Администрирования в Windows Server 2003

Монитор репликации (Replication monitor)

Эта утилита, входящая в  состав Windows 2003 Support Tools, позволяет просмотреть  текущее распределение ролей FSMO и проверить доступность соответствующего контроллера. Ее функции носят информационно-вспомогательный характер, поскольку с ее помощью невозможно передать роль другому контроллеру домена. Самой важной и полезной функцией этой утилиты является возможность определения доступности носителей роли.

Утилита командной  строки NetDom.exe

Эта утилита командной  строки также входит в состав Windows 2003 Support Tools. При всей своей незатейливости и убогом интерфейсе (хотя каким  еще может быть интерфейс у MS-DOS-приложений?) эта программа является мощнейшим инструментом администрирования, особенно в случае, когда использование новых графических административных утилит еще не стало автоматическим. Наиболее важными являются возможности просмотра носителей ролей, переноса рабочих станций и серверов между доменами и управления доверительными отношениями между доменами. Эта программа стоит того, чтобы ее использовать.

Утилита командной  строки NTDSUtil.exe

Эту утилиту можно  смело назвать NetDom extended, поскольку  помимо функций утилиты NetDom.exe она  содержит функции перераспределения носителей ролей FSMO. Эта программа очень эффективна, но оценить по достоинству ее смогут только те, для кого командные строки MS-DOS и UNIX shell до сих пор являются любимыми инструментами администрирования сети. Самым большим преимуществом этой утилиты является то, что она позволяет переносить все пять ролей. Это очень важно, поскольку задача изменения носителей ролей FSMO, выполненная рассмотренными ниже GUI-приложениями, требует применения двух утилит.

Оснастка Active directory Users and Computers

Эта оснастка представляет собой дальнейшее развитие идей, заложенных в утилиты User Manager и Server Manager из состава NT 4.0. Она позволяет полностью  управлять доменом как на уровне пользователей и групп, так и  на уровне распределения ролей в рамках домена. Ее использование позволяет перемещать роли PDC Emultor, Rid Master и Infrastructure Master с предельной простотой.

Оснастка Active Directory Domains and Trusts

Использование этой оснастки дает возможность перемещать роль Domain Naming Master. Идеологически можно было бы ожидать от данной оснастки и управления ролью Schema Master, однако эта функция надежно спрятана в недрах Windows 2003 Support Tools. Желающие поэкспериментировать с настройками Schema Master должны в ручном режиме добавить snap-in управления схемой к консоли администрирования. Прежде чем начать действовать, примите к сведению, что все изменения схемы необратимы!

Роли FSMO и  стабильность сети Windows 2003

Роли FSMO и  стабильность сети Windows 2003

По работе с сетью NT 4.0 мы помним, что выход из строя DHCP-, WINS- и DNS-серверов приводил к серьезным проблемам при работе с сетью. Однако за годы управления сетями NT 4.0 системные специалисты приобрели опыт, позволяющий в минимальные сроки восстановить работоспособность сети. Все нижесказанное предлагается как информация к размышлению на тему определения уязвимых мест сети Windows 2003.

Уникальные  роли леса

Как мы уже говорили, в  рамках леса существуют две уникальные роли: Schema Master и Domain Naming Master. Как правило, носителем этих двух ролей является один физический сервер. Кроме того, поскольку эти роли достаточно статичны и любое изменение в них должно исходить от ведущего системного специалиста, представляется разумным разместить их поблизости от сетевого департамента.

1.3 Возможности Windows Server 2003

Schema Master

Из всех ролей FSMO эта  роль создает меньше всего проблем  в случае временного обрыва связи. По большому счету, этот сервер нужен только для внесения каких-либо изменений  в схему, что случается достаточно редко. Однако для установки ряда серверных приложений (например, таких как Microsoft Exchange 2003) наличие этой роли в сети обязательно. При любых модификациях схемы необходимо помнить, что любое ее изменение необратимо. Поэтому, если вы не уверены в правильности действий, передайте роль мастера схемы на контроллер домена и изолируйте его от остальной сети. Тогда все изменения, которые вы сделаете в схеме, не распространятся сразу по лесу, а у вас будет возможность восстановить status-quo.

Domain Naming Master

Это единственная роль уровня леса, имеющая права на изменение объектов домена. Ее участие является необходимым не только при создании и удалении домена в лесу, но и при операциях с перекрестными ссылками на внешние каталоги. В пределах леса лишь один сервер может быть носителем данной роли. Наиболее часто причиной невозможности воспользоваться утилитой DCPromo является недоступность сервера DNM. Носители ролей Domain Naming Master и Schema Master следует размещать на одном контроллере домена. По окончании этапа внедрения и доработки сети эти роли утратят свою изначально высокую значимость. Тем не менее необходимо обеспечить гарантированно высокое качество связи между их носителями и сервером глобального каталога. Идеальным вариантом будет их размещение на одном физическом сервере, что выдвигает повышенные требования как к материальной части этого компьютера, так и к качеству его соединения.

Уникальные  роли домена

PDC emulator

Недоступность носителя этой роли влечет за собой максимум неприятностей как для пользователей, так и для службы технической поддержки. Типичными признаками его отказа являются невозможность доступа к массиву учетных записей домена и настройкам Group Policy. Таким образом, в случае выхода из строя этого сервера вся работа домена может быть парализована. В конференциях неоднократно выдвигалось предложение понизить роль этого сервера путем перевода домена в native-режим. Мотивируется этот шаг тем, что в однородном домене потребность в PDC emulator отпадает. При этом не учитывается, что даже после перевода домена в native-режим PDC Emulator по-прежнему продолжает отрабатывать все изменения паролей.

Кроме того, не следует  забывать, что эта роль способна сильно снизить производительность контроллера домена. Когда этот факт получает подтверждение, следует переместить  роль PDC Emulator на другой сервер, не несущий на себе каких-либо дополнительных ролей.

RID master

Эта роль весьма специфична. Как было сказано выше, ее основная функция заключается в формировании относительного идентификатора безопасности (RID, relative identifier), используемого операционной системой для формирования нового объекта защиты. На сервере этой роли имеется база с несколькими миллионами RID, уникальных в пределах существующего леса. При создании нового контроллера домена RID Master выделяет ему некоторый массив RID-идентификаторов, которые могут быть использованы при создании новых объектов защиты. Соответственно, если этот запас подойдет к концу и при этом RID Master окажется недоступен, то создание новых объектов защиты будет невозможно. В нашей пилотной сети такой отказ однажды произошел при сбое связи между контроллером домена и сервером RID Master. При этом работа в режиме без связи с RID Master продолжалась почти неделю, что позволяет с той или иной степенью уверенности установить время реакции на отказ RID Master в 2-3 дня в зависимости от интенсивности создания новых объектов защиты.

Infrastructure master

Это самая «непонятная» роль сети Windows 2003. И как только ее ни называют в конференциях — и  сервер центральной защиты леса, и  головной сервер безопасности, контролирующий происходящее в лесу… На самом деле этот сервер отвечает за преобразование имен при междоменных взаимодействиях. Примером такого взаимодействия может быть присоединение пользователя из домена А к группе домена Б.

Важной особенностью носителя этой роли является то, что на одном физическом сервере нельзя размещать Infrastructure Master и сервер глобального каталога. В противном случае из-за соседства с глобальным каталогом IM всегда будет содержать самые последние данные, не нуждаясь в обновлении. В этом случае IM никогда не получит ссылку на объект, не обслуживаемый этим контроллером домена. Следовательно, если не заставить IM искать ссылки на неизвестный объект, то он никогда не будет обновлять свою информацию. Разумеется, в однодоменном режиме необходимость в IM минимальна.

Пожалуй, самую большую  сложность в процессе миграции представляет осознание необходимости того или  иного сервера в рамках конкретной сетевой структуры. К сожалению, нередки случаи, когда системные  администраторы бросают все силы на восстановление функционирования второстепенного сервера, необходимость которого в их сети весьма сомнительна.

 

1.4 Администрирования в Windows Server 2003

 

1. Роли Schema Master и Domain Naming Master следует размещать на одном  компьютере. Причем на этом же физическом сервере должен быть размещен сервер глобального каталога. Если на нем произойдет отказ, то перехватывать эту роль следует только в случае необходимости внесения каких-либо изменений в схему или создания нового домена.

2. Роль PDC Emulator предъявляет  повышенные требования к аппаратному  обеспечению сервера и является  явным кандидатом на размещение  на отдельном контроллере домена. В случае выхода его из строя  для нормального функционирования  сети необходим перехват этой роли.

3. Роль Infrastructure Master должна  быть одной на домен, при  этом она не должна физически  располагаться на том же сервере,  что и сервер глобального каталога.

IIS 6.0

В составе Windows Server 2003 распространяется версия 6.0 служб Internet Information Services, архитектура которой существенно отличается от архитектуры служб IIS 5.0, доступных в Windows 2003. В частности, для повышения стабильности стало возможным изолировать приложения друг от друга в отдельных процессах без снижения производительности. Также был создан новый драйвер HTTP.sys для обработки запросов по протоколу HTTP. Этот драйвер работает в режиме ядра, в результате чего обработка запросов ускоряется.

Ограничение доступа

Установка и настройка  сервера производится на базе Windows 2003 Server. Использование в компьютерной системе контроллера домена позволит:

• Обеспечить централизованное управление пользовательскими станциями и иными ресурсами
• Управлять правами пользователей (ограничение прав пользователей на установку/использование программ)
• Управлять доступом к информации (ограничение доступа к папкам и файлам)
• Обеспечить стабильность работы сетевых программ

Ограничение доступа  с помощью учетных записей

На контроллере домена создаются учетные записи с индивидуальным паролем для каждого пользователю. В каждой учетной записи права  пользователей могут быть настроены  таким образом, чтобы дать сотрудникам  необходимый уровень доступа  для выполнения должностных обязанностей. Доступ к папкам и программам в этом случае ограничен и легко контролируется администратором. Доступ к папкам и программам может быть закрыт по усмотрению администратора. Доменная структура позволяет контролировать всех без исключения пользователей, избежать случайного удаления важных программ, нежелательного доступа к папкам и документам, централизованно управлять использованием интернет трафика. Кроме ограничения доступа контроллер домена обеспечивает централизованное управление правами пользователя и рабочими станциями, а также контролирует стабильность работы сетевых программ. Все это способствует эффективному и бесперебойному функционированию всех сетевых программ и позволяет контролировать активность пользователей в корпоративной сети.

Безопасность

По заявлениям Microsoft, в Windows Server 2003 большое внимание было уделено  безопасности системы. В частности, система теперь устанавливается  в максимально ограниченном виде, без каких-либо дополнительных служб, что уменьшает поверхность атаки. В Windows Server 2003 также включён программный межсетевой экран Internet Connection Firewall. Впоследствии к системе был выпущен пакет обновления, который полностью сосредоточен на повышении безопасности системы и включает несколько дополнительных функций для защиты от атак. Согласно американскому стандарту безопасности Trusted Computer System Evaluation Criteria (TCSEC) система Windows Server 2003 относится к классу безопасности C2 — Controlled Access Protection

В Windows Server 2003 впервые  появилась служба теневого копирования тома (англ. Volume Shadow Copy Service), которая автоматически сохраняет старые версии пользовательских файлов, позволяя при необходимости вернуться к предыдущей версии того или иного документа. Работа с теневыми копиями возможна только при установленном «клиенте теневых копий» на ПК пользователя, документы которого необходимо восстановить.

Также в данной версии системы был расширен набор утилит администрирования, вызываемых из командной строки, что упрощает автоматизацию управления системой.

 

 

Заключение

 

В данной работе были рассмотрены основные способы администрирования ЛВС В качестве ОС выбрана Windows Server 2003, так как она обладает гибкостью, позволяющей расширять, сужать или распределять серверные системы без ущерба для многофункциональности и соотношения цена/быстродействие для платформы операционной системы.

Данная тема имеет немаловажное значение для дальнейшего развития предприятии. На сегодняшний день разработка и внедрение локальных информационных систем является одной из самых интересных и важных задач в области информационных технологий. Появляется потребность в использовании новейших технологий передачи информации. Интенсивное использование информационных технологий уже сейчас является сильнейшим аргументом в конкурентной борьбе, развернувшейся на мировом рынке.

.