Администрирование в информационных системах. Лаб. Нестеров. Методические указания к лабораторным работам СанктПетербург 2010 2 3 оглавление
Скачать 5.79 Mb.
|
ЛАБОРАТОРНАЯ РАБОТА № 7. НАСТРОЙКА DNS И DHCP. Используемое программное обеспечение Для выполнения данной лабораторной работы Вам понадобится компьютер с операционной системой Microsoft Windows XP, Windows Server 2003 или Vista и установленным программным обеспечением Microsoft Virtual PC 2007 SP1. А также 2 подготовленные виртуальные машины с Windows Server 2008 и Windows Vista. DNS сервер Во второй лабораторной работе мы уже установили DNS сервер. DNS — это система именования (и поддерживающие ее службы) компьютеров и сетевых служб, которая сопоставляет имена компьютеров и сетевые адреса, организуя их в доменную иерархическую структуру. Система именования DNS используется в сетях TCP/IP, например, в интернете и в большинстве корпоративных сетей, для поиска компьютеров и служб по понятным именам. Когда пользователь вводит DNS-имя компьютера в приложении, DNS находит имя компьютера и другую связанную с ним информацию, например его IP-адрес или службы, которые он предоставляет в сети. Этот процесс называется разрешением имен. DNS находит имена компьютеров и служб и сопоставляет их с числовым адресом, который требуется операционным системам и приложениям для идентификации компьютера в сети. Служба доменных имен — это главный метод разрешения имен в Windows Server. При использовании DNS необходимо развертывание роли сервера доменных служб Active Directory. Рис.7.1. Организация пространства имен DNS. 45 Имя DNS состоит из двух или более частей, разделенных точками (.). Последняя часть имени (справа) называется доменом верхнего уровня (TLD – top-level domain). Другие части имени — это дочерние домены домена верхнего уровня или другого дочернего домена. Имена TLD бывают функциональными или географическими. Дочерние домены, как правило, указывают на организацию, владеющую доменным именем. Обратный DNS-запрос Как частный случай, DNS может хранить и обрабатывать и обратные запросы, определения имени хоста по его IP адресу — IP адрес по таблице соответствия преобразуется в доменное имя, и посылается запрос на информацию типа PTR. Для этого используются уже имеющиеся средства DNS. Дело в том, что с записью DNS могут быть сопоставлены различные данные, в том числе и какое-либо символьное имя. Существует специальный домен in-addr.arpa , записи в котором используются для преобразования IP-адресов в символьные имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно запросить у DNS-сервера запись 44.33.22.11.in- addr.arpa , и тот вернѐт соответствующее символьное имя. Обратный порядок записи частей IP-адреса объясняется тем, что в IP-адресах старшие октеты расположены в начале, а в символьных DNS-именах старшие (находящиеся ближе к корню) части расположены в конце. При запросе осуществляется считывание записи PTR, содержащей искомое доменное имя. Если запись отсутствует, то IP-адрес считается не имеющим обратного DNS. DNS-запись in-addr.arpa выглядит так: 78.56.34.12.in-addr.arpa. IN PTR domain.ltd. Это будет означать, что имени хоста domain.ltd соответствует IP-адрес 12.34.56.78 Понятие записей ресурсов Объекты в иерархии DNS идентифицируются c помощью записей ресурсов (Resource Record). Они используются для выполнения основных операций поиска пользователей и ресурсов внутри указанного домена и уникальны для содержащего их домена. Рассмотрим некоторые типы записей. 1. Начальная запись зоны SOA (Start of Authority). Указывает, на каком сервере хранится эталонная информация о данном домене, содержит контактную информацию лица, ответственного за данную зону, тайминги кеширования зонной информации и взаимодействия DNS-серверов. 2. Записи хостов (записи А, Address Record). Наиболее часто встречающийся тип записей ресурсов. Содержит имя хоста и соответствующий ему IP-адрес. 3. Записи сервера имен (Name Server – NS). Указывают, какие компьютеры в базе данных DNS являются серверами имен – то есть DNS-серверами для конкретной зоны. Для каждой зоны может существовать только одна запись типа SOA, но может быть несколько NS – записей. 4. Запись AAAA (IPv6 address record) связывает имя хоста с адресом протокола IPv6. 5. Запись CNAME (canonical name record) или каноническая запись имени позволяет присваивать хосту мнемонические имена. Мнемонические имена, или псевдонимы, широко применяются для связывания с хостом какой-либо функции, либо просто для сокращения имени. 6. Запись MX (mail exchange) определяет почтовый сервер - машину, которая обрабатывает почту для данного домена. 46 7. Запись SRV (server selection) используется для поиска серверов, обеспечивающих работу тех или иных служб в данном домене. 8. Запись PTR (pointer) или запись указателя связывает IP хоста с его каноническим именем. Понятие зоны Зона логический узел в дереве имѐн. Рассмотрим различные типы зон в DNS. Зона прямого просмотра (forward lookup zone) создается в DNS по умолчанию во время установки. Она необходима для преобразования доменного имени в IP-адрес и информацию о ресурсах. Большинство записей в прямой зоне типа A. В дополнение к зоне прямого просмотра мы в этой лабораторной работе создадим зону обратного просмотра (reverse lookup zone), которая реализует обратный DNS- запрос. Развертывание зоны обратного просмотра обычно улучшает производительность DNS и существенно повышает успешность DNS-запросов. Зона обратного просмотра состоит почти целиком из записей типа PTR (Pointer). Первичная зона (Primary zone). В DNS (без интегрированной Active Directory) один сервер служит первичным DNS – сервером зоны, и все изменения, выполняемые в данной зоне, выполняются на этом конкретном сервере. Один DNS – сервер может содержать несколько зон, будучи первичным для одной зоны и вторичным для другой. Однако если зона является первичной, все запрошенные изменения для данной зоны должны выполняться на сервере, содержащим основную копию зоны. Вторичная зона (Secondary zone) создается для обеспечения резервирования и разгрузки первичной зоны. Однако каждая копия базы данных DNS доступна только для чтения, т.к. все модификации записей выполняются в первичной зоне. Один сервер DNS может содержать несколько первичных и вторичных зон. Зона-заглушки (Stub zone) представляет собой зону, которая не содержит никакой информации о членах домена, а служит только для переадресации запросов к списку назначенных серверов имен для различных доменов. Поэтому она содержит только записи NS, SOA и связанные записи (glue records – записи А, которые используются в сочетании с конкретной записью NS для преобразования IP-адреса конкретного сервера имен). Сервер, содержащий зону-заглушку какого-либо пространства имен, не управляет зоной. Она используется для ускорения работы. Для выполнения данной лабораторной работы необходимо будет задействовать рабочую станцию и сервер. На рабочую станцию заходим под пользователем labos (пароль Lab0s123). На сервере с помощью оснастки DNS Manager (Start-> Administrative Tools-> DNS Manager) можно посмотреть, какие типы записей были созданы при установке DNS, а также убедиться в том, что по умолчанию была создана зона прямого просмотра. Для этого нужно щелкнуть по нашему серверу S08, далее выбрать папку Forward Lookup Zones (зоны прямого просмотра), а там выбрать домен Saiu_test (рис. 7.2). Примечание: в примерах данной работы используется IP-адрес для сервера и рабочей станции, как и в предыдущих лабораторных работах: 192.168.1yy.1 и 192.168.1yy.2, где yy – номер компьютера. В данном случае, номер компьютера равен 14 и в последующих примерах везде будет использоваться именно он. 47 Рис.7.2. Просмотр записей и зон DNS. Как видим, были созданы начальная запись зоны (SOA), записи хостов (A) и запись сервера имен (NS). На рабочей станции воспользуемся командой nslookup (name server lookup - поиск на сервере имѐн), которая предоставляет пользователю интерфейс командной строки для обращения к системе DNS, а также позволяет задавать различные типы запросов и запрашивать произвольно указываемые сервера (рис. 7.3). В ответ на приглашение «>» можно ввести имя нашего виртуального сервера – s08.saiu_test и получить его ip-адрес – 192.168.114.1. Если ввести ip-адрес, то в имя он не разрешится. Рис. 7.3. Пример работы команды nslookup. 48 Данный пример подтверждает, что на сервере есть зона прямого просмотра (IP-адрес определяется правильно - Address: 192.168.114.1 ). Но на нет зоны обратного просмотра или в ней для искомого адреса, т.е. для него не создана запись (это можно также проверить на сервере, посмотрев в оснастке DNS папку Reverse Lookup Zones). Создадим псевдоним (запись CNAME), чтобы рабочая станция смогла обратиться к серверу и по альтернативному имени. Например, мы планируем на сервере s08 организовать web-сервер, и хотим, чтобы к нему можно было обратиться www.saiu_test. Для этого на оснастке DNS Manager правой кнопкой мыши щелкаем по домену Saiu_test и из списка выбираем New Alias (CNAME)… (рис. 7.4). Задаем имя псевдонима www и хост s08.Saiu_test. Рис.7.4. Создание псевдонима записи типа CNAME. Теперь в списке записей прямой зоны появилась запись типа CNAME с именем www. На рабочей станции теперь можно проверить доступность псевдонима www.saiu_test с помощью команды nslookup www.saiu_test. Теперь настроим обратное разрешение имен. Для этого понадобится создать обратную зону. В DNS Manager на вкладке Action выбираем New Zone… Создаем Reverse Lookup Zone и изменяем только: имя во вкладке Reverse Lookup Zone Name на 114.168.192.in- addr.arpa (рис.7.5) для сети 192.168.114.0 (или другое имя при использовании другого адреса сети). И при вопросе о Dynamic Update выбираем Allow only secure dynamic updates (разрешить только безопасные динамические обновления). Теперь в папке обратных зон появилась новая обратная зона с заданным именем. Но рабочая станция все равно не может получить имя сервера, поскольку не создана запись указателя (PTR), связывающая IP хоста с его каноническим именем. Для этого на сервере выполняем команду ipconfig с ключом /registerdns (рис.7.6). Прим.В операционных системах Microsoft Windows ipconfig — это утилита командной строки для вывода деталей текущего соединения и управления клиентскими сервисами DHCP и DNS. Утилита ipconfig позволяет определять, какие значения 49 конфигурации были получены с помощью DHCP, APIPA или другой службы IP- конфигурирования либо заданы администратором вручную. Рис.7.5. Создание обратной зоны Ключи команды ipconfig. Ключ Описание /all Отображение полной информации по всем адаптерам. /release адаптер] Отправка сообщения DHCPRELEASE серверу DHCP для освобождения текущей конфигурации DHCP и удаления конфигурации IP-адресов для всех адаптеров (если адаптер не задан) или для заданного адаптера. Этот ключ отключает протокол TCP/IP для адаптеров, настроенных для автоматического получения IP-адресов. /renew [адаптер] Обновление IP-адреса для определѐнного адаптера или если адаптер не задан, то для всех. Доступно только при настроенном автоматическим получением IP-адресов. /flushdns Очищение DNS кэша. /registerdns Команда обновления регистрации DNS-клиента /displaydns Отображение содержимого кэша DNS. /showclassid адаптер Отображение кода класса DHCP для указанного адаптера. Доступно только при настроенном автоматическим получением 50 IP-адресов. /setclassid адаптер [код_класса] Изменение кода класса DHCP. Доступно только при настроенном автоматическим получением IP-адресов. /? Справка. Рис.7.6. Обновление регистрации DNS-клиента. Выполнив эту команду на сервере и клиентской станции, можно проверить, что в обратной зоне появились две новые записи типа PTR (рис.7.7), которые позволяют по ip-адресу узнать имя. Их также можно было создать и в оснастке DNS. В частности, теперь команда nslookup, введенная на рабочей станции, показывает не только IP-адрес сервера DNS (как было на рис.7.3), но и его имя - s08.saiu_test. Рис.7. Записи типа PTR:192.168.114.1 – IP-адрес сервера, 192.168.114.2 – IP-адрес рабочей станции. Добавление роли DHCP DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) — это сетевой протокол, позволяющий компьютерам автоматически получать IP- адрес и другие параметры, необходимые для работы в сети TCP/IP. Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Для использования протокола TCP/IP в сети администратор должен задать для каждого из компьютеров по меньшей мере три параметра - IP-адрес, маску подсети и адрес используемого по умолчанию шлюза. При этом, каждый компьютер должен иметь уникальный IP-адрес. Кроме того, присвоенный адрес должен находиться в диапазоне подсети, к которой подключено устройство. В большой сети иногда бывает трудно 51 определить, к какой же из подсетей подключен тот или иной компьютер. Однако DHCP-сервер "знает", из какой подсети приходит запрос на получение IP-адреса, и назначит клиенту правильный адрес. Если в сети используются Windows Internet Naming Service (WINS) и Domain Name Service (DNS), то IP-адреса WINS и DNS- серверов также может указывать DHCP-сервер. Установим и сконфигурируем DHCP-сервер. На сервере S08 из оснастки Server Manager добавляем роль DHCP. На вкладке DHCP Scopes добавляем адреса, которые могут быть использованы. Пусть, например, распределяемые адреса будут начинаться с адреса 192.168.114.2 и заканчиваться адресом 192.168.114.100, а назовем мы эту группу адресов «192.168.114.1» (по адресу сервера). Задаем маску и шлюз соответственно: 255.255.255.0 и 192.168.114.1. Активируем этот набор адресов (рис.7.8). Рис.7.8. Конфигурирование DHCP-сервера в процессе установки. Рис.7.9. Отчет об установке роли DHCP. 52 Далее продолжаем установку так, чтобы получились параметры, аналогичные представленным на рис.7.9. Когда роль DHCP на сервере установлена, на рабочей станции нужно сделать так, чтобы получать IP-адрес и DNS автоматически, а не прописывать их вручную. Это указывается в настройках протокола TCP/IP v.4 в свойствах сетевого интерфейса. Сделаем подобную настройку и протестируем ее работу. Можно поменять параметры пула раздаваемых адресов с помощью оснастки Server Manager, где выбираем роль DHCP, и, находя там вкладку Scopes, меняем, например, начальный IP-адрес, на 192.168.114.10. 53 ЛАБОРАТОРНАЯ РАБОТА № 8. СЛУЖБЫ INTERNET INFORMATION SERVICES (IIS 7.0). УСТАНОВКА И ОСНОВЫ АДМИНИСТРИРОВАНИЯ WEB- И FTP-СЕРВЕРА Используемое программное обеспечение Для выполнения данной лабораторной работы Вам понадобится компьютер с операционной системой Microsoft Windows XP, Windows Server 2003 или Vista и установленным программным обеспечением Microsoft Virtual PC 2007 SP1 и 2 подготовленные виртуальные машины с Windows Server 2008 и Windows Vista. В ходе работы на виртуальной машине с Windows Server 2008 будет организован web- и ftp-сервер. Настройка параметров сети для виртуальных машин В ходе предыдущей лабораторной работы мы изменяли настройки сетевых параметров на виртуальной машине с Windows Vista для использования DHCP сервера. Поэтому после загрузки виртуальной машины проверьте, получила ли она настройки вообще и правильные ли они. Это можно сделать, например, выполнив команду ipconfig /all. Если при работе в классе виртуальная машина получила адрес от другого DHCP сервера, завершите сеанс текущего пользователя, зайдите под учетной записью локального администратора Vista1\adm пароль 123qwe и пропишите вручную нужные настройки для протоколов TCP/IP v.4. Рис.8.1. Установка роли Web server требует установки компоненты Windows Process Activation Service. 54 Установка IIS 7.0 В состав серверных операционных систем Microsoft входят службы Internet Information Services, которые и обеспечивают функциональность web- и ftp-сервера. IIS 7.0 имеет модульную архитектуру и рекомендуется устанавливать только нужные вам компоненты. Для установки IIS запустим Server Manger и добавим роль Web Sever. Вместе с ней будет предложено установить Windows Process Activation Service (рис.8.1). Обратите внимание на перечень устанавливаемых по умолчанию модулей. Они обеспечивают работу web-сервера со статическим содержимым. Если требуется использовать технологии ASP, ASP.Net, CGI и т.п. потребуется дополнительно отметить соответствующий модуль. Для лабораторной нам понадобится ftp-сервер, поэтому при установке отмечаем службу FTP Publishing Service (рис.8.2). Рис.8.2. Устанавливаемые модули. При выборе FTP Publishing Service мастер установки также предложит включить в установку компоненты управления от предыдущей верcии - IIS 6.0. Они потребуются для администрирования FTP сервера. WEB-сервер После успешной установки проверим, работает ли web-сервер. Запустите браузер на сервере и в строке адреса наберите http://<имя web-сервера>. Вы должны увидеть стандартную первую страницу web-сервера IIS с надписью «Добро пожаловать» на разных языках (рис.8.3). Проделайте то же самое с рабочей станции. Если начальная страница видна с сервера, но недоступна с рабочей станции, проверьте настройки сетевого подключения. Кроме того, в некоторых случаях проблема может быть вызвана работой встроенного межсетевого экрана Windows Server 2008. Настройки можно проверить в Панели 55 управления (Control Panel -> Windows Firewall). Для используемого сетевого интерфейса должны быть разрешены исключения и в списке исключений должно быть отмечено World Wide Web Services (HTTP) – рис.8.4. Эту настройку делает мастер установки при добавлении роли, но возможно по каким-то причинам она не появилась. Рис.8.3. Страница приветствия. Рис.8.4. Проверка настройки Windows Firewall. Теперь, когда мы добились того, что сервер доступен не только локально, но и извне, познакомимся с инструментами администрирования. В меню Administrative Tools найдите оснастку Internet Information Services (IIS) Manager. В оснастке раскройте узел со списком сайтов и, выделив сайт Default Web Site, в правой части окна в группе Actions нажмите ссылку Basic Settings. В появившемся окне вы увидите путь к домашнему каталогу сайта (рис.8.5), в нашем 56 случае это C:\inetpub\wwwroot. Если открыть этот каталог, в нем найдете файл iisstart.htm, который и выводится при запросе заглавной страницы сайта. Посмотрим, где эту настройку можно поменять. Рис.8.5. Домашний каталог сайта по умолчанию. Закройте окно Edit Site и в центральной части окна оснастки Internet Information Services (IIS) Manager откройте ссылку Default. Вы перейдете в раздел настройки страницы по умолчанию, возвращаемой сервером, если в запросе клиента явно не указан полный пусть и название файла (рис.8.6). Названия страниц расположены в порядке убывания приоритета. Список можно редактировать. Рис.8.6. Настройка страницы по умолчанию. 57 Задание. Создайте свою web-страницу (например в редакторе Word) сохраните ее в корневом каталоге сайта с названием default.htm. В браузере снова наберите http://<имя web-сервера> , убедитесь, что теперь при обращении к серверу отображается новая заглавная страница. Теперь посмотрим, как организовать иерархию каталогов. Вариант первый – создание подкаталогов в каталоге сайта. Задание. Создайте в каталоге C:\inetpub\wwwroot подкаталог cat1, поместите туда начальную страницу и проверьте работу ссылки http://<имя web- сервера>/cat1 Возможности по более гибкой настройке предоставляют виртуальные каталоги. Пусть, например, нужные нам файлы лежат в папке E:\test и мы хотим подключить ее к дереву каталогов нашего сайта под именем cat2. Для этого в правой части окна оснастки Internet Information Services (IIS) Manager найдите ссылку View Virtual Directories и в открывшемся окне нажмите ссылку Add Virtual Directory. После этого укажите физическое расположение каталога и псевдоним (Alias), под которым он будет подключен к дереву каталогов сайта (рис.8.7). Рис.8.7. Создание виртуального каталога. Задание. Создайте виртуальный каталог и пометите в него какой-нибудь HTML- документ. Протестируйте правильность сделанных настроек. FTP-сервер Перейдем теперь к администрированию установленного нами FTP-сервера. В отличие от web-сервера, ftp-сервер по умолчанию не запускается (даже если он установлен на компьютер). Видимо считается, что эта служба потенциально более опасна с точки зрения подверженности сетевым атакам. Поэтому первое, что мы делаем – запускаем службу FTP Publishing Service c помощью оснастки Services из меню Administrative 58 Tools (рис.8.8). Здесь же можно изменить тип запуска с ручного (Manual) на автоматический (Automatic). Теперь откройте каталог C:\inetpub\ftproot и запишите в него какой-нибудь файл. На сервере, набрав в браузере ftp://<имя web-сервера>, проверьте работу ftp- сервера. Теперь выполните ту же проверку на виртуальной машине с Windows Vista. Она может не пройти по следующей причине. Протокол FTP при работе создает два соединения. Первое устанавливает клиент на 21-й TCP-порт сервера. Второе в зависимости от режима протокола устанавливает или клиент (пассивный режим), или сервер (активный режим). При настройках по умолчанию браузер Internet Explorer использует пассивный режим протокола и второе соединение, устанавливаемое клиентом с сервером, блокируется его межсетевым экраном. Чтобы все заработало правильно, можно или внести изменения в настройки межсетевого экрана на сервере, или в настройках браузера сбросить переключатель «Использовать пассивный FPT-протокол …» (рис.8.9: Сервис->Свойства обозревателя вкладка «Дополнительно»). Рис. 8.9. Запуск службы FTP Publishing Service. После того, как мы проверили доступность FTP-сервера с другого компьютера, рассмотрим некоторые вопросы, связанные с его администрированием. Если в оснастке Internet Information Services (IIS) Manager перейти на узел FTP Sites, мы увидим надпись, что управление FTP-сайтами осуществляется с помощью оснастки Internet Information Services (IIS) 6.0 Manager и ссылку для ее запуска (также эту оснастку можно запустить из меню Administrative Tools). Открыв свойства FTP-сайта Default FTP Site (рис.8.10) на вкладке Home Directory, можно узнать расположение домашнего каталога FTP-сайта и настройки для него (разрешено чтение, не разрешена запись). 59 Рис.8.9. Настройка Internet Explorer для использования FTP в активном режиме. Рис.8.10. Расположение домашнего каталога сайта Default FTP Site. На вкладке Security Accounts (рис.8.11) указано, что к FTP-серверу разрешен анонимный доступ и для него используется учетная запись IUSR_<имя сервера> (в нашем случае IUSR_S08). Эта учетная запись при настройках по умолчанию используется также и Web-сервером. Это надо учитывать при работе с разрешениями на файловой системе. Задание. В каталоге C:\inetpub\ftproot создайте две папки public и private и запишите туда какие-нибудь файлы. В свойствах папки private запретите полный доступ к ней 60 для учетной записи IUSR_S08. Из виртуальной машины с Windows Vista попробуйте открыть через FTP ту и другую папку. Опишите результат. Задание. Отключите анонимный доступ для FTP-сайта. Попробуйте снова подключиться с удаленного компьютера. На запрос имени пользователя и пароля введите данные действующей учетной записи (например, test_saiu\labos с паролем Lab0s123). Опишите результат. Рис.8.11. Настройка параметров анонимного доступа к FTP-серверу. Прим. При работе через Internet Explorer с доступом к папке Private в последнем задании тоже возникают проблемы (но к папке Public получить доступ можно). Можно попробовать проверить с другими FTP-клиентами и постараться разобраться. Прим2. Протокол FTP передает имя пользователя и пароль открытым текстом. Это надо учитывать и стараться использовать дополнительные средства для защиты FTP- соединения или использовать для доступа по FTP специально для этого созданные учетные записи с ограниченными привилегиями в сети. 61 ЛАБОРАТОРНАЯ РАБОТА № 9. УДАЛЕННОЕ УПРАВЛЕНИЕ WINDOWS SERVER 2008 Используемое программное обеспечение Для выполнения данной лабораторной работы Вам понадобится компьютер с операционной системой Microsoft Windows XP, Windows Server 2003 или Vista и установленным программным обеспечением Microsoft Virtual PC 2007 SP1 (c ОС Windows 7 и Windows Virtual PC) и 2 подготовленные виртуальные машины с Windows Server 2008 и Windows Vista. Remote Server Administration Tools Для удаленного администрирования предыдущих серверных операционных систем семейства Windows (т.е. Windows 2000 Server и Windows Server 2003) на рабочую станцию администратора нужно было установить пакет инструментов из файла Adminpak.msi с дистрибутива соответствующего сервера. С выходом Windows Server 2008 все несколько изменилось и теперь для этого используется пакет RSAT, который можно свободно загрузить с сервера Microsoft. Он существует в версиях для Windows Vista SP1 и Windows 7. Задание. Из файла, прикладываемого к описанию работы, установите на рабочую станцию с Windows Vista утилиты удаленного администрирования (для этого вам понадобится зайти под учетной записью с административными привилегиями). Прим. Если на виртуальной машине установлена ОС Windows Vista без SP1, то предварительно нужно поставить этот пакет обновлений. При этом надо читывать, что для его установки потребуется не менее 6Гб свободного пространства на диске, где установлена ОС. После установки, средства администрирования из состава RSAT необходимо активировать из "Панели управления" (Control Panel). Активированные приложений появятся в папке «Администрирование» (Administrative Tools) на локальном компьютере. Служба удаленного терминала Также удаленное управление сервером можно осуществлять через удаленный терминал. В этом случае, управляющие утилиты (и другие приложения, запускаемые из терминала), выполняются на сервере, а на клиентский компьютер передается только картинка рабочего стола пользователя. Служба терминалов использует протокол RDP (Remote Desktop Protocol), кроме того, в Windows Server 2008 появилась возможность использования удаленного терминала через web-интерфейс. Начнем с того, что в Server Manager добавляем серверу роль Terminal Services. На рисунке 9.1 представлены службы, относящиеся к данной роли. Для выполнения первой части лабораторной работы нам понадобится только служба Terminal Server. Если ее отметить, то появится предупреждение о том, что установка служб удаленного терминала на контроллер домена нежелательна по соображениям безопасности (рис.9.2): удаленные пользователи получат доступ к консоли контроллера домена. Но так как наша виртуальная сеть включает только один сервер, это предупреждение сейчас игнорируем. 62 Рис. 9.1. Службы, относящиеся к роли Terminal Sevices Рис. 9.2. Предупреждение о том, что установка служб удаленного терминала на контроллер домена нежелательна Следующее окно мастера установки роли (рис.9.3) позволяет указать способ выполнения аутентификации при подключении. Более безопасный тип – Network Level Authentication, но он поддерживается не во всех случаях. Выберем его, т.к. у нас новая версия клиентской ОС (Windows Vista) и подключаемся мы фактически из локальной сети, поэтому проблем c совместимостью быть не должно. После этого будет запрошен тип лицензирования устанавливаемого сервера терминалов (рис.9.4). В нашем случае отметим первый вариант и получим пробную 120-дневную лицензию на использование сервера терминалов (для целей обучения этого будет вполне достаточно). Последнее окно мастера позволяет указать пользователей и группы, которым разрешен терминальный доступ. Здесь для выполнения лабораторной работы также достаточно оставить предлагаемый вариант – только группу Administrators. 63 После этого начнется установка выбранной службы. Для ее окончания нужно будет перезагрузить виртуальную машину, после чего снова войти под администратором и закончить процедуру установки. Рис.9.3. Выбор типа аутентификации. Рис.9.4. Выбор типа лицензирования. 64 Рис.9.5. Выбор групп пользователей для терминального доступа. Теперь, чтобы работать на сервере и на рабочей станции под разными учетными записями, создайте нового доменного пользователя adms с паролем 123qweQWE и включите его в группу Administrators (делается это с помощью оснастки Active Directory Users and Computers). С рабочей станции подключитесь к серверу терминалов (Пуск->Все программы->Стандартные->Подключение к удаленному рабочему столу). Для этого в окне терминального клиента сначала кажите имя или ip-адрес сервера (рис.9.6), а потом учетную запись, от имени которой будет производиться подключение. Обратите внимание, что по умолчанию считается, что вводимая учетная запись – локальная. Поэтому при использовании доменных записей надо полностью вводить имя домена и имя пользователя, например, SAIU_Test\adms. Рис.9.6. Выбор компьютера для подключения. Административная оснастка Terminal Services Manager (Start->Administrative Tools-> Terminal Services) позволяет отслеживать текущие сессии, пользователей работающих в данных сессиях и запускаемые ими процессы (вкладка Processes). Пользователю можно отправить сообщение, при наличии соответствующих прав завершить выполнение отдельного процесса или сессии пользователя вообще, выполнить другие действия. В терминальной сессии доступен буфер обмена, через который можно передавать данные на удаленный (локальный) компьютер. Аналогичным образом можно копировать и файлы. 65 Рис.9.7. Окно оснастки Terminal Services Manager. Рис.9.8. Окно оснастки TS RemoteApp Manager. Зачастую администратору надо сделать так, чтобы пользователь, не выбирая компьютер и параметры подключения, мог быстро подключиться к нужному серверу и 66 получить нужное ему приложение. Такую настройку можно сделать с помощью оснастки TS RemoteApp Manager (рис.9.8). Выбрав ссылку Add RemoteApp Programs, можно добавить приложение, «публикуемое» на терминальном сервере. Когда приложение добавлено (на рис.8 это оснастка IIS Manager), можно создать для него .rdp файл (ссылка Create .rdp file). Теперь клиент, получивший этот файл, может его запустить, ввести имя пользователя и пароль (если это предполагают настройки) и получить доступ к нужному приложению, как будто оно запущено локально. Задание. «Опубликуйте» приложение. Проверьте работу сделанных настроек. Что будет отображаться на сервере в оснастке Terminal Services Manager, когда пользователь запустил удаленное приложение? А когда закрыл его? Посмотрите описания опубликованного приложения в TS RemoteApp Manager и свойства .rdp файла. Как Вы убедились в ходе выполнения задания, если пользователь закрывает окно опубликованного приложения или окно терминального клиента, его сессия не заканчивается. Таким образом, удаленный пользователь может запустить какую-то программу на выполнение, а спустя некоторое время (часы, дни …) – подключиться, чтобы проверить результаты. В одних случаях, это может быть полезно. Но в других – может понадобиться автоматически закрывать неактивные в течение определенного времени сессии (для экономии ресурсов сервера, из-за ограниченного числа терминальных лицензий). Такую настройку можно сделать в оснастке Active Directory Users and Computers в свойствах учетной записи пользователя (рис.9.9). Рис.9.9. Настройка автоматического завершения неактивных сессий в свойствах учетной записи пользователя Доступ к службе удаленного терминала через web-интерфейс Теперь рассмотрим, как настроить работу с удаленным терминалом через web- интерфейс. Это может понадобиться в случаях, когда пользователи по каким-то причинам не могут использовать обычный терминальный клиент (фильтрация трафика провайдером и т.д.). 67 Для начала, нужно установить дополнительную службу. В оснастке Server Manager запустите добавление служб для роли Terminal Services. В окне аналогичном, представленному на рис.9.1, отметьте службу TS Web Access. Появится запрос на добавление связанных компонент – модулей IIS, обеспечивающих работу с динамически формируемым содержимым (ASP.Net, ISAPI и т.д.). После успешной установки, в оснастке Internet Information Services (IIS) Manager проверьте, что у web-сайта Default Web Site появился раздел TS. На рабочей станции запустите Internet Explorer и в строке адреса наберите http://<имя сервера>/ts В открывшемся окне перейдите на вкладку Remote Desktop (рис.9.10). При необходимости добавьте сайт в список доверенных, чтобы с него можно было запускать активное содержимое. Для этого в меню Сервис выберите Свойства обозревателя, на вкладке Безопасность откройте список надежных узлов и добавьте в него наш узел (рис.9.11). После этого попробуйте подключиться к серверу. В остальном работа через web-интерфейс ничем особо не отличается от работы с использованием терминального клиента. Рис.9.10. Подключение к терминальному серверу через web-интерфейс. Рис.9.11. Добавление узла в список надежных. 68 ЛАБОРАТОРНАЯ РАБОТА № 10. АВТОМАТИЧЕСКОЕ ОБНОВЛЕНИЕ ОПЕРАЦИОННОЙ СИСТЕМЫ С ИСПОЛЬЗОВАНИЕМ СЛУЖБЫ WSUS В данной лабораторной работе мы рассмотрим пример организации автоматического обновления программного обеспечения в сети предприятия. Речь будет идти об обновлении ПО разработки Microsoft и использовании программного средства Window Server Update Services (WSUS). Этот продукт доступен для бесплатного получения с сайта Microsoft (дополнительную информацию можно получить на странице WSUS, http://technet.microsoft.com/ru-ru/wsus/default(en-us).aspx). |