Смотрящий домена: настройка

Некоторое время назад на страницах газеты мы занимались инсталляцией Windows 2003 Server. Теперь же приступим непосредственно к ее настройке и реализации своих администраторских амбиций.


Назови меня тихо по имени

Domain Name System (DNS) - важная часть контроллера домена. DNS призван заменить устаревший протокол NetBIOS, который позволял обращаться к компьютерам в сети по именам, а не по IP-адресам. Хотя набор возможностей DNS этим не ограничивается.

Как уже было отмечено, при установке контроллера домена DNS конфигурируется автоматически. Но иногда есть смысл покопаться в настройках самостоятельно. Для доказательства поставим перед собой задачу: для определенной группы сотрудников блокировать доступ к локальной сети, не лишая их возможности работы с электронной почтой.

Чтобы приступить к реализации задуманного, запустим оснастку DNS. Сделать это можно двумя способами: Manage Your Server > Manage this DNS Server либо в меню Start > Run набрать команду dnsmgmt.msc.

В окне оснастки щелкните правой кнопкой мыши по названию сервера и в ниспадающем меню выберите Properties. В появившемся окне на вкладке Interfaces можно указать IP-адреса, которым разрешено пользоваться услугами DNS (по умолчанию разрешено для всех адресов). Группу сотрудников, которых нужно ограничить, следует исключить из списка обслуживания DNS, а в настройках почтовой программы указывать только IP-адреса почтовых серверов.

Если быть откровенным, то данное ограничение можно обойти, обращаясь к интернет-ресурсам напрямую по IP-адресам, но на такое способна только горстка продвинутых пользователей, для большинства же остальных препятствие будет непреодолимым.

Было бы упущением не упомянуть о том, что локальный DNS-сервер работает только для имен локальной сети, и как только речь заходит об интернет-адресах, он тут же обращается за помощью к "старшим товарищам". К примеру, адрес интернета www.computery.ru наш локальный DNS-сервер обработать (разрешить его в IP-адрес) не в состоянии, поэтому данный запрос он пересылает серверам, указанным на специальной вкладке Forwarders, обычно это серверы провайдера интернет-услуг. Аналогичный механизм действует, когда локальная сеть разбита на несколько подсетей.

Если вы обратили внимание, то в оснастке DNS имеются две ветви - Forward Lookup Zones и Reverse Lookup Zones. Разъясним, о чем речь. Обычно сервер DNS используется для преобразования имен в IP-адреса, этот процесс известен как прямое разрешение имен (forward lookup). Кроме этого, сервер DNS может использоваться и для преобразования IP-адресов в имена, это и есть обратное разрешение адресов (reverse lookup).


Адресок дадите?

DHCP, отвечающий за раздачу IP-адресов, автоматически не устанавливается вместе с AD, это предстоит сделать вручную. В оснастке Manage Your Server выберите пункт Add or remove a role и щелкните по пункту DHCP. Мастер установки молча сделает свое дело, а потом поинтересуется об имени пула адресов и его диапазоне. Затем вам понадобится указать адреса, которые следует исключить (закрепленные за серверами или шлюзами); указать время аренды (по умолчанию 8 дней - это оптимально, если только у вас в сети часто не появляются временные компьютеры, например, ноутбуки).

Далее нужно указать router (проще говоря, шлюз для интернета). Нужно ли это вам? Все зависит от того, как организована сеть. К примеру, если есть сервер и есть шлюз, через который уходят все запросы в глобальную сеть, то надо указать IP-адрес шлюза, если интернета нет, то этот пункт можно пропустить. Кстати, адрес шлюза можно посмотреть в настройках сетевого соединения.

Далее потребуется указать имя DNS, WINS (использовались на старых серверах под NT4) серверов. Впрочем, вы можете ничего не указывать в этих полях, поскольку IP-адрес сервера DNS может сообщаться клиентским системам автоматически, при помощи DHCP, или устанавливаться вручную в окне настройки сетевых соединений.

Чтобы перейти к настройке своего DHCP сервера, в оснастке Manage Your Server щелкните Manage this DHCP server. В появившейся оснастке будет отображаться пул IP-адресов, которые будут раздаваться компьютерам локальной сети. В ветви Address Leases отображаются используемые в данный момент IP-адреса. Для нас может представлять интерес ветвь Reservations, здесь можно заняться принудительной раздачей IP-адресов, они будут закрепляться в зависимости от MAC-адреса сетевой карты.

Рассмотрим на примере. Компьютеру босса вам хотелось бы назначить постоянный адрес, дабы увеличить ему приоритет при работе в интернете. Что вы делаете? Первым делом узнаете MAC-адрес сетевухи, для этого в консоли выполните команду nbtstat -a имя_компьютера. Далее в оснастке DHCP щелкните правой кнопкой мыши по ветви Reservations, в ниспадающем меню выберите New Reservation, введите в соответствующее поле полученный ранее MAC-адрес и назначьте некий постоянный IP-адрес данной машине.


Как принимать гостей

К принятию в домен нового члена следует подготовиться и сделать это надо на сервере. Первым делом создайте для пользователя учетную запись: запустите оснастку dsa.msc, щелкните мышкой по контейнеру Users и выберите New User, укажите необходимые настройки.

Теперь можно приступать к клиентской части. Загрузившись под локальным администратором на компьютере, который вы желаете ввести в состав домена, откройте окно свойств системы (сочетание клавиш win + break) и здесь следуйте в направлении Computer Name > Change. В поле Member of укажите название домена (в нашем случае UPS). После нажатия OK вам потребуется ввести имя и пароль администратора домена, поскольку только он имеет право вводить в домен новых членов (это диктуется правилами защищенного обновления). Хотя в вашем домене вы можете использовать незащищенное обновление - тогда регистрироваться в нем сможет любой желающий, но делать это не рекомендуется, поскольку такая свобода быстро приводит к беспорядку.

После завершения предыдущей процедуры потребуется перезагрузка. Теперь у вас есть два варианта входа на этот компьютер: с использованием учетной записи, созданной в Active Directory, либо при помощи локальной учетной записи.

Напомним, используя оснастку dhcpmgmt.msc, вы можете контролировать раздачу адресов для данной клиентской машины и назначать их вручную. Используя возможности dsa.msc, вы можете изменить членство пользователя в группах безопасности, ограничить время его входа либо же вообще привязать к одной рабочей станции. Также на пользователя можно распространить или отменить действие политик безопасности.


Пространство для творчества

Вот, пожалуй, и все, если быть кратким. Мы не ставили перед собой задачу написать всеобъемлющее руководство по настройке сервера. Цель данной статьи - заставить вновь поставленный контроллер работать и разъяснить некоторые базовые принципы функционирования этой громоздкой, сложной, но весьма удобной структуры под названием домен. Развивать тему вам предстоит самостоятельно, потому что далее в этой области уже не обойтись без элементов творчества, а творчество - процесс сугубо индивидуальный.

[email protected]


Если тяжелый пароль усложняет жизнь...

При добавлении компьютера к домену в оснастке Active Directory Users and Computers у вас могут возникнуть проблемы. Причина потенциальных сложностей кроется в усиленных мерах безопасности, предпринятых в Windows 2003 Server. Дело в том, что у сервера теперь на уровне политик безопасности запрещено использование легких паролей. Поэтому, когда вы будете создавать нового пользователя, то не сможете указать для него пустой пароль, чтобы пользователь затем сам сменил его при первом входе. Операционная система тут же воспротивится вашим действиям, сообщив, что пароль не соответствует текущим настройкам безопасности. Согласитесь, это уже перегиб. Поэтому, дабы восстановить попранную свободу выбора паролей, мы запустим оснастку локальной серверной политики - gpedit.msc. В появившемся окне следуем: Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy. Здесь переводим политику Password must meet complexity requirements в состояние Disable и Minimum password length назначаем 0 characters.

Версия для печатиВерсия для печати

Номер: 

22 за 2005 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!