Файл: Дипломная работа построение домена microsoft на core серверах рецензент Разработчик.docx
Добавлен: 07.11.2023
Просмотров: 181
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
DHCP доступен как для IPv4 (DHCPv4), так и для IPv6 (DHCPv6).
DHCP-сервер представляет собой фоновый процесс, использующий в качестве транспорта UDP-порт 67 и ожидающий запросы от клиентов, которые хотят подключиться к сети. Применение технологии DHCP-сервера дает возможность прописывать на каждом клиенте:
Существует три режима работы DHCP-сервера:
Присвоение IP-адреса проводится через DHCP-сервер в несколько этапов:
Использование DHCP-серверов позволяет автоматически создавать конфигурацию для новых пользователей и встраивать в ИТ-инфраструктуру практически любые устройства, подключаемые к сети - компьютеры, коммутаторы, смартфоны. При этом динамическое назначение IP-адресов снижает вероятность того, что два устройства будут иметь один и тот же IP-адрес (что бывает достаточно часто при использовании статических IP-адресов, назначенных вручную).
Поскольку каждое из этих устройств получает IP-адрес автоматически, устройства могут свободно перемещаться из одной сети в другую (при условии, что все они настроены с помощью DHCP), что очень удобно для мобильных устройств.
Однако, помимо преимуществ, у использования серверов DHCP есть определенные недостатки. Так, динамические IP-адреса не должны использоваться для стационарных устройств (принтеров и файловых серверов), требующих постоянного доступа. Для таких устройств следует назначать статические IP-адреса [2, 3].
Групповая политика — важный элемент любой среды Microsoft Active Directory (AD). Её основная цель — дать ИТ-администраторам возможность централизованно управлять пользователями и компьютерами в домене. Групповая политика, в свою очередь, состоит из набора политик, называемых объектами групповой политики (GPO).
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Выделяют два компонента групповых политик - клиентский и серверный, т.е. формируется структура «клиент-сервер»:
Для администрирования GPO используют оснастки MMC - Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
Административные шаблоны облегчают доступ к реестровым параметрам политики, которые иногда требуется конфигурировать.
Набор административных шаблонов по умолчанию для пользователей и компьютеров конфигурируется в консоли Групповая политика (Group Policy). Административные шаблоны можно добавлять и удалять. Любые изменения в политиках, совершаемые через административные шаблоны, сохраняются в реестре. Конфигурации компьютеров сохраняются в разделе HKEY_ LOCAL_MAC HINE, а конфигурации пользователей - в HKEY_CURRENT_USER.
Настроенные шаблоны позволяют просмотреть узел Административные шаблоны (Administrative Templates) консоли Групповая политика (Group Policy). Он содержит политики, конфигурируемые для локальных систем, ОП, доменов и сайтов. Наборы шаблонов в узлах Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User Configuration) различаются. Добавлять дополнительные шаблоны, содержащие новые политики, можно вручную, а также при настройке новых компонентов Windows. Пользовательский интерфейс для узла Административные шаблоны (Administrative Templates) настраивается в файлах с расширением .adm. Эти текстовые файлы в формате ASCII разрешается редактировать или создавать в любом текстовом редакторе. При конфигурации политик в узле Административные шаблоны (Administrative Templates) параметры сохраняются в файлах Registry.pol. Для разделов реестра HKEY_LQCAL_MACHINE и HKEY_CURRENT_USER применяются отдельные файлы Registry.pol.
Чтобы узнать, какие политики административных шаблонов доступны, достаточно просмотреть узлы Административные шаблоны (Administrative Templates) в консоли Групповая политика (Group Policy). Политики находятся в одном из трех состояний:
Active Directory нужен для облегчения работы в сети, большинство действий не нужно повторять, поскольку все структурировано в самом домене.
Единая точка аутентификации в рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, – сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать – и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям);
Единая точка управления политиками в рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.
Повышенный уровень информационной безопасности использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.
Интеграция с корпоративными приложениями и оборудованием большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.
Единое хранилище конфигурации приложений некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.
Службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена) [1, 3, 10].
Не смотря на консольное управление Windows Server Core, в ней есть графические оснастки, например:
DHCP-сервер представляет собой фоновый процесс, использующий в качестве транспорта UDP-порт 67 и ожидающий запросы от клиентов, которые хотят подключиться к сети. Применение технологии DHCP-сервера дает возможность прописывать на каждом клиенте:
-
IP-адрес; -
маску сети или подсети - адресацию сети или узла в пределах IP-адреса; -
шлюз - компонент, который создает соединение между двумя системами; -
адрес DNS-сервера, который отвечает на запросы о разрешении имен в Интернете; -
время (NTP) - сервис синхронизации внутреннего времени компьютера.
Существует три режима работы DHCP-сервера:
-
Ручное назначение, при котором IP, указанные в конфигурации хоста, назначаются фиксированным MAC-идентификатором, при этом аппаратный адрес отдельного сетевого адаптера будет уникальным для каждого устройства. IP в данном случае назначаются на постоянной основе, но дополнительные клиенты в сеть подключены быть уже не могут. -
Динамическое назначение, при котором сервер определяет в своих записях, как надолго IP-адрес может быть предоставлен клиенту. Установленное администратором время называется «временем аренды». По истечении срока аренды сервер DHCP возвращает адрес в пул, где он может быть перераспределен по мере необходимости. -
Автоматическое назначение, при котором протокол динамической конфигурации хоста назначает определенный диапазон IP-адресов. Как только адреса «завязываются» друг на друга, они остаются связанными на бесконечное время. Недостатком этого способа является то, что новые клиенты не получат IP, если область полностью назначена.
Присвоение IP-адреса проводится через DHCP-сервер в несколько этапов:
-
Discover (поиск сервера). Когда клиент загружается (или хочет присоединиться к сети), он запускает процесс с широковещательным (broadcast) сообщением DHCPDISCOVER со своим собственным MAC-адресом для обнаружения доступных серверов DHCPv4. Поскольку у клиента нет способа узнать подсеть, к которой он принадлежит, у сообщения DHCPDISCOVER адресом назначения IPv4-адреса будет 255.255.255.255. А поскольку у клиента еще нет настроенного адреса IPv4, то исходными IPv4-адресом будет 0.0.0.0. Сообщение DHCPDISCOVER обнаруживает серверы DHCPv4 в сети. Поскольку у клиента не имеется IPv4 информации при загрузке, он использует для связи с сервером широковещательные адреса 2 и 3 уровня. -
Offer (предложение сервера). Когда DHCPv4-сервер получает сообщение DHCPDISCOVER, он резервирует доступный IPv4-адрес для аренды или постоянного присвоения клиенту. Сервер также создает запись ARP, состоящую из MAC-адреса клиента и предоставленного IPv4-адреса. DHCP-сервер отправляет связанное сообщение DHCPOFFER запрашивающему клиенту, как одноадресную передачу (unicast), используя MAC-адрес сервера в качестве исходного адреса и MAC-адрес клиента в качестве адреса доставки. -
Request (запрос). Когда клиент получает DHCPOFFER с сервера, он отправляет обратно сообщение DHCPREQUEST. Это сообщение используется как для получения IP-адреса, так и для продления его аренды. Когда DHCPREQUEST используется для получения аренды, оно служит уведомлением о принятии выбранных и предложенных конкретным сервером параметров, и оповещением об отклонении предложений от других серверов. Многие корпоративные сети используют несколько DHCP серверов, и сообщение DHCPREQUEST отправляется в виде широковещательной передачи, чтобы информировать все серверы о принятом предложении. -
Acknowledge (подтверждение). При получении сообщения DHCPREQUEST сервер проверяет информацию об аренде с помощью ICMP-запроса на этот адрес, чтобы убедиться, что он уже не используется, и создает новую ARP запись для аренды клиента, а затем отвечает одноадресным DHCPACK-сообщением. Это сообщение является дубликатом DHCPOFFER, за исключением изменения поля типа сообщения. Когда клиент получает сообщение DHCPACK, он регистрирует информацию и выполняет поиск ARP для назначенного адреса. Если ответа на ARP нет, клиент знает, что адрес IPv4 действителен и начинает использовать его как свой собственный.
Использование DHCP-серверов позволяет автоматически создавать конфигурацию для новых пользователей и встраивать в ИТ-инфраструктуру практически любые устройства, подключаемые к сети - компьютеры, коммутаторы, смартфоны. При этом динамическое назначение IP-адресов снижает вероятность того, что два устройства будут иметь один и тот же IP-адрес (что бывает достаточно часто при использовании статических IP-адресов, назначенных вручную).
Поскольку каждое из этих устройств получает IP-адрес автоматически, устройства могут свободно перемещаться из одной сети в другую (при условии, что все они настроены с помощью DHCP), что очень удобно для мобильных устройств.
Однако, помимо преимуществ, у использования серверов DHCP есть определенные недостатки. Так, динамические IP-адреса не должны использоваться для стационарных устройств (принтеров и файловых серверов), требующих постоянного доступа. Для таких устройств следует назначать статические IP-адреса [2, 3].
-
Групповые политики
Групповая политика — важный элемент любой среды Microsoft Active Directory (AD). Её основная цель — дать ИТ-администраторам возможность централизованно управлять пользователями и компьютерами в домене. Групповая политика, в свою очередь, состоит из набора политик, называемых объектами групповой политики (GPO).
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Выделяют два компонента групповых политик - клиентский и серверный, т.е. формируется структура «клиент-сервер»:
-
Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название «возможностей» называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление. -
Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами, запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.
Для администрирования GPO используют оснастки MMC - Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
-
централизованная настройка пакета программ Microsoft Office; -
централизованная настройка управлением питанием компьютеров; -
настройка веб-браузеров и принтеров; -
установка и обновление ПО; -
применение определенных правил в зависимости от местоположения пользователя; -
централизованные настройки безопасности; -
перенаправление каталогов в пределах домена; -
настройка прав доступа к приложениям и системным программам.
Административные шаблоны облегчают доступ к реестровым параметрам политики, которые иногда требуется конфигурировать.
Набор административных шаблонов по умолчанию для пользователей и компьютеров конфигурируется в консоли Групповая политика (Group Policy). Административные шаблоны можно добавлять и удалять. Любые изменения в политиках, совершаемые через административные шаблоны, сохраняются в реестре. Конфигурации компьютеров сохраняются в разделе HKEY_ LOCAL_MAC HINE, а конфигурации пользователей - в HKEY_CURRENT_USER.
Настроенные шаблоны позволяют просмотреть узел Административные шаблоны (Administrative Templates) консоли Групповая политика (Group Policy). Он содержит политики, конфигурируемые для локальных систем, ОП, доменов и сайтов. Наборы шаблонов в узлах Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User Configuration) различаются. Добавлять дополнительные шаблоны, содержащие новые политики, можно вручную, а также при настройке новых компонентов Windows. Пользовательский интерфейс для узла Административные шаблоны (Administrative Templates) настраивается в файлах с расширением .adm. Эти текстовые файлы в формате ASCII разрешается редактировать или создавать в любом текстовом редакторе. При конфигурации политик в узле Административные шаблоны (Administrative Templates) параметры сохраняются в файлах Registry.pol. Для разделов реестра HKEY_LQCAL_MACHINE и HKEY_CURRENT_USER применяются отдельные файлы Registry.pol.
Чтобы узнать, какие политики административных шаблонов доступны, достаточно просмотреть узлы Административные шаблоны (Administrative Templates) в консоли Групповая политика (Group Policy). Политики находятся в одном из трех состояний:
-
не задана (Not Configured) — политика не используется, и ее параметры не сохранены в реестре; -
включена (Enabled) — политика активно выполняется, и ее параметры сохраняются в реестре; -
отключена (Disabled) — политика отключена и не выполняется, если не замещена. Этот параметр сохраняется в реестре [3, 11].
-
Аналитический раздел
-
Понятия Active Directory
Active Directory нужен для облегчения работы в сети, большинство действий не нужно повторять, поскольку все структурировано в самом домене.
Единая точка аутентификации в рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, – сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать – и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям);
Единая точка управления политиками в рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.
Повышенный уровень информационной безопасности использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.
Интеграция с корпоративными приложениями и оборудованием большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.
Единое хранилище конфигурации приложений некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.
Службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена) [1, 3, 10].
-
Возможности графического управления Windows Server Core
Не смотря на консольное управление Windows Server Core, в ней есть графические оснастки, например:
-
Notepad.exe - приложение блокнот; -
MSInfo32.exe - просмотр сведений о системе, программных и аппаратных ресурсах; -
Regedit.exe и Regedt32.exe - редактирование реестра; -
TimeDate.cpl - панель управления временем и датой; -
Intl.cpl - панель управления региональными настройками; -
Iscsicpl.exe - панель управления «Свойства: инициатор iSCSI», для возможности подключаться к общему хранилищу через iSCSI.