Инсталиране конфигуриране и поддръжка на windows ... ·...

Инсталиране, конфигуриране и поддръжка на Windows 2003 базирани мрежи

Windows 2003 е операционна система, резултат от две и половина години подобрения на Windows 2000 и съобразявания с клиентски изисквания. В него се включват технологии за ускорено изграждане/реализиране на сървърна структура, Active Directory, подобрени инстрименти за миграция (от другите операционни системи на Microsoft), най-добрият по рода си application server, нова Group Policy Management конзола, усъвършенствани file and print услуги, инстрименти за управление базирани на ролята и задачата, многобройни подобрения на сигурността. Подобрена е и работата му в сравнение с Windows 2000. Windows Server 2003 е наличен в много по-широка гама продукти, отколкото предшественика си. 32-битовите системи са:

1. Windows Server 2003 Web Edition – Предназначен и оптимизиран за обслужване и хостване на уеб сайтове. Поддържа 2 процесора и до 2GB рам. Може да бъде член на Active Directory домейн, но не можа да бъде конфигуриран като домейн контролер. При него липсва голяма част от инфраструктурата по управлението

2. Windows Server 2003 Standard Edition – Най-често използваният при малки и средни компании. Поддържа 2 процесора и до 4GB рам и много повече услуги и инструменти от Web Edition.

3. Windows Server 2003 Enterprise Edition - Поддържа 4-8 процесора, до 32GB рам и повече услуги.

4. Windows Server 2004 Datacenter Edition – 8-32 процесора, до 64GB рам

Enterprise и Datacenter Edition-ите са разработени и в 64-битов вариант, с малко променени характеристики (възможност за поддръжка на повече оперативна памет). Инсталация на Windows Server 2003: Инсталацията на Windows Server 2003 е доста сходна с тази при XP. Тук обаче се поддържа “Remote Installation Services (RIS)” услугата, която позволява създаване на image-и и инсталирането им отдалечено. Благодарение на това можете бързо и лесно да създавате идентични сървъри (домейн контролери, уеб ферми и пр.). Концепция за сървърни роли: Концепцията за сървърните роли е нова за Windows 2003 и опростява конфигурирането на сървъра за определени задачи. Standard Edition-а може да бъде конфигуриран за следните роли:

1. Файл сървър 2. Принт сървър

3. Application сърър – задействащ ASP.NET и Internet Information Services

4. Сървър за поща 5. Терминален сървър 6. Virtual Private Network/Remote Access сървър 7. Домейн контролер 8. DNS сървър 9. DHCP сървър 10. WINS сървър 11. Streaming Media сървър

Повечето от тези възможности са налични и в Windows 2000, но изискват много по-голямо разбиране на основната система за да бъдат пуснати и конфигурирани. Не е проблем да конфигурирате сървър за повече от една от горните роли. След като сте го направили (през “Manage Your Server”) последният ви предоставя възможност за по-нататъчно управление. Подобрения и нововъведения в Windows 2003:

1. Промени в инсталацията и ъпдейтите: - По-големи изисквания откъм хардуер - NTFS форматиране на дяла. Предишните версии форматират

партишъна като FAT32 и после го конвертират. С това се елиминира рестарта по време на инсталация и се намаля фрагментацията на Master File Table-а

- По подразбиране не се инсталира Internet Information Services услугата.

- Може директно да се инсталира върху I2O (Intelligent I/O) mass storage устройства, без инсталиране на алтернативни драйвери

- Възможност за отдалечена инсталация посредством Remote Installation Services (RIS).

- Нова схема за copyright защита, с цел борба с пиратството. Особенно ефективна! ☺

- Поддръжка на Software Update Services и AutoUpdate 2. Промени в мрежовата структура и комуникациите

- Поддържат се и са подобрени технологии като IPv6, Network Bridging, Internet Connection Sharing, IPsec, Nat, IP over Firewire

- Подобрения във Virtual Private Networks и Remote Access Services

- Нов Remote Desktop Protocol (RDP) 5.2, подобряващ новия Terminal Server.

- Windows Server 2003 има вградена поддръжка на Point-to-Point Protocol over Ethernet (PPPoE) протокола, позволяващ свързване на индивидуални клиенти към доставчик на услуги през broadband връзка.

- Нововъведение е опцията да се свържете със сървъра през сериен порт, ако той не може да бъде достъпен през мрежата. Това става посредством “Emergency Management Services (EMS)”

3. Промени във файловата система и съхранението - Подобрение на NTFS файловата система - Стандартните NTFS разрешения в Windows Server 2003

значително ограничават достъпа на потребителите до файловете в системните папки

- Side-by-Side assemblies е новост спрямо 2000. Представлява средство за поддържане на множество dll файлови версии с едно и също име

- Новост са “Volume Shadow Copies” предлагащ back-up-ване. Благодарение на него може да достъпвате стари или изтрити

- Automated System Recovery (ASR) – позволява backup на операционната система, системното състояние, харуерната конфигурация, така че да може да бъде възстановена в emergency ситуация.

- Премахнат е Emergency Repair Disk - Невероятно подсилен Check Disk - Поддръжка на SAN - Virtual Disk Service, засягащ RAID - Дефрагментация на дисковете през конзолата, поддържаща

всякаква големина на клъстера (при Windows 2000 само 4к) - За разлика от Windows 2000, тук дяловете могат да бъдат

разширявани - Включено е много полезното конзолно приложение “Diskpart”.

Благодарение на него е възможно да се извършва цялостно управление на диска от конзолата (и следователно посредством скриптове)

- Системата се грижи за пласирането на важните системни файлове, така че производителността да е максимална

- Подобрение при конвертирането на файловата система към NTFS

- Отчита се колко често се използва дадено exe. На всеки 3 дена следва реорганизация и дефрагментацията им с цел подобряване на бързодействието

- Подобрение в WebDAV спрямо Windows 2000. Web-based Distributed Authoring and Versioning са технологии (значително променени в тази версия на операционната система) позволяващи трансфер на файлове по мрежата посредством HTTP вместо SMB.

4. Active Directory - По-лесна за създаване, управление и с по-голяма гъвкавост

(възможност за преименуване на домейни, cross-forest доверености и др)

- Наличие на много нови инструменти за боравене с Active Directory

- Новата Microsoft Management Console 2.0 включва възможност за скриптиране и много подобрения.

- Много и качествени подобрения на User Interface-a - Пълен комплект на инструментите за изпълнение от командния

ред - Подобрена сигурност – Добавен е "Authentication Methods for

LDAP." (RFC 2829), подобряващ интеграцията на Active Directory в не-Windows операционнни състеми

- Real-time LDAP – добавена е "LDAPv3: Extensions for Dynamic Directory Services." (специфицирана в RFC 2589) позволяваща слагане на чувствителна по време информация в AD, например текущата позиция на клиента.

- Enhanced LDAP security – добавено "Authentication Methods for LDAP." (RFC 2829), правещо по-лесно интегрирането на AD в не-Windows среди и "LDAPv3: Extension for Transport Layer Security" (RFC 2830), позволяващо използване на сигурни връзки при изпращане на LDAP query-та към домейн контролер

- Поддръжка на "Definition of the inetOrgPerson LDAP Object Class" (RFC 2798) – обслужва взаимодействието с Netscape и NetWare директорийни услуги, използващи inetOrgPerson Object Class

- Броят на обектите, които могат да се съхраняват в AD вече е над 1 милиард.

- Подобрена репликация на Active Directory – свързаните обекти вече се репликират поотделно; минимизирано ребилдване на Global Catalog-а (не се изисква пълна репликация при добавяне/премахване на атрибут)

- Нова схема с приблизително 400 промени спрямо Windows 2000

- Нови домейн операции - “Промоция” на домейн контролер, посредством backup тейпове

– При голяма AD може да отнеме много време клонирането на информацията на другите домейн контролери. Затова вече могат да се използват backup тейпове/файлове

5. Нова функционалност и други - Windows 2003 върви с .NET Framework 1.1 като интегриран

компонент, за разлика от предходниците си - Интегрирани са също и SOAP 1.2, COM+ 1.5 и MSMQ 3.0 - Нова е Group Policy Management конзолата и предоставя 2

нови много ценни добавки. Първата е “Group Policy Modeling” – позволява промяна на GP, така че да може да видите резултата, без да прави самите промени в системата. Втората е “Group Policy Results” – позволява Ви да видите кои GP са предизвикали определено държание

- Подсилени Windows Media Services (WMS) услуги, предлагащи “Fast Streaming” и “dynamic content programming” фийчъри, “cache/proxy server” възможност, доставяне на “multicast content” и тн.

- Writable CD/DVD – благодарение на технология на Roxio вече може да записвате, без да използвате специални продукти, а просто като драгнете нещо върху CD-Rom Drive-а.

- Подобрения в инструмента “User State Migration Toolkit” (появяващ се в Service Pack 2 на Windows 2000), предоставящ ви функционалността да прехвърлята профили и порграмни конфигурации на потребители между машини

Сигурност при Windows Server 2003: За да се осигури висока сигурност, в Windows 2003 са направени много подобрения и са добавени много нови инстрименти и процеси. В това число се включват Active Directory, аутентикация (Kerberos & PKI), контрол на достъпа, одитинг, защита на мрежовите данни, доверености и други. Active Directory: Active Directory е директорийна услуга. Тя позволява да се съхраняват данни за мрежови обекти (потребителски акаунти, групови политики, ресурси, настройки и друга информация) в логически, йерархично структуриран вид на централизирано място. Това позволява бързо намиране на информацията, лесното й администриране и сигурно съхранение. След инсталация, цялата информация на AD се пази във файла NTDS.DIT, разположен в %WINDIR%, който е отворен перманенто и в който се записва моментално всяка промяна в директорията. AD се съхранява на домейн контролерите и обслужва машините в съответния домейн. При наличие на повече от един домейн контролер, директорията се пази на всичките (и съответно загубата на даден контролер не е фатална за работата на мрежата). Информацията във всички AD-та трябва да е идентична. Процеса на синхронизиране на тази информация се нарича репликация. Тъй като това е жизнено важен процес, за неговото бързодейстивие е направено много – информацията в AD се съхранява в дървовиден вид и при промяна на някаква част от нея се репликира само малък блок данни. Три са основните звена в Active Directory – Domain Partition, Configuration Partition и Schema Partition. В първият се съхранява жизнено важна информация за домейна – потребители, компютри, ресурси и атрибутите им. В Configuration Partition се съхранява информация за топологията на директорийната услуга – информация за конфигурацията на домейните, домейн дърветата и домейн горите и довереностите между тях. Пази се също и разположението на домейн контролерите и Global Catalog (подмножество на информацията от AD, достъпна за търсене и използване

от домейните). В Schema Partition е информацията за схемата и атрибутите на отделните обекти. Могат да се създават и Application Partitions, които се използват за съхранение и използване на информация от определено приложение. Аутентикация: Аутентикацията е процес за проверка дали кандидат е този, за когото се представя. Windows 2003 предлага single sign-on – веднъж логнал се в домейна, потребителят може да използва създадената сесия за да се аутентикира пред всеки компютър в него. Централизираното и сигурно съхранение на акаунти и друга важна информация за мрежата, предоставено от Active Directory, изисква и сигурен протокол за аутентикиране. Kerberos 5 е стандартният такъв за всички Windows 2003 версии и осигурява най-високо ниво на защита. Kerberos се състои се от 3 части - Key Distribution Center (KDC), клиент и съврър. KDC е инсталирано като част от домейн контролера и изпълнява две функции – аутентикация и връчване на билет. При логване в мрежата потребителят преговаря за достъп използвайки своето име и парола. Те биват проверявани от KDC (имащо достъп до Active Directory данните) на съответния домейн. Когато потребителят е сполучливо аутентикиран той получава TGT (Ticket-Granting-Ticket) билет, валиден за локалния домейн, имащ живот 10 часа и кеширан на локалната машина. За да достъпи услуга на сървъра, клиентът предоставя своя TGT на Ticket Granting Service. TGS аутентикира TGT билета на клиента и създава нов билет и сесиен номер за него и за самия сървър. Тази информация е наречена Service Ticket и се пази на потребителската машина. Щом като потребителят има този билет, той може да установи връзка с услугата на съвръва, който от своя страна има връзка с KDC и може да провери билета. TGT и Service Ticket се използват не само при достъп до отдалечени услуги, но и при локално логване (с малки различия). Процесът се извършва когато се появи Logon прозорецът. Създава се “access token”, съдържащ всичките групи, на които принадлежи потребителя. Този токен се прикача към сесията и се използва от процесите и програмите. Сигурността при Kerberos се подсигурява със симетрично кодиране на информацията, която се пренася. Не се използва Public Key Infrastructure. Симетричният ключ се уговаря по out-of-band метод (например телефон ☺). Паролите не се изпращат в чист вид. Изпраща се техен отпечатък – комбинация от използване на DES, CBC и MD5 за изчисляване на хеша. За предпазване от replay атаки се използват timestamp и nonce механизми. При първия клиентът изпраща криптиран часа и сървърът приема заявката в зависимост от това дали този час е в определен толеранс. Nonce представлява определено число, което също се изпраща. То е включено и в хеша на паролата. Сървъра разполага с това число и с оригиналната парола и може да сравни правилността на хеша. Допълнително проверява

в своя база, дали с този nonce вече не е извършено логване и ако е така отказва replay атаката. Докато Kerberos 5 подсигурява сигурно, централизирано и ефективно аутентикиране на ниво домейн, не така стоят нещата с Интернет, където на дневен ред са повече проблеми със сигурността. Тук се появява Public Key Infrastructure (PKI), с която се постига запазване конфиденциалността на потребителите и с която се предпазва трафикът от подслушване. Двете стратегии използвани от PKI на Windows включват използването на дигитални подписи (осигурени с използването на сертификати, дистрибутирани посредством X.509 version 3 certificate standard) и симетричното криптиране на информацията. В схемата на PKI се включва и Certification Authority – сървър грижещ се за съхранението и проверката на сертификатите. Когато получим сертификат, подписан от дадено CA, на което имаме доверие, то можем да сме спокойни, че собственикът на сертификата е този, за който се представя. Certification Authority сървърите са изградени в йерархия. Имплементацията на Windows Server 2003 PKI има някои допълнително фийчъри:

1. Потребител, който се логва на домейна може да се възползва от т.нар “roaming user profiles” и да използва своите сертификати.

2. Windows Server 2003 CA поддържа backup/restore на сертификатния лог, което е важно за възстановяване на двойките частен/публичен ключ и свързаните с тях данни

След като сертификатите са направени достъпни, потребителите вече могат да се възползват от приложения и услуги използващи PKI. Такива са например Web Security (включващо технологии като Secure Sockets Layer, Transport Layer Security, Secure channel protocols), електронна поща, Authenticode (служещ за проверка дали даден софтуер е произведен от определена компания), Encrypted File System (фийчър на Windows 2003 NTFS, позволяващ защита на файлове) и тн. Microsoft Certificate Authority може да бъде инсталирано или като Enterprise CA или като Standalone CA. Основната разлика е, че второто не взаимодейства с Active Directory и не поддържа логване със smart карти. Контрол на достъпа: Освен аутентикацията, администраторите могат да кофигурират и достъпа до ресурсите и обектите на мрежата на всеки потребител (или група потребители). Това се постига чрез назначаването на security descriptors на обекти, които се съхраняват в Active Directory. Всеки такъв изброява потребителите и групите, на които се позволява достъп до даден обект и специфичните им позволения. Така може да защите всеки компютър или обект.

Одитинг: Одитингът е средство за проследяване на потенциални проблеми със сигурността. За ефективното му прилагане е необходима добра политика, изискваща правилно и пълноценно да определите обектите, достъпа и събитията, които ще следите. Най-често срещаните събития за одитване са логването и разлогването на потребителите, управлението на акаунтите и групите и достъп до обекти на файловата система. Защита на мрежовите данни: Мрежовата информация е подсигурена от протокола за аутентикация. За допълнително ниво на сигурност може също да изберете да криптирате данните. На разположение са ви следните инструменти - Internet Protocol Security (IPSec), базирани на криптография услуги и протоколи за сигурност, Routing and Remote Access (служещ за конфигуриране на протоколите за отдалечен достъп) и Internet Authentication Service (IAS) - за аутентикация и сигурност на dial-in потребители IPSec са класически услуги и протоколи за защита на мрежа. Лесни са за вкарване в употреба, тък като не изискват никакви промени в програмите и протоколите, които ще ги използват. Основно IPSec предоставя аутентикация на компютърно ниво и криптиране на данните при виртуални частни мрежи (VPN), които използват L2TP (Layer 2 Tunneling Protocol). IPSec се уговаря между компютър и VPN сървър преди установяване на връзка и подсигурява и паролата и данните. Криптирането се определя от IPSec Security Association (SA) - комбинация от адрес, протокол, идентификатор, наречени Security Parameters Index (SPI). Наличните крипто алгоритми включват DES и 3DES с 56 битови ключове. Routing and Remote Access е пълноценен софтуерен router, предлагащ услуги в LAN и WAN, използвайки VPN. Internet Authentication Service е Microsoft-ската имплементация на Remote Authentication Dial-in User Service (RADIUS) в Windows 2003. Той извършва централизирана аутентикация, оторизция и поддръжка за множество видове мрежов достъп - wireless, authenticating switch, remote access dial-up, VPN connections и други. Security Policy: Security политиката е важен елемент от общата сигурност на компютър или мрежа, които трябва да бъдат защитени. Общотото правило е, че колкото повече сигурност е свързана със системата, толкова по-неудобно ще е това за потребителите. Security политиката, както и другите процедури по сигурността, помага в дефинирането на това какво се опитваме да защитим и как да го направим. Може да контролирате сигурността на локалната машина, контролирайки password policies, account lockout policies, Kerberos policies, auditing policies, user rights и други. За да създадете политика може да използвате security темплейти, да ги прилагате посредством “Security Configuration and Analysis” или да създавате полигики на локалния

компютър, домейн или на организационни еденици. Security темплейтите улесняват живота на администратора, позволявайки му да създава темплейти и после да ги прилага върху отделни потребители или групи. Използват се ASCII файлове, чиито имена имат .inf разширение, разположени в %SystemRoot%security\templates. Препоръчва се използването на приложния софтуер при модификацията и създаването на темплейти, вместо някакъв текстов редактор. По подразбиране се използва темплейта security.inf Security Configuration Manager дава възможност да създавате, променяте и прилагате променливи за сигурност за вашия локален компютър, организационна еденица или домейн. Той се състои от компонентите Security Templates, Security Settings Extension to Group Policy, Local Security Policy, Secedit Commands.

Security Configuration and Analysis служи за анализиране и конфигуриране на локалната сисетемна сигурност. Може също да бъде използван за импортиране на security темплейти, които вече сме направили посредством Security Templates и прилагането им на локалния компютър. Това мигновенно конфигурира системата със нивата специфицирани в темплейта. а система

Доверености: Windows 2003 предлага два типа доверености - за домейни и за гори. Първите позволяват на потребител да се аутентикира пред друг домейн, докато вторите позволяват по-глобална утентикация - на ниво домейн гора. Преди потребителят да получи (или не) достъп до ресурсите, 2-та домейн контролера, този на домейна на потребителя и този на домейна цел проверяват довереностите (така наречените trusted paths). Довереностите могат да бъдат еднопосочни (само домейн А има достъп до обектите на домейн Б, не и обратното) или двупосочни (two-way transitive trusts). Освен за същата и за произволна друга гора, доверености могат да се използват и спрямо Windows NT 4.0 домейни и Kerberos V5 realms. Средства и инструменти за администриране и поддръжка: Основните средства за администриране се намират в Control Panel->Administrative Tools. С най-често приложение е Computer Management. Чрез него се управляват локалните потребители и групи, техните разрешения, всевъзможните логове. През този инструмент е достъпен и Device Manager-a. Управлението на услугите също може да се извършва от него. Много от съставящите го компоненти (например DNS, Routing and Remote Access, POP3 Service, Services, IIS) са достъпни и като отделни средства за администриране, отново намиращи се в Administrative Tools.

Другият основен инстримент е Manage Your Server. Той позволява да конфигурирате вашият сървър за определена роля (Application Server, Mail Server, Domain Controller и тн.), предоставя всичката необходима помощна информация и дава възможост за стартиране на всички възможни инструменти за администриране (в Administrative Tools и More Tools). Съществува множество от инструменти за администриране. Ето и малък списък с някои от тях: ACL Diagnostics (acldiag.exe) – открива и показва проблеми с привилегиите намерени в Access Control Lists на обекти в Active Directory Active Directory Domains And Trusts – Служи за конфигуриране на доверености между домейните и горите Active Directory Replication Monitor (replmon.exe) – Позволява контрол на информацията за репликиране на Active Directory Active Directory Search Tool (search.vbs) – Скрипт служещ за претърсване на LDAP (Lightweight Directory Access Protocol) директория Active Directory® Users and Computers – Служи за добавяне и управление на обекти в директорята Application Deployment Diagnostics (addiag.exe) – Дава списък ма софтуерър имплементиран на локалната машина, използващ групова политика ADSI Edit (adsiedit.msc) – Позволява промяна на обекти в Active Directory Advanced Power Management Status (apmstat.exe) – Дава информация за power management-а в по-стари notebook компютри Binary File Difference Finder (bindiff.exe) – Инструмент за сравняване на двоични файлове BITS Administration Utility (bitsadmin.exe) – Администрира Background Intelligent Transfer Service, контролиращ фоновите файлови трансфери за Internet Information Services Browser Status (browstat.exe) – Показва състоянието на мрежовия броузър Cabinet Tool (cabarc.exe) – Създава, преглежда и екстрактва .CAB файлове Certification Authority (certsrv.msc) – Позволява ви да се грижите за сертификатите

Clone Principal (clonepr.dll) – Тази библиотека клонира NT потребители и групи, осигурявайки миграция до Windows Server 2003 forest Cluster Administrtor – Позволява администриране на клъстерите Component Services – Инсталиране и управление на COM услугите Data Sources (odbcad32.exe) – добавя и изтрива източници на данни Dependancy Walker (depends.exe) – Позволява да се прегледат всички зависимост на файл, например кои dll-та са зависими и други като тях Device Console Utility (devcon.exe) – command prompt версията на device manager-а DFS and SYSVOL Replication Topology Analysis Tool (topchk.cmd) – Показва FRS replication топологията DHCP Server Locator Utility (dhcploc.exe) – Показва списък на всички DHCP сървъри в subnet-а Directory Disk Usage (diruse.exe) – Показва размера на директориите и информация касаеща компресиране Directory Services ACL Editor (dcaslc.exe) – Управлява контролните листи за достъп за Active Directory обектите Directory Services Utility (dsastat.exe) – Сравнява две директорийни дървета в същия домейн или в различни домайни Distributed File System (DFS) Utility (dfsutil.exe) – Управлява DFS Diskprobe (dskprobe.exe) – Позволява да се променя дирекнто информация на дисковите сектори (включително и Master Boot Record-a) Disk Manager Diagnostics (dmdiag.exe) – Дава детайлна диагностична информация за твърдите дискове Distributed File System (dfsgui.msc) – Служи за настройка на шернати папки и други такива DNS (dnsmgmt.msc) – Служи за управление на DNS сървъра DNS Server Troubleshooting Tool (dnscmd.exe) – Администраторите имат възможност да преглеждат и модифицират DNS сървъри, зони и ресурси

Domain Controller Diagnostic Tool (dcdiag.exe) – Анализира и съобщава за състоянието на домейн контролер Encrypting File System Information (efsinfo.exe) – Дава информация за файлове, които са били криптирани чрез EFS. Този инструмент е полезен, когато е необходимо да се анализира кои файлове и директроии ас криптирани Extensible Perforamce Counter List (Exctrlst.exe) – Показва информация за програмите използващи регистъра, за д апредоставят броячи на производителността File and Directory Comparison (windiff.exe) – Сравнява ASCII текстови файлове и директории File Replication Utility (ntfrsutil.exe) – Показва състоянието на NT file replication service на екрана или във файл FileVer (filever.exe) – Показва информация за версията на файл или директория FRS Health Check (health_chk.cmd) – Показва здравето на FRS на специфичен домейн контролер FRS Inbound and Outbound Logs Report Tool (lologsum.cmd) – Показва информация за FRS репликация Get Security ID (getsid.exe) – Проверява дали базата данни с потребителски акаунти е повредена, сравнявайки SID-тата на акаунта на 2 домейн контролера Global Flags Editor (gflags.exe) – Позволява да се променят глобалните настройки в регистъра, които се използват от ядрото HTTP Configuration Utility (httpcfg.exe) – Управлява HTTP Application Programming интерфейса IAS Parse Tool (iasparse.exe) – Парсва RAS и IAS логове и показва резултатите в IAS или ODBC формат Internet Information Services (IIS) Manager (iis.msc) – Управлява Web, FTP и други услуги

Kerberos Keytab Setup (ktpass.exe) – Конфигурира не-windows 2003 kerberos service да бъде security principle в Windows Server 2003 Kerberos Setup (ksetup.exe) – Конфигурира Windows Server 2003 клиенти да използват MIT Kerberos Server Local security policy – Служи за промяна на локалните политики LDP Tool (ldp.exe) – Изпълнява LDAP операции Manipulate Service Principle Names for Accounts (setspn.exe) – Манипулира SPNs за active directory service акаунти Memory Pool Monitor (poolmon.exe) – Показва информация за системната памет Memory Profiling Tool (memsnap.exe) – Дава възможност за записване на списък от ресурси на паметта, които се използват от вскички процеси Move Users (movetree.exe) – Премества обекти между домейни Network Connectivity Tester (netdiag.exe) – Troubleshoot-ва мрежовата връзка Network Monitor Capture Utility (netcap.exe) – Снифър на пакети, използващ Network Monitor за да capture-ва пакети и да ги логва във файлове NItest (nitest.exe) – Проверява статута на доверености, показва главните домейн контролери, принуждава shutdown и синхронизация на потребителските бази данни Poolmon (poolmon.exe) – Помага за откриване на утечки в паметта показвайки детайлна информация за алокираната памет POP3 Service (p3server.msc) – Управление на пощенските услуги Port Query (portqry.exe) – Позволява troubleshoot-ване на TCP u UDP портове Process Viewer (pviewer.exe) – Дава възможност за промяна на приоритета и убиване на процеси. Този инструмент е по-добър от Task Manager-а, защото дава по-детайлна информация за паметта и приоритета на процесите Remote Command Line (remote.exe) – Изпълнява програми от командния ред на отдалечени компютри използвайки named pipes

Remote Desktops (tsmmc.msc) – Оттук конфигурирайте възможностите за отдалечени администриране Remote Storage Diagnostics Utility (rsdiag.exe) – Извършва запитвания и репорти на отдалечени бази данни Remote Storage File Analysis Utility (rsdir.exe) – Показва информация от файлове в отдалечени източници Replication Diagnostics Tool (repadmin.exe) – Позволява диагностициране на проблеми с репликацията между контролери в Windows Server 2003 Routing And Remote Access Services (rrasmgmt.msc) – Конфигуриране на routing услугите Security Administration Tools (sidwalk.exe, showaccs.exe, sidwalk.msc) – Управляват контролните файлове за достъп Security Descriptor Check Utility (sdcheck.exe) – Показва контрола за достъп на обект Terminal Services Configuration tool (TSCC.msc) – Конфигуриране на терминалните услуги Terminal Services Manager – Показва информация и дава възможност за управление на терминалните услуги Service Pack Check (spcheck.exe) – Създава файл съдържащ списък от service pack версиите на важни системни файлове Windows Domain Manager (netdom.exe) – Дава възможност за администриране от командния ред на домейни и доверености Windows Installer Cleanup Utility (msicuu.exe) – Премахва излишни ентрита в регистъра, попаднали там поради грешна инсталация Windows Installer Zapper (msizap.exe) – Същото като Windows Installer Cleanup Utility, но по-задълбочена версия WINS (winsmgmt.msc) – Конфигуриране и управление на WINS Изграждане и конфигуриране: За сполучливото изграждане и конфигуриране на една Windows 2003 мрежа е необходимо да сте запознати с основни действия, като конфигуриране на домейн конролер, Active Directory, DNS, DHCP, WINS съръри, Internet Information Services, FTP съврър, Mail Server, Firewall както и с операции по

backup на информация. Ще разгледаме по-обстойно някои от най-често срещаните операции. Domain Controller: Домейн контролерът е сървър в Active Directory гора, който съдържа копие на AD базата данни, в което може да се пише, контролира достъпа до мрежовите ресурси и участва в репликациите. Администраторите могат да управляват потребителите, достъпа, ресурсите и другите директорийни обекти от кои да е домейн контролер в гората. Конфигурирайте сървъра като домейн контролер, ако искате този сървър да предоставя Active Directory услуги на останалите потребители на мрежата. За да конфигурирате сървър като домейн контролер инсталирайте Active Directory услугата. Пред вас има 4 възможности: Създаване на допълнителен домейн контролер за същестуващ домейн: Създайте допълнителен конролер ако искате да подобрите надеждността на вашата мрежа. С това ще подобрите разпределението на натовареността, производителността и ще се подсигурите при “падане” на друг домейн конролер. За да създадете допълнителен домейн контролер:

1. Стартирайте “Configure Your Server” съветника. Може да направите това през Start->Control Panel->Performance and Maintenance->Administrative Tools->Configure Your Server Wizard

2. Натиснете Domain Controller (Active Directory) и после Next. 3. На страницата “Summary of Selections” ще се появи следното “Run the

Active Directory Installation Wizard to configure this server as a domain controller. Натиснете Next и ще се отвори автоматично “Active Directory Installation” съветника

4. Натиснете Next. На “Operating System Compatibility” страницата се запознайте с необходимата ви информация и подължете

5. На страницата “Domain Controller Type” натиснете “Additional domain controller for an existing domain”. Като част от процеса по създаване на допълнителен домейн контролер е изтриването на всички локални акаунти, криптирани файлове и мейли. За да избегнете тази загуба следвайте препоръките намиращи се на тази страница преди да продължите. Натиснете Next, когато сте готови

6. Появява се страницата “Network Credentials”. Въведете името, паролата и домейна на потребителя, който искате да използвате. Натиснете Next

7. На страницата “Additional Domain Controller” въведете пълното име на домейна, на който искате да добавите допълнителен домейн контролер. Натиснете Next

8. В “Database and Log Folders” въведете местоположението, на което искате да унсталирате базите данни и лог директориите. Натиснете Next

9. Укажете “Sysvol” директорията в “Shared System Volume” страницата. Тази директория ще съдържа копие на публичните файлове на домейна и се репликира на всички домейн контролери в домейна. Натиснете Next

10. На страницата “Directory Services Restore Mode Administrator Password” въведете и потвърдете паролата, която искате да назначите на администраторския акаун в “restore mode”. Тя ще ви е необходима, когато сървърът стартира в “Directory Services Restore Mode” режим. Натиснете Next

11. Натиснете Next, Finnish и рестартирайте 12. След рестарта съветника ще ви покаже страницата “This Server is

Now a Domain Controller”. Натиснете “Configure Your Server log” за ра прегледате направените промени

Създаване на домейн контролер за нова гора: Създайте домейн контролер за нова гора, когато ъпгрейдвате NT домейн и го правите първи в нова гора





5. На страницата “Domain Controller Type” натиснете “Domain controller for a new domain” . Натиснете Next

6. На “Create New Domain” натиснета “Domain in a new forest” и после Next

7. На страницата “New Domain Name”. Въведете пълното DNS име на новия домейн.

8. Нa “NetBIOS Domain” страницата проверете NetBIOS името. То трябва да съвпада с първият етикет на DNS името, когато това е възможно. В противен случай пълното домейн име (Full Qualified Domain Name) се конструира посредством DNS името, а не посредством NetBIOS-ското. Натиснете Next


10. Укажете “Sysvol” директорията в “Shared System Volume” страницата. Тази директория ще съдържа копие на публичните файлове на

домейна и се репликира на всички домейн контролери в домейна. Натиснете Next

11. На страницата “DNS Registration Diagnostics” проверете още веднъж DNS настройките си. Натиснете Next




Създаване на домейн контролер за нов домейн-наследник: Създайте домейн контролер за нов домейн-наследник, когато искате да създадете домейн, който споделя именното пространство на един или повече съществуващи домейни. Например child.microsoft.com е домейн-наследник на microsoft.com






6. На “Create New Domain” натиснета “Child domain in an existing domain tree” и после Next


8. На страницата “Child Domain Installation” проверете името на домейна родител и въведете името на наследника.








Създаване на домейн контролер за ново домейн дърво: Създайте домейн контролер за ново домейн дърво, когато искате да създадете домейн, който вече има именно пространство и не е свързан с другите домейни в гора. Например msn.com е ново домейн дърво на microsoft.com гората:






6. На “Create New Domain” натиснета “Domain tree in an existing forest” и после Next


8. На страницата “New Domain Name”. Въведете пълното DNS име на новия домейн.








Премахване на Domain Controller: За разлика от NT, domain controller-ите при Windows 2003 (и 2000) могат да бъдат премахвани, без това да влияе на името на сървъра и възможността му да изпълнява програми. Изискване е контролерът да може да комуникира със своите репликационни партньори, иначе ще откаже премахването. Ако изключите сървъра от мрежата и пробвате да премахнете домейн конотролера няма да успеете и ще сте принудени да преинсталирате. Освен това трябва да извършите “metadata cleanup” през “Ntdsutil”, за да изчистите сървърното име от Active Directory. За да извършите операцията:


2. Натиснете “Domain Controller (Active Directory)” на Server Role станицата и натиснете next

3. Появява се “Role Removal Confirmatiоn” станицата. Изберете “Remove the domain controller role” кутията и натиснете Next.

4. Следвайте “Active Directory Installation” съветника Преименуване на домейни: Можете да преструктурирате гори, посредством смяна на името на домейните и промяна на домейн йерархията. Програмата, която върши това се нарича “RENDOM” и не е инсталирана по подразбиране. “RENDOM” не може да бъде използвана за отделяне на домейн в нова гора, нито пък за прибавяне на домайн към гора.

За да преименувате домейн контролер посредством “NETDOM COMPUTERNAME”:

1. От командния ред въведете: “netdom computername <old-name> /add:<new-name>”

2. Проверете в DNS, че новото име е регистрирано 3. Въведете следната команда за да направите новото име главно име:

“netdom computername <old-name> /makeprimary:<new-name>” 4. Рестартирайте сървъра 5. Отворете отново командния ред и въведете “netdom computername

<new-name> /remove<old-name>” за да премахнете старото име 6. Уверете се, че компютърът има само едно име чрез командата:

“netdom computername <new-name> /enumerate” За да преименувате домейн контролер посредством “NETDOM RENAMECOMPUTER”:

1. netdom renamecomputer <old-name> /newname:<new-name> /reb: 1 Active Directory Създаване на обекти в Active Directory: След като имате готов план на вашата организация, определящ сайтовете, подмрежите, връзките и пр. може да преминете към създаването на обекти в Active Directory. За да създадете нов сайт:

1. Отворете “Active Directory Sites and Services” конзолата. Натиснете с дясно копче “Sites” обекта и изберете “NEW SITE”

2. Въведете име 3. Под “Link Name” посочете “DefaultIPSiteLink” 4. Натиснете ОК

Създаване на IP Subnets: Създайте такива за всеки subnet във вашата мрежа

1. Отворете “Active Directory Sites and Services” конзолата. Натиснете с дясно копче “Subnets” и изберете “NEW SUBNET”

2. Попълнете адресните данни 3. Изберете сайт обекта, който да бъде асоциран със Subnet обекта 4. Натиснете ОК

Създаване и конфигуриране на Site Link обектите:

1. Отворете “Active Directory Sites and Services” конзолата. Натиснете с дясно копче “IP” обекта и изберете “NEW SITE LINK”

2. Дайте име на обекта 3. Изберете два сайта и ги добавете посредством Add 4. Натиснете ОК за да създадете обекта 5. Изберете Properties 6. Напишете описание на обекта

7. Задайте цена на връзката. Въведете ниски стойности за бързите си връзки (напр. 1) и високи за бавните (напр. 100 за ISDN, използван само при спешни случаи)

8. Скъсете интервала за репликация (Replication interval), освен ако връзката не е прекалено слаба. Минималната стойност е 15.

9. Натиснете “Change Schedule” за да промените времето за извършване на репликация

10. Натиснете ОК. Може да преименувате сайтове:

1. Отворете “Active Directory Sites and Services” конзолата. 2. Изберете сайт, натиснете с дясно копче и после “Rename” 3. Променете името и натиснете “Enter”

Създаване на акаунти в Active Directory: Създаването на домейн акаунти/групи е често срещана операция, която се извършва през “Active Directory Users and Computers” конзолата.

1. Изберете Start->All Programs->Administrative Tools->Active Directory Users and Computers за да достигнете конзолата

2. Натиснете 2 пъти домейна, за който искате да създадете акаунт 3. Изберете Action->New->User за да отворите “Create New Object -

User” съветнка 4. Попълнете данните за новият потребител и натиснете Next 5. В следващия прозорец въведете и потвърдете паролата на

потребителя 6. Изберете опции за паролата:

-User Must Change Password at Next Logon – Потребителят трябва да промени паролата си при следващо влизане -User Cannot Change Password – Не се разрешава на потребителя да променя паролата -Password Never Expires – Не е необходимо потребителя да променя паролата си на определено време -Account is Disabled – Акаунта не функционира

7. Натиснете Next и след това Finnish След като акаунта вече е създаден, може да направите допълнителни настройки върху него. Изберете го и натиснете “Properties”. Появилият се прозорец съдържа множество таба:

1. General tab – Тук може да напишете допълнителна информация за потребителя, например описание, адрес, телефон, e-mail.

2. Address tab – Попълнете информация за физическия адрес на потребителя

3. Account tab – Важно тук е “Logon hours”, позволяващо да укажете в кои часове е разрешен достъпът на потребителя и “Account expiration”, с което задавате кога акаунта ще преустанови съществуването си.

4. Profile tab – Съдъжа полета за “User profile path” – местоположение на “roaming profile”-а на потребителя; “Logon script name” – скрипт изпълняващ се при логин; “Home directory”

5. Telephones tab - Попълнете информация за телефона на потребителя 6. Organization tab – Въведете позицията на този потребител в

организацията 7. Member Of tab – Тук имате възможност да добавите във или да

премахнте от група потребителския акаунт Може по всяко време да преустановите достъпа на даден акаунт до системата. Това става като изберете обекта, натиснете Action->Disable Account За да изтриете акаунт първо го избереет и натиснете Action->Delete Account Може и да го преименувате – Action->Rename Групи: Групите представляват набор от потребители със сходни изисквания за ниво на достъп. Използването им в големи организации съществено улеснява задачите по управлението на потребителите. Съществуват 2 типа групи – “Security groups” – служещи за асоциране на сходните права на групата потребители и също даващи възможност за изпращане на поща до всички тях; “Distribution groups” – използване само за изпращане на поща до всички членове. И двата типа групи могат да имат едно от следните полета на действие – “Global groups” – съществуват на ниво домейн; “Domain Local groups” – на ниво локална машина; “Universal groups” – на ниво гора. За да създадете група:


2. Натиснете Acion->New->Group 3. Изберете полето на действие, от описаните по-горе - “Domain Local”,

“Global”, или “Universal” 4. Изберете типа група – “Security” или “Distribution” 5. Натиснете ОК.

Може да направите допълнителни настройки като отворите “Properties” на създадения обект. На разположение са няколко таба:

1. General – същият, както при потребител обектите 2. Members – указване на членовете на тази група 3. Member Of – указване на кои групи е член тази група

Предварително дефинираните групи в подразбиращия се контейнер включват “Administrators”, “Guests”, “Pre-Windows 2000 Compatible Access”,

“Users” – аутентикираните потребители. Домейн контролерите имат дефинирани още дозина специфични групи. Групови политики: Груповите политики са набор от правила, контролиращи позволенията на потебителите. Може да задавате политики на базата на сайтове, домейни или организационни еденици. За да управлявате груповите политики:


2. Натиснете с дясно копче домейна или организационната еденица, която искате да настроите и натиснете “Properties”

3. Изберете “Group Policy” таба 4. Имате следните опции

- Add – Отваря “Add Group Policy Object Link” диалоговия прозорец и ви дава възможност да добавите същестуваща групова политика

- Block Policy Inheritance - Предотвратява наследяването на групова политика от родителска директория

- Delete – Служи за изтриване на политика от обекта - Edit – Служи за промяна на политика от обекта - New – Позволява ви да създадете нов обект от тип групова

политика и да го свържете с този домейн - Properties

Добавяне на компютър в Active Directory


2. Натиснете с дясно копче на Computers. Изберете New->Computer 3. Въведете име. 4. Натиснете Next и след това Finnish

Инсталиране и настройки на DNS сървър: Инсталиране на DNS Driver-и:

1. Control Panel -> Add/Remove Programs 2. Add/Remove Windows Components 3. Маркирай Networking Services и кликни Details. Отваря се прозорецът

Networking Serviceс 4. Избери Domain Name System (DNS) и натисни OK за да запишеш

промените и се върни в Windows Components window 5. Натисни Next. Драйверите започват да се зареждат и след това

конфигурацията е завършена 6. Натисни Finish и затвори прозореца Add/Remove Programs

DNS услугата се стартира автоматично всеки път при boot-ване. Може да се спира/стартира от командния ред чрез “net stop dns”/”net start dns”. Създаване на Forward Lookup Zone: (обслужва клиенти, кото знаят името на хоста и се интересуват от IP адреса)

1. Избери START -> PROGRAMS -> ADMINISTRATIVE TOOLS -> DNS. Отваря се DNS конзолата. DNS дървото показва локалния сървър и два празни клона за прави и обратни зони.

2. Натисни с дясно копче “Forward Lookup Zone” иконата и избери “NEW ZONE”от падащото меню. Това стартира “New Zone Wizard”

3. Натисни Next. Отваря се “Zone Type” прозорецът. Остави селекцията по подразбиране - “Primary Zone”. Ако искаш да създаде стандартна главна зона, премахни “Store The Zone In Active Directory” опцията

4. Натисни Next. Отваря се “Zone Name”прозорецът. Напиши името на зоната

5. Натисни Next. Отваря се “Zone File” прозорецът. Името на файла на зоната и името на самата зона трябва да съспадат, като файла има .DNS разширение.Ако имаш съществуващ файл можеш сега да го добавиш чрез “Use This Existing File” опцията

6. Натисни Next. Отваря се “Dynamic Update” прозорецът. Избери твоята update опция. Опцията “Allow Only Secure Dynamic Updates” ще е достъпна само за Active Directory Integrated зони

7. Натисни Next. Натисни Finish за да завършиш конфигурацията и да затвориш. Новата зона се появява като папка под “Forward Lookup Zones” иконата в левият панел на прозореца. Когато тя е селектирана, свързаните с нея ресурсни записи се показват в десния панел

Създаване на Reverse Lookup Zone: (обслужва клиенти, кото знаят IP адреса и се интересуват от името на хоста)

1. Натисни с дясно копче “Reverse Lookup Zone” иконата и избери “NEW ZONE” от падащото меню. Това стартира “New Zone Wizard”

2. Натисни Next. Отваря се “Zone Type” прозорецът. Leave the default selection at Primary Zone. Остави селекцията по подразбиране - “Primary Zone”. Ако искаш да създаде стандартна главна зона, премахни “Store The Zone In Active Directory” опцията

3. Натисни Next. Отваря се “Reverse Lookup Zone” прозорецът. Под “Network ID”, въведи мрежовата част от събнет-а, който ще обслужва зоната.

4. Натисни Next. Отваря се “Zone File” прозорецът. Остави настройките по подразбиране. Името на файла на зоната и името на самата зона трябва да съспадат, като файла има .DNS разширение

5. Натисни Next. Отваря се “Dynamic Updat” прозорецът. Избери твоята update опция. “Allow Only Secure Dynamic Updates” опцията ще е достъпна само за Active Directory Integrated зони

6. Натисни Next. Натисни Finish за да затвориш прозорецът и да се върнеш в DNS конзолата

Конфигуриране на Root Hints: Заявки от DNS клиенти в зона на наследника за записи в зона на родителя се подсигуряват чрез конфигуриране на root hints. Целта на следващите стъпки е да направи възможно потребител в домейн-наследник да получава адрес в домейн-родител, правейки заявка само към DNS сървъра в домейна-наследник:

1. Отвори DNS конзолата 2. Натисни с дясно копче “DNS server” иконата и избери PROPERTIES. 3. Избери “Root Hints” таба 4. Натисни “Add”. Отваря се прозорецът “Create New Record” 5. Въведи пълно DNS име на root сървъра 6. Въведи IP адрес на сървър под “Server IP Addresses” и натисни “Add”

за да го добавиш в листата. Ако сървърът има няколко IP адреса, можеш да ги добавиш всичките.

7. Натисни OK за да направиш промените и да се върнеш в “Properties” прозореца. Увери се, че root сървъра е най-отгоре в списъка

8. Натисни OK за да запишеш промените и затвори прозореца 9. Тествай конфигурацията, пингвайки хост от домейна-родител от

клиент в домейна-наследник

Конфигуриране на Delegation: Получаване на успешна заявка за хост по-ниско в namespace-а изисква малко повече работа. Нека ти си в company.com DNS домейн и искаш да пингнеш сървър наречен srv1 в домейна branch1.company.com. За да сполучи пингът, тряпва company.com домейна първо да намери запис за сървъра. Но company.com DNS сървъра има само копие на company.com зоновият файл. Той трябва да се сдобие ресурсен запис от нейм сървъра в branch1.company.com домейна. Това се нарича delegation:

1. Отворете DNS конзолата. 2. Натиснете с дясно копче зоната и “NEW DELEGATION”. Стартира се

“New Delegation” съветника 3. Натиснете Next и ще видите “Delegated Domain Name” прозореца 4. Въведете флат името на домейна наследник под “Delegated Domain”.

Пълното квалифицирано име се строи самостоятелно 5. Натиснете Next. “Name Servers” прозорецът се отваря 6. Натиснете Add. “New Resource Record” прозорецът се отваря 7. Под “Server Name”, въведете пълното име на authoritative сървъра за

зоната на наследника.

8. Под IP Address, въведете IP адреса на именния сървър в домейна наследник и после натиснете Add за да го добавите в списъка

9. Натиснете OK за да запазите промените и да се върнете до “Name Servers” прозореца. Сървърът се появява на “Server Name” списъка

10. Натиснете Next. 11. Натиснете Finish за да запишете промените и да излезете от

съветника.

Конфигуриране на DHCP сървър: DHCP е сървър, на който е стартирана “Microsoft DHCP”,предлагащ динамична информация за IP адресите, на клиентите. Това дава възможност да конфигурирате клиентски мрежови настройки на съвръра, вместо да го правите на всяка клиентска машина. Когато конфигурирате машина като DHCP сървър, вие създавате една област от IP адресите, които сървърът алокира за клиентите на subnet-a. Необходимо е да създадете по една такава област за всеки subnet, който ще бъде под контрол на DHCP сървъра. За да конфигурирате DHCP съврър:


2. Натиснете “DHCP server” и после Next 3. Появява се страницата “Summary of Selections” и на нея се показват

две възможности – “Install DHCP Server” и “Run the New Scope Wizard to configure a new DHCP scope”. Натиснете Next. Появява се и след това автоматично се затваря “Configuring Components” страницата

4. След натиснакане на Next се инсталира DHCP услугата и се стартира “New Scope” съветника. Ако го затворите DHCP сървърът ще остане инсталиран, но няма да може да предлага услугите си, преди да му бъде създадена област за IP адресиране. Такава може да създадете и по-късно посредством DHCP конзолата

5. На страницата “Scope Name” въведете име на създаваната област и някакво описание. Натиснете Next

6. Въведете IP обхвата за тази област в появилата се “IP Address Range” страница.

7. На следващата страница – “Add Exclusions” може да определите адресите, който DHCP сървърът не трябва да алокира

8. На “Lease Duration” определяте колко време клиент може да използва адрес от тази област.

9. Появява се “Configure DHCP Options” страницата. Препоръчително е да оставите подразбиращото се “Yes, I want to configure these options now”. В противен случай ще трябва да извършите това по-късно от DHCP конзолата, за да направите сървъра функциониращ.

10. На “Router (Default Gateway)” страницата може да посочите router-ите, които клиентите ще използват. Тази стъпка е опционална

11. Следва “Domain Name and DNS Servers” страницата може да въведете името на домейна, което клиентите на subnet-а трябва да използват, когато resolve-ват DNS имена. Тази стъпка е опционална

12. На “WINS Servers” страницата може да укажете имената на WINS сървърите, които клиентите ще използват за да регистрират и resolve-ват NetBIOS имена. Тази стъпка е опционална

13. На страницата “Activate Scope” може да активирате услугата или да отложите това за по късно (през DHCP конзолата)

14. Натиснете Next и после Finnish. Появява се страницата “This Server is Now a DHCP Server”. Може да прегледате лог-а за да видите направените промени

За да премахнете DHCP сървър ролята:


2. Натиснете “DHCP Server” на Server Role станицата и натиснете next 3. Появява се “Role Removal Confirmatiоn” станицата. Изберете “Remove

the DHCP server role” кутията и натиснете Next. 4. Натиснете Finnish на “DHCP Server Role Removed”

Конфигуриране на WINS сървър: Windows Internet Name Service (WINS) съврърите служат за асоциране на IP адреси с NetBIOS имена, така че потребителите могат да използват име, вместо IP адрес. За да инсталирате WINS сървър ролята:


2. Натиснете “WINS server” и после Next 3. На страницата “Summary of Selections” ще се появи следното - Install

WINS 4. Натиснете Next. Появява се “Configuring Components” страницата и се

затваря автоматично. Инсталира се услугата “WINS Server”. 5. Появява се “This Server is Now a WINS Server” страницата. Ако

желаеет прегледайте лог-а, за да видите направените проблеми. Натиснете Finnish, за да приключите

За да премахнете WINS сървър ролята:


2. Натиснете “WINS Server” на Server Role станицата и натиснете next 5. Появява се “Role Removal Confirmatiоn” станицата. Изберете “Remove

the WINS server role” кутията и натиснете Next. 6. Натиснете Finnish на “WINS Server Role Removed”

Инсталиране и настройки на Internet Information Services (IIS): От съображения за сигурност, IIS не са инсталирани по подразбиране. При инсталация те се намират в силно защитен режим и могат да предоставят само статично съдържание. Фийчъри като ASP, ASP.NET, Server-side includes и FrontPage, не са включени по подразбиране. За включването им, както и за всички задачи по администрирането на услугата се използва IIS Manager. За да инсталирате IIS използвайки “Configure Your Server” съветника:

1. Изберете Start->Manage Your Server 2. Под “Managing Your Server Roles”, натиснете “Add or remove a role” 3. Натиснете Next, след като се запознаеет със стъпките, които

предстоят 4. Под “Server Role” натиснете “Application server (IIS, ASP.NET)” и след

това Next 5. Натиснете Next, след като прочетете резюмето 6. Натиснете Finnish

“Configure Your Server” съветника включва ASP.NET по подразбиране, за разлика от другите методи за инсталиране. За да инсталирате IIS използвайки “Add/Remove Windows Components”:

1. Изберете Start->Control Panel->Add or Remove Programs 2. Натиснете Add/Remove Windows Components 3. В “Components” списъка натиснете “Application Server” 4. Натиснете “Details” 5. Натиснете “Internet Information Services Manager” 6. Натиснете “Details” за да видите всички опционални компоненти на

IIS и изберете тези, които ви интересуват 7. Натискайте ОК, докато се върнете в съветника 8. Натиснете Next, за да завършите.

Опционални компоненти: (Може да добавите или премахнете опционални компоненти по всяко време през Add/Remove Programs)

- BITS Server Extensions (Background Intelligent Transfer Service – Механизъм за фонов трансфвер на файлове, известен още като drizzle. Подобрява качеството на IIS услугата

- Common Files – ако премахнете този компонент при инсталацията, IIS няма да бъде инсталиран. От гледна точка на сигурността може да премахнете определени компоненти след инсталацията

- File Transfer Protocol (FTP) Server – използва се за копиране на файлове от и на отдалечени системи, използвайки File Transfer Protocol (FTP) Server

- FrontPage 2002 Server Extensions – позволява гледането и управляването на Web сайт през GUI, използвайки FrontPage

- Internet Information Services Manager – GUI за управление на IIS - NNTP Service (Network News Transfer Protocol) – изполвайте за

разпространяване на новини към NNTP сървъри и клиенти - SMTP (Simple Mail Transfer Protocol) Service – използва се за

разпространяване на поща съвместно с IIS - World Wide Web Publishing Service – Този компонент трябва да бъде

инсталиран, за да може IIS да изпълнява основното си предназначение – да публикува страници в интернет

IIS Manager: IIS Manager е GUI, служещ за конфигуриране на Web, FTP, SMTP и NNTP сайтове, както и на сигурността и перформанса на IIS. За да стартирате IIS Manager извършете едно от следните неща:

- Изберете Start->Administrative Tools-> Internet Information Services (IIS) Manager

- Изберете Start->Run, въведете inetmgr и натиснете ОК - Изберете Start->My Computer->Manage. Разширете “Services and

Applications” и натиснете “Internet Information Services” IIS може да бъде конфигуриран, избирайки обект от конзолнот дърво и натискайки Action бутона от менюто. Всички действия, които са позволени са показани в списъка.За конфигурирането на metabase опциите изберете “Properties” на съответния обект. Включване/изккючване на възможностите за предоставяне на динамично съдържание: Това се предоставя от така наречените Web service extensions. За да включите определени Web service extensions:

1. В IIS Manager изберете компютъра, който ще манипулирате и натиснете “Web Service Extensions”

2. В “details” изберете “Web Service Extension”-а, който искате да включите/изключите

3. Изберете Allow/Prohibit за да да включите/изключите 4. Натиснете ОК

За да добавите нови Web service extensions:


2. В “details” изберете “Add a new Web service extension 3. Напишете името в “Extension name” и натиснете Add 4. Назовете файла в “Path to file” и натиснете ОК 5. Изберете “Set extension status to Allowed” за да включите автоматично

новият екстенжън

6. Натиснете ОК За да позволите на определена програма да използва Web service extension:


2. Натиснете “Add and allow extensions for a specific application” 3. От “Application” list box-а изберете името на програмата. Web service

extension-а, който програмата има позволение да използва се появява в “Extensions to be allowed”

4. Натиснете ОК За да премахнете всички Web service extensions:


2. Натиснете “Prohibit all extensions 3. Натиснете Yes

FTP: FTP сайтът ви позволява установяване на FTP връзка с други потребители и обмен на файлове. Версията на IIS поддържа FTP User Isolation, което ви позволява да предлагате на потребителите техни собствени FTP директории. FTP user isolation предотвратява гледането на чужди директории. FTP услугата не е инсталирана по подразбиране. За да инсталирате FTP услугата:

1. Изберете Start->Control Panel-> Add or Remove Programs-> Add/Remove Windows Components

2. От “Components” натиснете “Application Server” и после “Details” 3. От “Subcomponents of Application Server” натиснете “Internet

Information Services (IIS)” и после “Details” 4. От “Subcomponents of Internet Information Services (IIS)” изберете “File

Transfer Protocol (FTP) Service” 5. Натиснете ОК, Next, Finnish

След инсталацията се създава FTP сайт по подразбиране в директория “LocalDrive:\Inetpub\Ftproot”. След инсталацията трябва да конфигурирате глобалните настройки, настройките на сайта по подразбиране и накрая да публикувате съдържание на сайта. За да промените глобалните настройки:

1. В IIS Manager изберете компютъра, който ще манипулирате и дайте “Properties” на “FTP Sites”

2. Променете настройките по подразбиране, където е необходимо. Направените промени се наследяват от всички FTP сайтове

За да промените настройките на Web сайта по подразбиране (default FTP site):

1. В IIS Manager изберете компютъра, който ще манипулирате, изберете “FTP Sites” и дайте “Properties” на “Default FTP Site”

2. Променете настройките, наследени от глобалните, където е необходимо

За да публикувате файлове, копирайте ги в съответната директория. Добавяне на FTP сайтове:

1. В IIS Manager натиснете с дясно копче “FTP Sites”, посочете New и изберете “FTP Site”

2. Натиснете Next 3. В “Description” напишете името, което сте избрали и натиснете Next 4. Под “Enter the IP address to use this FTP site” въведете IP адреса,

който ще обслужва сайта. Може да изберете IP, което се използва и за друг FTP сайт, но се уверете, че портовете на двата са различни, защотото в противен случай няма да работи.

5. Изберете подходящия метод за изолация. Изберете “Do not isolate users” за да не използвате изолация. Ако искате всеки потребител да има собствена директория на FTP-то изберете “Isolate users”. След натискане на Next, в “FTP User Isolation Credentials” box-а въведете потребителско име (във формат domainname\username), парола и домейна по подразбиране за акаунта, който ще бъде използван за достъп до Active Directory.

6. Посочете директорията на сайта в “Path” полето 7. Задайте позволения за писане и четене 8. Натиснете Next и после Finnish

Ако сте избрали вариант с изолирани потребители: 9. Натиснете с дясно копче сайта, който създадохте и натиснете

Properties 10. Отидете в “Security Accounts” таба. Ако е избрано “Allow anonymous

connections” въведете данните за потребителя, който ще се използва при анонимно влизане

11. Създайте директориите LocalUser\username за всички локални потребители, на който ще предоставяте услугата

12. Създайте LocalUser\Public за анонимните потребители 13. За да позволите на потребители от различни домейни да използват

сайта, създайте поддиректории (на root директорията на съответния FTP сайт) за всеки домейн и поддиректории за всички потребители на домейните. Например за User1 от Domain1 трябва да създадете поддиректории Domain1 и Domain1/User1

Конфигуриране на mail server: За да работи машината като съврър за поща е неободимо да се инсталират така наречените E-mail услуги. Те включват POP3 (даваща възможност на

администраторите да управляват и пазят мейл акаунти и на клиенти да се свързват към сървъра) и SMTP (осигуряваща трансфер на поща) услуги. За инсталирането и конфигурирането на E-mail услугите се използва “Configure Your Server” съветника. За да конфигурирате вашия мейл сървър стартирайте “Configure Your Server” съветника. Това може да стане по два начина: - От “Manage Your Server”, натисни “Add or remove a role”. За да

отворите “Manage Your Server”, изберете Start->Control Panel->Performance and Maintenance->Administrative Tools->Manage Your Server

- Изберете Start->Control Panel->Performance and Maintenance-> Administrative Tools-> Configure Your Server Wizard На страницата “Server Role” натиснете Mail server (POP3, SMTP) и след това Next.

1. Конфигуриране на POP3 услугата (“Configure POP3 Service” страницата):

- Изберете метод на автентикация под “Authentication method”. Възможностите са Local Windows accounts – акаунтите се пазят на сървъра, Active Directory-Integrated, Encrypted Password File – ако сървърът не използва Active Directory и не искате да използвате компютъра за съхранение на POP3 акаунти. Кои варианти ще са достъпни зависи от конфигурацията на сървъра

- Под E-mail domain name въведете вашето регистрирано e-mail домейн име.

- Натиснете Next 2. Обзор на селекцията (“Summary of Selections” страницата):

Тук може да прегледате и потвърдите опциите, които сте избрали. Ако сте избрали “Mail server (POP3, SMTP)” на “Server Role” страницата ще имате следната опция: “Install POP3 and Simple Mail Transfer Protocol (SMTP) to enable POP3 mail clients to send and receive mail” Натиснете Next за да потвърдите. Отваря се “Configuring Components” страницата от “Windows Components” съветника и се затваря автоматично. Не може да натискате Back или Next на тази страница.

Завършване на “Configure Your Server” съветника: След като компонентите са конфигурирани “Configure Your Server” съветника показва страницата “This Server is Now a Mail Server”. Натиснете “Configure Your Server log” за да прегледате всички промени направени от съветника или за да се уберите, че новата роля е инсталирана успешно. Натиснете Finnish.

На този етап имате напълно функциониращ мейл сървър, но е необходимо да създадете пощенски кутии за всички потребители в домейна, които ще изпращат и получават e-mail. Създаване на пощенски кутии: За изпращането и получаването на поща, потребителите трябва да имат уникални пощенски кутии в мейл домейна. Може да създавате пощенски кутии или през POP3 MMC или от командния ред.

1. За да отворите POP3 услугата изберете Start->Control Panel->Performance And Maintenance->Administrative Tools->POP3 Service(за да извършите това трябва да сте член на Administrators, или да се логнете на Active Directory домейна, ако използвате интегрирана Active Directory автентикация)

2. В конзолното дърво изберете e-mail домейна, който избрахте в “Configure Your Server” съветника. Натиснете го с дясно копче, изберете New и после Mailbox. Въведете следната информация:

- Име на кутията - Парола - Потвърждение на паролата Ако използвате интегрирана Active Directory или локална Windows аутентикация изберете “Create associated user for this mailbox” освен ако потребителският акаунт вече не съществува.

Премахване на мейл сървърната роля:

1. Стартирайте “Configure Your Server” съветника 2. На страницата “Server Role натиснете Mail server (POP3, SMTP) и

след това Next. 3. На страницата “Role Removal Confirmation” прегледайте обектите под

Summary, изберете “Remove the mail server role” check box-а и натиснете Next.

4. Появява се “Configuring Components” страницата и след това се затваря автоматично. На страницата “Mail Server Role Removed” натиснете Finish.

Конфигуриарне на Internet Connection Firewall: Windows 2003 предлага много първичен, вграден, софтуер за защита наречен Internet Connection Firewall. Той дава възможност за отваряне и затваряне на определени портове, както и включването/изключването на достъп на отделни протоколи (HTTP, HTTPS, FTP, SMTP) през Internet Information Services (IIS). По подразбиране е изключен. Microsoft препоръчва използването му при малки и средни Web проекти. За да включите/изключите ICF: (трябва да имате съответните права за достъп)

1. Отвори Network Connections 2. Селектирайте съответната dial-up/lan конекция и изберете Properties

3. Изберете/изчистете “Protect my computer and network by limiting or preventing access to this computer from the Internet” в Advanced таб-а за да включите/изключите firewall-а.

За да посочите протоколи, които да не се филтрират или за да отворите/затворите портове:

1. Изберете Settings в Advanced таба 2. Селектирайте подходящите протоколи. Всеки път когато изберете

протокол се появява прозорец, питащ за името или адреса на машина, която хоства услугата

3. За да отворите/затворите портове, натиснете Add. Появява се същият прозорец, като имате възможност да задавате и портове.

Ако искате да преглеждате опити за връзка може да включите опцията за логване на IFC:

1. Изберете Settings в Advanced таба 2. Отидете в Security Logging таба 3. Изберете опциите за логване, които ви интересуват (Log Dropped

Packets, Log Successful Connections или и двете). Изберете лог файл, както и максималният му размер.

За да включите/изключите Internet Control Message Protocol през ICF:

1. Изберете Settings в Advanced таба 2. Отидете в ICMP таба 3. Изберете/изчистете check box-овте за всеки вид заявка за

информация, на която искате компютърът да отговаря Кога не се нуждаете от ICF:

- Ако компютърът е клиент на ICS (Internet Connection Sharing) хост (но се уверете, че е включен на хоста)

- Ако компютърът е зад NAT или router, защото самият NAT ви предпазва

- Ако сте част от голяма компания, която вече има инсталиран комерсиален firewall

- Ако се логвате в определен домейн най-вероятно привилегиите, които имате няма да ви позволяват необходимост от firewall

Процедури и възможност за backup на информацията: Може да стартирате опрерации по backup на информацията интерактивно, през “Ntbackup” прозореца, или да ги насрочвате за определено време. За разлика от NT, при 2003 може да използвате “Ntbackup” и за конфигуриране и за насрочване на backup-и. За да изпълтните интерактивен backup:

1. Стартирайте “Ntbackup” през Start->Programs->Accessories->System Tools->Backup. Преминете на Advanced режим.

2. Изберете Backup таба. Селектирайте устройствата или директориите, които искате да включите в backup-а.

3. От менюто изберете Tools->Options. Натиснете “Backup Type” таба. Изберете “Default Backup Type”

4. В “Backup Log” може да изберете детайлно или обзорно логване 5. Натиснете ОК 6. Под “Backup Destination” изберете backup еденицата, например файл 7. Попълнете “Backup Media or File Name” 8. Натиснете “Start Backup” 9. Отваря се “Backup Job Information” прозорецът. 10. Полето “If The Media Is Overwritten” определя името, което се добавя,

ако се получава перзаписване. 11. Натиснете “Advanced” за да отворите “Advanced Backup Options”

прозореца. 12. Може да изберете опциите “Verify Data After Backup” за да проверите

информацията, след завършване на операцията и “If Possible, Compress the Backup Data to Save Space”. Натиснете ОК за да се върнете

13. Натиснете “Start Backup” 14. Когато backup-а приключи “Backup Progress” информира за

състоянието. Натиснете “Report” за да отворите лога. За да конфигуриране насрочен backup:

1. В “Ntbackup” изберете “Schedule Job”. Появява се календар 2. Кликнете два пъти на деня, в който искате да извършите операцията.

Това стартира Backup съветника 3. Натиснете Next 4. Отваря се прозорецът “Items to Back Up”. Изберете устройствате и

директориите, които искате да включите. Уверете се, че е избрано и “System State”

5. Натиснете Next. Попълнете информацията в появилия се прозорец “Backup Type, Destination, and Name”

6. Натиснете Next 7. Изберете “Normal” за вид на backup-а в “Type of Backup” прозореца 8. Натиснете Next. В прозореца “How to Back Up” изберете “Verify Data

After Backup” и “Use Hardware Compression” опциите 9. Натиснете Next и изберете удачните опции в прозореца “Backup

Options” 10. Натиснете Next и попълнете подходящите имена в прозореца

“Backup Label” 11. Натиснете Next и ще се отвори “When to Back Up”. Изберете “Later”

радио бутона и въведете име на задачата. Натиснете “Set Schedule”. Отваря се “Schedule Job” прозорецът.

12. Използвайте “Schedule Task” опцията за да изберете повторение на задачата, например дневно или седмично и после изберете “Start Time”

13. Натиснете ОК за да се върнете в основния съветник и натиснете Next. Отваря се “Set Account Information” прозорецът. Въведете данните за акаунта, който ще извършва операцията.

14. Натиснете OK и после Finnish

Конфигуриране на Remote Access Server: Routing and Remote Access Services (RRAS) услугата е инсталирана по подразбиране, но стои в изключено състояние. RRAS услугата се управлява през Routing and Remote Access Services конзолата, Rrasmgmt.msc. Могат да бъдат управлявани всички сървъри с работещ RRAS от една единствена конзола. Свързването на две отделни Windows мрежи става посредством Virtual Private Networks (VPN) или Bridge Connection VPN: При VPN двете страни обменят данни през публична мрежа, но данните и идентифицирането им са криптирани, така че не могат да бъдат откраднати от някой подслушващ трафика. Криптираните пакети се асемблират и декриптират в двата края чрез шифри, известни само на участниците. Процесът на криптирането на данните от една страна и изпращането им към другата се нарича tunneling. Windows 2003 поддържа 2 tunneling метода – Point-to-Point Protocol (PPTP) и Layer 2 Tunneling Protocol (L2TP). PPTP: PPTP криптира съобщения в стандартни PPP фреймове използвайки специален протокол, наречен Generic Routing Encapsulation (GRE). PPTP изисква два потока – контролен канал работещ на TCP порт 1723, служещ за установяване и разпадане на VPN връзката и тунелен канал, през който минава по криптираната информация. PPTP Transaction: Една PPTP конекция копира PPP dial-up транзакция, с изключение на това, че клиентът вече има връзка с RRAS (Remote Routing And Accession Server) сървъра. Клиентът изпраща заявка за PPTP връзка до RRAS сървър и бива аутентикиран посредством MS-CHAPv2 (по подразбиране). Може да се избере използването на EAP със smart cards, за по-голяма сигурност. След като PPTP линия е установен, всичкият трафик между клиента и сървъра е криптиран в GRE пакети. Крайната точка на PPTP връзката от страна на RRAS сървъра не изисква специално конфигуриране. 5 виртуални PPTP WAN интерфейса са създадени по подразбиране. Могат да бъдат увеличени в Properties в RRAS конзолата. Недостатъци на PPTP:

Данните при PPTP са криптирани през същия MS PtP Encription протокол (MPPE) използван и от PPP криптирането (криптиращият алгоритъм е RC4 със смяна на ключа на всеки 256 фрейма), а той е слаб. Windows 2003 използва PPTPv2, който е подобрен, но все още обект на критика. Най-голямата слабост е приликата на PPTP s PPP. Основна причина за това е автентикационния процес, ставащ извън криптирания канал. Начин за преодоляване на този проблем е имплементирането на smart cards. Предимства на PPTP: PPTP е прост. Единственото, което се изисква за изграждане на PPTP VPN е 2 Windows машини. Не така стоят нещата при L2TP, който се поддържа само от по-новите Windows-и и изисква PKI. L2TP: L2TP работи на Layer 2 от OSI модела, за разлика от PPTP, който работи на ниво Application. L2TP работи съвместо с IPSec. IPSec криптира целия пакет и го подписва дигитално за да предотврати man-in-the-middle и spoof атаки. Протоколът използван за създаване на криптиран пакет се нарича Encapsulating Security Payload (ESP). Този протокол поддържа няколко криптиращи протокола DES, 3DES и Advanced Encryption Standard (AES). По подразбиране се използва 3DES. Тунелите при L2TP се инициализират посредством размяна на X.509 сертификати между крайните точки още преди името на клиента да бъде анонсирано. Това предпазва автентикационния процес, който може да използва CHAPv2, RADIUS или EAP със smart cards. L2TP не използва TCP. За целостта на данните трябва да се грижи IPSec. L2TP транзакции и IPSec: Една L2TP транзакционна връзка използва протокол наречен ISAKMP (Internet Security Association And Key Management Protocol). Той се грижи за уговарянето на Security Association (SA определя политиките, според които двете страни могат да обменят информация) и размяна на X.509 сертификати. SA преговорите и размяната на сертификати са едиснтвеният чист текст, който двете страни обменят. След валидацията на сертификатите, всички съобщения са криптирани (включително и останалата част на аутентикацията). IPSec използва UDP на порт 1701. Проектиран е да работи с IPv6, но приема и IPv4 пакети. Слабости на L2TP: Основна слабост е изискването за PKI със SA на всяка от машините. Втори проблем е процесорното натоварване, дължащо се на 3DES криптирането използвано от IPSec и проверката на дигиталния подпис на всеки пакет. Начин за справяне с този проблем е инсталирането на мрежовите адаптери е инсталирането на мрежови адаптери, които имат on-board IPSec co-processor-и. Последен проблем е, че IPSec не е приятелски настроен спрямо firewall-и, тъй като ESP не дава информация за порта, която може да се използва от NAT. Създаване на VPN връзки:

PPTP и L2TP виртуалните адаптери се създават автоматично при включване на “Remote Access Portions” на RRAS. За приемане на PPTP не е нъжна допълнителна конфигурация. За L2TP връзка и RRAS сървъра и клиента се нуждаят от компютърен сертификат. След сдобиването със сертификати основната част на конфигурирането остава указване на IP адрес на RRAS сървъар. Network Bridge: Windows 2003 Standard и Enterprise поддържат Network Bridging. Операционната система третира Bridge-а, като отделно устройство, със свой собствен интерфейс и IP адрес, което елиминира проблема от поддържането на multihomed сървър. Bridging-а служи за свързване на интерфейси на ниво datalink (например wireless adapters, dial-up adapters, Ethernet Adapters, Phoneline Adapters и тн), където от значение са само MAC адресите. Bridge service-а поддържа таблица с MAC адреси на базата на фреймове, които пристигат от устройствата. Network Bridging-а също така дава възможност лесно и евтино да се създават LAN сегменти, избягвайки използването на router-и или хардуерни bridge-ове. Конфигуриране на Network Bridge: Тази операция става в Network Connections прозореца. При задържан Ctrl се избират всички интерфейси, подлежащи на bridge-ване, дясно копче и избор на “Bridge Connections”. След като bridge-а е създаден, всички конекции са скрити зад него. Инструменти като IPCONFIG показват само bridge-а, а не съществуващите адаптери. Изграждане на Windows 2003 мрежа на малка софтуерна фирма: Нека имаме фирма от 20-30 служителя. От първостепенна важност е тяхната свързаност с интернет. За целта отделяме една машина, която ще изпълнява router-ски функции. Тя ще бъде домейн контролер на домейна, с DNS, WINS и DHCP сървърни роли. Втора машина ще бъде конфигурирана като HTTP и FTP сървър, а също така и като Mail Server. На трети сървър ще върви MS SQL Server 2000 или Oracle бази данни. Добавяме и една отделна машина за firewall.

Инсталиране конфигуриране и поддръжка на windows ... ·...

Documents