши данные - файлы и каталоги. Можете смотреть на виртуальный диск, как на архив. Только содержимое этого архива зашифровано. Также виртуальный диск можно подмонтировать к какой-то букве, например, к Z: и работать с ним как с обычным диском. Это можно сделать с помощью уже упомянутой программы VeraCrypt. Мы уже рассмотрели два способа шифрования данных - шифрование дис-ка/раздела и виртуальные диски. Однако не всегда такое шифрование удобно. Во-первых, не всегда есть возможность зашифровать весь физический диск. Во-вторых, если вы используете виртуальные диски, то файлы контейнеров, как правило, занимают сотни мегабайт дискового пространства и их весьма просто обнаружить злоумышленнику. Да, есть методы сокрытия данных, но побеждает человеческая лень. В-третьих, зашифрованная папка может постоянно расти, а размер криптодиска ограничен величиной, указанной при его создании. Конечно, есть программы, позволяющие изменять размер криптодиска после его создания, но на это нужно обращать внимание сразу при выборе программы. Всем хочется и удобно работать с файлами, и чтобы при этом файлы были надежно защищены. Такой компромисс есть - это прозрачное шифрование файлов, когда файлы зашифровываются и расшифровываются «на лету» - в процессе работы с ними. Файлы остаются зашифрованными, а вы работаете с ними, как с обычными файлами. Например, если вы зашифровали папку C:\Documents и поместили в нее свои документы, то при открытии документа из этой папки запускается Word или Excel и они даже не подозревают, [ 354 ] Глава 13. Шифрование данны: что они являются зашифрованными. Вы работаете с зашифрованными файлами, как с самыми обычными, совершенно не задумываясь о шифровании, монтировании, виртуальных дисках и т.д. Кроме удобства использования у прозрачного шифрования есть еще одно весомое преимущество. Как правило, на виртуальных зашифрованных дисках хранится большое количество файлов. Для работы даже с одним из них вам нужно подключать весь криптодиск. В результате становятся уязвимыми все остальные файлы. Конечно, можно создать множество небольших криптодисков, присвоить каждому отдельный пароль, но это не очень удобно. В случае с прозрачным шифрованием можно создать столько зашифрованных папок, сколько вам нужно и поместить в каждую из них различные группы файлов - документы, личные фото и т.д. При этом расшифровываются только те файлы, к которым осуществляется доступ, а не все файлы криптодиска сразу. Организовать прозрачное шифрование папки можно как с помощью стандартных средств Windows (Encrypted File System), так и с помощью стандартных программ. Далее мы поговорим о стандартных средствах шифрования в операционной системе, а именно будут рассмотрены EFS и BitLocker. Также будет показано, как злоумышленник может расшифровать файлы, зашифрованные EFS. Далее будет рассмотрено шифрование с помощью EFS и BitLocker. 13.2. Прозрачное шифрование. EFS 13.2.1.0 файловой системе EFS У файловой системы NTFS есть много преимуществ над другими файловыми системами. Одно из основных преимуществ — возможность автоматического шифрования и расшифровки данных с использованием шифрованной файловой системы (Encrypting File System, EFS). При шифровании данных добавляется экстрауровень защиты важных данных, и этот экстрауровень работает как полная защита, блокирующая доступ всех других пользователей к содержимому зашифрованных файлов. Одно из преимуществ шифрования в том, что только конкретный пользователь может получить ’-----Ч 355 к.____j Справочник системного администратора доступ к данным. Это преимущество — также и недостаток, ведь пользователь должен расшифровать данные прежде, чем авторизованные пользователи смогут получить к ним доступ. Файловая система EFS позволяет зашифровать как отдельные файлы, так и целые каталоги. Любой файл, помещенный в зашифрованную папку, автоматически будет зашифрован. Зашифрованные файлы могут быть прочитаны только тем лицом, кто их зашифровал. Прежде, чем другие пользователи смогут прочитать зашифрованный файл, пользователь должен расшифровать файл или добавить в файл ключ шифрования пользователя. У каждого зашифрованного файла должен быть уникальный ключ шифрования пользователя, создавшего файл, точнее, того, кто в данный момент является владельцем файла. Зашифрованный файл может быть скопирован, перемещен или переименован, как любой другой файл, и в большинстве случаев эти файлы никак не отражаются на шифровании данных. Пользователь, зашифровавший файл, всегда имеет доступ к файлу при условии, что сертификат пользователя с открытым ключом доступен на компьютере, который он использует. Для этого пользователя процесс шифрования и дешифрования обрабатывается автоматически и полностью прозрачно. EFS — это процесс, выполняющий шифрование и расшифровку. Настройки по умолчанию для EFS позволяют пользователям зашифровывать файлы без специальных полномочий. Файлы шифруются с использованием публичного/частного ключа, которые EFS автоматически генерирует для каждого пользователя. Сертификаты шифрования хранятся как часть данных в профиле пользователя. Если пользователь работает с несколькими компьютерами и желает использовать шифрование, администратор должен настроить перемещаемый профиль для этого пользователя. Перемещаемый профиль гарантирует, что данные профиля пользователя и сертификаты публичного ключа будут доступны с других компьютеров. Без этого пользователь не сможет получить доступ к своим зашифрованным файлам на другом компьютере. У EFS есть встроенная система восстановления данных, защищающая от потери данных. Эта система восстановления позволяет убедиться, что зашифрованные данные могут быть восстановлены, если сертификат публичного ключа пользователя будет потерян или удален. Наиболее вероятный сценарий этого — удаление учетной записи пользователя после его увольнения. У руководителя должна быть возможность войти в учетную запись пользователя, проверить файлы и сохранить важные файлы в другие папки, но если учетная запись пользователя была удалена, зашифрованные файлы будут доступны, только если было отключено шифрование или файлы Глава 13. Шифрование данных перемещены в файловые системы exFAT, FAT или FAT32 (где шифрование не поддерживается). Для доступа к зашифрованным файлам после удаления учетной записи пользователя нужно использовать агент восстановления. Агент восстановления имеет доступ к ключу шифрования файла и при необходимости может разблокировать данные в зашифрованных файлах. Однако для защиты важных данных агент восстановления не имеет доступа к приватному ключу пользователя. ОС Windows Server не будет расшифровывать файлы без назначенных агентов восстановления EFS. Поэтому агенты восстановления назначаются автоматически, также автоматически генерируются сертификаты, необходимые для восстановления. Это гарантия, что зашифрованные файлы всегда будут восстановлены. Агенты восстановления EFS настраиваются на двух уровнях. • Домен. Агент восстановления для домена настраивается автоматически при первой установке первого контроллера домена Windows Server. По умолчанию агент восстановления — это администратор домена. С помощью групповой политики администраторы домена могут назначить дополнительных агентов восстановления. Администраторы также могут делегировать привилегии агентов восстановления определенным администраторам безопасности. • Локальный компьютер. Когда компьютер — часть рабочей группы или же полностью автономен, агент восстановления — по умолчанию администратор локального компьютера. Дополнительные агенты восстановления могут быть назначены. В дальнейшем, если нужно в среде домена использовать локальных агентов восстановления, а не агентов восстановления уровня домена, необходимо удалить политику восстановления из групповой политики домена. Агенты восстановления можно удалить, если в них нет необходимости. Однако если удалить всех агентов восстановления, EFS больше не сможет шифровать файлы. Для работы функции EFS нужно настроить одного или более агента восстановления. 13.2.2. Шифрование каталогов и файлов При использовании файловой системы NTFS операционная система Windows Server позволяет выбрать файлы и каталоги для шифрования. Когда файл зашифрован, данные файла конвертируются в зашифрованный Справочник системного администратора формат, который может быть прочитан только лицом, которое зашифровало файл. Пользователи могут зашифровывать файлы, только если у них есть надлежащие права доступа. При шифровании папки она отмечается как зашифрованная, но на самом деле шифруются только файлы внутри нее. Все файлы, которые были созданы или добавлены в зашифрованную папку, шифруются автоматически. Для шифрования файла или каталога выполните эти действия: 1. В Проводнике щелкните правой кнопкой мыши на файле или каталоге, который нужно зашифровать, и выберите команду Свойства. 2. На вкладке Общие окна Свойства нажмите кнопку Другие, а затем установите флажок Шифровать содержимое для защиты данных. Нажмите кнопку ОК дважды. делиться Вид Атрибуты: Защифрованнгвч X f Поиск: Локальный диск (С) _ г. Гип Размер Предыдущие версии Настройка Общие Доступ Безопасность Напка с файлами - Папка с файлами Зашифрованная I I-------------------------------------J Папка с файдами_____________ Папка с файлами Дополнительные атрибуты Расположение: Размер: Надиске: Содержит: Создан: С:\ О байт О байт Файлов: 0; папок: I 4 апреля 2020 г.. 9: ст Т олько для чте (применимо то. Г~] Скрытый 1 элемент >ЫТИЯ Установите подходящие параметры для этой папки. При изменении этих параметров вас спросят, хотите ли вы применять изменения к вложенным папкам и файлам. Атрибуты индексирования и архивации I j Папка готова для архивирования 0 Разрешить индексировать содержимое файлов в этой палке в дополнение к свойствам файла Атрибуты сжатия и шифрования П Сжимать содержимое для экономии места на диске П Шифровать содержимое для защиты данных Отмена Применить События События Рис. 13.1. Включение шифрования 358 Глава 13. Шифрование данны В случае с отдельными файлами Windows Server помечает файлы как зашифрованные и затем шифрует их. В случае с каталогами Windows Server отмечает каталог как зашифрованный и затем шифрует все файлы в нем. Если каталог содержит подпапки, Windows отобразит окно, позволяющее зашифровать все вложенные подпапки. Просто установите переключатель К данной папке и ко всем вложенным папкам и файлам и нажмите кнопку ОК. Подтверждение изменения атрибутов Выбраны следующие изменения атрибутов: зашифровать Вы хотите применить эти изменения только к этой папке или также ко всем вложенным папкам и файлам’ О Применение изменений только к этой папке ф-К данной папке и ко всем вложенным папкам и файлам? ОК Отмена Рис. 13.2. Шифрование вложенных папок и файлов Чтобы предоставить специальный доступ к зашифрованному файлу или каталогу, щелкните правой кнопкой мыши на файле или папке в окне Проводника и выберите команду Свойства. На вкладке Общие окна Свойства нажмите кнопку Другие. В окне Дополнительные атрибуты нажмите кнопку Подробно. В появившемся окне будут перечислены пользователи, обладающие доступом к зашифрованному файлу. Чтобы предоставить другому пользователю доступ к файлу, нажмите кнопку Добавить. Если доступен сертификат пользователя, выберите имя пользователя в предоставленном списке и нажмите кнопку ОК. В противном случае нажмите кнопку Найти пользователя для выбора сертификата пользователя. 359 Справочник системного администратора Пользовательский досзу" к Зашифрованная Пользователи, которым разрешен доступ к этому файлу: Рис. 13.3. Ограничение пользовательского доступе к зашифрованной пвпке 13.2.3. Работа с зашифрованными файлами и папками Ранее было отмечено, что можно копировать, перемещать и переименовывать зашифрованные файлы и папки подобно любым другим файлам. Это так, но была оговорка — «в большинстве случаев». При работе с зашифрованными файлами, пока они находятся на NTFS-томах того же компьютера, проблем не будет. При работе с другими файловыми системами или компьютерами можно столкнуться с настоящими проблемами. Наиболее вероятны два следующих сценария. • Копирование между томами одного и того же компьютера. При копировании или перемещении зашифрованных файлов или папок с одного NTFS-тома на другой NTFS-том на том же компьютере файлы остаются зашифрованными. Однако если скопировать или переместить зашифрованные файлы на FAT-том, файлы будут расшифрованы перед передачей и преобразованы в стандартные файлы, поэтому скопированы будут незашифрованные файлы. Файловая система FAT не поддерживает шифрование. 360 Глава 13. Шифрование данных • Копирование между томами на разных компьютерах. При копировании или перемещении зашифрованных файлов или папок с одного NTFS-тома на другой NTFS-том на другом компьютере файлы останутся зашифрованными, пока целевой компьютер позволяет шифровать файлы и удаленному компьютеру доверяют делегирование. В противном случае файлы будут расшифрованы и затем переданы как обычные файлы. То же самое произойдет при копировании или перемещении файлов на FAT-том на другом компьютере. Файловая система FAT не поддерживает шифрование. После копирования важных зашифрованных файлов нужно убедиться, что шифрование все еще применено. Щелкните на файле правой кнопкой мыши и выберите команду Свойства. На вкладке Общие окна Свойства нажмите кнопку Другие. Убедитесь, что параметр Шифровать содержимое для защиты данных включен. 13.2.4. Политика восстановления Политики восстановления автоматически настраиваются для контроллеров домена и рабочих станций. По умолчанию контроллеры домена назначаются агентами восстановления для доменов, а локальные администраторы — агентами восстановления для автономных рабочих станций. GPMC (Group Policy Management Console) — это компонент, который вы можете добавить в любую установку Windows Server, используя мастер добавления ролей и компонентов. GPMC также доступна на рабочих столах Windows при установке RSAT (Remote Server Administration Tools). Как только консоль GPMC будет установлена, ее команда будет доступна в меню Средства в диспетчере серверов (команда Управление групповой политикой). Используя GMPC, вы можете просматривать, назначать и удалять агенты восстановления, используя следующие шаги: 1. Чтобы в GPMC открыть объект групповой политики (GPO), щелкните по нему правой кнопкой мыши и выберите команду Изменить из контекстного меню. GPMC откроет редактор управления групповыми политиками, предназначенный для управления настройками политики. 2. Разверните узел Агент восстановления зашифрованных данных в групповой политике. Для этого разверните узел Конфигурация компьюте- Справочник системного администратора реконфигурация Windows\IIapaMeTpM безопасности\Политики открытого ключа\Шифрованная файловая система (EFS). 3. На правой панели отображается список назначенных в данный момент сертификатов восстановления. Для каждого сертификата выводится, кто его выпустил, дата истечения, назначение и т. д. 4. Для назначения дополнительных агентов восстановления щелкните правой кнопкой мыши на узле Шифрованная файловая система (EFS) и выберите команду Добавить агент восстановления данных. Будет запущен мастер добавления агента восстановления, который используется для выбора ранее сгенерированных сертификатов, назначенных пользователю. Затем можно пометить выбранный сертификат как назначенный сертификат восстановления. Нажмите кнопку Далее. 5. На странице Выбор агентов восстановления можно выбрать сертификаты, опубликованные в Active Directory, или использовать файлы сертификатов. Если нужно использовать опубликованный сертификат, нажмите кнопку Обзор каталога, используйте окно Поиск: Пользой., контакты и группы, выберите пользователя. Будет предоставлена возможность использовать опубликованный сертификат этого пользователя. Если нужно использовать файл сертификата, нажмите кнопку Обзор папок. В окне Открытие выберите необходимый файл сертификата. 6. Для удаления агента восстановления выберите сертификат агента восстановления в правой панели и нажмите кнопку Удалить. Затем нажмите кнопку Да для удаления сертификата без возможности восстановления. Если политика безопасности пуста (это означает, что не назначено выделенных агентов восстановления), EFS будет выключена так, что файлы больше не будут зашифровываться, а существующие уже зашифрованные ресурсы EFS не будут иметь агента восстановления. 13.2.5. Расшифровка файлов и каталогов Для расшифровки файла или каталога выполните такие действия: 1. В Проводнике щелкните по файлу или каталогу правой кнопкой мыши и выберите команду Свойства. 2. На вкладке Общие окна Свойства нажмите кнопку Другие. Установите флажок Шифровать содержимое для защиты данных. Нажмите кнопку ОК дважды. Глава 13. Шифрование данных В случае с файлами Windows Server расшифрует и восстановит файл в его исходный формат. В случае с папками Windows Server расшифрует все файлы внутри папки. Если каталог содержит подпапки, будет предоставлена возможность снять шифрование и с подпапок. Для этого выберите переключатель К данной папке и ко всем вложенным папкам и файлам и нажмите кнопку ОК. 13.3. BitLocker - средство шифрования диска 13.3.1. Введение в BitLocker BitLocker (полное название BitLocker Drive Encryption) - это технология шифрования диска, встроенная в операционные системы Windows Vista U1-timate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012/R2, Windows Server 2016, Windows Server 2019, Windows 8 и Windows 10. С помощью BitLocker можно зашифровать полностью весь носитель данных (логический диск, SD-карту, USB-брелок). При этом поддерживаются алгоритмы шифрования AES 128 и AES 256. С помощью BitLocker можно зашифровать любой том, в том числе и загрузочный - с которого происходит загрузка Windows. Тогда пароль нужно будет вводить при загрузке (или использовать другие средства аутентификации, например, ТРМ). Однако я настоятельно не рекомендую этого делать. Во-первых, снижается производительность (см. приложение 1). На сайте http://technet.microsoft.com сообщают, что обычно снижение производительности составляет 10%, однако в вашем конкретном случае можно ожидать большего «торможения» компьютера, все зависит от его конфигурации. Да и шифровать, по сути, нужно далеко не все данные. Зачем шифровать те же программные файлы? В них нет ничего конфиденциального. Во-вторых, если что-то случится с Windows, боюсь, все может закончиться плачевно - форматированием тома и потерей данных. Поэтому лучше всего зашифровать отдельный том - отдельный логический диск, внешний USB-диск и т.д. Затем на этот зашифрованный диск поместить все ваши секретные файлы. Также можно установить на этот диск программы, требующие защиты, например, клиент-банк. Такой диск вы будете подключать только при необходимости. Дважды щелкнул на значке [ 363 Справочник системного администратора диска, ввел пароль и получил доступ к данным - будет именно такой принцип работы с зашифрованным диском. Можно зашифровать любой диск, кроме сетевого и оптического. Список поддерживаемых типов подключения дисков: • USB; • Firewire; • SATA; • SAS; • ATA; • IDE; • SCSI; • eSATA; • iSCSI; • Fiber Channel. Примечание. Помните, что Windows Server 2016/2019 не поддерживает PATA/ATA/IDE, но BitLocker поддерживает такие диски, что позволит зашифровать РАТА-диск на рабочей станции. Не поддерживается шифрование томов, подключенных по Bluetooth. Когда вы подключили свой мобильный телефон к компьютеру по Bluetooth, его карта памяти выглядит как отдельный носитель данных. Зашифровать такой носитель нельзя, думаю, понятно почему. Поддерживаются файловые системы NTFS, FAT32, FAT16, ExFAT. Не поддерживаются остальные файловые системы, в том числе CDFS, NFS, DFS, LFS, программные RAID-массивы (аппаратные RAID-массивы поддерживаются). Можно зашифровать твердотелые накопители (SSD, флешки, SD-карты), жесткие диски (в том числе подключаемые по USB) и аппаратные RAID-массивы. Шифрование других типов дисков не поддерживается. Огромным преимуществом BitLocker является поддержка шифрования GPT-дисков. Из проверенных средств шифрования поддержку GPT обеспечивают продукты от Symantec (например, Symantec Endpoint Encryption), 364 Глава 13. Шифрование данных но за них нужно платить, а стоимость BitLocker уже включена в состав Windows. 13.3.2. Установка поддержки BitLocker На пользовательских версиях Windows средство шифрования BitLocker, как правило, поддерживается «из коробки» и сразу доступно. В серверной версии необходимо установить компонент Шифрование диска BitLocker. Сделать это можно с помощью мастера добавления ролей и компонентов (рис. 13.4). Рис. 13.4. Установка BitLocker 13.3.3. Шифрование диска Запустите проводник и щелкните правой кнопкой мыши по диску, который вы хотите зашифровать. Из появившегося меню выберите команду Включить BitLocker. 365 Справочник системного администратора Первым делом вас спросят, как вы будете снимать блокировку с зашифрованного диска: с помощью пароля или с помощью смарт-карты. Нужно выбрать один из вариантов (или оба: тогда будут задействованы и пароль, и смарт-карта), иначе кнопка Далее не станет активной (рис. 13.5). х Ц Шифрование диска BitLocker (Е:) Выберите способы разблокировки диска 0 Использовать пароль для снятия блокировки диска Пароли должны содержать прописные и строчные буквы, цифры, пробелы и символы. Введите сеой пароль | •••••••• | Введите пароль еще раз | •••••••• | Q] Использовать смарт-карту для снятия блокировки диска Необходимо будет вставить смарт-карту. ПИН-код смарт-карты потребуется при снятии блокировки с диска. | Далее Отмена Рис. 13.5. Как будем снимать блокировку? На следующем шаге вам будет предложено создать резервную копию ключа восстановления: • Сохранение в файл — оптимальный способ. Файл с ключом восстановления будет записан в каталог Документы. Сами понимаете, его оттуда следует перенести в более надежное место, например, на флешку. Также желательно его переименовать, чтобы по имени файла не было сразу понятно, что это как раз тот самый ключ. Можно открыть этот файл (позже вы увидите, как он выглядит) и скопировать сам ключ восстановления в какой-то файл, чтобы только вы знали, что это за строка, и в каком файле она находится. Оригинальный файл с ключом восстановления лучше потом удалить. Так будет надежнее. • Распечатка ключа восстановления — идея довольно дикая, разве что потом вы поместите этот лист бумаги в сейф и закроете на семь замков. 366 Глава 13. Шифрование данны. х <- \ Шифрование диска BitLocker (Е) Как вы хотите архивировать свой ключ восстановления? О Некоторыми параметрами управляет системный администратор. Если вы забыли свой пароль или потеряли смарт-карту, вы можете использовать ключ восстановления для доступа к диску. j Сохранить в файл -» Напечатать ключ рас^тановления Как.иайТг! поэжгмаюч еаа.а"' - гт * — Дзгтее Отмена Рис. 13.6. Архивация ключа восстановления Примечание. Ключ восстановления используется для разблокировки диска в случае, когда вы забыли пароль или потеряли смарт-карту. Отказаться от создания ключа восстановления нельзя. После сохранения ключа вы вернетесь в окно с выбором метода сохранения. Нажмите кнопку Далее для перехода к следующему этапу. Теперь нужно определить, какую часть диска требуется шифровать (рис. 13.7). Можно зашифровать только занятое место, а можно — сразу весь диск. Если ваш диск практически пуст, то намного быстрее зашифровать только занятое место. Если на диске мало данных, а вы выбрали второй вариант, то шифрование будет длиться мучительно долго по сравнению с первым способом. Начиная с Windows 10 версии 1511, стал использоваться новый режим шифрования дисков (который называется XTS-AES). Вы можете выбрать новый режим, можете выбрать режим совместимости. Если вы шифруете раздел стационарного диска сервера, выбирайте новый режим, если же вы шифруете сменный диск, который, возможно, придется использовать на си- □К, Справочник системного администратора X Шифрование диска BitLocker (Е:) Укажите, какую часть диска требуется зашифровать Если вы настраиваете BitLocker на новом диске или ПК, вам достаточно зашифровать только ту часть диска, которая сейчас используется. BitLocker зашифровывает новые данные автоматически по мере их добавления. Если вы включаете BitLocker на уже используемом ПК или диске рекомендуется зашифровать весь диск. Это гарантирует защиту всех данных — даже удаленных, но еще содержащих извлекаемые сведения. Шифровать только занятое место на диске (выполняется быстрее, оптимально для новых ПК и дисков) Q Шифровать весь диск (выполняется медленнее, подходит для уже используемых ПК и дисков) Далее Отмена Рис. 13.7. Какую часть диска нужно зашифровать? стемах, которые не поддерживают этот режим шифрования, лучше выбрать режим совместимости (рис. 13.8). X 4- , Шифрование доска BitLocker (Е ‘ Выбрать режим шифрования для использования В обновлении Windows 10 (версия 1511) представлен новый режим шифрования дисков (XTS-AES). Этот режим обеспечивает дополнительную поддержку целостности но не совместим с более I ранними версиями Windows. Если вы собираетесь использовать съемный носитель с более ранней версией Windows, следует выбрать режим совместимости. Если будет использоваться несъемный диск или этот диск будет использоваться на устройствах под управлением обновления Windows 10 (версия 1511) или более поздних версий, следует выбрать новый режим совместимости Q Новый режим шифрования (оптимально для несъемных дисков на этом устройстве) • Режим совместимости (оптимально для дисков, которые могут быть перемещены с этого устройства) Рис. 13.8. Выбор режима шифрования Глава 13. Шифрование данных Итак, осталось только нажать кнопку Начать шифрование (рис. 13.9) и дождаться, пока диск будет зашифрован. I Шифрование диска BitLocker (&) Зашифровать этот диск? Вы сможете разблокировать этот диск с помощью пароля. Процесс шифрования может быть долгим, его длительность зависит от размера диска. До завершения шифрования защита файлов не обеспечивается Начать шифрование f Отмена Рис. 13.9. Нажмите кнопку Начать шифрование Не выключайте питание компьютера и не перезагружайте его до тех пор, пока шифрование не завершится — об этом вы получите соответствующее сообщение. Если произойдет сбой питания, то шифрование при запуске Windows будет продолжено с того самого момента, где оно было остановлено. Так написано на сайте Майкрософт. Верно ли это для системного диска, я не проверял — не захотел рисковать. 13.3.4. Работа с зашифрованным диском В проводнике Windows зашифрованный диск помечен значком замка: у заблокированного диска замок закрыт, у разблокированного — открыт. Незашифрованный диск выводится без замка (рис. 13.10). [ 369 ' Справочник системного администратора » Этот компьютер * Т Этот компьютер - < □ X v О Г.оисх: Этот компьютер Р it Быстрый доступ v Папки (71 I Рабочий стоя # # Загрузки if Документы if i* Изображения if Документы Этот компьютер Новый том (Е) фСеть Изображения Объемные объекты f Элементов: 10 Рабочий стол Устройства и диски (3) 47,5 ГБ свободно из 59.4 Гб Локальный диск (С) Новый том (Е:) Ж: •.............. 599 ГБ свободно из 59,9 Гб DVD-дисиовод (I» HI SSS_>64rRE_EN-USOV9 О байт свободно из 3,96 Гб Рис. 13.10. Зашифрованный диск разблокирован Для разблокировки диска (когда он заблокирован) следует щелкнуть по нему двойным щелчком. Если вы выбрали только защиту паролем, понадобится ввести этот пароль (рис. 13.11), а если была выбрана и смарт-карта, то для успешной аутентификации и разблокировки диска нужно еще вставить и ее. Е д1 К Локальный серв! Ь Все серверы If ADDS & DNS В» iis ii Файловые служб > Этот компьютер Сеть BitLocker (Е:) Ичивл*»»* Средст работы с дисками т *’ Эют компьютер Пайки (7i Локальный диск<&} Г Быстрый доступ Рабочий стол ♦ Загрузки ^Документы S Изображения f Объемные объекты . Локальный джж<Б) алокирозать Введите пароль для разблокировки этого диска. Устройства и диски (31 Локальный диск {С-1 Документы Загрузки Музыка Рабочий стол Изображения □VD-дисковод (гл) ! SSSJCfi4FR£.E#J-US_DV9 С байт ceotci-x и? ГБ Рис. 13.11.- Разблокировка диска Глава 13. Шифрование данны: После разблокировки с зашифрованным диском вы можете работать, как с обычным. Для изменения пароля щелкните правой кнопкой по диску и выберите команду Изменить пароль BitLocker (она появится после того, как вы ввели уже текущий пароль). 13.3.5. Забыт пароль. Что делать? Теперь рассмотрим ситуацию, когда вы забыли пароль или утеряли смарт-карту. Откройте файл, содержащий ключ восстановления и скопируйте содержащийся там ключ в буфер обмена. Нажмите в окне ввода пароля (см. рис. 13.11) кнопку Дополнительные параметры. Выберите в открывшемся окне команду Введите ключ восстановления. Вам останется только вставить в соответствующее поле ключ восстановления из буфера обмена. BitLocker (Е:) Введите пароль для разблокировки этого диска. Сокращенный список Введите г*юч восстановления Автоматически разблокировать 1 на этом ПК Ра»5*ки. жэть I Рис. 13.12. Файл с ключом восстановления 13.3.6. Автоматическая разблокировка диска Для настройки автоматической разблокировки диска (имеет ли это смысл конкретно в вашем случае - решайте сами) выполните следующие действия: 1. Разблокируйте диск. 2. Щелкните на нем правой кнопкой мыши и выберите команду Управление BitLocker [ 371 Справочник системного администратора 3. В появившемся окне выберите команду Включить автоматическую разблокировку Примечание. Отключить авторазблокировку можно аналогичным образом - только нужно выбрать команду Отключить автоматическую разблокировку. После включения автоматической разблокировки вам не придется вводить пароль для доступа к диску после каждой перезагрузки системы, но данные на нем останутся зашифрованными, что полезно, если жесткий диск будет украден. Однако, если он будет украден вместе с сервером, то эффективность данного метода будет сокращена ровно в два раза. Останется еще один барьер - пароль администратора/пользователя, прежде чем получить доступ к разблокированному зашифрованному диску, нужно войти в систему. Если же злоумышленник попытается извлечь жесткий диск из компьютера, прочитать информацию он все равно не сможет. При желании вы можете настроить автоматическую разблокировку по сети. Сетевая разблокировка впервые была представлена в Windows 8 и Windows Server 2012 как параметр предохранителя BitLocker для томов операционной системы. Сетевая разблокировка обеспечивает более простое управление для настольных компьютеров и серверов с поддержкой BitLocker в среде домена, обеспечивая автоматическое снятие блокировки томов операционной системы при подключении к проводной корпоративной сети. Для использования этой функции необходимо, чтобы на клиентском оборудовании был реализован драйвер DHCP в встроенном микрокоде UEFI. Без сетевой разблокировки тома операционной системы, защищенные доверенными платформенными модулями и ПИН-кодом, требуют ввода PIN-кода при перезагрузке или выходе компьютера из спящего режима (например, при использовании функции Wake on LAN). Это может усложнить развертывание исправлений программного обеспечения на настольных компьютерах и удаленно администрируемых серверах. Подробная информация доступна по адресу: г https://docs.microsoft.com/ru-ru/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock Часть IV. Сеть Данная часть посвящена настройке сети и некоторых сетевых служб. Мы поговорим об управлении TCP/IP, рассмотрим создание DHCP-сервера, сервера терминалов (RDP), а также возвысимся до использования облачных технологий. Глава 14. Управление сетью TCP/IP Глава 15. Сервисы DNS и DHCP Глава 16. Удаленный рабочий стол Глава 17. Виртуализация Глава 14. Управление сетью TCP/IP лава 1 Г. Управление сетью I 14.1. Включение сетевого обнаружения В Windows Server 2019 имеется расширенный набор сетевых утилит: • Обозреватель сети — предоставляет собой основное средство просмотра компьютеров и устройств сети; • Центр управления сетями и общим доступом — основная консоль для просмотра и управления конфигурацией сети и общего доступа; • Диагностика сети — предоставляет средство автоматической диагностики для обнаружения и решения сетевых проблем. Данные утилиты основаны на следующих компонентах: • Сетевое обнаружение — компонент, управляющий способностью видеть другие компьютеры и устройства; • Служба сетевого расположения — компонент, уведомляющий об изменениях в подключениях узлов и конфигурации сети. Параметры сетевого обнаружения используемого компьютера определяют, какие компьютеры и устройства будут доступны в сетевых инструментах Windows Server. Параметры обнаружения работают в сочетании с бранд [ 375 ' Справочник системного администратора мауэром Windows и способны блокировать или разрешать следующие действия: • обнаружение сетевых компьютеров и устройств; • обнаружение компьютера другими системами. Параметры сетевого обнаружения должны обеспечить надлежащий уровень безопасности для каждой из категорий сетей, к которым подключен компьютер. Существуют три категории сетей: • доменная сеть — сеть, в которой компьютеры подключены к домену предприятия; • частная сеть — сеть, компьютеры которой являются членами рабочей группы и лишены прямого выхода в Интернет; • публичная сеть — сеть в общественном месте, например, в кафе или аэропорту. Поскольку компьютер хранит настройки отдельно для каждой категории сети, различные настройки блокирования и разрешения метут использоваться для каждой категории. При первом подключении сетевого адаптера компьютера к сети Windows устанавливает категорию сети на основании конфигурации компьютера. Основываясь на категории сети, ОС Windows Server автоматически настраивает параметры, которые метут включать или выключать обнаружение. Если режим обнаружения включен, то: • компьютер может обнаруживать другие компьютеры и устройства в сети; • другие компьютеры и устройства в сети могут обнаруживать этот компьютер. Когда обнаружение выключено, то: • компьютер не способен обнаруживать другие компьютеры и устройства в сети; • другие компьютеры и устройства в сети не метут обнаруживать этот компьютер. Обычно сетевой адаптер устанавливается как публичный, прежде чем компьютер будет подключен к домену. Обозреватель сети, отображает список Г лава 14. Управление сетью TCP/IP обнаруженных компьютеров и устройств в сети. Для доступа к обозревателю сети, запустите Проводник. В окне Проводника выберите Сеть на панели слева. Однако далеко не всегда в обозревателе вы увидите список компьютеров. В Windows Server 2016/2019 еще нужно постараться, чтобы на сервере увидеть содержимое сети. Первым делом нужно убедиться, что сетевое обнаружение включено в Центре управления сетями и общим доступом для доменной сети (рис. 14.1). * 4 Дополнительные параметры общего доступа — □ X V t Ч Центр упра... > Дополнительные параметры общего доступа v- О Поиск в панели управления Р Изменение параметров общего доступа для различных сетевых профилей Windows создает отдельный сетевой профиль для каждой используемой сети. Для каждого профиля вы можете выбрать особые параметры Частная Гостевая или общедоступная Доменный (текущий профиль) Сетевое обнаружение Если включено сетевое обнаружение этот компьютер может видеть другие компьютеры и устройства в сети и виден другим компьютерам Включить сетевое обнаружение О Отключить сетевое обнаружение Общий доступ к файлам и принтерам Если общий доступ к файлам и принтерам включен то файлы и принтеры, к которым разрешен общий доступ на этом компьютере, будут доступны другим пользователям в сети. •) Включить общий доступ к файлам и принтерам Q Отключить общий доступ к файлам и принтерам ' | Отмена ~~| Рис. 14.1. Включение сетевого обнаружения После включения сетевого обнаружения еще раз просмотрите Дополнительные параметры общего доступа и убедитесь, что параметр включен. Дело в том, что если отключены некоторые службы, необходимые для сетевого обнаружения, этот параметр окажется выключенным даже после включения. Если у вас так и оказалось, убедитесь, что запущены следующие службы (тип запуска для этих служб нужно установить - Автоматически): • Function Discovery Provider Host — fdPHost (Хост поставщика функции обнаружения) - отвечает за обнаружение в сети других компьютеров; [ 377 ' Справочник системного администратора • Function Discovery Resource Publication — FDResPub (Публикация ресурсов обнаружения функции) - отвечает за то, чтобы другие компьютеры могут обнаружить в сети ваш компьютер; • DNS Client — dnscache (DNS-клиент); • SSDP Discovery — SSDPSrv (Обнаружение SSDP); • UPnP Device Host — upnphost (Узел универсальных PNP-устройств); Далее убедитесь, что вы подключены именно к доменной сети. Если вы изменили параметры общего доступа для доменной сети, а сами подключены, например, к частной сети, у вас ничего не выйдет. Тип сети выводится в области Просмотр активных сетей. На рис. 14.2 показано, что вы подключены к доменной сети. Центр управления сетями и общим доступом — □ X -♦ * ф Ц *< СетьиИнт. > Центр управления сетями и общим доступом м Q Пс>*с:к э'-амелм упрда-«чия f> Панеть управления — ПроСМОТр ОСНОВНЫХ Сведений О СвТИ И НЭСТроЙКа ПОДКЛЮЧвНИЙ домашняя страница Просмотр активных сетей Изменение параметров адаптера «ample.com Тип доступа: Интернет Доменная сеть Подключения: Ф Ethernets Изменить дополнительные параметры общего доступа Изменение сетевых параметров 4^» Создание и настройка нового годклнхния или сет** Настройка широкополосного, коммутируемого или VPN-подключения либо настройка маршрутизатора или точки доступа. *** Устранение неполадок Диагностика и исправление проблем с сетью или получение сведений об устранении неполадок См также Брандмауэр Защитника Windows Свойства браузера Рис. 14.2. Просмотр активного сетевого профиля После включения упомянутых служб вы сможете включить параметр Включить сетевое обнаружение - он больше не будет сбрасываться. Чтобы все заработало, как следует, перезагрузите компьютер. Чтобы включить сетевое обнаружение с помощью групповой политики, выполните следующие действия: 1. Запустите оснастку Управление групповой политикой (gpmc.msc) 378 Глава 14. Управление сетью TCP/IP 2. Щелкните правой кнопкой мыши на GPO для контроллеров домена или даже для всех компьютеров домена, выберите команду Изменить. 3. Перейдите в Конфигурация компьютера, Политики, Административные шаблоны, Сеть, Обнаружение топологии связи (Link-Layer) и включите обе политики, как показано на рис. 14.3. Редактор управления групповыми политиками — D X файл Действие Дид Справка ** г 81 ч г Сеч, Состояние Состояние Коммен-арий B'anchCacne , Включав- драйвер отображения ваода/виво, Включена Нет Службы одноранговом Майкрск ^Включ^ь. раЛвес «Ответчика* 'RSi’NOR) Включена Нет DNS-клиент . SNMP W-паом Connect Now Автономные файлы Беспроводной дисплей Диспетчер подключений Windows Индикатор состояния сетевого подкяг Обнаружение топологии связи tUnfc-L Параметры ТСР/Ф Параметры взаимодействи₽ клиента I Параметры конфигурации SSL Планировщик пакетов QoS Поставщик сети Проверка подлинное* для территор» Рабочая станция Lan-man Сервер Lan-man Сетевая изоляция Сетевые подключения Служба WLAN Служба WWA.N ©онсэая интеллектуальная служба ле Шрифты . Система Все параметры Настройка . | m ; < > Расщиренный ЛСтаидартный / 2 параметров Рис. 14.3. Редактирование групповой политики 4. Закройте редактор групповой политики, откройте консоль и введите команду gpupdate /force (рис. 14.4). Рис. 14.4. Применение групповой политики Справочник системного администратора 14.2. Настройка сети TCP/IP Подключение по локальной сети создается автоматически, если в компьютере есть сетевой адаптер и он подключен к сети. Если на компьютере установлено несколько сетевых адаптеров, у каждого из них будет собственное подключение к локальной сети. Если доступных сетевых подключений не существует, следует подключить компьютер к сети или создать подключение другого типа. Для работы по протоколу TCP/IP компьютеру необходим IP-адрес. В Windows Server существует несколько способов настройки IP-адреса. • Вручную. IP-адреса, назначаемые вручную, называются статическими IP-адресами. Такие фиксированные адреса не изменяются, пока администратор не изменит их. Как правило, статические IP-адреса назначаются серверам Windows. При этом следует настроить также ряд дополнительных параметров, чтобы помочь серверу «освоиться» в сети. • Динамически. Динамические IP-адреса назначаются во время запуска компьютера DHCP-сервером (если он установлен в сети). Время от времени такие адреса могут изменяться. По умолчанию все IP-адреса компьютера считаются динамическими. • Альтернативный адрес (только для IPv4). Когда компьютер настроен на использование DHCPv4, но в сети нет доступного DHCPv4-cepBepa, ОС Windows Server автоматически назначает компьютеру частный альтернативный IP-адрес. По умолчанию альтернативный адрес IPv4 назначается из диапазона 169.254.0.1—169.254.255.254 с маской подсети 255.255.0.0. Также можно назначить пользовательский альтернативный 1Ру4-адрес, что особенно полезно на ноутбуке. При назначении статического IP-адреса кроме самого IP-адреса нужно указать маску подсети, а также, при необходимости, шлюз по умолчанию для межсетевого взаимодействия. IP-адрес — это числовой идентификатор компьютера. Схемы IP-адресации различаются в зависимости от настройки сети, но в большинстве случаев они назначаются на основе конкретных сетевых сегментов. Адреса IPv6 сильно отличаются от адресов IPv4. В 1Ру6-адресах первые 64 бита представляют идентификатор сети, а оставшиеся 64 бита — сетевой интерфейс. В 1Ру4-адресах переменное число первых битов обозначает идентификатор сети, а остальные биты — идентификатор хоста. Допустим, Глава 14. Управление сетью TCP IP используется протокол IPv4 и компьютер в сегменте сети 10.0.10.0 с маской подсети 255.255.255.0. Первые три группы битов обозначают сетевой идентификатор, а доступные для хостов адреса находятся в диапазоне от 10.0.10.1 до 10.0.10.254. Адрес 10.0.10.255 зарезервирован для широковещательной передачи. Если компьютер находится в частной сети, не имеющей прямого выхода в Интернет, следует использовать частные 1Ру4-адреса, приведенные в табл. 14.1. Таблица 14.1. Частные адреса IPv4 Идентификатор частной сети Маска сети Диапазон сетевых адресов 10.0.0.0 255.0.0.0 10.0.0.0-10.255.255.255 172.16.0.0 255.240.0.0 172.16.0.0-172.31.255.255 192.168.0.0 255.255.0.0 192.168.0.0-192.168.255.255 Каждый установленный сетевой адаптер может быть подключен к одной локальной сети. Подключения создаются автоматически. Для настройки IP-адреса конкретного подключения выполните следующие действия: 1. В Центре управления сетями и общим доступом щелкните по ссылке Изменение параметров адаптера. На странице Сетевые подключения щелкните правой кнопкой мыши по соединению, с которым необходимо работать, выберите команду Свойства. 2. Дважды щелкните на протоколе TCP/IPv6 или TCP/IPv4 в зависимости от того, какой тип IP-адреса нужно настроить. 3. Выберите переключатель Использовать следующий IP-адрес и заполните, соответственно, IP-адрес, маску под сети. Если компьютеру необходим выход в другие TCP/IP-сети, в Интернет или другие подсети, укажите IP-адрес шлюза по умолчанию в поле Основной шлюз. 4. Доменная система имен (DNS) необходима для разрешения доменных имен. Введите адреса предпочитаемого и альтернативного DNS-серверов в предоставленные поля. Обычно на контроллере домена развернут собственный DNS-сервер, поэтому его адрес будет 127.0.0.1. 5. Когда закончите, нажмите кнопку ОК дважды. Повторите этот процесс для других сетевых адаптеров и IP-протоколов, которые необходимо настроить. [ 381 ' Справочник системного администратора Рис. 14.5. Настройка сети В окне свойств протокола IP можно также установить и альтернативный IP-адрес - на вкладке Альтернативная конфигурация (рис. 14.6). Свойства: IP версии 4 (TCP/IPv4) X Общие Альтернативная конфигурация Если этот компьютер используется в нескольких сетях, введите параметры альтернативной конфигурации протокола IP £) Автоматический частный IP-адрес 0> Настраиваемый пользователе^ IP-адрес: Маска подсети: Основной шлюз: Предпочитаемый DNS-сервер: ] Альтернативный DNS-сервер: Предпочитаемый WINS-сервер: Альтернативный WINS-сервер: Выполнись проверку правильности параметров при выхс ОК Отмена Рис. 14.6. Альтернативная конфигурация 382 Глава 14. Управление сетью TCP/IP 14.3. Настройка нескольких шлюзов Для обеспечения отказоустойчивости в случае отказа маршрутизатора можно настроить компьютеры на базе Windows Server так, что они будут использовать несколько основных шлюзов. При назначении нескольких шлюзов Windows Server использует метрику шлюза для определения, какой шлюз задействовать и в какое время. Метрика шлюза характеризует затраты на маршрутизацию для данного шлюза. Первым используется шлюз с наименьшей метрикой. Если компьютер не может установить связь с этим шлюзом, Windows Server пытается использовать шлюз, следующий по возрастанию метрики. Выбор лучшего способа настройки нескольких шлюзов зависит от конфигурации сети. Если компьютеры в вашей организации настраиваются при помощи DHCP, вероятно, лучше задавать дополнительные шлюзы через параметры на DHCP-сервере. Если же компьютеры используют статические IP-адреса или нужно задавать IP-адреса шлюзов самостоятельно, выполните следующие действия: 1. В Центре управления сетями и общим доступом щелкните по ссылке Изменение параметров адаптера. На странице Сетевые подключения Дополнительные параметры TCP/IP X Параметры IP dns WINS 1Р-Лдреса IP-адрес Маска подсети ' DHCP включен Основные шлюзы: г ------------------------------------------ Шлюз Метрика 192.168.0.1 Автоматический | Добавить... | вменить... Удалить 0Автоматическое назначение метрики Метрика а ОК Отмена Рис. 14.7. Настройка нескольких шлюзов Справочник системного администратора щелкните правой кнопкой мыши по необходимому соединению выберите команду Свойства. 2. Дважды щелкните на TCP/IPv6 или TCP/IPv4 в зависимости от типа настраиваемого IP-адреса. 3. Нажмите кнопку Дополнительно, чтобы открыть окно Дополнительные параметры TCP/IP, показанное на рис. 14.7. 4. Панель Основные шлюзы показывает шлюзы, которые были настроены вручную (если таковые имеются). При необходимости введите адреса дополнительных шлюзов. 5. Когда будете готовы, нажмите кнопку ОК. 14.4. Сброс сети Если что-то пошло не так и после внесения определенных изменений сеть не работает, попробуйте выполнить сброс сети. Для этого откройте окно Параметры, перейдите в раздел Сеть и Интернет (рис. 14.8) и выберите команду Сброс сети. Сброс сети нужно выполнять только в самом крайнем случае, когда вы не понимаете, почему сеть не работает. Попытайтесь разобраться и понять, что пошло не так - иначе вы потеряете все сделанные ранее настройки. Параметры fit Главная I Найти параметр Сеть и Интернет & Состояние tP Ethernet •* Наборномера =8° VPN @ Прокси-сервер Состояние пгмиемить <вом<тва подключения Показать доступные сети Изменение сетевых параметров Настройка параметров адаптера Г1рч.см'>тр сетевых адаптеров и нвменепие параметров подключение. Si Параметры общего доступа Определите к квклм данным вы хотите предоставить доступ для сжтей. с которыми устангюлечс соединение. Средство устранения сетевых неполадок Дипгнос । ика и ут траиенне проблем с сетью. 11р<кмотр свойств сети Ьронлмпутр Windows Центр управления «.етями и общим доступом Сброс сети Рис. 14.8. Сброс сети 384 Глава 14. Управление сетью TCP/IP 14.5. Отключение брандмауэра Часто бывает, что тот или иной компонент работает неправильно из-за настроек брандмауэра. Проверить так ли это достаточно просто. В окне Сеть и Интернет выберите команду Брандмауэр Windows (рис. 14.9). ’ Безогчсность Windows (й) Кабинет О Защита от вирусов и угроз Брандмауэр и безопасность сети В Управление приложениями/браузером S Безопасность устройства (1|1) Брандмауэр и безопасность сети Кто и что может получить доступ к вашим сетям н, Сеть домена (активный) Брандмауэр включен Частная сеть Брандмауэр включен Видео сообщества Windows *ЗНВТЬ больше о брандмауэре и ^етееой sainnie Кто защищает меня? Управление поставщиками © Параметры с» Общедоступная сеть. Брандмауэр включен Разрешить работу е нригюхепием через опандмауэр Средство устранения неполадок подключения к сети и Ингергюту Изменение свои параметры конфиденциальности Просмотрите и измените параметры конфиденциальности устройства под управлением Windows 10! Параметры конференций' ьности Панель кониг.^инга конфиденциальности Заявление о кон {к'аенци’ь ьтюгги Рис. 14.9. Управление брандмауэром Далее выберите доменный профиль и отключите брандмауэр, как показано на рис,. 14.10. Если ваш сетевой компонент заработал, значит, проблема в брандмауэре и нужно выполнить его настройку. Если же нет, значит, причина в чем-то еще - не забудьте включить брандмауэр, поскольку без него ваше устройство является уязвимым. Обратите внимание на рис. 14.10. Внизу страницы есть параметр, позволяющий блокировать все входящие подключения. Он полезен, если на сервер ведется атака и вам нужно временно блокировать все входящие подключения. Для настройки брандмауэра выберите команду Дополнительные настройки (она находится внизу страницы, поэтому не видна на рис. 14.9). После этого вы увидите привычное и знакомое окно настройки брандмауэра. Впервые оно появилось в Windows 7 и за эти годы не то, что администраторы, но и обычные пользователи успели с ним познакомиться. 385 Справочник системного администратора Безопасность Window* <- fi) Кабинет О Защита от вирусов и угроз Брандмауэр и безопасность сети В Управление прмложенияыи/брауэером Я Безопасность устройства -ОХ Рабочие сети, которые присоединены к домену. Активные доменные сети exampte.com Брандмауэр Защитника Windows Помогает защитить устройство при подключении к доменной сети. Межсетевой экран домена выключен. Ваше устройство может оказаться чувствительным. (♦ ) Сткл. Изменение свои параметры конфиденциальности Просмотрите и измените параметры конфиденциальности устройства под управлением Windows 10. Плраметры конфиденциальности Панель мониторинга конфиденциальности Заявление о конфиденциальности Входящие подключения Запрещает входящие подключения при работе в доменной сети п Блокирует все входящие подключения в том числе для приложений, указанных в списке разрешенных © Параметры программ. Рис. 14.10. Брандмауэр отключен W Монитор брандмауэра Защитника Windows в режиме повышенной безопасности файл Действие Вид Справка ♦ ♦it В Я. ЙГ Монитор брандмауэра С Правила для входя щ П Правила для исходят -% Правила безопасное •" Наблюдение й'онитор бранрмту*ра Защитник- Windows в режизее лове тшениой боопасн... Брандмауэр Защитника Windows в режиме повышенной безопасности обесг компьютеров, работающих под управлением ОС Windows Обзор .Профиль домена активен Ф Брандмауэр Защитника Windows включен О Входящие подключения, не соответствующие ни одному правилу, запрещены U Исходящие подключения, не соответствующие ни одному правилу, разрешена Частный профиль *0 Брандмауэр Защитника Windows включен ® Входящие подключения, не соответствующие ни одному правилу, запрещены. W Исходящие подключения, не соответствующие ни одному правилу, разрешат Общий профиль TlJ Брандмауэр Защитника Windows включен ® Входящие подключения не соответствующие ни одному правилу, запрещены Исходящие подключения, не соответствующие ни одному правилу, разрешань Свойства брандмауэра Защитника Windows Действия Монитор брандмауэра Заии ж Импортировать лолити.. <£ Экспорт политики'. Восстановить оолитжу .. Диагностика / восстановил ► 5» Обновить Й Свойства Q Справка Приступая к работе Проверка подлинности при передаче данных между комп Создайте правило безопасности подключения, чтобы указать как и когда вылолн v Рис. 14.11. Окно настройки брандмауэра 386 Глава 14. Управление сетью TCP IP Вкратце настройка брандмауэра осуществляется так: • На панели слева есть возможность выбора правил для входящих и исходящих соединений. Выберите один из типов правил (рис. 14.12). Вы увидите список правил. Включенные (активные) правила помечены зеленой галкой слева от названия правила. * Монитор брандмауэра Защитника Windows в режиме повышенной безопасности □ X Файл Действие Дид Справка 18 - И Монитор брандмауэра Действия С Правила для входят Имя Группа Профиль Включе1 А Правила для входящих подк_ А Ю Правила для исходяг % Правила безопасное Обнаружение кэширующих уз... BranchCache - обкар.„ Все Нет аД Создать правило- *• Наблюдение Получение содержимого Bran... BranchCache - получе„ Все Сервер размещенного кэша Br... BranchCache - сервер.- Все Нет Нет V Фильтровать по профил.. ► & FTP-сервер (входящий трафик... FTP-сервер Все Да V Фильтровать по состоян ► St Безопасный FTP-сервер (входя- FTP-сервер Все Да V Фильтровать по группе > J Пассивный FTP-сервер (пасси- FTP-сервер Все Да Вид ► Обновить : И mDNS iUDP-ln) mDNS Частный J mDNS (UDP-ln) mDNS Домен Да Да J mDNS (UDP-ln) mDNS Общий Да Экспортировать список- Secure Socket Tunneling Protoco... Secure Socket Tunnelu. Bee Нет Ei Справка 1 u Архивация данных Windows (R... Архивация Windows Все $ Архивация данных Windows (R- Архивация Windows Все г* Беспроводной дисплей (.входя... Беспроводной диспл... Все Обратный канал инфраструкту- Беспроводной диспл... Все J Ваша учетная запись Ваша учетная запись Домен, Ч-. J Ваша учетная запись Ваша учетная запись Домен, Ч... Удаленный рабочий стол — <Т_. Веб-доступ к удален... Все Удаленный рабочий стол — (Г- Веб-доступ к удален-. Все j Веб-службы Active Directory (Т- Веб-службы Active Di... Все и Веб-средство просмотра класс.. Веб-средство просм„. Все О Веб-средство просмотра класс... Веб-средство проем.. Все Удаленный рабочий стол — n„. Дистанционное упра.. Все Удаленный рабочий стол — л.„ Дистанционное упра... Все Да Да Да Да Да Да Нет Нет Да Да Да Нет Нет w > Рис. 14.12. Правила для входящих подключений • Правило можно включить и выключить. Это очень удобно: вы можете отключить правило, если оно вам временно не нужно, а не удалять его. Для включения/выключенйя правила дважды щелкните на нем. Откроется окно параметров правила (рис. 14.13). В нем вы увидите флажок Включено - выключите его, если правило необходимо отключить. • Для создания правила используется кнопка Создать правило. Она находится на панели справа в списке правил. При создании правила нужно выбрать его тип - для программы (ограничение работы определенной программы), для порта (ограничения использования определенного порта) и некоторые другие. Первые два типа правил (рис. 14.14) используются чаще всего. Первый позволяет блокировать/разблокировать программу по ее названию. Для этого не нужно знать, какие сетевые порты [ 337 ' Справочник системного администратора Свойства: mDNS xUDP-lnl X Область Общие Дополнительно Программы и службы ГТ-«альные субъекты Удаленные компьютеры Удаленные пользователи Протоколы и порты /ft Это предопределенное правило, и некоторые его свойства нельзя изменить Общие М* Имя Описание Правило шодящих подключений для трофика mDNS [UDPJ РЯ Включено Действие Еазрвыить подключение Г) Разрешить только безопасное подключение Блокировать пижлючоыие EZ« г Рис. 14.13. Свойства правила Рис. 14.14. Создание правила Глава 14. Управление сетью TCP/IP использует программа и удобно, если программа может использовать несколько сетевых портов. Второй тип правила подойдет, если в списке программ нет нужной вам программы. Вам нужно знать, какие порты использует программа. Далее вы указываете эти порты при создании правила Для порта (рис. 14.15). Вы можете перечислить порты через запятую или указать диапазон портов, например, 1010-1020. После этого нужно выбрать, что сделать: разрешить сетевую активность или запретить (рис. 14.16). Рис. 14.15. Указываем порты fif Мастер создания правила для нового входящего подключения Действие Укажите деве таи* выполняемо* при соответствии пешклечения условиям, заданным в ионном провил* Шанс « Типправила Укожит* действие которое должно выполняться. когда i ижпточамиа удовлетворяет *> Вмктви* а Гафель Екл»иея как подола Включая только подключения с л^оввряой подлинности с оомовсыо !PS*c ..шжлючвния будут эб11|ищ»ны с помощью параметров ₽S*c и правил, заданны» в раздел* правил безопасности подключай^ Рис. 14.16. Действие правила 389 Справочник системного администратора В настройках правил брандмауэра нет ничего сложного. Если что-то пойдет не так, всегда можно отключить правило или даже весь брандмауэр. Осторожность нужно соблюдать только при удаленной настройке правил брандмауэра (например, по протоколу RDP) - чтобы не закрыть доступ самому себе, иначе вам придется получать физический доступ к серверу для его настройки, а это не всегда удобно. 390 Глава 15. Сервисы DNS и DHCP Справочник системного администратора Сервисы DNS и DHCP являются ключевыми для любой сети на базе Active Directory. Без сервиса DNS невозможна работа Active Directory, а сервис DHCP отвечает на назначение динамических IP-адресов узлам сети. В принципе, без DHCP на сервере можно обойтись - использовать встроенный DHCP-сервер роутера, но такую блажь могут себе позволить лишь небольшие организации. В крупных организациях, как правило, разворачивают несколько DHCP-серверов для балансировки нагрузки, а встроенные аппаратные серверы - отключают. В результате можно не только балансировать нагрузку, но и централизовано управлять DHCP, что невозможно при использовании DHCP на роутере. 15.1. Сервис DNS 15.1.1. Интеграция с Active Directory Домены Active Directory используют DNS для реализации своей структуры имен и иерархии. Служба каталогов Active Directory и DNS настолько тесно взаимосвязаны, что перед установкой доменных служб Active Directory (AD DS) необходимо установить DNS в сети. При установке первого контроллера домена в сети есть возможность автоматически установить DNS, если DNS-сервер не найден. Также можно указать, должны ли DNS и Active Directory полностью интегрироваться. В большинстве случаев на оба вопроса следует дать утвердительный ответ. 392 J Глава 1 5. Сервисы DNS и DHCf 1 При полной интеграции информация DNS хранится в Active Directoiy, что позволяет воспользоваться всеми преимуществами Active Directory. Важно понимать различия между частичной и полной интеграцией. • Частичная интеграция. При частичной интеграции для хранения информации DNS используется стандартное хранилище. Информация DNS хранится в текстовых файлах с расширением dns в заданной по умолчанию папке %SystemRoot%\System32\Dns. Обновления DNS проводятся через единственный полномочный DNS-сервер. Этот сервер задан как основной DNS-сервер конкретного домена или области внутри домена, которая называется зоной (zone). Клиенты, использующие динамическое обновление DNS через DHCP, должны быть настроены на работу с основным DNS-сервером зоны. В противном случае DNS-информация на них обновляться не будет. Если в сети отсутствует основной DNS-сервёр, проводить динамические обновления через DHCP нельзя. • Полная интеграция. При полной интеграции информация DNS хранится в Active Directory, в контейнере dnsZone. Поскольку DNS-информация — это часть Active Directory, любой контроллер домена может получить доступ к данным, и динамические обновления через DHCP можно проводить по модели с несколькими хозяевами. А это позволяет любому контроллеру домена, на котором запущена служба DNS-сервер, обрабатывать динамические обновления. Клиенты, использующие динамические обновления DNS через DHCP, могут работать с любым DNS-сервером внутри зоны. Еще одно преимущество интеграции с каталогом заключается в возможности управлять доступом к DNS-информации при помощи системы безопасности каталога. В предыдущих версиях DNS-сервера для Windows Server перезапуск DNS-сервера в больших организациях с большим числом зон, интегрированных в AD DS, мог длиться часами. Это происходило потому, что данные зон загружались не в фоновом режиме одновременно с запуском службы DNS. В целях повышения эффективности DNS-серверов в Windows Server 2012 и более поздних версиях они существенно доработаны. Теперь перезагрузки данных зон из AD DS осуществляются в фоновом режиме. Это гарантирует способность DNS-сервера отвечать на запросы, в том числе и из других зон. 15.1.2. Настройка разрешения имен на DNS-клиентах Лучший способ настроить разрешение имен на DNS-клиентах зависит от конфигурации сети. Если компьютеры используют DHCP, возможно, лучше настроить DNS через параметры на DHCP-сервере. Если компьютеры [ 393 " Справочник системного администратора используют статические IP-адреса или необходимо указать отдельные параметры DNS на отдельных системах, нужно настроить DNS вручную. Настроить параметры DNS можно на вкладке DNS окна Дополнительные параметры TCP/IP. Чтобы открыть это окно, выполните следующие действия: 1. В Центре управления сетями и общим доступом щелкните по ссылке Изменение параметров адаптера. В окне Сетевые подключения щелкните правой кнопкой мыши по нужному подключению и выберите команду Свойства. 2. Дважды щелкните по протоколу, который хотите настроить — TCP/IPv6 или TCP/IPv4. 3. Если используете DHCP и нужно, чтобы адрес DNS-сервера был задан по DHCP (рис. 15.1), установите переключатель Получить адрес DNS-сервера автоматически. В противном случае установите переключатель Использовать следующие адреса DNS-серверов, а затем введите адреса основного и дополнительного DNS-серверов в соответствующих полях. Свойства: IP версии 4 (TCP/IPv4) X Общие Альтернативная конфигурация Параметры F можно назначать автоматически, если сеть поддерживает эту возможность. В противном случае узнайте параметры IP у сетевого администратора. (Я*) Получить IP-адрес автоматически Q Использовать следующий IP-адрес IP-адрес | - . . | Мас*- пода- ’ | | •Зеной нпй 1 йГюэ j | (2) Получить адрес DNS-сервера автоматически = Использовать следующие адреса DNS-серверов: Предпочитаемый DNS-сервер: | | . ^Альтернативным DNS-сервер: □ Подтвердить параметры при выходе дополнительно... ОК Отмена Рис. 15.1. Свойства TCP/IPv4 394 Глава 15. Сервисы DNS и DHCH 4. Нажмите кнопку Дополнительно, чтобы открыть диалоговое окно Дополнительные параметры TCP/IP. Перейдите на вкладку DNS и настройте необходимые параметры. » Адреса DNS-серверов, в порядке использования — укажите IP-адрес каждого DNS-сервера, который используется для разрешения доменных имен. Чтобы добавить IP-адрес сервера в список, нажмите кнопку Добавить. Нажмите кнопку Удалить, чтобы удалить адрес выделенного сервера из списка. Чтобы изменить выделенную запись, нажмите кнопку Изменить. Если указано несколько серверов DNS, их приоритет определяется очередностью в списке. Если первый сервер не может ответить на запрос о разрешении имени хоста, запрос посылается на следующий DNS-сервер, и т. д. Чтобы изменить позицию сервера в списке, выделите его и воспользуйтесь кнопками со стрелками вверх и вниз. » Дописывать основной DNS-суффикс и суффикс подключения — обычно по умолчанию этот переключатель установлен. Включите этот параметр для разрешения неполных имен компьютеров в основном домене. Допустим, происходит обращение к компьютеру server в родительском домене example.com. Для разрешения имя компьютера будет автоматически дополнено суффиксом DNS — server.microsoft. com. Если в основном домене компьютера с таким именем нет, запрос не выполняется. Основной домен задается на вкладке Имя компьютера диалогового окна Свойства системы. » Добавлять родительские суффиксы основного DNS-суффикса — по умолчанию этот переключатель установлен. Включите его для разрешения неполных имен компьютеров в иерархии родительских/ дочерних доменов. В случае неудачного запроса в ближайшем родительском домене, для попытки разрешения запроса используется суффикс родительского домена более высокого уровня. Этот процесс продолжается, пока не будет достигнута вершина иерархии доменов DNS. Допустим, в запросе указано имя компьютера server в родительском домене dev.example.com. Сначала DNS пытается разрешить имя компьютера server.dev.example.com, а потом, в случае неудачи, пытается разрешить имя server.xample.com. » Дописывать следующие DNS-суффиксы (по порядку) — установите этот переключатель, чтобы задать использование особых DNS-суффиксов вместо имени родительского домена. Нажмите кнопку Добавить, чтобы добавить суффикс домена в список. Нажмите кнопку Удалить, чтобы удалить выделенный суффикс домена из списка. Справочник системного администратора Для редактирования выделенной записи нажмите кнопку Изменить. Разрешается указать несколько суффиксов домена. Если первый суффикс не позволяет разрешить имя, DNS применяет следующий суффикс из списка. Если первый суффикс не был разрешен, берется следующий суффикс, и т. д. Чтобы изменить очередность суффиксов домена, выберите нужный суффикс и измените его положение кнопками со стрелками вверх и вниз. » DNS-суффикс подключения — в этом поле задастся DNS-суффикс подключения, переопределяющий DNS-имена, уже настроенные на использование с данным подключением. Обычно имя домена DNS указывается на вкладке Имя компьютера диалогового окна Свойства системы. » Зарегистрировать адреса этого подключения в DNS — включите этот параметр, если нужно зарегистрировать все IP-адреса для этого соединения в DNS с FQDN-именами компьютеров. Этот параметр включен по умолчанию. Дополнительные параметры TCP/IP X Параметры IP DNS WINS Адреса DNS-серверов, в порядке использования: Добавить.== ' Следующие три параметра применяются для всех подключений, использующих TCP/IP. Для разрешения неизвестных имен: (g) Дописывать основной DNS-суффнкс и суффикс подключения [^Добавлять родительские суффиксы основного DNS-суффикса (j Дописывать следующие DNS-суффиксы (по порядку): DNS-суффикс подключения: ” РЯ Зарегистрировать адреса этого подключения в DNS | | Использовать DNS-суффикс подключения при регистрации в DNS ОК Отмена Рис. 15.2. Дополнительные параметры TCP/IP 396 Глава 15. Сервисы DNS и DHCP » Использовать DNS-суффикс подключения при регистрации в DNS — установите этот флажок, если нужно, чтобы все IP-адреса для данного подключения регистрировались в DNS родительского домена. 15.1.3. Типы серверов Любую систему Windows Server 2019 можно настроить как DNS-сервер. Доступны четыре типа DNS-серверов. • Основной сервер, интегрированный с Active Directory — DNS-сервер полностью интегрированный с Active Directoiy. Все данные DNS хранятся непосредственно в Active Directory. • Основной сервер — основной DNS-сервер домена с частичной интеграцией с Active Directory. В этом случае основная копия DNS-записей и конфигурация домена хранится в текстовых файлах с расширением dns. • Вторичный (дополнительный) сервер — резервный DNS-сервер. Хранит копию DNS-записей, полученную с основного сервера и передачи зон для обновлений. Вторичный сервер при запуске получает всю необходимую информацию с DNS-сервера. • Сервер пересылки (forward-сервер) — сервер, кэширующий DNS-информацию после lookup-запросов и всегда передающий запросы на другие серверы. Сервер пересылки хранит DNS-информацию до обновления, до истечения срока действия или до перезапуска сервера. В отличие от вторичных серверов forward-сервер не запрашивает полную копию файлов база данных зоны. Это означает, что при запуске сервера пересылки его база данных пуста. 15.1.4. Установка и базовая настройка DNS-сервера Для установки DNS-сервера необходимо с помощью мастера добавления ролей и компонентов добавить роль DNS-сервер. Если вы уже устанавливали Active Directory, то данная роль должна быть установлена автоматически. После установки DNS-сервера можно использовать консоль Диспетчер DNS для настройки и управления DNS-сервером. Для вызова консоли Диспетчер DNS (рис. 15.3) выберите команду DNS из меню Средства в диспетчере серверов. [ 397 ' Справочник системного администратора Диспетчер DNS файл Действие Вид Справка 4- : 5Г?! & * ч В ИI i Л DNS ПГназвание 3 WIN-LGOGBECFFJS ||| WIN-LGOGBECFFJS Рис. 15.3. Диспетчер DNS Если настраиваемый сервер не отображается в представлении дерева, нужно подключиться к нему. Щелкните правой кнопкой мыши по узлу DNS в представлении дерева и выберите команду Подключение к DNS-серверу. Запись для DNS-сервера должна появиться в представлении дерева консоли Диспетчер DNS. Щелкните правой кнопкой мыши на записи сервера и выберите команду Настроить DNS-сервер. Будет запущен мастер настройки DNS-сервера. Нажмите кнопку Далее. Мастер настройки DNS-сервера X Выбор действия по настройке I Вы можете выбрать типы зон просмотра, подходящие для размеров сети. Опытные администраторы могут настроить корневые ссылки. • Выберите действие, которое необходимо выполнить: 0 Создать зону прямого просмотра (рекомендуется для небольших сетей) Этот сервер является полномочным для DNS-имен локальных ресурсов, но пересылает все остальные запросы поставщику услуг Интернета или другим DNS-серверам. Мастер настроит корневые ссылки, но не создаст зону I обратного просмотра. Q Создать эоны прямого и обратного просмотра (рекомендуется для больших сетей) Этот сервер может быть полномочным для зон прямого и обратного ' просмотра. Он может быть настроен на рекурсивное разрешение имен, пересылку запросов другим DNS-серверам или на обе функции. Мастер настроит корневые ссылки. .• ^строить только корневые ссылки (рекомендуется для опытных пользователей^ Мастер настроит только корневые ссылки. Серверы пересылки, а также зоны прямого и обратного просмотра вы можете настроить позже. ( < Назад далее > j Отмена Рис. 15.4. Мастер настройки DNS ЗЭ8 лава 15. Сервисы DNS и DHCP На странице Выбор действия по настройке установите переключатель Настроить только корневые ссылки, чтобы указать, что в этот раз вы хотите создать только базовые структуры. Нажмите кнопку Далее, а затем - кнопку Готово. На этом базовая настройка DNS-сервера завершена. 15.1.5. Создание основной зоны После установки службы DNS-сервер на сервер, можно сконфигурировать основной сервер с помощью следующих действий: 1. Запустите консоль Диспетчер DNS. Если необходимый сервер не отображается, подключитесь к нему, как было описано ранее. 2. Запись DNS-сервера должна быть выведена в дереве консоли Диспетчер DNS. Щелкните правой кнопкой мыши на записи сервера и выберите команду Создать новую зону. Будет запущен мастер создания новой зоны. Нажмите кнопку Далее. 3. Можно выбрать тип зоны. Если основной сервер настраивается с интеграцией в Active Directory (на контроллере домена), выберите переключатель Основная зона и убедитесь, что отмечен флажок Сохранять зону в Active Directory (см. рис. 15.5). Если интеграция DNS с Active Мастер создания новой зоны X Tim зоны DNS-сервер поддерживает различные типы зон и хранения информации. £ Выберите тип зоны, которую вы хотите создать: §)Йсновная зон^ I Создание копии зоны, непосредственно обновляемой на данном сервере. (^Дополнительная зона I Создание копии эоны, расположенной на другом сервере. Это позволяет распределять нагрузку основных серверов и обеспечивает отказоустойчивость. О Зона-заглушка Создание копии зоны, содержащей только записи сервера имен (NS), начальные записи зоны (SOA) и, возможно, связанные записи узлов (тип А). Сервер, содержащий зону-заглушку, не является полномочным для этой зоны. ! [^Сохранять зону в Active Directory (доступно только для DNS-сервера, являющегося доступным для записи контроллером домена) < Назад Далее > Отмена Рис. 15.5. Создание новой зоны [ 399 , Справочник системного администратора Directory не нужна, выберите переключатель Основная зона и сбросьте флажок Сохранять зону в Active Directory. Нажмите кнопку Далее. 4. Если зона интегрируется с Active Directory, выберите одну из стратегий репликации (в противном случае пропустите этот шаг). » Для всех DNS-серверов, работающих на контроллерах домена в этом лесу — выберите эту стратегию для самой обширной репликации. Помните, что лес Active Directory содержит также все деревья доменов, использующие данные каталога совместно с текущим доменом. » Для всех DNS-серверов, работающих на контроллерах домена в этом домене — выберите эту стратегию, если нужно реплицировать DNS-информацию в пределах текущего домена. » Для всех контроллеров домена в этом домене (для совместимости с Windows 2000) — выберите эту стратегию, если нужно реплицировать DNS-информацию всем контроллерам домена в текущем домене, что необходимо для совместимости с Windows 2000. Хотя эта стратегия обеспечивает более широкую репликацию DNS-информации вну- Мастеп создания повой зоны Область репликации зоны, интегрированная в Active Director, Вы . южете указать, каким образом следует зеплицзровать даннсе DNS в вашей сети. Укажите, каким образом вы хотите реплицировать информацию зоны' О Для всех DNS-серверов, работающих на контроллерах домена в этом лесу: exampie com А Для всех DNS-fepeepoB, рабо-аюш' t на контроллерах домена в этом догене. example com _ Q Для всех контроллеров домена в этом домене (для совместимости с Windows 2000): example.com На все контроллеры домЛд указанные в области данного раздела каталога < Назад I Далее > I Отмена Рис. 15.6. Область репликации эоны Г 400 1 Глава 1 5. Сервисы DNS и DHCP три домена и обеспечивает совместимость с Windows 2000, не каждый контролер домена является DNS-сервером (и не нужно настраивать каждый контроллер домена как DNS-сервер). 5. Нажмите кнопку Далее. Выберите переключатель Зона прямого просмотра, а затем нажмите кнопку Далее (рис. 15.7). Мастер создания новой зоны X | Зона прямого клм обратного просмотра Вы можете использовать зону для пряного или обратного просмотра. J Выберите тип зоны просмотра, которую вы хотите создать: прямого просмотра Зона прямого просмотра преобразовывает DNS-имена в IP-адреса и предоставляет информацию о доступных сетевых службах. Q Зона обратного просмотра Зона обратного просмотра преобразует IP-адреса в DNS-имена < Назад Далее > Отмена Рис. 15.7. Выбор типа эоны 6. Введите полное DNS-имя зоны. Имя зоны определяет, как сервер или зона вписываются в доменную иерархию DNS. Например, если создается основной сервер для домена example.com (рис. 15.8), в качестве имени зоны следует ввести example.com. Нажмите кнопку Далее. 7. Если настраивается основная зона, которая не интегрируется с Active Directory, нужно указать имя файла зоны. Имя файла базы данных зоны DNS по умолчанию должно быть уже введено. Оставьте это имя без изменений или введите новое. Нажмите кнопку Далее. 8. Укажите, будут ли разрешены динамические обновления. » Разрешить только безопасные динамические обновление — когда зона интегрирована с Active Directory, можно использовать списки управления доступом для ограничения круга клиентов, которые могут осуществлять динамические обновления. Когда включена эта [ 401 } Справочник системного администратора Мастер создания новой зоны Имя зоны Каково имя новой зоны? Имя зоны указывает часть пространства имен DNS, для которой сервер является полномочным. Оно должно представлять доменное имя вашей организации (например, microsoft.com) или часть доменного имени (например, newzone.microsoft.com). Имя зоны не является именем DNS-сервера. Имя зоны: example.com < Назад Далее > Отмена Рис. 15.8. Имя эоны опция, только клиенты с авторизированными учетными записями компьютера и одобренными списками управления доступом могут динамически обновлять свои записи ресурсов в DNS. » Разрешить любые динамические обновления — выберите эту опцию, чтобы разрешить любому клиенту обновлять свои записи ресурсов в DNS. Клиенты могут быть безопасными и небезопасными. » Запретить динамические обновления — отключает динамические обновления DNS. Нужно выбрать эту опцию, только если зона не интегрирована с Active Directory. 9. Нажмите кнопку Далее. А затем нажмите кнопку Готово для завершения этого процесса. Новая зона будет добавлена на сервер, базовые DNS-записи будут созданы автоматически. 10. Один DNS-сервер может предоставлять сервис для нескольких доменов. Если у вас есть несколько родительских доменов, например example.com и firma.com, нужно повторить этот процесс для настройки остальных зон просмотра. Также надо настроить зоны обратного просмотра. Глава 15. Сервисы DNS и DHCP Мастер создания новой зоны X Завершение мастера создания новой зоны Работа тасгера создания новой зоны успешно заверше ia. Были заданы следующие параметры: Имя: example.com а Тип: Интегрированная в Active Directory оснонная Тип просмотра: Переслать Примечание. Вам следует добавить записи в зону или убедиться, что записи обновлены динамически. Затем вы можете проверить разрешение имен при помощи программы NSLOOKUP. Для закрытия мастера и создания новой зоны нажмите кнопку "Готово’' < Назад Готово ] Отмена Рис. 15.9. Зона создана И. Нужно добавить записи компьютеров, далее будет показано, как это сделать. 15.1.6. Создание дополнительного сервера DNS Дополнительные серверы обеспечивают отказоустойчивость DNS-службы сети. Если используется полная интеграция с Active Directory, настраивать дополнительные серверы не нужно. Достаточно запустить службу DNS на нескольких контроллерах домена, и Active Directory будет реплицировать информацию DNS на все контроллеры. При использовании частичной интеграции следует настроить дополнительные серверы, чтобы уменьшить нагрузку на основной сервер. В небольшой или средней сети можно использовать в качестве дополнительных серверов DNS-серверы интернет-провайдера. Для установки дополнительных серверов с целью повышения отказоустойчивости и балансировки нагрузки выполните следующие действия: [403 ' Справочник системного администратора 1. Запустите консоль Диспетчер DNS. Если нужного сервера нет в списке, подключитесь к нему, как было описано ранее. 2. Щелкните правой кнопкой мыши на записи сервера, а затем выберите команду Создать новую зону. Будет запущен мастер создания новой зоны. Нажмите кнопку Далее. 3. На странице Тип зоны выберите переключатель Дополнительная зона. Нажмите кнопку Далее. 4. Дополнительные серверы могут использовать как зоны прямого просмотра, так и зоны обратного просмотра. Сначала нужно создать зону прямого просмотра, поэтому выберите переключатель Зона прямого и нажмите кнопку Далее. 5. Введите DNS-имя зоны и нажмите кнопку Далее. 6. В списке Основные серверы введите IP-адрес основного сервера зоны и нажмите клавишу <Enter>. Мастер попытается проверить сервер. Если произошла ошибка, убедитесь, что сервер подключен к сети и введен правильный IP-адрес. Если нужно скопировать данные зоны с других серверов на случай недоступности первого сервера, повторите этот шаг. 7. Нажмите кнопку Далее, а затем кнопку Готово. В большой сети, возможно, придется настроить зоны обратного просмотра на дополнительных серверах. 15.1.7. Обратная зона Прямые просмотры используются для разрешения доменных имен в IP-адреса. Обратные просмотры служат для разрешения IP-адресов в доменные имена. Каждый сегмент сети должен иметь зону обратного просмотра. Зона обратного просмотра создается аналогично зоне прямого просмотра, только на странице выбора типа зоны (рис. 15.7) нужно выбрать Зона обратного просмотра, а вместо имени домена нужно указать 1.168.192.in-addr. агра, если адрес сети у вас 192.168.1.0. Если есть несколько подсетей в одной сети, например 192.168.10 и 192.168.11, можно ввести только часть сети в качестве имени зоны. Например, в этом случае нужно использовать имя 168.192.in-addr.arpa и разрешить консоли Диспетчер DNS создать необходимые зоны подсетей, когда они понадобятся. Глава 15. Сервисы DNS и DHCf 15.1.8. Управление записями DNS После создания необходимых файлов зоны можно добавить в них записи. Для компьютеров, к которым необходим доступ из Active Directory и доменов DNS, нужно создать записи DNS. Хотя существует много типов записей DNS, большинство из них не используется часто. Давайте сконцентрируем внимание на тех записях, которые чаще всего востребованы. 1. А (1Ру4-адрес) — используется для преобразования имени узла в IPv4-адрес. Когда у компьютера есть несколько сетевых карт, 1Ру4-адресов (или несколько и сетевых карт, и адресов) для компьютера должно быть создано несколько записей адреса. 2. АААА (1Ру6-адрес) — используется для преобразования имени узла в 1Ру6-адрес. Когда у компьютера несколько сетевых карт, 1Ру6-адресов (или несколько и сетевых карт, и адресов) для компьютера должно быть создано несколько записей адреса. 3. CNAME (canonical name, каноническое имя) — устанавливает псевдоним для имени узла. Например, можно с помощью этой записи установить псевдоним www.example.com для узла server.example.com. 4. MX (mail exhanger) — указывает сервер обмена почты для домена, позволяющий отправлять сообщения электронной почты корректным почтовым серверам в домене. 5. NS (name server) — определяет сервер имен для домена. У каждого основного и дополнительного сервера должна быть эта запись. 6. PTR (указатель) — создает указатель, преобразующий IP-адрес в имя узла (обратный запрос). 7. SOA-(start of autority, начало полномочий) — объявляет хост, обладающий наибольшими полномочиями в зоне и потому являющийся наилучшим источником DNS-информации в зоне. Начальная запись зоны (SOA) должна быть в каждом файле зоны (который создается автоматически при добавлении зоны). Также она объявляет другую информацию о зоне, например, ответственное лицо, интервал обновления, интервал повтора и т. д. Чтобы создать новый элемент узла при помощи записей адреса и указателя, выполните следующие действия: правочник системного администратора 1. В консоли Диспетчер DNS раскройте папку Зоны прямого просмотра нужного сервера. 2. Щелкните правой кнопкой мыши на домене, который нужно обновить, и выберите команду Создать узел (А или АААА). Откроется окно, показанное на рис. 15.10. Новый узел X Имя (если не указано, используется родительский домен): Полное доменное имя (FQDN): ' exarnple.com. ТР-ддрес: | | Создать соответствующую PTR-запись | | разрешать любому прошедшему проверку пользователю обновлять DNS-записи с таким же именем владельца Зобаеи .„ел Отмена Рис. 15.10. Создание А-эаписи 3. Введите имя компьютера, например web-server, и IP-адрес, например 192.168.1.21. 4. Установите флажок Создать соответствующую PTR-запись. 5. Нажмите кнопку Добавить узел, а зГгем кнопку ОК. Повторите этот процесс для добавления других узлов. 6. Нажмите кнопку Готово, когда закончите. Для создания записи CNAME выполните следующие действия: 1. В консоли Диспетчер DNS разверните папку Зоны прямого просмотра нужного сервера. 2. Щелкните правой кнопкой мыши на домене, который нужно обновить, и выберите команду Создать псевдоним (CNAME). 406 Глава 15. Сервисы DNS и DHCP 3. В поле Псевдоним введите псевдоним. Псевдоним — это однокомпонентное имя, например www или ftp. 4. В поле Полное доменное имя (FQDN) конечного узла введите полное имя компьютера, для которого создается псевдоним. 5. Нажмите кнопку ОК. Остальные DNS-записи создаются аналогично - путем выбора соответствующей команды из контекстного меню. Исключение составляет запись SOA. Для ее изменения щелкните правой кнопкой мыши на зоне, которую нужно обновить, и выберите команду Свойства. Перейдите на вкладку Начальная запись зоны (SOA) и обновите текстовые поля, показанные на рис. 15.11. example.com - свойства ? X Серверы имен WINS Передачи зон Безопасность Общие Начальная запись зоны (SOA) Серийный номер УВЕЛИЧИТЬ Основной сервер: lwin!gogbecff]sexample.com Обзор. Рис. 15.11. Редактирование SOA-эаписи На вкладке Начальная запись зоны (SOA) доступны следующие параметры: • Серийный номер — отражает версию файлов базы данных DNS. Номер обновляется автоматически при внесении изменений в файлы зоны, но можно обновить его и вручную. По этому номеру дополнительные серверы определяют, изменилась ли зона. Если серийный номер основного [ 407 ' Справочник системного администратора сервера превышает серийный номер дополнительного сервера, записи изменились, и дополнительный сервер может запросить DNS-записи зоны. Кроме того, можно настроить DNS на уведомление дополнительных серверов об изменениях (что ускоряет процесс обновления). • Основной сервер — полное доменное имя сервера, в конце которого стоит точка. Она обозначает конец имени и гарантирует, что к записи не будет добавлена информация о домене. • Ответственное лицо — адрес электронной почты лица, ответственного за домен. По умолчанию здесь стоит имя hostmaster, за которым следует точка. Это обозначает адрес hostmaster@flOMeH.com. При вводе здесь другого адреса замените точкой символ @ в адресе электронной почты и в конце адреса также поставьте точку. • Интервал обновления — интервал, через который дополнительный сервер проводит проверку обновлений зоны. Если интервал установлен в 60 минут, изменения на дополнительном сервере отобразятся через час. Можно уменьшить сетевой трафик, увеличивая это значение. • Интервал повтора — время после сбоя, в течение которого дополнительный сервер не загружает базы данных зоны. Если задан интервал 10 минут, после сбоя передачи базы данных зоны дополнительный сервер ждет 10 минут, прежде чем отправить новый запрос. • Срок жизни истекает после — период времени, в течение которого информация зоны на дополнительном сервере считается достоверной. Если дополнительный сервер в течение этого времени не может загрузить данные с основного сервера, данные в кэше дополнительного сервера устаревают, и дополнительный сервер перестает отвечать на DNS-запросы. Установка этого параметра в 7 дней позволяет данным на дополнительном сервере быть достоверными неделю. • Мин. срок жизни TTL (по умолчанию) — минимальное время жизни записей на дополнительном сервере. Данное значение можно установить в днях, часах, минутах или секундах. Когда это время заканчивается, дополнительный сервер считает срок действия соответствующей записи истекшим и сбрасывает ее. После этого необходимо отправлять очередной запрос на основной сервер. Делайте минимальный срок жизни относительно большим, например 24 часа. Это сократит сетевой трафик и повысит производительность. С другой стороны, нужно помнить, что высокое значение замедляет распространение обновлений через Интернет. Глава 15. Сервисы DNS и DHCP • Срок жизни (TIL) записи — время жизни конкретной SOA-записи в формате ДД:ЧЧ:ММ:СС. Как правило, оно должно совпадать с минимальным временем жизни всех записей. 15.2. Настройка DHCP 15.2.1. Введение в DHCP Протокол динамической конфигурации узла (Dynamic Host Configuration Protocol, DHCP) используется для упрощения администрирования доменов Active Directory, и далее в этой главе будет рассказано, как это сделать. Протокол DHCP служит для динамического назначения конфигурационной информации TCP/IP-клиентам сети. Протокол не только экономит время, необходимое на настройку клиентов сети, но и предоставляет централизованный механизм для обновления конфигурации. Для включения DHCP в сети нужно установить и настроить DHCP-сервер. Этот сервер отвечает за назначение необходимой сетевой информации. Работает DHCP так: 1. Клиентский компьютер выбирает IP-адрес из подсети класса В 169.254.0.0 с маской подсети 255.255.0.0, зарезервированной Microsoft. Перед использованием IPv4-адреса клиент при помощи протокола ARP проверяет, что данный IPv-адрес не занят другим клиентом. 2. Если адрес занят, клиент повторяет шаг 1. После десяти неудачных попыток произойдет ошибка. Если клиент отключен от сети, результат ARP-тестирования всегда будет успешным, поэтому клиент получит первый попавшийся 1Ру4-адрес. 3. Если выбранный 1Ру4-адрес доступен, клиент соответствующим образом настраивает сетевой адаптер. Далее клиент пытается связаться с DHCP-сервером, каждые 5 минут посылая в сеть запрос. После успешной установки связи клиента с сервером, клиент получает аренду и заново настраивает сетевой интерфейс. Примечание. В случае с IPv6 процедура сложнее, но в общих чертах похожа. Справочник системного администратора DHCP-сервер в Windows Server может работать в одном из двух режимов: • Режим балансировки нагрузки. В этом режиме администратор указывает процентное соотношение загрузки каждого сервера. Обычно используется соотношение 50/50, чтобы нагрузка на каждый сервер была одинаковой. Но можно использовать другие соотношения, например 60/40, при этом один сервер будет обрабатывать 60% запросов, другой — 40%. • Режим горячего резервирования. В этом режиме один из серверов действует как основной сервер и обрабатывает DHCP-запросы. Другой сервер является резервным и используется, когда произошел сбой основного сервера или на основном сервере закончились IP-адреса для аренды. Обычно для резервного сервера резервируется 5% IP-адресов. Настройка отказоустойчивости DHCP предельно проста и не требует кластеризации или какой-либо другой расширенной настройки. Для настройки отказоустойчивости DHCP нужно выполнить следующие действия: 1. Установите и настройте два DHCP-сервера. Серверы должны находиться в одной и той же физической сети. 2. Создайте область DHCPv4 на одном из серверов. Область — это пул IPv4- или 1Ру6-адресов, которые можно назначить клиентам с помощью аренды. 3. Как только укажете, что другой сервер является партнером отказоустойчивости для области DHCPv4, область будет реплицирована партнеру. 15.2.2 Области адресов Области адресов — это пулы IPv4- и 1Ру6-адресов, которые могут арендовать клиенты. Протокол DHCP также позволяет предоставлять адреса в бессрочную аренду. Чтобы зарезервировать конкретный IPv4-адрес, свяжите его с М АС-адресом компьютера, которому должен назначаться этот IPv4-адрес. В результате клиентский компьютер с указанным МАС-адресом будет всегда получать заданный IPv4-адрес. В протоколе IPv6 резервирование осуществляется посредством указания бессрочной аренды. Администратором создаются области для определения диапазонов IP-адресов, доступных DHCP-клиентам. Например, можно назначить диапазон IP-адресов от 192.168.12.2 до 192.168.12.250 для области Предприятие. I Глава 15. Сервисы DNS и DHCP В областях допускается использование открытых или частных 1Ру4-адресов в следующих сетях: • сети класса А — IP-адреса в диапазоне от 1.0.0.0 до 126.255.255.255; • сети класса В — IP-адреса в диапазоне от 128.0.0.0 до 191.255.255.255; • сети класса С — IP-адреса в диапазоне от 192.0.0.0 до 223.255.255.255; • сети класса D — IP-адреса в диапазоне от 224.0.0.0 до 239.255.255.255. Один DHCP-сервер может управлять несколькими областями. Для IPv4-адресов доступны четыре типа областей: • обычные области — используются для назначения адресов в сетях классов А, В и С; • многоадресные области — используются для назначения IP-адресов в сетях IPv4 класса D. Многоадресные IP-адреса применяются в качестве второстепенных, в дополнение к стандартным IP-адресам; • суперобласти — это контейнеры для других областей, которые упрощают управление несколькими областями; • Области отказоустойчивости — области между двумя DHCP-серверами для повышения отказоустойчивости, предоставления избыточности и включения балансировки нагрузки. В IPv6 доступны только обычные области. Хотя можно создавать области, охватывающие несколько сегментов сети, обычно эти сегменты принадлежат к одному классу сети, например, к классу С. 15.2.3. Установка DHCP-сервера Используя мастер добавления ролей и компонентов, администратор может установить DHCP-сервер в качестве службы роли, задать ее начальные настройки и авторизовать сервер в Active Directory. Предоставлять клиентам динамические IP-адреса могут только авторизованные DHCP-серверы. Процесс установки выглядит так: 1. Используя Мастер добавления ролей и компонентов, выберите сервер, на который вы хотите установить DHCP и выберите роль DHCP-сервер. Справочник системного администратора 2. Когда мастер закончит установку выбранных ролей и компонентов, страница Ход установки сообщит об этом. Просмотрите подробности установки и убедитесь, что все фазы инсталляции завершены успешно. 3. Для завершения установки DHCP-сервера нужна дополнительная конфигурация. Щелкните по ссылке Завершение настройки DHCP (рис. 15.12). Будет запущен мастер настройки DHCP после установки. Мастер добавления ролей и компонентов Ход установки КОНЕЧНЫЙ СЕРВЕР ViW-lGOGeECCTjS-eomplezom Просмотр хода установки ф Установка компонента Требуется настройка Установка выполнена на WlN-LGOGBECFHS.exampJe.com. DHCP-cepsep Запуск мастера действий после установки DHCP Завершение настройки DHCP Средства удаленного администрирования сервера Средства администрирования ролей Средства DHCP-сервера Этот мастер можно закрыть, не прерывая выполняющиеся задами наблюдайте за ходом выполнения задачи или откройте зту страницу снова выбрав на панели команд пункт ’Уведомления' а затем ’Сведения о задаче Экспорт параметров конфигурации Рис. 15.12. Завершение настройки DHCP 4. Панель Описание говорит о том, что для делегирования DHCP-сервера будут созданы группы Администратор DHCP и Пользователи DHCP. Дополнительно, если DHCP-сервер присоединен к домену, его нужно авторизовать в Active Directory. Нажмите кнопку Далее. 5. На странице Авторизация укажите учетные данные, которые будут использоваться для авторизации этого DHCP-сервера доменными службами Active Directory. » Текущее имя пользователя отображено в поле Имя пользователя. Если у вас имеются привилегии администратора в домене, к которому присоединен DHCP-сервер, и нужно использовать текущие учетные данные, нажмите кнопку Фиксировать для авторизации сервера с использованием этих учетных данных. 412 Глава 15. Сервисы DNS и DHCH » Если нужно использовать альтернативные учетные данные или нельзя авторизовать сервер с использованием текущих учетных данных, установите флажок Использовать другие учетные данные, а затем нажмите кнопку Указать. В окне Безопасность Windows введите имя пользователя и пароль для авторизированной учетной записи и нажмите кнопку ОК. Нажмите кнопку Фиксировать для попытки авторизации сервера с использованием этих учетных данных. » Если нужно авторизовать DHCP-сервер позже, установите флажок Пропустить авторизацию AD и нажмите кнопку Фиксировать. Помните, что в домене только авторизованные DHCP-серверы могут предоставлять клиентам динамические IP-адреса. 6. Когда мастер закончит постинсталляционную настройку, просмотрите сводку, убедитесь, что все задачи были выполнены успешно, и нажмите кнопку Закрыть. 7. Далее нужно перезагрузить службу DHCP-сервер на сервере, чтобы группы Администраторы DHCP и Пользователи DHCP могли использоваться. Для этого на левой панели консоли Диспетчер серверов выберите узел DHCP. Далее на главной панели, на панели СЕРВЕРЫ, выберите DHCP-сервер. На панели СЛУЖБЫ щелкните правой кноп- [ 413 ' Справочник системного администратора Мастер настройки DHCP после установки Сводка Состояние этапов настройки после установки указано ниже: Создание групп безопасности Готово Чтобы изменения, касающиеся групп безопасности, вступили в силу, необходимо перезапустить службу DHCP-cepaepa на конечном компьютере Авторизация DHCP-сервера Готово <Назад Лдлее > Закрыть Отмена Рис. 15.14. Настройка завершена кой мыши на службе DHCP-сервер и выберите команду Перезапустить службы. 15.2.4. Консоль DHCP После установки DHCP-сервера нужно использовать консоль DHCP для настройки и управления динамической IP-адресацией. В диспетчере серверов в меню Средства выберите команду DHCP. Основное окно консоли DHCP показано на рис. 15.15. Главное окно разделено на три панели. Левая панель содержит список DHCP-серверов в домене (выводятся полные доменные имена серверов). Можно развернуть сервер, чтобы увидеть подузлы IPv4 и IPv6. Если развернуть IP-узлы, будут видны области и параметры, определенные для соответствующей версии IP. Центральная панель показывает расширенное представление выбранного элемента. Правая панель - панель действий, на ней вы найдете действия, которые можно выполнить над выделенными объектами. Управление DHCP-серверами осуществляется при помощи службы DHCP-сервер (DHCP Server). Как и любую другую службу, ее можно запустить, остановить, приостановить и перезапустить в узле Службы оснастки Глава 15. Сервисы DNS и DHCP 'Л DHCP файл Действие Дид Справка *•» явя।сйа।ва эа 5 ЭНСР |Г Имя * J win-lgogbecffjs.exampi - 4IPv4 Параметры серв *1Р*6 Действия win-.pi4Mcfr-examrje.c0m ж Дополнительные действ- ► Политики > ♦ Фильтры 4lPv6 Рис. 15.15. Консоль DHCP Управление компьютером или из командной строки. Кроме того, службой DHCP-сервер можно управлять в консоли DHCP. Щелкните правой кнопкой мыши на сервере, которым хотите управлять, разверните подменю Все задачи и выберите нужную команду: Запустить, Остановить, Приостановить, Продолжить или Перезапустить. 15.2.5. Интеграция DHCP с DNS Служба DNS используется для разрешения имен компьютеров в доменах Active Directory и Интернете. Благодаря протоколу динамического обновления DNS, администратор избавлен от необходимости регистрировать DHCP-клиентов в DNS вручную. Протокол позволяет клиенту или DHCP-серверу при необходимости регистрировать в DNS записи прямого и обратного просмотра. При работе DHCP по умолчанию DHCP-клиенты Windows Server 2019 автоматически обновляют соответствующие DNS-записи после получения IP-адреса в аренду. Записи клиентов, работающих в предыдущих версиях Windows, после предоставления аренды обновляют- Справочник системного администратора ся DHCP-сервером. Можно изменить этот порядок для DHCP-сервера в целом или для конкретной области. Защита.имен — дополнительная функция в Windows Server. Благодаря защите имен, DHCP-сервер регистрирует записи от имени клиента только, если никакой другой клиент с этой DNS-информацией не зарегистрирован. Можно настроить защиту имени для IPv4 и IPv6 на уровне сетевого адаптера или на уровне области. Параметры защиты имен, настроенные на уровне области, имеют приоритет над- параметрами на уровне IPv4 или IPv6. Защита имени предназначена для предотвращения занятия имен. Занятие имен происходит, когда компьютер с ОС, отличной от Windows, регистрирует в DNS имя, которое уже используется на компьютере под управлением Windows. Включив защиту имен, можно предотвратить занятие имени не-Windows-компьютерами. Хотя занятие имени не представляет собой проблему при использовании Active Directory, лучше все-таки включить защиту имен во всех Windows-сетях. Защита имени основана на идентификаторе конфигурации динамического узла (Dynamic Host Configuration Identifier, DHCID) и поддержке записи ресурса DHCID (DHCID RR) в DNS. Запись DHCID RR — это запись ресурса, хранимая в DNS и сопоставляющая имена для предотвращения дублированной регистрации. Запись ресурса используется службой DHCP для хранения идентификатора компьютера и других сведений об имени, например записи А/АААА компьютера. Сервер DHCP может запросить сравнение и отклонить регистрацию компьютера с другим адресом, пытающегося зарегистрировать имя с существующей записью DHCID. Можно просмотреть и изменить параметры глобальной DNS-интеграции так: 1. В консоли DHCP разверните узел сервера, с которым нужно работать, щелкните правой кнопкой мыши на узле IPv4 или IPv6 и выберите команду Свойства. 2. Перейдите на вкладку Служба DNS. На рис. 15.16 показаны значения DNS-интеграции по умолчанию для IPv4 и IPv6. Поскольку параметры настроены по умолчанию, обычно их не нужно модифицировать. 3. При желании можно включить или выключить функцию защиты имен. При включенной защите имен DHCP-сервер регистрирует записи о клиенте, если никакой другой клиент с этой DNS-информацией не зарегистрирован. Для включения или отключения защиты имен нажмите кнопку Настроить. В окне Защита имен установите или сбросьте флажок Включить защиту имен и нажмите кнопку ОК. Глава 15. Сервисы DNS и DHCP Свойства: IPv4 ? X Общие Служба DNS Фильтры Отработка отказа Дополнительно Вы можете настроить DHCP-сервер для автоматического обновления А-эеписей (узлов) и PTR-записей (указателей) DHCP-клиентов для полномочных DNS-серверов. р £ключить динамическое обновление DNS в соответствии^1 Ыестройкой; _______________________________________i Динамически обновлять DNS-записи только по запросу DHCP-клиента С Всегда динамически обновлять DNS-зеписи р Удалять А- и PTR-записи при удалении аренды Г Динамически обновлять DNS-записи для DHCP-клиентов, не требующих обновления (например, клиентов с Windows NT 4 0) Г~ Отключить динамические обновления для PTR-записей DNS Защите имени Защита имени DHCP отключена на уровне сервера Настроить ОК Отмена Рис. 15.16. Параметры DNS-интеграции для IPv4 и IPv6 15.2.6. Создание суперобластей Суперобласть используется как контейнер для областей IPv4 так же, как и организационное подразделение является контейнером для объектов Active Directory. Суперобласти помогают управлять имеющимися в сети областями и также обеспечивают поддержку DHCP-клиентов в одной физической сети, где используются множественные логические IP-сети или же когда создаете суперобласти для распространения IP-адресов из разных логических сетей в один сегмент физической сети. С помощью суперобласти можно активировать или деактивировать сразу несколько областей. Также в суперобласти можно просматривать статистику для всех областей сразу, вместо того чтобы проверять статистику для каждой области отдельно. Для создания суперобласти нужно выполнить следующие действия: 1. В консоли DHCP разверните узел сервера, с которым нужно работать, а затем щелкните правой кнопкой мыши по узлу IPv4, выберите команду [ 417 ' Справочник системного администратора Создать суперобласть (эта команда появится, если есть хотя бы одна обычная или многоадресная область). Будет запущен мастер создания суперобласти. Нажмите кнопку Далее. 2. Выберите имя суперобласти и нажмите кнопку Далее. 3. Выберите области, которые нужно добавить в суперобласть. Для выбора области просто щелкните на ней в списке Доступные области. 4. Нажмите кнопку Далее, а затем кнопку Готово. После того, как суперобласть создана, в нее можно добавить обычные области. Для этого выполните следующие действия: 1. Правой кнопкой мыши щелкните на области, которую хотите добавить в существующую суперобласть, и выберите команду Добавить в суперобласть. 2. В диалоговом окне Добавление области к суперобласти выберите суперобласть. 3. Нажмите кнопку ОК. 15.2.7. Создание обычных областей Область предоставляет пул адресов для DHCP-клиентов. Обычная область — это область с адресами сетей классов А, В или С. Многоадресная область — это область с адресами сетей класса D. Хотя обычные и многоадресные области создаются по-разному, в управлении они мало чем отличаются друг от друга. Основное отличие состоит в том, что многоадресные области не позволяют резервировать адреса, а также задавать дополнительные параметры WINS, DNS, маршрутизации и т. д. Создать обычную область для 1Ру4-адресов можно с помощью следующих действий: 1. В консоли DHCP разверните узел сервера, с которым нужно работать, далее щелкните правой кнопкой мыши на узле IPv4. Если необходимо автоматически добавить новую область в суперобласть, выделите ее, а затем щелкните правой кнопкой мыши на нужной суперобласти. 2. В контекстном меню выберите команду Создать область. Будет запущен мастер создания области. Нажмите кнопку Далее. Глава 15. Сервисы DNS и DHCJ 3. Введите имя и описание области, а затем нажмите кнопку Далее. 4. Введите начальный и конечный адреса области в поля Начальный IP-адрес и Конечный IP-адрес на странице Диапазон адресов (рис. 15.17). Мастер создания области Диапазон адресов Определить диапазон адресов области можно задавая диапазон последовательных IP-адресов Настройки конфигурации для DHCP-серверь Введите диапазон адресов, который описывает область Начальный IP-адре с: | 192 168 1 1 Конечный IP-адрес: |” 192 168 1 254| Настройки конфигурации, распространяемые DHCP-клиенту Длине: । 24 Маска подсети I 255 255 255 О <йазад Далее» Отмена Рис. 15.17. Создание области. Диапазон адресов 5. Нажмите кнопку Далее. Если введенный диапазон IP-адресов охватывает разные сети, будет предоставлена возможность создать суперобласть, содержащую различные области для каждой сети. Нажмите кнопку Да, чтобы принять это предложение, и перейдите к шагу 8. Если была допущена ошибка, нажмите кнопку Назад, чтобы исправить введенный диапазон IP-адресов. 6. Используйте поля Начальный IP-адрес и Конечный IP-адрес на странице Добавление исключений и задержка, чтобы определить диапазоны IP-адресов, которые будут исключены из области (рис. 15.18). Можно исключить диапазоны адресов так: » Для определения диапазона введите начальный и конечный адреса в поля Начальный IP-адрес и Конечный IP-адрес и нажмите кнопку Добавить. Чтобы исключить один IP-адрес, введите его и как начальный, и как конечный 1Р-адрес. [ 419 Справочник системного администратора Мастер создания области Добавление исключений и задержки Исключения являются адресами или диапазонами адресов, которые исключаются из распределения DHCP сервером. Задержка определяет время, на которое будет задержана передача сообщения DHCPOFFER с сервера Введите диапазон IP-адресов, который необходимо исключить. Если вы хотите исключить один адрес, введите его только в поле "Начальный 1Р-адрес" Начальный fP-адрес: конечный 1Р-адрес. Исключаемый диапазон адресов: 19Л1ба> i-I92.168.19 Удалить Задержка подсети в миллисекундах’ < Назад Далее > Отмена Рис. 15.16. Создание области. Исключения » Исключенные диапазоны адресов отображаются в списке Исключаемый диапазон адресов. » Для удаления диапазона исключения выберите его в списке Исключаемый диапазон адресов и затем нажмите кнопку Удалить. 7. Нажмите кнопку Далее. Укажите продолжительность аренды для диапазона адресов, используя поля Дней, часов, минут. Продолжительность аренды по умолчанию составляет 8 дней. Нажмите кнопку Далее. 8. У администратора есть возможность настроить общие параметры DHCP для DNS, WINS, шлюзов и т. д. Если нужно настроить эти параметры сейчас, выберите переключатель Да, настроить эти параметры сейчас. В противном случае выберите Нет, настроить эти параметры позже и пропустите шаги 10—15. Но лучше таки настроить все сейчас, чтобы больше не возвращаться к этому вопросу (рис. 15.19). 9. Нажмите кнопку Далее. Первым делом необходимо указать основной шлюз. В поле IP-адрес введите IP-адрес основного шлюза и нажмите кнопку Добавить. Повторите этот процесс для других шлюзов по умолчанию. 420 J Глава 1 5. Сервисы DNS и DHCP 10. Сначала клиенты будут использовать первый шлюз в списке. Если он недоступен, клиенты попытаются получить доступ к следующему шлюзу и т. д. С помощью кнопок Вверх и Вниз можно изменять порядок шлюзов. 11. Нажмите кнопку Далее. Настройте параметры DNS для DHCP-клиентов, как показано на рис. 15.7. Введите имя родительского домена, который следует использовать для разрешения не полностью определенных имен компьютеров. 12. В поле IP-адрес введите IP-адрес основного DNS-сервера, а затем нажмите кнопку Добавить. Повторите этот процесс, чтобы указать дополнительные серверы. Здесь опять же порядок записей определяет, какой из IP-адресов будет использован в первую очередь. При необходимости, измените порядок с помощью кнопок Вверх и Вниз. Нажмите кнопку Далее. 13. Параметры WINS задаются аналогично. Нажмите кнопку Далее. 14. Если нужно активировать область, установите переключатель Да, я хочу активировать эту область сейчас. В противном случае установите переключатель Нет, я активирую эту область позже (рис. 15.20). [ 421 Справочник системного администратора Мастер создания области Активировать область Клиенты могут получать аренду на адреса, только когда область активирована Активировать эту область сейчас? С Д§. я хочу активировать эту область сейчас • Нет. я активирую эту область позже^ < Назад Далее > | Отмена Рис. 15.20. Область создана В консоли DHCP неактивная область помечается белым кружком с красной стрелкой вниз. У активной области значок, как у обычной папки. Чтобы активировать неактивную область, щелкните по ней правой кнопкой мыши в консоли DHCP и выберите команду Активировать. Чтобы деактивировать активную область щелкните ее правой кнопкой мыши в консоли DHCP и выберите команду Деактивировать. В этой главе были рассмотрены основы администрирования важных сетевых сервисов DNS и DHCP. В следующей главе будет рассмотрено создание сервера терминалов. 422 Глава 16. Удаленный рабочий стол Справочник системного администратора С помощью удаленного рабочего стола можно организовать удаленный доступ к серверу по протоколу RDP (Remote Desktop Protocol). При этом администратор, как и другие пользователи, смогут работать с удаленным сервером точно так же, если бы находились за его консолью. Как правило, удаленный доступ требуется только для администратора, но есть ряд случаев, когда полезно предоставить удаленный доступ и обычным пользователям. Об этом мы поговорим далее в этой главе. 16.1. Установка службы удаленных рабочих столов Откройте Диспетчер серверов, если вы его закрыли. Далее выполните следующие действия: 1. Из меню Управление выберите команду Добавить роли и компоненты. 2. Нажмите кнопку Далее. 3. Выберите тип установки Установка ролей или компонентов и нажмите Далее. 4. Выберите сервер из пула, на который нужно установить службу. В нашем случае будет один сервер. Нажмите кнопку Далее. Глава 16. Удаленный рабочим стол Мастер добавления ролей и компонентов Выбор ролей сервера КОНЕЧНЫЙ СЕРВЕР WN-U30G8ECFFJS.*xam₽^zom Перед началом работь Выберите одну или несколько ролей для установки на этом сервере. ~ип установки гспйогя Роли Роли сервера Компоненты □ DHCP-сервер V DNS-сервер (Установлено) □ Hyper-V [ Аттестация работоспособности устройств I jl] Веб-сервер (HS) (Установлено 10 из 43) / Доменные службы Active Directory (Устаноеленс Q Служба опекуна узла П Службы Active Directory облегченного доступа к □ Службы Windows Server Update Services Q Службы активации корпоративных лицензий О Службы печати и документов □ Службы политики сети и доступа О Службы развертывания Windows [ и 'Хбы с<^тификатов А<1п-е Directory I '’^’ifflBHSRSESEEE^ □ Службы управления правами Active Directory О Службы федерации Active Directory Г'1 Удаленный доступ t [ Файловые службы и службы хранилища (Устанс >г?икых Описание Службы удаленных рабочих столов позволяют получать доступ к виртуальным рабочим столам к рабочим столам, основанным на сеансах, и к удаленным приложениям RemoteApp. При их установке вы можете развернуть инфраструктуру не основе виртуальных машин или сеансов. < Назад , Далее> ] Установить Отмена Рис. 16.1. Выберите Службы удаленных рабочих столов 5. Отметьте роль Службы удаленных рабочих столов (рис. 16.1) и нажмите кнопку Далее. 6. Компоненты оставьте без изменения, то есть на следующем экране Мастера добавления ролей и компонентов просто нажмите Далее. 7. На следующем экране нажмите Далее. 8. Выберите устанавливаемые службы ролей (рис. 16.2). Установите Лицензирование удаленных рабочих столов. Сразу после выбора этой службы необходимо согласиться на установку дополнительных компонентов, нажав кнопку Добавить компоненты, см. рис. 16.3. 9. Также нам понадобится служба Remote Desktop Session Host (Узел сеансов удаленных рабочих столов). Как и в прошлом случае, нужно согласиться на добавление дополнительных компонентов. 10. На последней странице мастера включите параметр Автоматический перезапуск конечного сервера, если требуется и нажмите кнопку Установить (рис. 16.4). 425 Справочник системного администратора й. Мастер добавления ролей и компонентов Выбор служб ролей КОНЕЧНЫЙ СЕРВЕР WN-LGOGBKFF^.e«mpk‘.com Выберите службы ролей для установки для Службы удаленных рабочих столов. Службы ролей Пес-ед началом рабств, “и" установки 5ь бор сервера Роли сервера <оь<'гсне-'ть! [7] Remote Desktop Session Host [Й Веб-дестул к удаленным рабочим столам С Посредник подключений к удаленному рабочему i О Узел виртуализации удаленных рабочих столов О Шлюз удаленных рабочих столов Описание Служба лицензирования удаленных рабочих столов управляет лицензиями, необходимыми для подключения к серверу узла сеансов удаленных рабочих столов или к виртуальному рабочему столу. Ее можно использовать для установки, выдачи лицензий и отслеживания их доступности. < Казад 1 Далее £€ ЗНОВИТЬ Рис. 16.2. Устанавливаемые службы ролей L Мастер добавления ролей и компонентов X Дооавить компрн°нгы, необходимые для Лицензирование удаленных рабочих столов? Для управления этим компонентом требуются следующие средства. Однако их не нужно устанавливать на одном и том же сервере. * Средства удаленного администрирования сервера * Средства администрирования ролей * Средства служб удаленных рабочих столов [Средства] Средства лицензирования удаленных раб Включить средства управления [если применимо) Добавить компоненты Отмена Рис. 16.3. Нажмите кнопку Добавить компоненты 426 Глава 16. Удаленный рабочий стол Мастер добавления ролей и компонентов Подтверждение установки компонентов КОНЕЧНЫЙ СЕРВЕР WirHLGCX3BECFFJ..«a<np .лот Перед началом работе “ип установки Выбор сервера Роли сервера Компоненты Службы удаленных рабо. Ст хбы солей Чтобы установить на выбранном сервере следующие роли службы ролей или компоненты, нажмите кнопку 'Установить*. У Автоматический перезапуск конечного сервера, если требуется На этой странице могут быть отображены дополнительные компоненты (например, средства администрирования), так как они были выбраны автоматически. Если вы не котите устанавливать эти дополнительные компоненты, нажмите кнопку "Назад чтобы снять их флажки. По. Службы удаленных рабочих столов Лицензирование удаленных рабочих столов Remote Desktop Session Host Средства удаленного администрирования сервера Средства администрирования ролей Средства служб удаленных рабочих столов Средства лицензирования удаленных рабочих столов Средства диагностики лицензирования удаленных рабочих столов Экспорт параметров конфигурации Указать альтернативный исходный путь Дг"ее Остановить Рис. 16.4. Все готово к установке После перезагрузки вы увидите сообщение об успешной установке всех выбранных служб и компонент. Нажмите кнопку Закрыть для завершения работы мастера. Также вы получите уведомление о том, что режим лицензирования не настроен (рис. 16.5). Диспетчер серверов ► Панель мониторинга I Локальный сервер i. Все серверы •бавить роли и компонент Чгюа-л Настоог’ь этот локаль-и Добэаить другие сервер» 4 Создать rpj«Fy сервере? Реж-'М лице*1*.*«роиаи‘*я удал .““ого рабочегсСо"- а не грекрат работ »ь ч**рез 119 дн На сервере гчхредн-ка подк чхеп й к удаленному раьече М> Позсяочять этот серееп •. РОЛИ И ГРУППЫ СЕРВЕРОВ Рели: 0 i Группы «яинзхчк 11 fcena 1 J Локальный сервер |ia Все серверы © © Управляемость События ® Управляемость События беешрамегры пом • Рис. 16.5. Режим лицензирования не настроен 427 Справочник системного администратора 16.2. Настройка сервера лицензирования для удаленных рабочих столов Относительно лицензирования нужно знать следующее: • Существует льготный период (120 дней), в течение которого сервер лицензирования не требуется, однако после его истечения для подключения к серверу клиенты должны использовать действительную клиентскую лицензию служб удаленных рабочих столов, выданную сервером лицензирования. • Удаленный рабочий стол поддерживает два одновременных подключения для удаленного администрирования компьютера. Для этих подключений сервер лицензирования не требуется. Пока вы еще не купили лицензии для терминального доступа, вы можете воспользоваться льготным периодом. Почему бы не использовать терминальный сервер бесплатно целых 4 месяца? Если вам нужно всего два удаленных подключения, можно вообще ничего не покупать. В некоторых случаях два подключения вполне достаточно. Все зависит от того, зачем вам удаленный доступ к серверу. В обычном режиме удаленный доступ к серверу нужен только администратору - чтобы он мог оперативно что-то поправить, находясь дома или даже в отпуске, то есть для выполнения каких-то срочных административных задач. Совсем другое дело, если вы купили виртуальный сервер, установили на него 1С и теперь доступ к нему нужен и обычным пользователям - бухгалтерам. В небольшой фирме вполне будет достаточно и тех двух подключений - бухгалтер, как правило, один, а второе подключение останется для администратора. Даже если оба будут заняты двумя бухгалтерами, никто не мешает позвонить и попросить выйти из системы, чтобы администратор мог выполнить свои задачи. Вполне нормальная практика на маленьких предприятиях. Но когда предприятие уже не такое маленькое и пользователям нужен доступ к серверу для удаленной работы с ресурсами сети (хотя для этого правильнее использовать VPN, а именно установить роль Удаленный доступ) или установленными на сервере приложения, тогда двух подключений может оказаться недостаточно. Поэтому далее будет показано, как настроить лицензирования удаленных рабочих столов. Запустите Средство диагностики лицензирования удаленных рабочих столов. Для этого выберите соответствующую команду из меню Средства, Remote Desktop Services Диспетчера серверов. Глава 16. Удаленный рабочий стол Рис. 16.6. Средство диагностики лицензирования удаленных рабочих столов Утилита сообщит, что доступных лицензий пока нет, поскольку не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов. Также вы узнаете, что льготный период (по умолчанию 120 дней) еще не истек, но этот сервер еще не настроен на использование хотя бы одного сервера лицензирования. В Windows Server 2019 сервер лицензирования указывается в локальных групповых политиках, поэтому выполните команду gpedit.msc, чтобы открыть редактор локальной групповой политики. Перейдите в Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Лицензирование. Откройте параметры Использовать указанные серверы лицензирования удаленных рабочих столов. В появившемся окне установите переключатель в положение Включено и укажите, какой сервер лицензирования использовать. Мы будем использовать этот же сервер (рис. 16.7). Укажите имя сервера или его IP-адрес и нажмите кнопку ОК. Далее откройте параметры Задать режим лицензирования удаленных рабочих столов. Установите переключатель в положение Включено и укажите режим лицензирования сервера узла сеансов удаленных рабочих столов. Возможно два варианта - «На устройство» или «На пользователя». Представим, что у вас есть 100 лицензий. В режиме «На устройство» вы можете Г 429 1 Справочник системного администратора к Использовать указанные серверы лицензирования удаленных ра... Использовать указанные серверы лицензирования удаленных рабочих столов Следующий параметр о Не задано Комментарий: @ Цключено О Отключено т . ребования к версии. ие „иже Winoows Server 20D3 с пакетом обновления 1 (SP1) Параметры: Справка: | Использовать серверы лицензий: Ih27.ao.i|1 I Используйте запятую как разделитель имен серверов лицензий. Пример: Server1.Se rver2.example.com. 192 Л 63.1.1 L Этот параметр политики позволяет определить порядок, в котором сервер узла сеансов удаленных рабочих столов пытается найти серверы лицензирования удаленных рабочих столов. Если вы включаете этот параметр политики, сервер узла сеансов удаленных рабочих столов сначала пытается найти указанные серверы лицензирования. Если указанные серверы лицензирования найти не удается, сервер узла сеансов удаленных рабочих столов пытается использовать автоматическое обнаружение серверов лицензирования. В процессе ОК Отмена Применить Рис. 16.7. Задаем сервер лицензирования создать неограниченное число пользователей на сервере, которые смогут подключаться через удаленный рабочий стол только с 100 компьютеров, на которых установлены эти лицензии. Если выбрать режим «На пользователя», то зайти на сервер смогут только 100 выбранных пользователей, но с любых устройств. Часто режим «На пользователя» более предпочтительный, поэтому его и выбираем. Мы только что настроили систему на использование сервера лицензирования, но сам сервер еще не запущен. Для его запуска выберите команду Средства, Remote Desktop Services, Диспетчер лицензирования удаленных рабочих столов. Найдите наш сервер в списке, щелкните по нему правой кнопкой мыши и выберите команду Активировать сервер. Будет открыто окно Мастера активации сервера, в котором нужно нажать кнопку Далее - на первой странице мастера. Выберите метод подключения. Рекомендуется оставить все как есть - Авто (рис. 16.9). 430 Глава 16. Удаленный рабочий стол К Задать режим лицензирования удаленных рабочих столов ES Задать режим лицензирования удаленных рабочих столов Предыдущий параметр о Не задано Включено О Отключено Комментарий: требования к версии: Не ниже Windows Server 2003 с пакетом обновления 1 (SP1) Справка: Параметры: Укажите режим лицензирования для сервера узла сеанса удаленных рабочих столов. «На пользователя; v Этот параметр политики позволяет задать тип клиентской лицензии служб удаленных рабочих столов (RDS CAL), необходимой для подключения к данному серверу узла сеансов удаленных рабочих столов. С помощью этого параметра политики можно выбрать один из двух режимов лицензирования: «На пользователя» или «На устройство». В режиме лицензирования «На пользователя^ требуется наличие клиентской лицензии служб ' удаленных рабочих столов «на пользователя^ ОК Отмена Применить Рис. 16.8. Режим лицензирования Мастер активации сервера X Метод подключения Выберите наиболее подходящий метод подключения * д Выбранный для активации сервера лицензирования метод подключения будет использоваться при обращении к расчетной палате корпорации Майкрософт в ходе установки лицензий Чтобы изменить метод подключения после активации перейдите на вкладку Метод подключения*'диалогового окна свойств сервера лицензирования Метод подключения: Авто феком.) ** Описание: Это рекомендуемый способ. Сервер лицензирования будет автоматически обмениваться необходимыми данными с расчетной палатой корпорации Майкрософт через Интернет Требования. Этот компьютер должен иметь возможность подключения к Интернету по протоколу SSL Рис. 16.9. Мастер активации сервера [ 431 Справочник системного администратора Введите сведения об организации и нажмите кнопку Далее. Дополнительные сведения об организации заполнять не рекомендуется, просто нажмите кнопку Далее. Сервер лицензирования успешно активирован. Теперь нужно запустить мастер установки лицензий. Не выключайте флажок Запустить мастер установки лицензий и нажмите кнопку Далее (рис. 16.10). В появившемся окне просто нажмите кнопку Далее. Выберите нужную вам программу лицензирования. Здесь вы должны выбрать именно вашу программу лицензирования. В главе из соображений демонстрации настройки сервера мы будем использовать программу Соглашение «Enterprise Agreement* (рис. 16.11). Введите номер соглашения. Обычно он состоит из семи цифр. Нажмите кнопку Далее (рис. 16.12). Где его взять? Обратиться к поставщикам ПО Microsoft и купить. Только так. Далее нужно выбрать версию продукта (выбираем Windows Server 2019), тип лицензии и количество лицензий. Ранее мы выбрали тип лицензирования «На пользователя», поэтому здесь мы должны выбрать Клиентская Глава 16. Удаленный рабочий стол Мастер активации сервера X Программа лицензирования f* Выберите программу лицензирования Для каждого клиента, пожлючеющегося к серверу узла сеансов удаленных рабочих столов или к виртуальному рабочему столу о инфраструктуре виртуальных рабочих столов (Майкрософт», требует си действительная лицензия Выберите программу лицензирования, по которой вы приобретали лицензии Оицензия Соглашение "Enterprise Agreement Описание Это программа лицензирования количества пользователей для организаций, имеющих более 250 компьютеров Формат и размещение Требуется номер заявки указанный в подписанном соглашении Номер замки состоит из семи цифр Пример 123456? Перед продолжением работы про верьте, что данные лицензии похожи на образец «Назад [ Далее» ] Отмена Рис. 16.11. Тип соглашения Мастер активации сервера Программа лицензировамяя Введите номер согл_ эения X С ' А Введите номер соглашения, по которому вы приобрели данные лицензии Чтобы изменить программу лицензирования. нажмите кнопку "Назад" Лицензия Соглашение "ЕгНегрове АдпннпелГ Номер соглашения Пример 1234567 «Назад Далее > ~] Отмена Рис. 16.12. Ввод номера соглашения [ 433 , Справочник системного администратора лицензия служб удаленных рабочих столов «на пользователя». Введите число лицензий, доступных на данном сервере лицензирования, (рис. 16.13) Мастер активации сервера X Версия продукте и тип лицензии Выберите еерсию продукта и тип лицензии * Выверите версию продукта и тип лицензии для установки не сервере лицензирования Лицензия Соглашение "Enterprise Agreement" Версия продукта Windows Server 2D19 1ип лицензии Клиентски лицензия служб удаленных рабочих столов "не Текая лицензия CAL на службы удаленных рабочих столов назначается каждому пользователю, который подключается к серверу узла сеансов удаленных рабочих столов Windows Server 2019 ------- Убедитесь, что установлен режим лицензирования “на пользователя' Для этого проверьте параметры лицензирования на всех компьютерах с ролями узла сеансов удаленньИг рабочих столов или узла виртуализации удаленных Количество ;500 (Число лицензий, доступных на данном сервере лицензирования) сказал 1 Далее > Отмена Рис. 16.13. Версия продукта Нажмите кнопку Далее и дождитесь успешного завершения работы мастера установки лицензий. Если вы все сделали правильно, вы получите сообщение о том, что все запрошенные лицензии установлены (рис. 16.14). Откройте средство диагностики, чтобы убедиться, что лицензии установлены (рис. 16.15). Заодно вы увидите информацию об установленных лицензиях. На этом настройка сервера терминалов завершена. Вам осталось только добавить пользователей, которым разрешен удаленный доступ к серверу, в группу Пользователи удаленного рабочего стола (Remote Desktop Users). Ведь по умолчанию RDP-доступ к рабочему столу сервера есть только у администраторов сервера, а всех пользователей сделать администраторами -идея плохая. Для подключения к удаленному рабочему столу используйте утилиту Подключение к удаленному рабочему столу. 434 Глава 16. Удаленный рабочий стол Рис. 16.14. Лицензии установлены 1 Средство диагностики лицензирования удаленных рабочих столов файл Действие £зд Справка ?^Й^<*»**,***я* уджяеиг- “т ивисс: ггяям* I WW-tti’KrfJiCXM f 1чих столон не обнаружило проблей с ицензированиемна Подробные саадвнм о конфмгургм^им сервере узла сеансов удаленных рабочих столов WW4.GOGBEOTJS ? Число лицензия, лостугмыхиментан 5СС Сервер узле сеансов удаленных рабочих столов Windows Server2!Л€ Домен Artve Directory EXAMPLE Режимлиценэгфоавння Для пользователя Действия Е^аство днагнос5ихл лице-. * ii Подключиться х серверу... Вид ► > чх Обновить Q Сгтрааха Рис. 16.15. Лицензии установлены Справочник системного администратора Примечание. Если ваш сервер подключается к Интернету через роутер, то вам нужно выполнить проброс RDP-портов к серверу. Для этого вам нужно пробросить порт 3389. О том, как это сделать конкретно в вашем случае, обратитесь к документации по роутеру. 436 Глава 17. Виртуализация Справочник системного администратора Вопросы виртуализации и применения облачных технологий на предприятии вполне сами по себе заслуживают написания отдельной книги. Поэтому в данной главе мы рассмотрим несколько фундаментальных вопросов: • Физический или виртуальный сервер - в последнее время наблюдаются тенденции переноса серверов, да и всей инфраструктуры предприятия, в облако. Вполне возможно, что виртуальный сервер окажется предпочтительным для вас. • Выбор гипервизора - если вы предпочитаете строить инфраструктуру виртуализации самостоятельно, вам нужно задуматься о выборе гипервизора. • Вопросы преобразования виртуальных машин из одного формата в другой - этому вопросу уделяется достаточно мало внимания, но от того он не становится менее востребованным. Если предприятие переходит с одного гипервизора на другой, становится вопрос преобразования виртуальных машин. 17.1. Виртуальные серверы 17.1.1. Преимущества и недостатки Пожар, кража, стихийное бедствие - все это не страшно, если вы ваш сервер виртуальный. Просто физическое оборудование будет установлено в удаленном дата-центре, который, скорее всего, находится даже в другом городе Глава 17. Виртуализация и который охраняется гораздо лучше, чем ваш офис (физическая охрана, круглосуточный мониторинг). Но это далеко не единственное преимущество виртуального сервера. Следующее, что нужно учитывать - простоту и дешевизну обслуживания. Управление сервером, его конфигурацией осуществляется через удобную панель управления, и вы можете в любой момент сотворить с ним все, что угодно. Например, модернизировать сервер, добавив еще оперативной памяти или дополнительный жесткий диск всего за пару кликов мышки. Вам не нужно беспокоиться, что накопитель выйдет из строя - если это и произойдет, то это проблемы провайдера, а вы сможете восстановить свою виртуальную машину из бэкапа. О клонировании сервера нажатием одной кнопки - отдельный разговор. Вам не нужно ни о чем заботиться - ни о перепадах напряжения, ни об отключении электричества и т.д. Все это - проблемы провайдера, которые будет решать именно он. Из-за перепада напряжения, грозы или просто от возраста могут выйти из строя довольно дорогие компоненты сервера - блок питания, оперативная память, жесткие диски. Все это гарантирует следующее: • Незапланированный многочасовой простой сервера (пока будут куплены необходимые комплектующие, пока они будут установлены). • Финансовые потери, что следует из простоя. • Возможная потеря информации. Также не нужно забывать о банальщине - отключение электропитания, потеря связи с Интернетом. Если второе Интернет-соединение в большинстве случаев организовать не проблема, как и настроить автоматическое переключение на резервный канал в случае, если с основным что-то случится, то с питанием - беда. Фермы UPS, способные обеспечение многочасовое питание серверов, могут позволить себе далеко не все предприятия, а дизельные генераторы можно размещать далеко не везде, учитывая нормы пожарной безопасности. Что же касается виртуального сервера, то дата-центр уровня 3 (Tier III) гарантирует не более 1.6 часа простоя, при этом коэффициент отказоустойчивости составляет 99.982%. Дата-центр оснащен и резервным каналом, и резервным питанием. Вам не нужно заботиться об этом, лучше сконцентрироваться на задачах предприятия, чем заниматься рутинными вопросами. В таблице 17.1 приводятся преимущества и недостатки физического и виртуального компьютеров. [ 439 Справочник системного администратора Таблица 17.1. Преимущества и недостатки физического и виртуального серверов Физический Виртуальный Преимущества Настоящий компьютер из плат и проводов Сразу доступны все ресурсы сервера Более высокая производительность Больше дискового пространства доступно Гораздо дешевле физического сервера. Простота обслуживания, не нужен отдельный администратор в штате Обеспечение работоспособности -не ваша проблема. Быстрое клонирование сервера Быстрое создание «снимка» сервера, что позволяет восстановить сервер за считанные секунды. Простая модернизация сервера Оплата только за используемые ресурсы, возможность быстро изменить конфигурацию сервера. В стоимость уже входит IP-адрес и Интернет-канал. Недостатки Значительно дороже при покупке и содержании Всю сумму платим сразу Требуется администратор именно сервера Необходимо платить за collocation или обеспечить самому надлежащие условия для работы сервера Сложность модернизации Производительность немного ниже, чем у физического сервера Нельзя увидеть/пощупать физически 17.1.2. Стоимость виртуального сервера Прежде, чем говорить о стоимости виртуального сервера, нужно поговорить о стоимости покупки и содержания физического сервера. Стоимость физического сервера составляет от 150 тысяч рублей, если мы говорим, конечно, о сервере, а не о просто мощном системном блоке, который вы будете использовать в качестве сервера. Аналогию можно привести с грузовиком - на его кузове можно перевозить людей, но он для этого, мягко говоря, не предназначен. Как правило, у сервера должен быть специальный корпус, позволяющий установить его в стойку, модули памяти с коррекцией ошибок, SAS-накопители и т.д. Все это отражается на стоимости. Глава 17. Виртуализация Кроме покупки самого сервера не нужно забывать о его содержании. В стоимость содержания физического сервера входят следующие составляющие: • Стоимость программного обеспечения. Покупая виртуальный сервер, вы автоматически покупаете и лицензию на право использования того или иного программного обеспечения, например, Microsoft Windows Server. В случае с физическим сервером за .«математику» придется доплатить. • Зарплата администратору. В зависимости от уровня администратора и вашего региона, эта сумма будет составлять 25 - 50 тысяч рублей в месяц. • Стоимость основного и резервного Интернет-канала. В стоимость виртуального сервера уже входит один выделенный IP-адрес и канал со скоростью 10 Мбит/с. И будьте уверены: канал резервируемый. Никто не захочет, чтобы серверы клиентов остались без Интернета. Вам же для своего физического сервера придется обеспечить резервный канал самостоятельно. / • Стоимость электричества. Сервер оснащен блоком питания на 900 Вт (при полной нагрузке). Стоимость электроэнергии несложно подсчитать самостоятельно. Сюда же посчитайте затраты на кондиционирование помещения, в котором стоит сервер - ему не должно быть слишком жарко, что особенно актуально для летнего периода. • Стоимость системы резервного электропитания. Вы же не хотите, чтобы работа вашей организации остановилась, если пропадет электричество? Стоимость виртуального сервера зависит от его конфигурации. Рассмотрим следующую конфигурацию: • 4 ядра процессора Xeon Е5 с частотой 3 ГГц. • 8 Гб ОЗУ. • 320 Гб SAS-накопителя • Канал связи 30 Мбит/с. • 1 выделенный 1Р-адрес. Все это обойдется вам в менее 9 рублей в час или около 6000 рублей в месяц. Это средняя стоимость, у некоторых провайдеров будет чуть дешевле, у некоторых - чуть дороже (стоимость актуальна по состоянию на 2020 год). При работе с виртуальными серверами нужно помнить следующее: Справочник системного администратора • Тарификация, как правило, почасовая. Вы можете отключать его на ночь, если он вам не нужен. Например, если ваш сервер не является вебсервером, а используется как терминальный сервер для работы бухгалтеров с 1С, его можно выключать на ночь и на выходные. 22 рабочих дня по 8 часов обойдутся вам всего в 1500 рублей в месяц. • Стоимость виртуального сервера зависит от используемых ресурсов. Но вы можете выделять ресурсы по мере необходимости. Это означает, что вы можете купить сначала сервер с 6 Гб ОЗУ и 120 Гб накопителя, что обойдется вам всего 4400 р. в месяц. По мере необходимости вы можете добавить ресурсы. Скажем, первые полгода вам будет достаточно этих 120 Гб, далее вы увеличите размер накопителя. Этим вы сэкономите 9600 р. за полгода (6000 - 4400 = 1600 р./мес). • Вы можете возвращать неиспользуемые ресурсы в пул. Представим, что у вас есть веб-сервер для Интернет-магазина. Сейчас для него вы используете 8 Гб ОЗУ. Но на новогодние праздники нагрузка на ресурс увеличивается и вы можете запросить более широкий канал, скажем, не 30, а все 100 Мбит/с и дополнительные 4 Гб ОЗУ. После того, как пик нагрузки спадет, вы сможете вернуть «лишние» ресурсы в пул и тем самым сэкономить. Даже если не считать стоимость содержания физического сервера, то только одной стоимости физического сервера (напомню 150 т.р.) вам хватит на 25 месяцев использования виртуального сервера. Если же вы будете экономить и выключать сервер, когда он вам не нужен, то стоимость его вряд ли превысит 2000 р./мес, следовательно, этой суммы вам хватит на 75 месяцев. И заметьте: вам не нужно выкладывать всю сумму сразу, вы платите ежемесячно. 17.1.3. Какие серверы можно виртуализироватъ? Виртуализировать можно все, что угодно. Например, вы можете виртуали-зировать сервер с 1С, чтобы обеспечить непрерывный доступ бухгалтеров к базе данных предприятия, сервер для CRM, веб-сервер и т.д. Все зависит от специфики вашего предприятия. Вас никто не огранивает и с выбором облачных провайдеров, но вы не должны забывать о законодательстве. Если на серверах хранятся/обраба-тываются персональные данные пользователей, серверы должны находиться в пределах РФ. Об этом нужно помнить, дабы не было никаких проблем. 442 Глава 17. Виртуализация 17.1.4. Преимущества собственной виртуальной инфраструктуры Не всегда можно размещать данные на серверах третьей стороны (в нашем случае - на серверах дата-центра). Как минимум, это может быть запрещено политикой компании. Но использовать преимущества виртуальной инфраструктуры хочет. В этом случае ее, эту инфраструктуру, можно развернуть самостоятельно. Да, это дорого, но если другого выхода нет, то почему бы не попробовать. В результате вы получаете все преимущества виртуализации: • Возможность создания и клонирования виртуальных машин. Вы можете создать шаблоны виртуальных мест. Например, места разработчика. Когда в компанию придет новый разработчик, подготовка его рабочего места займет считанные минуты - вы создадите виртуальную машину на основании шаблона разработчика и он получит уже готовое рабочее место с настроенным ПО. • Любую виртуальную машину в любой момент можно остановить, перезагрузить, приостановить и возобновить ее работу. • Можно легко выполнить резервное копирование целых серверов. • Легкость в миграции виртуальных машин. • Возможность создавать снапшоты. Например, если нужно внести серьезные изменения в рабочий сервер, вы можете перед этим создать снапшот. Если что-то пойдет не так, откат (чтобы вернуть все, как было) займет пару минут. С физическим сервером такого не выйдет. 17.2. Выбор гипервизора Технологии виртуализации уже насчитывается более 30 лет. Сегодня виртуализация стала ключевой технологией IT и стала основой сервисов нового поколения. Существует множество продуктов виртуализации и такое многообразие заставляет задуматься: а какой продукт лучше? Выбирать продукт виртуализации нужно, прежде всего, исходя из потребностей бизнеса. В одном случае будет хорош один продукт, в другом - совершенно другой. Многие компании, выбирающие решения для виртуализации, выбирают между продуктами VMware, Hyper-V и KVM. [ 443 Справочник системного администратора 17.2.1 Типы гипервизоров Существует два типа гипервизоров. Гипервизоры первого типа запускаются непосредственно на «железе» и не требуют установки какой-либо операционной системы. Для работы гипервизоров второго типа нужна операционная система - через нее производится доступ к аппаратной части. Считается, что производительность гипервизоров первого типа выше, поскольку они работают напрямую с оборудованием. Примеры гипервизоров 1-го типа: Нурег-V, KVM, ESXi. Гипервизоры 2-го типа: VMware Workstation, Oracle Virtual Box, OpenVZ. Нас интересуют только гипервизоры первого типа, так как вторые больше подходят для индивидуального использования, чем в качестве решений уровня предприятия. Hyper-V и WMware - это проприетарные решения и было бы правильнее сравнивать именно их. Но есть также и решение с открытым исходным кодом - KVM. Многие предприятия выбирают именно KVM, не смотря, что некоторые независимые эксперты считают это решение довольно сырым и непригодным на корпоративной кухне. Однако, согласно отчету IT Central Station 25% операторов связи и 11% финансовых организаций выбрали именно KVM. Так что это решение нельзя игнорировать. Сначала мы рассмотрим проприетарные решения, а затем попытаемся выяснить, стоит ли использовать KVM. 17.2.2. Hyper-V или VMware? Начнем с Hyper-V Здесь нужно понимать, что есть Windows Server 2016/2019 со стандартной ролью Hyper-V и есть Hyper-V Server 2016/2019. Windows Server 2016/2019 поставляется в двух редакциях - Datacenter и Standard. У каждой из них есть роль Hyper-V. С точки зрения виртуализации обе редакции аналогичны, но есть нюансы, связанные с лицензированием. В редакции Standard по одной серверной лицензии можно поднять только две виртуальных машины. В редакции Datacenter можно поднять любое количество виртуальных машин. В стандартной редакции тоже можно запустить любое количество виртуальных машин, но это будет не очень верно с точки зрения лицензирования. С другой стороны, лицензируется не факт создания виртуальной машины, а только ОС внутри виртуальной машины. Если нужны виртуальные Linux-серверы, то можно запустить любое их количество в стандартной версии Windows Server. В 2016-ом году в лицензионной политике Microsoft произошли изменения. Теперь стоимость лицензии на сервер зависит от количества ядер на физическом сервере. Глава 17. Виртуализация Нурег-V Server 2016/2019 - специально для тех, кто не хочет платить за гипервизор. Никаких ограничений виртуализации и при этом он абсолютно бесплатный. Что-то невероятное, особенно, когда речь идет о Microsoft. Но есть и подводные камни: 1. Нужно лицензировать все виртуальные машины, работающие под управлением Windows. 2. Отсутствует графический интерфейс, правда, есть удаленная консоль. 3. Отсутствие поддержки производителя (но есть обновления). Хорошего администратора не испугает ни отсутствие поддержки, ни графического интерфейса А вот необходимость в лицензировании каждой Windows-машины - это плохо. Иногда целесообразнее купить Datacenter - так будет выгоднее. С другой стороны, если планируете разворачивать только Linux-серверы, то данное решение можно действительно назвать бесплатным. Теперь о VMware ESXi - ядре всех серверных решений виртуализации от VMware. В отличие от VMware Workstation, ESXi - это не приложение, это, можно сказать, операционная система, которая устанавливается на голое оборудование. ESXi похож на Linux - те же команды, те же названия стандартных каталогов, однако, он работает полностью на собственном проприетарном ядре VMkernel. Если вам интересно, информацию об этом вы можете найти в Сети. Отдельно купить ESXi нельзя. Если вы хотите купить ESXi, вам нужно купить VMware vSphere 6. При этом лицензия покупается на каждый физический процессор на физическом сервере. Оперативная память и число виртуальных машин не влияет на стоимость. А есть что-то бесплатное? Да, VMware предлагает VMware ESXi Free или VMware Free vSphere Hypervisor. Бесплатный VMware ESXi требует регистрации и может работать в режиме полной пробной версии 60 дней, после этого нужно или мириться с ограничениями бесплатной версии или же покупать полноценную. На данный момент у бесплатного VMware Free vSphere Hypervisor нет ограничений для хоста по процессорам и памяти. Зато есть ряд других ограничений: 1. API продукта доступны только на чтение. 2. Виртуальная машина может иметь не более 8 vCPU. [ 445 Справочник системного администратора 3. Нельзя использовать вместе с Veeam для создания резервных копий. 4. Не поддерживается подключение к vCehter Server 5. Не поддерживаются технологии VM host live migration, VM storage live migration, не поддерживается высокая доступность. Обмануть судьбу не получится. Коммерческого решения на базе бесплатного ESXi создать не выйдет. Теперь немного цифр. Таблица 17.2 содержит сравнительные характеристики гипервизоров MS Hyper-V и VMware vSphere 6.5. Таблица 17.2. Сравнительные характеристики проприетарных гипервизоров Система Ресурс MS Hyper-V Free Hypervisor Essential Plus Enterprise Plus Хост Логические процессоры 512 576 576 576 Физическая память, ТБ 24 4 4 12 vCPU на 1 хост 2048 4096 4096 4096 ВМ на 1 хост 1024 1024 1024 1024 Вложенный гипервизор + + + + Виртуальная машина (ВМ) Виртуальные CPU на 1 ВМ 240 для поколения 2 или 64 для поколения 1 8 128 128 Макс. ОЗУ для ВМ 12 Тб для пок. 2 или 1 Тб для пок. 1 6128 re 6128 re 6128 re Макс, дисковое пространство 64 Тб для формата VDHX, 2040 Гб для VHD 62 Тб 62 Тб 62 Тб К-во дисков 256 60 60 60 Кластер Макс. Узлов 64 - 64 64 Макс. ВМ 8000 - 8000 8000 ь__________ Глава 17. Виртуализация Как видите, по масштабируемости представленные гипервизоры очень похожи. Free-версия, конечно, немного урезана - она не поддерживает кластеры и виртуальная машина может содержать только 8 виртуальных процессоров. Но не это самое главное. Помимо .«технических характеристик» нужно рассмотреть еще и функционал гипервизоров. Основной недостаток Hyper-V Hyper-V не увидеть в таблице 17.2. К сожалению, данный гипервизор до сих пор не поддерживает технологию USB Redirection, которая используется для проброса аппаратных USB-портов, что позволяет подключать аппаратные USB-ключи к виртуальным машинам. Вместо нее-пытаются «сосватать» технологию Discrete Device Assigment, но это несколько не то. К тому же Hyper-V пока не умеет «на лету» добавлять CPU. Зато Hyper-V позволяет уменьшать размер диска, а не только увеличивать, как VMware. Сравнение функционала приведено в таблице 17.3. Таблица 17.3. Сравнение функционала гипервизоров Функция MS Hyper-V Free Hypervisor Essential Plus Enterprise Plus VM host live migration + - + + VM storage live migration + - - + QoS для храни-лища/сети + - - + Проброс оборудования Discrete Device Assignment PCI VMDirectPath/ USB redirection PCI VMDirectPath/ USB redirection PCI VMDirectPath/ USB redirection Горячее добавление Диски/vNIC/ ОЗУ Диски/vNIC/USB Диски/ vNIC/USB Диски/vNIC/ USB/ CPU/ ОЗУ Горячее удаление Диски/vNIC/ ОЗУ Диски/vNIC/USB Диски/ vNIC/USB Диски/vNIC/ USB/CPU Изменение размера диска Уменьшение и увеличение Увеличение Увеличение Увеличение Шифрование ВМ + - - + [ 447 , Справочник системного администратора Функционал говорит за себя. Если нужен проброс USB-портов в виртуальную машину, то однозначно - только VMware, даже бесплатный. С другой стороны, если необходимо шифрование виртуальной машины, то, возможно, дешевле будет использовать Hyper-V. Кроме функционала самого гипервизора, нужно оценить еще и средства управления. У каждого вендора есть свое решение для управления гипервизорами. Virtual Machine Manager (VMM) позволяет управлять серверами Hyper-V, а именно: создавать, клонировать, развертывать виртуальные машины и многое-многое другое. У VMware средство управления называется vSphere. vSphere подразумевает использование ESXi хостов и vCenter Server для их централизованного управления. Какое средство управления более удобное - судить сложно. Все индивидуально, кто к чему привык. Однако нужно понимать, что в случае с VMware требуется обязательное наличие VMware vCenter, если вам нужен, например, кластер. А вот Virtual Machine Manager (VMM) является опциональным компонентом, который очень полезен, но совсем не обязательный. Какой из гипервизоров лучше, сказать нельзя. Все зависит от того, что нужно вам. В некоторых случаях, например, если нужен проброс USB, лучшим выбором будет VMware - даже бесплатное решение поддерживает эту технологию. Но не все готовы мириться с ограничением в 8 виртуальных процессоров. В этом случае нужно или покупать Enterprise-версию, или же использовать Hyper-V, который вообще бесплатный (а в случае с Linux даже не придется покупать лицензии). В любом случае, даже если вы почти определились с выбором, нельзя забывать о полностью бесплатном KVM. 17.2.3. KVM KVM (Kernel-based Virtual Machine) - полное решение виртуализации для платформ Linux/x86, поддерживающее аппаратные расширения (Intel VT и AMD-V). Изначально KVM поддерживал только процессоры х86, но современные версии KVM поддерживают самые различные процессоры и гостевые ОС, в том числе Linux, BSD, Solaris, Windows и др. KVM — простой в использовании, легкий, нетребовательный к ресурсам и довольно функциональный гипервизор. KVM позволяет в минимальные сроки развернуть площадку виртуализации. Все Wiki-ресурсы (MediaWiki. Глава 17. Виртуализация Wikimedia Foundation, Wikipedia, Wikivoyage, Wikidata, Wikiversity) используют именно это решение виртуализации. Поскольку гостевые операционные системы взаимодействуют с гипервизором, который интегрирован в ядро Linux, у них есть возможность обращаться напрямую к оборудованию без нужды изменения гостевой ОС. Благодаря этому KVM считается довольно быстрым решением. Конечно, KVM - не идеален, и у него есть тоже свои недостатки. Начнем с того, что нет мощных средств для управления виртуальными машинами и сервером KVM. Средства, конечно, есть, но они не соответствуют по функционалу аналогичным средствам для других гипервизоров. Одно из лучших решений - SolusVM - универсальная панель управления виртуальными серверами KVM, Хеп и OpenVZ. Также часто отмечают плохую стабильность гипервизора KVM при выполнении разнообразных задач с интенсивным вводом-выводом. Именно поэтому некоторые эксперты в сфере виртуализации и называют KVM сырым решением, которое больше подходит для экспериментов, чем для корпоративного применения. Гипервизор Hyper-V более стабилен, специальные средства миграции виртуальной машины в нем надежнее, эффективнее применяется оборудование, нежели в Linux-KVM. Платформа Microsoft Azure построена на Нурег-V и это говорит о многом. 17.2.4. Что выбрать? Следующие небольшие тезисы помогут вам сделать правильный выбор: 1. VMware - самое дорогое решение, Hyper-V - дешевле (или при использовании Hyper-V Server и виртуальных машин с Linux - вообще бесплатное), KVM - изначально бесплатное. 2. Подсчитывая стоимость системы виртуализации, нужно учитывать еще и стоимость лицензий программного обеспечения, которое будет установлено в виртуальных машинах. Именно поэтому Hyper-V значительно дешевле VMware - при использовании VMware вам все равно придется покупать лицензии на гостевые ОС. 3. Hyper-V значительно дешевле и производительнее в гиперконвергентных решениях. Справочник системного администратора 4. Таблица 17.2 - сугубо информативная, большинство пользователей не столкнется с этими ограничениями и ее не нужно учитывать при выборе гипервизора. Самое жесткое ограничение - у свободной версии ESXi. 5. У VMware есть Fault Tolerance, у Microsoft - пока нет. Если это для вас важно, задумайтесь над VMware. 6. У VMware лучше VDI, но у Microsoft организация VDI будет дешевле. 7. Hyper-V менее требовательный к «железу». 8. Хранилище для Hyper-V дешевле, поскольку VMware тесно связан по рукам и ногам HCL, a Hyper-V может использовать любой SMB 3.0 ресурс для хранения. 9. Hyper-V Server - это гипервизор Hyper-V, поставляемый с Соге-версией Windows без графического интерфейса. Ограничений в нем никаких нет (в отличие от бесплатной версии VMware), вы можете включить его в домен, управлять ею с помощью System Center, бэкапить и т.д. (в отличие от бесплатной vSphere). 10. В Hyper-V нет средств вроде Distributed Resource Scheduler или же Storage DRS, которые в VMware используются для балансировки нагрузок между ресурсами хостов 11. SCVMM в Hyper-V открывает возможности, выходящие за рамки простой серверной виртуализации. Вы можете создавать частные облака. 12. KVM - самый неприхотливый к ресурсам гипервизор. Это нужно учитывать при разработке бюджетных решений виртуализацией. 13. Для KVM можно также использовать интерфейс управления Virsh и GUI-интерфейс virtmanager. 14. Службы поддержки у KVM нет. Если что-то не получается, вы можете рассчитывать только на сообщество. Впрочем, поддержки нет и у бесплатного Hyper-V Server. 15. Существует коммерческий вариант KVM - RHEV (Red Hat Enterprise Virtualization). Какой бы выбор вы ни сделаете, он будет правильный в вашем случае. Г 450 1 Глава 17. Виртуализация 17.3. Конвертирование виртуальных машин из одного формата в другой 17.3.1. Преобразование из Hyper-V в VMWare Выбор конвертера Так, можно использовать штатный инструмент VM Converter Standalone, но его можно использовать, когда есть прямая связь между гипервизором ESXi и конвертируемой виртуальной машиной. Если же такой связи нет и есть лишь .vhd-файл, то можно использовать другие инструменты, например, бесплатный конвертер [StarWind V2V Converter] (https://www. starwindsoftware.com/converter). Также можно использовать сценарий PowerShell-сценарий [ HypervOVAConverter] ( https: //github.com/ihumster/ HypervOVAConverter). Сам процесс конвертации сводится к запуску конвертера, но до этого нужно еще много чего сделать: установить дополнительный модуль PowerShell (если вы будете использовать PowerShell-сценарий), подготовить саму виртуальную машину к конвертированию и т.д. Далее мы рассмотрим все подготовительные мероприятия, а только уже затем - приступим к самому процессу преобразования виртуальной машины из одного формата в другой. Установка модуля PowerShell для Hyper-V Даже если вы планируете использовать инструмент StarWind V2V Converter, вы можете установить PowerShell - вдруг что-то пойдет не так и придется попробовать альтернативный конвертер. Итак, запустите PowerShell от имени администратора (рис. 17.1). Далее нужно ввести одну из команд: Add-WindowsFeature RSAT-Hyper-V-Tools -IncludeAllSubFeature Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Management-PowerShell Первая команда предназначена для Windows 8.1/Windows Server 2012, a вторая - для Windows 10/Windows Server 2016/2019. Справочник системного администратора Е D © Фильтры Лучшее соответствие 7 Windows PowerShell Классическое приложение Cq Запуск от имени администратора 03 Перейти к расположению файла -о Закрепить на начальном экране -С=» Закрепить на панели задач @ Удалить £9 Запуск от имени администратора S9 Запустить ISE от имени администратора О Windows PowerShell ISE Рис. 17.1. Запуск PowerShell от имени администратора Для корректной работы сценария конвертирования нужно изменить политику выполнения сценариев. Для этого запустите PowerShell с правами администратора и введите команду: Set-ExecutionPolicy -Executionpolicy RemoteSigned Чтобы подтвердить изменение политики, нужно ответить Y. а Администратор: Windows PowerShefi *м lows Powe retell i Корг рация H чкро*">^т (Pier. soft Co> po~ it on). P e гра а 3«a«ae >->. • C:\MiWdwA yste*42> Set Fx.- i» ice* licy Pe—-tc'ignej роли1«чм “ог-.ечия Воли — . »—ич а up-щает ком ыг р qj н» де» и це ’ре* в /зме*-*-ие гог-'И.и ны-О’-«*>-ич не. i ав« ь п д У рО'у ез< * 1 t- •• >ь к • и ра де е с^ра: и, вы “*се* »ог*а дои а‘ t Е> > ' i п Р. ici и ра • »• адресу ibfps 'go.trier O’Oft. ‘ i«4/?! InkID'l I в . 8« X 'Г г e>“. -*'b rt 'Тику 8МЯ. ' • <»> l'L<] Да Y (А) Да дл* «ч ex - A [NJ Рет N [L] Нет дл в. ex 1 [S J Грисс та*, ви ь S [?J t pa »a еич“ч го ум^ ет я ' М ) , Рис. 17.2. Изменение политики выполнения сценариев 452 Глава 17. Виртуализация Подготовка виртуальной машины Если производится перенос старой гостевой операционной системы, например, того же Windows Server 2003, нужно убедиться, что в системе инициализирован драйвер SCSI. Если гостевая ОС установлена на IDE-диск, нужно подключить к этой виртуальной машине хотя бы один SCSI-диск и убедиться, что он инициализирован в системе. После этого можно приступить к экспорту виртуальной машины. Откройте оснастку управления Hyper-V (Панель управления\Админи-стрирование\Управление Hyper-V или Control Panel\All Control Panel Items\Administrative Tools\Hyper-V Manager). Щелкните правой кнопкой по названию виртуальной машины и выберите команду Export (рис. 17.3). На момент экспорта виртуальная машина должна быть выключенной. Выберите папку для экспорта виртуальной машины и дождитесь, пока экспорт будет завершен. Рис. 17.3. Экспорт виртуальной машины Конвертирование с помощью HypervOVAConverter Скачайте архив, содержащий файлы инструмента (ссылка приводилась в начале статьи). Распакуйте архив, запустите Windows PowerShell с правами администратора и перейдите в каталог Converter (он появится в результате распаковки архива). Команда преобразования будет выглядеть так: Convert-VM.psl -HyperWMPath <string> -OVAPath <string> [<ConunonParameters>] 453 Справочник системного администратора Сценарию Convert-VM.ps 1 нужно передать два параметра: HyperVVMPath - путь к экспортированной ранее виртуальной машине, OVAPath - путь к папке, в которую будет сконвертирована виртуальная машина в формате OVA. Пример: Convert-VM.psl -HyperVVMPath C:\export\Test\ -OVAPath D:\ vmware\ Вам останется только дождаться процесса завершения конвертации. Если у вас есть vhd-файл (или vhdx-файл), можно использовать другой инструмент: Convert-VM.psl -VHDPath <string> -OVAPath <string> [-CPU <byte>] [-Memory <byte>] [<CommonParameters>] Здесь: • VHDPath - путь к вашему файлу виртуального диска в формате vhd или vhdx. • OVAPath - путь к папке, в которую будет сконвертирована виртуальная машина в формате OVA. Также вы можете использовать параметры CPU и Memory. Первый задает количество процессоров виртуальной машины (по умолчанию 1), второй — объем оперативной памяти в мегабайтах (по умолчанию 1024). Пример: Convert-VM.psl -VHDPath C:\test.vhd -OVAPath D:\vmware\ -CPU 4 -Memory 8092 Собственно, на этом перенос можно считать завершенным, но у нас есть еще один инструмент, который нам предстоит рассмотреть. Конвертирование с помощью StarWind V2V Converter Данный инструмент подойдет пользователям, предпочитающим графический инструмент, а не командную строку. Инструмент хоть и бесплатный, но для его загрузки нужно пройти бесплатную регистрацию. " 454 J Глава 17. Виртуализация 4“ 0 StarWind V2V Converter Source image location Source image location: О Local file ESXiSeryed О Microsoft Hyper-V Server Location description: VMware Server virtual disk image on the remote ESXi server. | Sext*....] Cancel Рис. 17.4. StarWind V2V Converter: выбираем источник Использовать этот инструмент очень просто. Нужно выбрать источник (при этом вы можете задать, как локальный файл, так и «взять» виртуальную машину прямо с гипервизора), а затем нужно выбрать формат файла назначения (рис. 17.5). ? х 4- О Star ind V2V Converter Destination image format Image format: О VMware growable «спаде О VMware stream-optimized image О VMware pre-allocated image VMware ESX server image * О VMware direct conversion to ESXi О Microsoft VW growab e image О Microsoft VW pre-located image О Microsoft VWX image О QCOW2 disk image Format description: VMware Server vrtual disk image (VMDK). Disk space for this image is allocated at the creation time and does not change over time. Рис. 17.5. StarWind V2V Converter: выбираем назначение 455 Какой инструмент использовать, зависит от личных предпочтений. Оба инструмента хорошо справляются с поставленной перед ними задачей. 17.3.2. Перенос сервера из Amazon ЕС2 на виртуальную машину VMware Прежде, чем приступить к переносу виртуальной машины из Amazon ЕС2, нужно установить Amazon ЕС2 CLI. Подробнейшее руководство по командной строке Amazon ЕС2 можно найти в следующем официальном документе http://awsdocs.s3.amazonaws.com/EC2/ec2-clt.pdf. Далее вам нужно создать S3 Bucket для хранения экспортированных экземпляров и предоставить разрешение VM Import/Export на доступ к корзине. Если у вас уже есть корзина, вы можете использовать ее, а не создавать заново. Для создания S3 Bucket (корзины) выполните следующие действия: 1. Откройте консоль Amazon S3 https://console.aws.amazon.com/s3/ 2. Нажмите Create Bucket 3. В появившемся окне в поле Bucket Name введите имя корзины. Оно должно быть уникальным для всех существующих корзин в Amazon S3, так что проявите фантазию. 4. В поле Region введите свой регион. 5. Создайте корзину. После создания корзины нужно добавить необходимые права. Выполните следующие действия: 1. Откройте консоль Amazon СЗ. 2. Выберите созданную корзину и нажмите Properties. 3. В разделе Permissions выберите Add more permissions 4. Для добавления права Grantee введите vm-import-export@amazon.com 5. Выберите права Upload/Delete и View 6. Сохраните L 456 Глава 17. Виртуализация Вот теперь можно приступить к экспорту виртуальной машины. В командной строке введите следующую команду: ec2-create-instance-export-task instance_id -е target_ environment - f disk_image_format -c container_format -b s3_bucket Здесь: • instanceid - ID виртуальной машины; • target environment - среда назначения (vmware); • disk image format - формат диска (для VMware - vmdk, для Microsoft Hyper-V и Citrix Xen - vhd); • container format - формат целевого файла (для VMware - ova); • s3_bucket - имя целевой корзины. Пример команды: ec2-create-instance-export-task i-47d555z8 -е vmware -f vmdk -c ova - b mycoolbucket6767 Если вы получите сообщение об ошибке, нужно проверить установку переменной окружения EC2 URL. В Linux можно установить значение этой переменной командой export: export EC2_URL=https://<service_endpoint> В Windows установить переменную окружения можно в дополнительных настройках системы: 1. Откройте окно Система. 2. На панели слева выберите команду Дополнительные параметры системы. 3. В появившемся окне нажмите кнопку Переменные среды. 4. Нажмите кнопку Создать и создайте переменную с именем EC2_URL. В качестве значения укажите ваш service endpoint. Собственно, на этом все. Следите за нашим блогом, далее мы рассмотрим другие варианты экспорта виртуальных машин разных форматов. Справочник системного администратора 17.3.3. Перенос из Azure в VMWare Разберемся, как можно перейти с Microsoft Azure на VMWare. Первым делом нужно установить Azure PowerShell на саму виртуальную машину, работающую под управлением Windows. Команда Save-AzureVhd Самый простой способ получить Vhd-файл по работающей виртуальной машине - это использовать команду Save-AzureVhd. Общий синтаксис выглядит так: Save-AzureVhd [-Source] [-LocalFilePath] [[-NumberOfThreads] ] [[-StorageKey] ] [[-OverWrite]] Параметр -Source задает URI для BLOB в Azure, параметр -LocalFilePath -локальный путь для сохранения VHD. Третий параметр, -NumberOfThreads, указывает количество загружаемых потоков, которые будут использоваться при загрузке. Значение по умолчанию - 8. Параметр -StorageKey указывает ключ хранилища. Если он не указан, команда попытается определить ключ хранилища учетной записи в исходном URI из Azure. Наконец, параметр -OverWrite позволяет перезаписать существующий локальный VHD-файл. Несколько примеров Сохраняем blob в указанном файле с перезаписью такового, если он существует: Save-AzureVhd -Source http://myaccount.blob.core.windows.net/ vhdstore/win7baseimage.vhd -LocalFilePath C:\vhd\Win7Image.vhd -Overwrite Делаем то же самое, но указываем ключ хранилища для загрузки Save-AzureVhd -Source http://myaccount.blob.core.windows.net/ vhdstore/win7baseimage.vhd -LocalFilePath C:\vhd\Win7Image.vhd -Overwrite -StorageKey <ключ> Глава 17. Виртуализаций Конвертирование в формат VMDK После того, как VHD-файл загружен, его нужно преобразовать в формат VMDK. Для этого используйте инструмент Winimage, который вы без проблем найдете в Интернете. Для ознакомления доступна его 30-дневная версия, чего вполне хватит для переноса множества виртуальных машин в VMWare, а вот если вы собираетесь использовать его ре!улярно, то придется купить. Стоит данный инструмент недорого - порядка 30 долларов, что немного, как для такой полезной утилиты. 17.4. Виртуализация Windows-сервера 17.4.1. Преобразование в VMware VMware® vCenter Converter Standalone Для виртуализации Windows-сервера необходимо преобразовать физический сервер в файл формата ovf. OVF (Open Virtualization Format) — стандарт для хранения и распространения виртуальных машин. Мы будем использовать инструмент VMware® vCenter Converter Standalone: нет смысла использовать сторонние решения, если есть «родное». Данный программный продукт позволяет преобразовать виртуальную и физическую машину в VMWare. Рис. 17.6. Выберите локальный тип установки Справочник системного администратора vCenter Converter можно бесплатно скачать (https://my.vmware.com/en/ web/vmware/info/slug/infrastructure_operations_management/vmware_ vcenter_converter_standalone/6_2_0) с официального сайта VMWare. Запустите загруженный файл. Начнется установка, которая особо не отличается от установки других Windows-программ. Единственный момент: при установке нужно выбрать Local installation (рис. 17.6). После установки конвертера запустите его. Нажмите кнопку Convert Machine (рис. 17.7). Думаю, ее сложно будет не заметить. Рис. 17.7. vCenter Converter Выберите, какую машину нужно конвертировать. Установите тип машины Powered-on machine и укажите, что нужно конвертировать локальную машину (This local machine), рис. 17.8. Далее нужно выбрать тип машины назначения - выберите VMware Workstation or other VMware virtual machine, выберите совместимость c VMware 11.0, укажите название виртуальной машины и путь ее сохранения. В каталоге назначения должно быть достаточно свободного места (рис. 17.9). [ 460 ] Глава 17. Виртуализации Conversion □ X Source Systam Select the source system you want to convert: Source System Source: none Destinations none Destiiaton System __________________________________ Optons Select source type: ^Powered-on machrtr Соткет* any powered -on physical or .rui mathne Spectfy the powered-on mache ie 4 The jocal rnjchre Г A remote machre View source getafc... | Export dagnoetrc togs... Bart | Hext > | Cancel^ Рис. 17.8. Укажите, какую машину нужно конвертировать Wcc Srfltm DesWwtfon System Options Summary ffc Conversion □ X Destination System Select a host for the new virtual machre Source: jfo The too machre (Wndows Server 2012 (64-b«)) Destination: none Select destination type: [VMware Woritstatxо or other VMware vrtuai rnachne w, Creates a new vrtuai mechne for де от wewer* ,'.pri®tattcr W**ere Pte er, wew« Fubot ex erthe Wwe pradjct Select VMware firoduct: ^VMware Workstatior 11 0л Vrtual machine detafc NjmK |wnServ2016 Select a jocator for the wtbal trachne: f С. \имга\Администратор WIN0C3CPAT QDHL\Doymk)aflS\Ymc Bfo ws% tfet> | Export diagnostic togs... <gart || Hext > | Cancel | Рис. 17.9. Параметры назначения [ 46. Справочник системного администратора Чтобы избежать проблем с сетью, отключите все сетевые адаптеры, сняв флажок Connect at power-on (рис. 17.10). Options Set up toe parameters for toe cwпкжяоп ta* Source: The local mach; Destnabon: £ С'кчОП\Адмии ntoads\vmc (VMware W irkstatx-i 11.Oat) Ode on an option betow to edt iL ▼ Data to copv Edt ^l Copy type: U*j <\\^VoUme(e9 <C>: 39.51 GB ▼ Devices W* vCPUs: 2 (2 SOCk DBk controfof: S Herren 4GB -Metvwxta E1t | !nKl;Brtl»«l *• Services Edit Total 193 serve * Advanced — EOC SyndwonBabon: Synchronee: H/A Fnai synchronnaQ Instal VMware T Cuetcmee Guest Remove Restore Reconfiguf“• *« w Throwing Edt CPU: Hone v| between adapters to connect fl X Hetwork adaptor | CpnrJetton type "" | Connect at powr-on Bridged: Connected directly to the physical network MAT: Used to share the host s B* address Host-only: A prwte network shared wth the host Heto j Export dagnosbc toga... Hext > | Cancel | <Взск j- Рис. 17.10. Отключите все сетевые адаптер В разделе Data to сору убедитесь, что включены переключатели Ignore page file and hibernation file и Create optimized partition layout. Первый будет игнорировать файлы подкачки и гибернации, второй - создает оптимизированную разметку (рис. 17.11). Swrce Оекгайоп System Options Summary Source: H Th» tool math. Destinahon. t- СДЦ$егз\Адж*и .ntoads\vmc (VMware Wxkstatton 11 0л) Ckk on an gpten below to edt < * Data to copy Edr Copy type; 1АЛ <\\^МЛпи{е9 <C>: 39.51 GB * Devices Edt vCPUs. 2 (2 sock DBk controter: 5 X Memory: 4GB w ♦ Networks Edit HK1: Bndged ▼ Services Edit Tota 193 serve Advanced... Ed* Synchrorwatjon: Synchronize: N/A Final synchroneati Instal VMware T CuffomEe Guest Remove Restore Reconfigure: Yes V Throttling Edit CPU: None Het> | Export diagnostic bg»... fiata copy type: -У'УГ.1 **" f*T'" "1 Advanced.. Select the source votomes to copy to toe desonabon machne. Reset destnaton d»te to add or save space- SeWct a system and an active votme, or a ^ysteny acbve votome to run the destination machine. Source volumes__________________^Destnation size [pesonatio /* Tot И» Wnvoiume{e92tM6ni-0000- | see (500 MB) xl r----------------- VrtuaDekl 40 0oC I ze (39.51 CBlxf -<______________________________ '* Ignore page fie and hbemalxn fie v Create optrted parttion Jayout < Sack a*«t> Cancel | Рис. 17.11. Данные, которые будут скопированы ' 462 j Глава 17. Виртуализация Нажмите кнопку Next, а затем - кнопку Finish для начала конвертирования (рис. 17.12). VMware vCenter Converter Standaione — □ X fife View Jfck Ad-nrstratr- Convert njachne r Configure machr.e %) by- * lisks Show: * Al tasks c * Recent tasks T>skID ' pob ID '"'""''''''jswe Destnatjon 7Status______________________________ । Start tme _ Endtrre IF 1 1 Th*too! mad» \Wfn£e<v2016. fe t 25% 4/17/18 4:19 PM remafeingr URmwHtw swuav .. &ийгшь»г < ‘imr^w«wvz82ft^wanw^51&wT» 1-ЧМ1/РЖ Conversion status Type: Created: Status: Started: Runnng tme: Estimated trne remanrg: Convert physical machete • v— 4/17/18 4:19 PM by CtoudA Runnng - 25% Complete 4/17/IB 4.19 PM 1 mrutes 7 mnutes I Log highlights 4/17/18 4:19 PM 4/17/1B 4:19 PM 4/17/184:19 PM 4 17'18 4:19 PM 4Я7/18 4.19 PH 4/17/18 4:19 PM J Stsrtjrg block-level ctenng for vtAirr- — Completed ckxmg volume ‘\\7\Voium-Starting btock-fevel ctonmg for volume A snapshot of the source system was Creamg . so. psnot of the source sys Task: Ccm/ert Dhysrcai machine. I Рис. 17.12. Конвертирование в процессе Затем в каталоге, который вы указали в настройках конвертера, появятся два файла - vmx и vmdk. Размер последнего будет большой - ведь это и есть образ диска. Преобразование в формат OVF Осталось преобразовать полученный vmdk-файл в формат OVF. Для этого вам понадобится [OVF Tool] (https://www.vmware.com/support/developer/ ovf/). Команда преобразования выглядит так: ovftool.exe <путь до файла vmx> <путь до файла ovf> Перед этим нужно сменить каталог - перейдите в каталог, в который вы установили VMware OVF Tool. cd 'C:\Program Files (x86) WMwareWMware OVF Tool' Справочник системного администратора После завершения у вас появится виртуальная машина в формате OVF 17.4.2. Утилита Disk2Vhd: преобразование в Hyper-V В прошлом разделе было показано, как преобразовать реальный физический сервер в виртуальную машину в формате VMware, но если вы выбрали Hyper-V, процесс будет другим. Нужно отметить, что процесс преобразования в VMware довольно запутанный. Если вы выбрали Hyper-V, вам достаточно использовать простую утилиту Disk2Vhd: https://docs.microsoft.com/ru-ru/sysinternals/downloads/disk2vhd Просто запустите утилиту на сервере, который нужно виртуализировать, выберите диски, подлежащие виртуализации, и нажмите кнопку Create. Собственно, на этом все. Заключение Администрирование сервера - ответственная задача. В этой книге был рассмотрен процесс администрирования Windows Server, было показано решение ряда практических задач. Данная книга не претендует на звание самого полного руководства по Windows Server, но она позволит себя уверенно чувствовать начинающим администраторам. Г 464 1 СПРАВОЧНИК СИСТЕМНОГО АДМИНИСТРАТОРА Полное руководство по управлению Windows-сетью Если вы планируете заниматься созданием и эксплуатацией сетевой инфраструктуры под управлением Windows Server, то эта книга вам точно пригодится. В ней рассмотрен полный стек необходимых современных технологий. Первая часть книги рассматривает основные операции администрирования Windows Server. Мы разберемся, как управлять серверами, как выполнить мониторинг процессов, сервисов и событий, поговорим о безопасности сервера и рассмотрим вопросы автоматизации различных задач. Вторая часть посвящена ActiveDirectory. В ней мы изучим разворачивание службы каталогов, основные задачи администрирования, поговорим об управлении учетными записями пользователя и групп, рассмотрим интеграцию Linux в Windows-сеть. Третья часть - администрирование данных. Резервное копирование, совместный доступ к данным, RAID-массивы, шифрование данных - все это предмет третьей части книги. Различные специальные сетевые технологии рассматриваются в четвертой части книги. Мы поговорим об управлении TCP/IP, рассмотрим сервис DNS, создание DHCP-сервера, сервера терминалов (RDP). Отдельная глава посвящена виртуализации. Книга подойдет как для начинающих администраторов, так и для профессионалов, желающих восполнить пробелы и систематизировать свои знания в сетевом администрировании. 9 78- 5-94387-928-9 Издательство "Наука и Техника" г. Санкт-Петербург Для заказа книг: (812)412-70-26 e-mail: nitmail@nit.com.ru www.nit.com.ru www.nit.com.ru
Книги для системного администратора. Моя книжная полка
Время на прочтение
6 мин
Количество просмотров 469K
Книги.
Я считаю, что важнейшим инструментом получения скилов системного администрирования являются именно они — книги.
Нет специальных факультетов, обучающих «админству» — каждый постигает это самостоятельно. Путем проб, ошибок и
боли
,
потере важных данных
различных злоключений.
В начале пути сложно определиться, что же нужно прочесть — ведь массив информации столь огромен!
В данном посте я хочу собрать наиболее важные и значимые труды для системных администраторов.
Уклон будет на *nix админство, но, надеюсь тема окажется небезынтересной и для Windows коллег и в комметариях они заполнят мои пробелы.
Пост субьективен и отражает лишь мой собственный опыт — я раскажу о книгах, которые помогли моему становлению.
1
Начну с книги наиболее меня вдохновившей.
На одном из форумов, где общаюсь, я когда-то очень эмоционально написал — «Это самый мастхевнийший мастхев из известных мне мастхевов».
Юмор, стеб и полезный опыт — в этой книге есть все. Мой любимый автор, и к его трудам я еще вернусь.
Автор: Майкл Лукас
Название: «FreeBSD. Подробное руководство»
Людям, кричащим «бзда рип», советую идти лесом.
Эту книгу стоит прочесть.
2
Следующий труд тяжело описать в двух словах — это просто библия *nix админа.
В свое время я не выпускал эту книгу из рук, и сейчас она является «настольной».
Изложен колоссальный опыт, её необходимо читать читать и читать.
Авторы: Эви Немет, Гарт Снайдер, Трент Р. Хейн, Бэн Уэйли
Название: «Unix и Linux. Руководство системного администратора»
Для себя я приобрел её в оригинале.
Язык написания весьма сложен, но зато сразу +100 к английскому.
3
Теперь коснемся сетей.
В понимании основ эта книга была мне крайне полезна.
В первой части подробно расписаны основополагающие вещи — что такое IP адрес, MAC адрес, основы маршрутизации, как считать маску подсети без калькулятора и многое, многое другое.
Автор: Брайан Хилл
Название: «Полный справочник по Cisco»
4
Следующая книга так же наличествует на моей полке, но, признаться честно, я не осилил.
Люди, которых я воспрошал — «что почитать по сетям», в голос советовали её.
Авторы: Виктор Олифер, Наталия Олифер
Название: «Компьютерные сети. Принципы, технологии, протоколы»
Как по мне, лучше пройти курс CCNA Exploration(есть на просторах Интернет во флеше), который здорово раскадывает все по местам.
Но упомянуть я её таки должен.
5
Вернусь к Майклу Лукасу.
Для общего развития следующие книги будут очень полезны.
Первая книга о OpenBSD. Потрясающая в своей простоте, безопасности и законченности ОС.
Только там я наконец-то оценил всю мощь и полезность команды man.
Было время, когда эта ОС стояла на моем домашнем сервере и книга была важным подспорьем.
Автор: Michael W. Lucas
Название: «Absolute OpenBSD»
Вторая о NetFlow.
Полезный текст в изумительном авторском стиле.
Хотите знать что за трафик у вас бегает — обязательно прочтите.
Автор: Michael W. Lucas
Название: «Network Flow Analysis»
6
Теперь пройдемся по специфическим, но никак не бесполезным, темам.
Если вы занимаетесь настройкой/поддержкой MySQL, то эту книгу нужно иметь под рукой.
Авторы: Baron Schwartz, Peter Zaitsev, Vadim Tkachenko
Название: «High Performance MySQL, 3rd Edition»
Масса тонкостей в настройке сабжа.
7
Почтовые серверы, куда же без них.
Эта книга во многом помогала и помогает.
Авторы: Р. Гильдебрандт, П. Кеттер
Название: «Postfix. Подробное руководство»
8
Продолжая тему предложу пару книг о IP телефонии.
Первая о Asterisk, самый полный и лучший источник информации по данной IP АТС.
Авторы: Russell Bryant, Лиф Мадсен, Джим Ван Меггелен
Название: «Asterisk: The Definitive Guide»
Давеча купил на амазоне в бумаге, доволен как слон после купания.
А если вы задумаете изучить FreeSWITCH, то без этой книги вам никак не обойтись.
Автор: Anthony Minessale
Название: «FreeSWITCH 1.2»
9
Считаю, что каждый *nix админ должен прочесть данный труд от столпа всея Unix.
Столько классных tricks and tips я не встречал нигде.
Авторы: Брайан У. Керниган, Роб Пайк
Название: «Unix. Программное окружение»
10
Разбавлю этот уютный *nix/networks/etc кружок книгой по Windows администрированию.
Не все со мной согласятся, но я считаю её плезной и мне она очень помогла на старте.
Автор: Петр Шетка
Название: «Microsoft Windows server 2003. Практическое руководство по настройки сети»
Все книги найдены на просторах Интернет, при желании каждый легко сможет найти самостоятельно…
Благодарю за внимание,
отписывайте в комментах о своих любимых книгах — буду дополнять пост.
Из комментариев.
k3NGuru написал:
«Я остался в восторге от этой книги.
Хорошо написана и показаны основные моменты администрирования Windows Server 2012»
Автор: Линн С.
Название: «Администрирование Microsoft Windows Server 2012»
Ovsiannikov написал:
«в своё время специально искал книгу просто по командной строке, без воды и рассказов про гномов и кеды.
очень понравилось, до сих пор настольная книга (буквально), хотя не открывал уже давно.»
Авторы: Jerry Peek, Shelley Powers, Tim O’Reilly, Mike Loukides
Название: «Unix Power Tools»
nixil написал:
«Лимончелли «Тайменеджмент для системных администраторов» — обязательно для прочтения, я вновь прибывшим в ИТ-отдел в свое время рекомендовал в первую очередь прочесть.»
Полностью согласен с nixil, переоценить важность ознакомления с книгой трудно — читать всенепременно.
Автор: Томас А. Лимончелли
Название: «Тайм-менеджмент для системных администраторов»
urticazoku и
xaryko советуют:
«Для начинающих админов и тех, кто решил сам освоить профессию к прочтению обязательна. Там разобрана куча вопросов с которыми придется столкнуться, даны рекомендации что делать в разных ситуациях, и все это подкреплено занимательными примерами.»
Авторы: Томас А. Лимончелли, Кристина Хоган, Страта Чейлап
Название: «Системное и сетевое администрирование. Практическое руководство»
Amet13 добавляет:
«DNS и BIND — К.Ли, П.Альбитц»
Книга незаменима для администрирования популярного named сервера, да и к пониманию DNS дает много.
Забыл о ней написать, исправляю.
Авторы: Крикет Ли, Пол Альбитц
Название: «DNS и BIND»
И еще одна от
Amet13 — «Linux. Необходимый код и команды. Карманный справочник».
Сам не читал,
Amet13 пишет, что:
«Linux. Необходимый код и команды. Карманный справочник — С.Граннеман (для начинающих неплохой хендбук) [2]»
Автор: Скотт Граннеман
Название: «Linux. Необходимый код и команды. Карманный справочник»
fkvf пишет:
«Для тех кто хочет в автоматизацию Python в системном администрировании
Книга правда немного старовата»
От себя могу сказать, что многое взял из этой книги, в том числе при написании Запуск локальных ssh/telnet/vnc клиентов по ссылке из карты Zabbix
Авторы: Ноа Гифт, Джереми М. Джонс
Название: «Python в системном администрировании UNIX и Linux»
sergmesh пишет:
рекомендую
Operating Systems: Internals and Design Principles
Описано не только как сделано, но и почему. Сравниваются возможности разных операционных систем, как устроены планировщики задач и тд
Автор: William Stalling
Название: Operating Systems: Internals and Design Principles
Камрад с форума sysadminz.ru под ником «oink :)» пишет:
Следующая книга это отличное введение в основы систем хранения данных, даёт обзорное представление о RAID, SAN (iSCSI/FC), технологиях резервного копирования и репликации, также является официальным учебным пособием к экзамену EMC Information Storage and Management Associate – EMCISA 10-001 education.emc.com/guest/certification/framework/stf/stf.aspx Минимум воды, минимум emc-специфичных технологий.
Автор(редактор): EMC Education Services
Название: Information Storage and Management: Storing, Managing, and Protecting Digital Information in Classic, Virtualized, and Cloud Environments
после неё хорошо идёт
Storage Implementation in vSphere 5.0 (VMware Press)
Автор: Mostafa Khalil
Название: Storage Implementation in vSphere 5.0 (VMware Press)
Отличное введение в технологии от M$ — даёт общее представление, не углубляясь в детали, немного более поверхостная, чем версия по 2003-му. После неё гораздо легче читать более специализированные книжки от M$. ЕМНИП, есть на русском.
Авторы: Mark Minasi, Darril Gibson, Aidan Finn, Wendy Henry, Byron Hynes
Название: Mastering Microsoft Windows Server 2008 R2
Самая главная книжка по vmware, после неё можно реально сдать тест vcp (в отличие от официальных книжек, которые идут в комплекте с курсом), и иметь достаточное представления об основах виртуализации, чтобы читать более специализированные книжки.
Автор: Nick Marshall
Название: Mastering VMware vSphere 6
Главные книжки для подготовки к RHCSA/RHCE, содержат все необходимые сведения для сдачи теста и дают достаточный обзор всех основ, чтобы можно было вкуривать маны и читать дополнительные книжки и документацию. В сентябре должна выйти новая версия по RHEL 7. Во второй книжке дополнительные лабы и preconfigured (хз, как это по русски сказать) виртуальные машины для упражнений.
Автор: Michael Jang
Названия: RHCSA/ RHCE Red Hat Linux Certification: Exams (Ex200 & Ex300) (Certification Press) и RHCSA/RHCE Red Hat Linux Certification Practice Exams with Virtual Machines (Exams EX200 & EX300)
Можно дополнить книжкой
Автор: Sander van Vugt
Название: Red Hat Enterprise Linux 6 Administration: Real World Skills for Red Hat Administrators
и видео от LinuxCBT.com www.linuxcbt.com/products_linuxcbt_el-6_edition.php или www.linuxcbt.com/products_linuxcbt_el-7_edition.php
Никита Денисович Левицкий
Windows ОС: администрирование, мониторинг, диагностика Сети
Добавлена: 05.06.2023 Версия: 1.009. ISBN: 9785943879289 ББК: 32.973 УДК: 004.42 Издательство: Наука и Техника Город: Cанкт-Петербург Поделиться: (ссылка для форума) Аннотация Если вы планируете заниматься созданием и эксплуатацией сетевой инфраструктуры под управлением Windows Server, то эта книга вам точно пригодится. В ней рассмотрен полный стек необходимых современных технологий. Рекомендации:эту книгу рекомендовали 0 пользователей. |
Рубрика:Книги
Здесь можно скачать книги на компьютерную тематику.
Скачать книгу «Командная строка Linux» бесплатно.
Скачать книгу «Командная строка Linux» Автор книги: Уильям Шоттс Эта книга представляет обширный обзор «жизни» в командной строке Linux. В отличие от других книг, посвященных одной программе, такой как командный интерпретатор bash, в этой книге автор попытается рассказать, как поладить с интерфейсом командной строки в более широком аспекте. Как он работает? Что можно сделать с его …
Читать далее Скачать книгу «Командная строка Linux» бесплатно.
Скачать книгу «Windows Powershell»
Скачать книгу «Windows Powershell» Скачать книгу «Windows Powershell» Введение в технологии языка сценариев для пользователей без базовых знаний. Эта книга, «Windows PowerShell», является введением в Windows PowerShell, а также содержит практические примеры, позволяющие дать краткое введение в тему, даже если у читателя нет серьезного опыта в написании сценариев. Эта книга совершенно точно не предназначена для …
Читать далее Скачать книгу «Windows Powershell»
Введение в Windows Server 2016 скачать
Введение в Windows Server 2016 Серверная операционная система Windows Server легла в основу ИТ-инфраструктуры целого поколения самых разных организаций, от небольших компаний до крупных корпораций. Вне зависимости от вашей роли в ИТ вы можете быть уверены в том, что работали с Windows Server в течение вашей карьеры или, по крайней мере, видели ее издалека! Эта …
Читать далее Введение в Windows Server 2016 скачать
Администрирование Windows Server 2008. Учебный курс Microsoft скачать.
Администрирование Windows Server 2008. Учебный курс Microsoft (70-646) (2013).pdf скачать Администрирование Windows Server 2008. Учебный курс Microsoft. Экзамен 70-646. Авторы — Орин Томас, Йен Маклин Данный учебный курс Microsoft, написанный Орином Томасом и Йеном Маклином, предназначен для администраторов серверов и доменов, имеющих двух- или трехлетний опыт управления серверами Windows и инфраструктурой в среде с 250–5000 …
Читать далее Администрирование Windows Server 2008. Учебный курс Microsoft скачать.
Книга TCP-IP Экзамен 70-059
TCP-IP Экзамен 70-059 скачать Книги серии «Сертификационный экзамен — экстерном» представляют собой удобные, сжатые, хорошо структурированные конспекты для подготовки к сдаче сертификационных экзаменов на звание Microsoft Certified Systems Engineer. Книга «TCP/IP (экзамен 70-059)» не содержит ничего лишнего, только то, что действительно необходимо: фактический материал, типовые экзаменационные вопросы с разбором ответов и тестовый экзамен для самопроверки. …
Читать далее Книга TCP-IP Экзамен 70-059
Введение в Windows PowerShell А.Попов.pdf скачать
Введение в Windows PowerShell А.Попов.pdf Рассматривается новая объектно-ориентированная оболочка командной строки Microsoft Windows PowerShell и ее возможности для автоматизации повседневных задач администрирования. Описываются основные элементы и конструкции языка PowerShell. Приводятся примеры использования объектов .NET .WMI, ADSI и COM. Обсуждаются вопросы совместного использования PowerShell, командных файлов интерпретатора cmd.exe и сценариев Windows Script Host. Даются примеры решения …
Читать далее Введение в Windows PowerShell А.Попов.pdf скачать
Установка и настройка Windows 7 (MCTS, Экзамен 70-680)
Установка и настройка Windows 7 (MCTS, Экзамен 70-680) скачать Официальное учебное пособие для самоподготовки. Это подробное руководство по настройке операционной системы Windows 7 В нем детально описаны установка и развертывание системы как в ручном, так и в автоматическом режиме, обновление до Windows 7 и перенос данных пользователя, управление устройствами и драйверами. Уделено особое внимание вопросам …
Читать далее Установка и настройка Windows 7 (MCTS, Экзамен 70-680)
Windows Server 2012. Справочник администратора.
Windows Server 2012. Справочник администратора скачать. Windows Server 2012. Справочник администратора — краткий и исчерпывающий справочник по администрированию Windows Server 2012. Здесь описаны: управление серверами на базе Windows Server 2012, мониторинг процессов, служб и событий, автоматизация административных задач, улучшение безопасности компьютера, использование и администрирование Active Directory, работа с учетными записями пользователя и группы, управление файловыми …
Читать далее Windows Server 2012. Справочник администратора.
Windows 7. Полное руководство 2012.
Windows 7. Полное руководство 2012. Включая Service Pack 1 Скачать. Эта книга представляет собой превосходное современное (с учетом обновлений на конец 2011 г.) руководство по использованию Windows 7 и ее настройке. Учитывает обновления Service Pack 1, выход браузера Internet Explorer 9, а также многое другое, что появилось с момента выхода системы. Отличается большой разносторонностью изложения, …
Читать далее Windows 7. Полное руководство 2012.
Администрирование vmware vsphere 5 скачать
Администрирование VMware vSphere 5 скачать. Скачать замечательную книгу Михаила Михеева Администрирование VMware vSphere 5 можно здесь. Книга посвящена вопросу работы с семейством продуктов VMware vSphere 5 . В книге рассмотрены самые разнообразные моменты, с которыми можно столкнуться при работе с продуктом: здесь вы встретите описание требований и возможностей продуктов VMware, варианты настроек, необходимую для …
Читать далее Администрирование vmware vsphere 5 скачать
VCP5.DCV.VMware.Certified.Professional.Data.Center.Virtualization скачать
VCP5.DCV.VMware.Certified.Professional.Data.Center.Virtualization.on.vSphere.5.5.Study.Guide.Apr.2014.pdf скачать бесплатно Prepare yourself for VMware’s challenging VMware Certified Professional-Data Center Virtualization exam, as well as the typical tasks and responsibilities you can expect as a VMware vSphere 5.5-certified professional. This comprehensive book guides you through all topics and objectives you’ll need to know for the exam. These include planning, installing, upgrading, and securing …
Читать далее VCP5.DCV.VMware.Certified.Professional.Data.Center.Virtualization скачать
Microsoft Windows Server 2012. Полное руководство.pdf скачать
Microsoft Windows Server 2012. Полное руководство.pdf скачать бесплатно. Книга «Microsoft Windows Server 2012. Полное руководство» представляет собой наиболее полное руководство по планированию, проектированию, прототипированию, реализации, переносу, администрированию и сопровождению Windows Server 2012. В значительной мере переработанная, она содержит непревзойденное независимое и объективное изложение основных новшеств Windows Server 2012, включая улучшенные компоненты виртуализации, усовершенствованные средства защиты, …
Читать далее Microsoft Windows Server 2012. Полное руководство.pdf скачать
Скачать Krause J. — Windows Server 2016 Cookbook, 2nd Edition — 2016
Скачать Krause J. — Windows Server 2016 Cookbook, 2nd Edition — 2016 Здесь вы можете скачать книгу Windows Server 2016 Cookbook бесплатно без регистрации. Год издания: 2016 Автор: Krause J. Издательство: Packt Publishing ISBN: 9781785883835 Язык: Английский Формат: PDF Качество: Издательский макет или текст (eBook) Интерактивное оглавление: Да Количество страниц: 494 This hands-on Cookbook is …
Читать далее Скачать Krause J. — Windows Server 2016 Cookbook, 2nd Edition — 2016
Если вы планируете заниматься созданием и эксплуатацией сетевой инфраструктуры под управлением Windows Server, то эта книга вам точно пригодится. В ней рассмотрен полный стек необходимых современных технологий.
Первая часть книги рассматривает основные операции администрирования Windows Server. Мы разберемся, как управлять серверами, как выполнить мониторинг процессов, сервисов и событий, поговорим о безопасности сервера и рассмотрим вопросы автоматизации различных задач.
Вторая часть посвящена ActiveDirectory. В ней мы изучим разворачивание службы каталогов, основные задачи администрирования, поговорим об управлении учетными записями пользователя и групп, рассмотрим интеграцию Linux в Windows-сеть.
Третья часть — администрирование данных. Резервное копирование, совместный доступ к данным, RAID-массивы, шифрование данных — все это предмет третьей части книги.
Различные специальные сетевые технологии рассматриваются в четвертой части книги. Мы поговорим об управлении TCP/IP, рассмотрим сервис DNS, создание DHCP-сервера, сервера терминалов (RDP). Отдельная глава посвящена виртуализации.
Книга подойдет как для начинающих администраторов, так и для профессионалов, желающих восполнить пробелы и систематизировать свои знания в се-тевом администрировании.
2020 г., мягкая обложка, 464 страницы, 430 г
код 1652403, тираж 1200 экз.
Перейти к характеристикам