Контроллер домена и DNS сервер

Установка контроллера домена и сервера базы данных

Перед установкой корневого сервера сертификации или сервера лицензирования убедитесь, что установлены соответствующие домен и поддержка баз данных с помощью Active Directory и сервера базы данных, такого как SQL Server 2000 с пакетом обновления 3 (SP3) или Microsoft® SQL Server 2000 Desktop Engine (MSDE 2000) выпуска A. Хотя в рабочей среде могут уже иметься необходимые компоненты, использовать их для тестирования не рекомендуется.

Следующие действия предназначены для установки контроллера домена и сервера базы данных на одном компьютере в изолированной среде с целью тестирования на стороне сервера.

Примечание
В этом примере сервер базы данных выполняется на контроллере домена. В рабочей среде обычно не рекомендуется размещать на контроллере домена другие компоненты. В этом примере Active Directory и сервер базы данных установлены на одном компьютере, чтобы выполнить установку всей инфраструктуры на минимальном количестве компьютеров.

Если в качестве сервера базы данных решено использовать MSDE 2000, следует иметь в виду, что он не поддерживает никаких сетевых интерфейсов и что согласно условиям использования MSDE 2000 средства клиента SQL Server нельзя использовать для управления базой данных MSDE 2000. В связи с этим ограничением будет невозможно просмотреть сведения в журнале или изменить данные, хранящиеся в базе данных конфигурации. Таким образом, использовать MSDE 2000 рекомендуется только для поддержки баз данных управления правами в тестовых средах.

Контроллер домена и DNS сервер

Windows Server 2008— линейка серверных операционных систем от компании Microsoft:

Линейка состоит из следующих версий

· Windows Web Server 2008

· Windows Server 2008 Standard

· Windows Server 2008 Standard without Hyper-V

· Windows Server 2008 Enterprise

· Windows Server 2008 Enterprise without Hyper-V

· Windows Server 2008 Datacenter

· Windows Server 2008 Datacenter without Hyper-V

· Windows Server 2008 for Itanium-Based Systems

· Windows HPC Server 2008

Разные редакции Windows Server 2008 различаются между собой:

1) Системными требованиями к аппаратному обеспечению;

2) Набором функциональных возможностей;

В данной таблице приведены некоторые различия между редакциями:

Более детальная информация по различным редакциям MS Windows Server 2008 приведена здесь:

Серверные роли

Серверная роль определяет базовую функцию сервера. То есть посредством серверной роли определяется то, для чего используется конкретный сервер. Администраторы могут выделить для каждой роли по отдельному серверу или же совместить несколько ролей на одном сервере. Каждая роль может включать один или более сервисов, называемых под-элементами роли. В Windows Server 2008 существуют следующие серверные роли, которые могут быть установлены и управляются через Server Manager.

Некоторые из наиболее распространенных серверных ролей:

• Файл сервер (File services server)

• Принт сервер (Print services server)

• Веб сервер (Web services server)

• Терминальный сервер (Remote access server)

• Сервер приложений (Application server)

• Почтовый сервер (Email server)

• Сервер баз данных (Database server)

• DNS сервер (DNS server)

• DHCP сервер (DHCP server)

• Контроллер домена (DC server)

Файл сервер

Файл-сервер – это выделенный сервер, предназначенный для выполнения файловых операций ввода-вывода и хранящий файлы любого типа. Как правило, обладает большим объемом дискового пространства, реализованном в форме RAID-массива для обеспечения бесперебойной работы и повышенной скорости записи и чтения данных.

Файл-сервер позволяет централизованно хранить файлы, которые будут доступны нескольким участникам вычислительной сети. File Services предоставляют технологии для управления хранилищами, файловой репликацией, распределенной файловой системой, быстрый поиск файлов и ускоренный доступ клиентов к файлам.

Принт сервер

Принт-сервер позволяет пользователям сети получать централизованный доступ к принтерам посредством Print Services. Print Services позволяют управлять принт серверами и принтерами. Принт серверы снижают управляющую нагрузку на администраторов, за счет централизованного управления принтерами.

Веб сервер

Web Server (IIS) предоставляет информацию в Интернет, Интранет, Экстранет. Это объединенная Web платформа на базе IIS 7.0, ASP.NET, Windows Communication Foundation, и Windows SharePoint Services

Веб-службы могут быть использованы как средство доступа к базам данных, для создания отчетов, отслеживания потенциальных клиентов, обеспечения поддержки клиентов.

Терминальный сервер

Terminal Services предоставляют возможность пользователям использовать программное обеспечение, установленное на терминальном сервере, или же получить удаленный доступ к своему рабочему столу с любого компьютера. Пользователи могут соединяться с терминальными серверами, для запуска приложений и для использования сетевых ресурсов (сетевые диски, печать и т.д.).

Сервер приложений

Application Server комплексное решение для хостинга и управления высокопроизводительными распределенными бизнес приложениями. Сервер приложений предоставляет интегрированную среду для развертывания и запуска бизнес-приложений.

Когда речь идет о серверах и серверных приложений, вы можете услышать термины front end и back end. В приложениях клиент / сервер, клиентскую часть программы часто называют передняя часть, и серверная часть называется задней части. Передняя часть представляет собой интерфейс, который предоставляется для пользователя или другой программы. Она может быть доступна через веб-страницу или пользовательское приложение, которое работает на клиентском ПК. Задний конец часто содержат базу данных, которая используется для хранения, организации, запроса и получения данных.

Email server

Почтовый сервер – это сервер, который хранит электронные сообщения (электронную почту) пользователей и управляет ей. Компания Microsoft предоставляет следующие программы для работы с электронной почтой: Microsoft Exchange – инструмент для обеспечения работы; для обеспечения доступа к электронной почте используются Microsoft Outlook или веб-браузер.

Сервер баз данных

Сервер БД выполняет обслуживание и управление базами данных и отвечает за целостность и сохранность данных, а также обеспечивает операции ввода-вывода при доступе клиента к информации.

DNS сервер

Domain Name System (DNS) предоставляет стандартный метод ассоциации названий устройств, с IP адресами. Это позволяет пользователям обращаться к ресурсам, используя легко запоминающиеся имена ресурсов, а не IP адресы. Windows DNS сервер можно интегрировать с DHCP сервером, для автоматического обновления информации на DNS сервере.

DHCP сервер

DHCP позволяет назначать или выдавать IP адреса компьютерам и другим устройствам, которые могут функционировать, как DHCP клиенты. Развернутые DHCP серверы в сети, автоматически сообщают компьютерам и другим устройствам использующим стэк протоколов TCP/IP, правильный IP адрес и другие параметры (Опции DHCP), которые позволяют устройствам соединяться с другими ресурсами, такими как DNS серверы, WINS серверы, маршрутизаторы и др.

Контроллер домена

Для того, чтобы использовать сервер как контроллер домена, необходимо добавить роль Active Directory Domain Services. Active Directory Domain Services хранит информацию о пользователях, компьютерах, и других устройствах сети. AD DS помогает администраторам безопасно управлять этой информацией и распределением ресурсов и совместной работой между пользователями. AD DS также необходима для установки приложений использующих Active Directory (например Microsoft Exchange Server) и для применения других технологий Windows Server, таких как Групповые политики.

Обзор Active Directory

Исторически сложилось так, что у вас существует два способа объединения компьютеров в сеть:

· Домен Active Directory.

Эти термины описывают логическое объединение ваших компьютеров сеть. Компьютеры могут быть распределены по десяти городам или более, однако логически они будут объединены в один домен Active Directory или в одну рабочую группу.

Рабочая группа

Такую сеть часто называют «одноранговой». Первой особенностью такой сети является то, что в рабочей группе все компьютеры равны. Вторая особенность рабочей группы: компьютер участник аутентифицирует подключающихся пользователей к его ресурсам на основе локальной базы с учетными записями. И у каждого участника группы она своя.

· Аутентификация – это проверка подлинности предъявленного пользователем идентификатора. Положительным результатом аутентификации (кроме установления доверительных отношений и выработки сессионного ключа) является авторизация пользователя, т. е. предоставление ему прав доступа к ресурсам, определенным для выполнения его задач.

· Авторизация (от англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.

Представьте теперь себе корпоративную сеть хотя бы из 50 компьютеров и сразу становится понятно, что рабочая группа может успешно использоваться только в очень небольших сетях состоящих из 5-8 компьютеров

Домен Active Directory

При переходе на доменную сеть схема несколько меняется. В нашей сети появляется еще один игрок – контроллер домена Active Directory. Это сервер под управлением одной из серверных операционных систем начиная от Windows Server 2000 и заканчивая Windows Server 2012 за исключением Web-редакций.

Контроллер домена хранит все учетные записи для пользователей и компьютеров входящих в его домен. Если в рабочей группе для аутентификации создавались учетные записи для каждого пользователя, то в домене Active Directory вместе с пользовательскими учетными записями создаются учетные записи для компьютеров. Это обязательно. Если на одном компьютере будет работать 3 человека, будут созданы три учетных записи пользователя и одна учетная запись компьютера. В отличие от рабочей группы учетные записи создаются на контроллере домена, там же они и хранятся. Соответственно каждая учетная запись создается только один раз. Сердцем контроллера домена является файл ntds.dit, который и содержит учетные записи для вашего домена (и не только записи).

Теперь при загрузке компьютера человек вводит ту учетную запись и пароль которые были прописаны на контроллере домена. Эти данные пересылаются на контроллер домена и сравниваются с тем, что было задано администратором сети при создании учетной записи. Если имя и пароль были введены правильно, контроллер домена аутентифицирует учётную запись. Учетная запись получает, что-то вроде паспорта, который дает право находиться в сети, но не гарантирует получения доступа к ресурсам, т.к. был пройден только первый этап (аутентификация). В дальнейшем, когда пользователь захочет обратиться к ресурсам файлового сервера, учётная запись снова обратится к контроллеру домена и предоставит ему свой “паспорт”, контроллер, убедившись, что учётная запись аутентифицирована, выдаст “визу” с помощью которой можно будет установить соединение с файловым сервером. Причем данная “виза” (более правильно Билет сеанса) даст право подключиться только к данному серверу и только в течении определенного времени. Это и есть процесс авторизации.

Для нормальной работы в сети ваш контроллер домена должен быть постоянно доступен и быть готов отвечать на запросы клиентов 24 часа в сутки. И если вдруг контроллер выйдет из строя, то клиенты сети не смогут аутентифицироваться и войти в домен, что повлечет за собой невозможность подключиться к ресурсам домена.

Контроллер домена и DNS сервер

Как клиент узнает IP-адрес контроллера что бы передать ему данные, введенные пользователем? Ведь ни имя, ни тем более IP-адрес контроллера домена не задается на клиентах.

Ответ скрывается в базовом правиле Active Directory, говорящем о том что Active Directory не функционирует без системы разрешения имен DNS. Когда вы только настраиваете первый контроллер, служба DNS в вашей сети уже должна быть поднята. Если вдруг мастер установки Active Directory не обнаружит работающей службы DNS, она будет установлена на этот же сервер вместе со службой AD и должным образом сконфигурирована. В DNS будет автоматически создана зона с именем вашего домена и в этой зоне появятся записи специального типа SRV, которые будут указывать на ваш контроллер. Следовательно, клиент который работает в этом домене должен быть настроен на использование этого dns-сервера в качестве предпочитаемого. И перед обращением к контроллеру домена, клиент осуществит запрос к DNS-серверу с просьбой сообщить ему SRV-запись для домена в котором он работает. Таким образом, он в результате получит IP-адрес нужного контроллера и сможет переслать данные.

Важно: На практике все контроллеры домена по совместительству несут на себе службу DNS. И причин разделять на разных серверах DNS и контроллеры домена внутри вашей сети нет. (единственный случай где имеет смысл разделение это вынос DNS сервера за пределы вашей сети в демилитаризованную зону).

Оборудование для организации сервера контроллера домена

Сервер контроллера домена можно настроить на одноюнитовом одно- или двухпроцессорном оборудовании.

HP ProLiant DL20 Gen9. Компактный сервер высокой плотности, который поддерживает подключение недорогих накопителей для малых рабочих нагрузок.

Dell PowerEdge R230. Универсальное решение для малого и среднего бизнеса. Сервер поддерживает быстрое развертывание, сокращает время отклика и позволяет консолидировать данные нескольких рабочих машин.

Fujitsu PRIMERGY RX2510 M2. Многофункциональный сервер, который обеспечивает быструю работу небольшой базы данных. Поддержка емких модулей ОЗУ и возможность масштабирования делают его хорошим вариантом для покупки на перспективу.

Обращайтесь к специалистам компании ITELON – мы поможем выбрать и введем в эксплуатацию сервер контроллера домена для удобной работы в многопользовательском режиме.

Повышение сервера до контроллера домена

После завершения установки роли не торопимся закрывать окно. Кликаем по пункту меню Повысить роль этого сервера до уровня контроллера домена:

* если мы перезагрузим сервер, повысить роль можно вернувшись в диспетчер серверов.

В открывшемся окне выбираем операцию развертывания. Если разворачивается первый контроллер домена в сети, оставляем выбор на Добавить новый лес, вводим имя домена и нажимаем Далее:

В следующем окне оставляем все как есть и вводим надежный пароль для режима восстановления:

В окне Параметры DNS нажимаем Далее.

В окне Дополнительные параметры автоматически будет подобрано имя NetBIOS. Его менять не обязательно — просто нажимаем Далее:

В окне Пути стоит оставить все, как есть. Нажимаем Далее. В окне Просмотреть параметры проверяем правильность введенных данных и нажимаем Далее.

Начнется проверка системы на соответствие требованиям. Если ошибок не будет, активируется кнопка Установить. Прочитайте все предупреждения, нажмите на данную кнопку и дождитесь окончания повышения сервера до контроллера домена. Сервер будет перезагружен, а после перезагрузки станет контроллером.

Что нужно для добавления контроллера домена?

Работа начинается с того, что на функциональное оборудование ставится специальный серверный софт – Windows Server 2008, 2012, 2016, 2019. После установки софта администратор определяет роль сервера — то, за что сервер будет отвечать:

• за хранение данных – файловый сервер;
• за открытие и работу программ для сотрудников – терминальный;
• за почту – почтовый;
• за управление доступами и прочим – контроллер домена.

Важно! Понятие «контроллер домена» применимо только для серверов с операционной системой Windows.

Если Ваш текущий домен контроллер устаревший, стоит обновить его до более современной версии, которая предусматривает широкие возможности и оптимизированный функционал. Например, под управлением Server 2003 можно настраивать функции Windows XP, а новые функции, появившиеся в Windows 7 – нет.

• Server 2003 – Windows XP и более старые
• Server 2008 – Windows XP, Vista
• Server 2008 R2 – Windows XP, Vista, 7
• Server 2012 – Windows XP, Vista, 7, 8
• Server 2012 R2 – Windows XP, Vista, 7, 8, 8.1
• Server 2016 – Windows XP, Vista, 7, 8, 8.1, 10

Серверный механизм способен выполнять очень широкий спектр ролей. Поэтому после инсталляции серверной ОС, прежде чем она сможет выполнить организационную работу локальной сети, необходимо произвести некоторые настройки.

Служба DNS

Для функционирования доменной сети обязательно необходима «DNS» (Domain Name System) служба, а сам контроллер должен видеть устройство, на котором она работает. Эта служба может функционировать как на роутере, так и на другом компьютере. В случае если такой службы нет, то при установке контроллера домена система предложит Вам выбрать роль «DNS». За что же она отвечает?

Служба «DNS» считывает и отправляет информацию об именах устройств. По сути, она связывает названия доменов с IP-адресами компьютеров, соответствующих этим доменам. Приведем простой пример:

• www.yandex.ru — это имя, присвоенное серверу Яндекс;
• 213.180.217.10 — это ip адрес Яндекса.

Одно имя соответствует одному IP-адресу устройства. Но ряд крупных компаний, таких как Яндекс или Гугл, в стремлении ускорить работу собственных сервисов создают дополнительные адреса. Также этот ход позволяет повысить надежность, бесперебойность работы. Порядок выдачи IP-адреса непосредственно зависит от настроек DHCP сервера (именно он позволяет сетевым аппаратам получать IP-адреса). В основном перенаправление имя-адрес осуществляется в случайном режиме. Узнать IP-адрес можно, набрав в командной строке «ping yandex.ru» .

Важно! Каждый раз при пуске «пинга» до Яндекса Вы можете получать разные или один и тот же IP-адрес. Это объясняется тем, что при большой нагрузки сервера один сервер перенаправляет Вас на другой, у которого другой IP.

IP-адрес

IP-адрес – это уникальный идентификатор устройства, находящегося в сети. Если приводить сторонний пример — это серия и номер паспорта человека, но для любого устройства, «общающегося» в сети – компьютер, роутер, принтер, сканер, МФУ, АТС и так далее. Адрес может присваиваться как в ручном режиме, так и в автоматическом. Для автоматического присвоения адресов устройствам, находящимся в сети необходим DHCP-сервер.

Важно! В сети не может быть устройств с одинаковым IP-адресом – точно так же, как нет людей с одинакововыми серией и номером паспорта.

Active Directory

Active Directory («Активный каталог») – это организованный каталог всех данных, необходимых для управления конкретной сетью. Под данными имеются в виду учетные записи, информация об устройствах в сети и многое другое. Active Directory позволяет централизованно управлять всем, что включено в сеть. Приведем простые и важные примеры, которые решаются с помощью этой службы:

1. Ограничение доступа сотрудников к информации. Например, менеджеры не имеют доступа ко всему, что касается бухгалтерской отчетности, а сотрудники бухгалтерии не имеют доступа к данным, которые ведут менеджеры. Это позволяет:

• упростить работу с информацией – сотрудник видит только те материалы, которые необходимы ему для работы;
• создать границы – каждый сотрудник в компании четко знает свою сферу влияния;
• сократить возможность утечки информации – менеджер не может «слить» кому-то Вашу бухгалтерию, или бухгалтер – всех Ваших клиентов.

О безопасности! Когда сфера доступа сотрудника ограничена определенными рамками, он понимает, что ответственность за утерянную информацию с его источника несет именно он! Таким образом, риск быть обнаруженным из-за узкого круга подозреваемых лиц остановит среднестатистического воришку.

2. Ограничения использования некоторых устройств. Добавление контроллера домена позволит Вам защитить конфиденциальную информацию. Например, ограничивайте использования USB-накопителей с целью обезопасить себя от утечки конфиденциальной информации или от проникновения вируса в общую сеть.

3. Ограничения использования программ. Сотрудник не сможет установить игру или другой сторонний софт. Это полезно, потому что:

• сторонний софт может быть пиратским, и компания попадает под риск получить штраф в случае проверки;
• можно установить вирус, который убьет всю информацию на компьютере, либо будет передавать данные с компьютера сторонним лицам;
• можно установить развлекательные игры и таким образом саботировать работу;
• можно открыть шифратор и зашифровать все данные о компании;
• можно наставить столько всего на компьютер, что он будет тормозить и работа станет невозможной и т.д.

4. Быстрая настройка рабочего стола для нового сотрудника. После приема на работу нового коллеги для него устанавливается индивидуальная учетная запись. После чего он определяется в свою рабочую группу, например, «менеджеры». Далее система автоматически и очень быстро устанавливает все необходимые программы, выводит необходимые значки на рабочий стол, настраивает принтеры и т. д. для работы этого человека. Кроме того, он получает доступ к закрытой информации, которой оперируют его коллеги по специальности.

5. Централизованное управление сетевыми устройствами. Вы можете с легкостью прописать (зафиксировать в системе), что для людей, сидящих в одном кабинете, все документы печатаются на один принтер, который находится в их кабинете, а для людей, сидящих в другом кабинете – на другой, который находится у них, и т.д.