Windows 2003 создание домена
Название работы: Создание домена Windows Server 2003
Категория: Лабораторная работа
Предметная область: Информатика, кибернетика и программирование
Описание: Лабораторная работа № 6. Создание домена Windows Server 2003 Цели работы: научиться создавать домен Windows Server 2003; научиться устанавливать службу каталога Active Directory; изучить структуру службы каталога Active Directory. Задание 1. Установить на сервере службу катало.
Дата добавления: 2013-04-11
Размер файла: 366.12 KB
Работу скачали: 178 чел.
Лабораторная работа № 6 .
« Создание домена Windows Server 2003 »
- научиться создавать домен Windows Server 2003;
- научиться устанавливать службу каталога Active Directory ;
- изучить структуру службы каталога Active Directory .
Задание 1. Установить на сервере службу каталога Active Directory , создать домен mydomain . ru .
Задание 2 . Просмотреть созданный домен одним из способов.
Задание 3. Проверить работу службы DNS с помощью оснастки DNS.
Задание 4. Удалить службу Active Directory .
Windows 2003 создание домена
Установка службы каталогов Active Directory
Создание домена Windows Server 2003
Для создания домена используется программа dcpromo . Название программы – это сокращение от Domain Controller Promotion (Продвижение в контроллеры домена).
После запуска dcpromo начинает работать «Мастер установки Active Directory ».
До начала задания параметров создаваемого домена мастер выводит предупреждение о том, работа каких операционных систем невозможна в домене Windows Server 2003 без изменения параметров безопасности.
При установке первого контроллера домена пользователи сервера, где производится установка, становятся доменными пользователями. «Администратор» преобразовывается в доменного пользователя, включаемого в группу «Администраторы домена». Членство в этой группе обеспечивает все права пользователю.
Если создаётся новый домен, в окне «Тип контроллера домена» необходимо выбрать «Контроллер домена в новом домене».
( Если домен уже существует, необходимо выбрать «Добавочный контроллер домена в существующем домене». Создание добавочного контроллера, в отличие от основного, как правило, не вызывает сложностей).
В окне «Создать новый домен» при установке нового домена следует выбрать «Новый домен в новом лесу».
Поскольку устанавливается первый сервер домена, в окне «Установка или настройка DNS » нужно выбрать параметр «Нет, надо только установить и настроить DNS на этом компьютере». Выбор параметра «Да, и я буду настраивать клиента DNS » подразумевает наличие существующего сервера DNS в сети.
В окне «Новое имя домена» необходимо задать имя, которое присваивается создаваемому домену (например « domain 1. local »).
Имя создаваемого домена должно быть уникальным в сети, использовать такое же имя для серверов или рабочих станций недопустимо. При указании имени следует учитывать следующее:
1. Часть имени слева от точки может быть произвольной (не учитывая специальные символы);
2. Часть имени справа от точки (для доменов локальных сетей, не являющихся непосредственной частью сети Internet ) ограничена единственным словом « local », которое является безусловным указанием для службы DNS создать локальные служебные записи в рамках создаваемого домена.
Использование других вариантов возможно только в случае, когда сеть предполагается интегрировать с другими сетями высшего уровня, и имя домена оговорено особо. В окне « Net — BIOS -имя домена» имя будет проставлено автоматически, изменять его не требуется.
В окне «Папки базы данных и журналов» указывается, где будут располагаться системные данные домена. Рекомендуется либо оставить пути к ним без изменений, либо размещать данные файлы на наиболее отказоустойчивых дисковых массивах. При этом следует помнить, что программное кэширование дисковых операций будет отключено для диска, где будут размещаться данные контроллера домена.
В окне «Общий доступ к системному тому» выбирается расположение папки, общей для всех контроллеров домена. При выборе её размещения следует руководствоваться теми же принципами, как и для папок БД и журналов AD . В обоих случаях рекомендуется следовать указаниям, приведенным в окнах мастера установки Active directory .
В окне «Разрешения» требуется выбрать, какие типы серверов MS Windows будут обладать возможностью считывать информацию из AD . Требуется выбрать параметр «Разрешения, совместимые только с Windows 2000 или Windows Server 2003 «.
В окне «Пароль администратора для режима восстановления» требуется ввести пароль, который потребуется для работ в режиме восстановления служб каталогов. Рекомендуется записать введенный пароль, поскольку он независим по отношению к паролю администратора домена.
На этом выбор параметров в мастере установки AD завершается. Можно просмотреть сделанные настройки, при необходимости вернуться назад и изменить необходимые значения.
После нажатия на кнопку «Далее» начнется установка и настройка AD .
По ее завершению будет выведено информационное сообщение о завершении работы мастера установки AD и предложено перезагрузить сервер.
Рекомендуется перезагрузить сервер.
После перезагрузки сервера необходимо убедиться, что Основной режим разрешений (режим Windows Server 2003) установился. Для этого необходимо открыть оснастку « Active Directory – домены и доверие», «встать» мышкой на название своего домена и из меню выбрать «Изменение режима работы домена».
Если Основной режим разрешений не установлен, его необходимо установить.
Для настройки автоматически созданного при установке контроллера домена DNS следует загрузить оснастку DNS , нажать правой кнопкой мыши на вкладке «Зоны обратного просмотра» и из предложенного меню выбрать пункт «Создать новую зону».
Будет выполнен запуск Мастера создания новой зоны.
В окне «Тип зоны» нужно указать, какая зона будет создана. Поскольку производится настройка первого сервера DNS в домене, требуется выбрать пункт «Основная зона», и рекомендуется выбрать параметр «Хранить зону в Active Directory ».
Выбор в окне «Область репликации зоны, интегрированной в Active Directory » рекомендуется остановить на пункте «На все DNS -серверы в домене имя_созданного_домена . local ». Это позволит передавать зоны только в пределах конкретного домена в случае наличия леса.
Окно «Имя зоны обратного просмотра» задает описание, для каких IP -адресов будет вестись накопление информации и предоставление имен по запросу клиентов. Рекомендуется для простоты вводить именно код сети, представляющий собой количество значащих октетов в адресах локальной сети (Например: 192.168.1).
В форме «Динамическое обновление» требуется выбрать, каким образом может быть изменена информация, хранимая DNS -сервером. Для сетей, в состав которых входят клиенты Windows 2000 и старше, можно разрешать только безопасные динамические обновления. В общем же случае рекомендуется выбирать параметр «Разрешать любые динамические обновления».
После этого создание новой зоны обратного просмотра будет завершено, и появится информационное окно с кратким описанием создаваемой зоны. При необходимости можно вернуться назад и внести необходимые изменения.
После того, как создание зоны обратного просмотра будет завершено, можно просмотреть ее содержимое и корректность именования зоны.
Затем нужно произвести настройку зоны прямого просмотра. Для этого, «встав» в ветви «Зоны прямого просмотра» на зону с именем созданного домена, требуется правой кнопкой мыши вызвать меню и выбрать пункт «Свойства».
На вкладке «Общие», как было проделано при создании ветви обратного просмотра, так же рекомендуется задать параметр «Динамическое обновление» в значение «Небезопасные и безопасные».
На этом настройка сервера DNS заканчивается, и теперь необходимо создать записи для сетевых устройств и активного сетевого оборудования.
Создание записи выполняется следующим образом: на зоне с именем домена следует нажать правую кнопку мыши, и выбрать в меню пункт «Создать узел». В форме ввода информации о создаваемом узле нужно ввести имя узла (полное доменное имя заполняется автоматически) и его IP -адрес, после чего проставить галочку на пункте «Создать соответствующую PTR -запись».
По нажатию кнопки «Добавить узел» запись будет внесена сразу в зоны прямого и обратного просмотра. Если галочка не стоит, в зоне обратного просмотра запись придется создавать отдельно.
Настоятельно не рекомендуется создавать записи для компьютеров и серверов домена в DNS вручную. Для корректного создания записи в меню «Пуск — Выполнить» лучше выполнить команду ipconfig / registerdns , которая выполнит регистрацию на DNS -сервере.
Все операционные системы, подключенные к домену должны быть настроены на использование локальных DNS-серверов (обычно ими являются доменные контроллеры) в качестве предпочитаемых и альтернативных. Если конфигурация протокола TCP/IP настроена верно, операционные системы выполняют создание записей в доменных зонах в автоматическом режиме (за исключением Windows 9X).
Установка и настройка DHCP
Применение службы DHCP упрощает администрирование сети и позволяет обеспечить уникальность используемых в домене IP -адресов. Для установки службы DHCP достаточно зайти в «Панель управления», запустить «Установка и удаление программ», и выбрать вкладку «Установка компонентов Windows », «встать» на строку «Сетевые службы», и нажать «Состав».
Нужно установить компонент « DHCP ».
(Компонент « DNS » был добавлен автоматически в ходе установки AD и снимать с него галочку нельзя).
По завершению установки компонента DHCP нужно загрузить оснастку « DHCP », встать на запись, содержащую имя установленного сервера, и, развернув правой кнопкой мыши меню, выбрать пункт «Создать область». Будет запущен Мастер создания области.
В окне «Имя области» требуется ввести имя создаваемой области раздаваемых адресов и описание к ней. Данная информация вводится для удобства, и принципиального значения введенные данные не имеют значения.
В окне «Диапазон адресов» следует ввести начальный и конечный адреса диапазона, который будет доступен для автоматического распределения между компьютерами домена, и задать маску подсети, выбранную на этапе планирования сети.
В диалоговом окне задан диапазон, включающий в себя все возможные значения адресов в сети. Для того , чтобы не происходила выдача используемых адресов ( IP -адреса серверов, активного сетевого оборудования и другие устройства со статическими адресами) необходимо на форме «Добавление исключений» указать исключаемый из распределения диапазон адресов. Можно перечислить адреса, исключаемые из распределения, по одному вводя их в графу « Начальный IP -адрес».
После указания каждого исключаемого адреса либо диапазона требуется подтверждать ввод нажатием кнопки «Добавить», после чего запись будет добавлена в список исключений.
Окно «Срок действия аренды адреса» служит для указания периода времени, спустя который выданный сервером IP -адрес может быть выдан другому получателю динамических адресов. Для сети, в архитектуре и составе которой изменения достаточно редки, рекомендуется устанавливать достаточно длительный срок аренды.
Для уменьшения общего времени создания домена, рекомендуется ответить согласием на предложение мастера создания области произвести настройку параметров DHCP .
Окно « Маршрутизатор (основной шлюз)» заполняется при наличии такового в составе сети.
Если подобного устройства нет, то окно нужно оставить незаполненным. Добавление основного шлюза так же требует нажатия на кнопку «Добавить», после чего введенный адрес маршрутизатора будет добавлен в список.
Окно «Имя домена и DNS -серверы» требует особого внимания. В графу «Родительский домен» требуется ввести без каких-либо сокращений полное имя созданного домена (например: « domain 1. local »). Ошибка или неполный ввод имени домена повлечет за собой проблемы в работе сети, например, сложности с подключением компьютера к домену.
Тут же вводятся адреса DNS -серверов сети. Рекомендуется вводить не адрес DNS -сервера, а его имя, при нажатии на кнопку «Сопоставить» адрес сервера будет проставлен автоматически, после чего так же необходимо нажать на кнопку «Добавить». Если не произошло сопоставление имени DNS -сервера либо был возвращен неверный IP -адрес, это может означать наличие проблем либо в службе DNS , либо в настройке сетевого соединения.
Можно вводить адреса нескольких DNS -серверов, если в сети используется одновременно несколько DNS -серверов.
Если в сети нет серверов WINS , то окно « WINS -серверы» следует оставить пустым.
Окно «Активировать область» позволяет отложить активацию создаваемой области на произвольное время (например, когда настройка сервера производится в другой локальной сети, либо выдача адресов производится другой зоной, и создаваемая зона еще не используется). Если сервер настраивается первым необходимо выбрать пункт «Да, я хочу активизировать эту область сейчас».
На этом работа мастера создания зоны завершается, можно при необходимости вернуться и произвести требуемые изменения в параметрах создаваемой области.
После завершения работы мастера создания зоны требуется авторизовать DHCP в AD . Если этого не проделать, адреса клиентам выдаваться не будут.
Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Авторизовать».
Знаком того, что сервер уже авторизован либо авторизация прошла успешно и теперь может производиться выдача адресов является изменение внешнего вида иконки сервера DHCP .
После авторизации стрелка меняет цвет на зеленый и указывает наверх.
Для того , чтобы выданные сервером адреса автоматически передавались в DNS , следует произвести дополнительную настройку сервера DHCP . Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Свойства».
На вкладке «Служба DNS » рекомендуется выставить те же параметры, что использовались ранее. Данная настройка обеспечит одновременно и передачу информации в DNS обо всех выданных адресах, вне зависимости от типа клиента, и будет выполнять автоматическое удаление устаревшей информации при истечении срока аренды адреса.
Работа клиентов Windows 9х в домене Windows Server 2003
В домене Windows Server 2003 был повышен уровень безопасности по умолчанию, что привело к появлению определенных сложностей в работе устаревших клиентских систем, таких как Windows 95, 98, NT 4.0.
Для того , чтобы позволить данным операционным системам производить работу в домене, рекомендуется выполнить установку на машины клиента Active Directory DSCLIENT.EXE (располагается на дистрибутивах Windows 2000 Server в папке CLIENTS\WIN9X), и произвести ряд модификаций политик безопасности.
Для выполнения модификаций следует запустить оснастки «Политика безопасности контроллера домена»,
затем «Политика безопасности домена», и отключить показанные параметры безопасности.
По информации Microsoft , достаточным является отключение параметра «Сервер сети Microsoft : использовать цифровую подпись (всегда)» в политике безопасности домена Windows 2003.
После завершения редактирования данных политик безопасности рекомендуется произвести перезагрузку сервера.
