Эксплуатация объектов сетевой инфраструктуры
учебно-методический материал на тему

Комплект лабораторных работ по дисциплине "Эксплуатация объектов сетевой инфраструктуры" для студентов 3 курса специальности "Компьютерные сети"

Скачать:


Предварительный просмотр:

Лабораторная работа № 1-3

Тема: первый контроллер домена в лесу, на базе Windows 2016 R2. Настройка служб AD DS, DNS, DHCP

1) Основной контроллер домена, ОС — Windows Server 2016 R2 with GUI.

2) Дополнительный контроллер домена (на случай выхода из строя основного), ОС — Windows Server 2016 R2 Core.

3) Контроллер домена только для чтения (RODC), находящийся в филиале компании за vpn-каналом, ОС — Windows Server 2012 R2 Core.

Шаг 1: Установка первого контроллера домена. Подготовка.

Перед запуском мастера ролей, серверу необходимо задать сетевое имя и настроить ip-адрес. Настройки TCP/IP укажем как на скриншоте ниже.

2012r2-tcp-settings

Запускаем диспетчер сервера — Server Manager -> Dashboard -> Configure this local server -> Add Role and Features Wizard. На первом экране мастер нам сообщает, что перед тем как продолжить, должен быть установлен сложный пароль администратора, в настройках сети указан статический ip-адрес, установлены  последние обновления. Если все это сделано, то нажимаем Next.

dd_role_and_features_wizard

На следующем экране, выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен исключительно для установки роли удаленных рабочих столов.

server_manager_select_installtion_type

На экране Select Destination server диспетчер предлагает нам, выбрать сервер из пула или расположенный на VHD-диске. Поскольку у нас пока только один локальный сервер, то нажимаем Next.

server_manager_select_destination_server Выбираем Active Directory Domain Services (Доменные службы Active Directory), после чего появится окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features и затем Next.

server_manager_add_roles_and_features_wizard

Обычно, на серверах с AD DS имеет смысл, параллельно разворачивать DHCP Server, поэтому отмечаем его для установки так же. Соглашаемся с установкой компонент. Нажимаем Next.

server_manager_add_role_dhcp_serverНа экране Features предлагается выбрать дополнительные компоненты. На контроллере домена ничего экстраординарного обычно не требуется, поэтому нажимаем Next.

server_manager_add_role_and_features_wizard2

На завершающих этапах подготовки к установке, на вкладке AD DS, мастер даст нам некоторые пояснения, а именно, в случае, если основной контроллер будет не доступен, то рекомендуется в одном домене держать как минимум два контроллера.

Службы Active Directory Domain Services требуют установленного в сети DNS-сервера. В случае если он не установлен, то роль DNS Server будет предложена для установки.

Так же, службы Active Directory Domain Services требуют установки дополнительных служб пространства имен, файловой и DFS репликации (DFS Namespace, DFS Replication, File Replication). Нажимаем Next.

server_manager_AD_DS

На последнем экране Confirm installation selection (Подтверждение устанавливаемых компонентов), можно экспортировать конфигурацию в xml-фаил, который поможет быстро установить еще один сервер с идентичными настройками. Для этого потребуется на новом сервере, используя PowerShell, ввести следующую команду:

Install-WindowsFeature –ConfigurationFilePath

D:\ConfigurationFiles\DeploymentConfigTemplate.xml

или если требуется задать новое имя серверу, набираем:

Install-WindowsFeature –ConfigurationFilePath

D:\ConfigurationFiles\ADCSConfigFile.xml -ComputerName $servername

В конце нажимаем Install. Дожидаемся окончания процесса установки.

server_manager_confirm_installation_selection

Шаг 2: Установка первого контроллера домена. Настройка служб Active Directory, DNS, DHCP.

Теперь нажимаем на значок треугольника с восклицательным знаком и выбираем сначала Promote this server to domain controller (Повысить этот сервер до контроллера домена). Позже запустим процесс развертывания DHCP-сервера.

server_manager_promote_to_domain_controller

Запустится мастер Active Directory Domain Services Configuration Wizard (Мастер конфигурации доменных служб Active Directory). Доступно, три варианта развертывания, если:

Add New Forest — создать новый корневой домен в новом лесу. Используется для новой «чистой» установки Active Directory; (например 'test.ru')

Add a new domain to an existing forest — добавить новый домен в существующем лесу, возможные варианты: Tree Domain -  корневой домен нового дерева в существующем лесу (например 'test2.ru' параллельно с 'test.ru') или Child Domain — дочерний домен в существующем лесу (например 'corp.test.ru')

Add a domain controller to an existing domain — добавить дополнительный контроллер домена в существующем домене, используется для резервного или филиального домена.

Выбираем вариант Add New Forest, задаем корневое имя домена, нажимаем Next.

server_manager_add_new_forestНа следующей вкладке можно задать функциональный уровень домена и леса (по умолчанию 2016 R2), снять или отметить для установки DNS Server, и задать пароль для режима восстановления службы каталогов (DSRM). Укажем только пароль для DSRM и нажмем Далее.

server_manager_domain_controller_option

На следующем шаге DNS Options мастер ругнется, на то, что делегирование для этого DNS-сервера создано не было, потому что не найдена дочерняя зона или запущенный DNS-сервер. Что не удивительно, т.к. роль DNS Server у нас создается в процессе. Нажимаем Next.

server_manager_dns_optionsДалее в Addional Optional соглашаемся с NetBIOS именем, которое предлагает нам система, жмем Next.

server_manager_verify_netbios

В разделе Paths можно изменить путь к каталогам баз данных, файлам журнала и к SYSVOL. Оставляем по умолчанию, нажимаем Next.

server_manager_pathsНа следующем этапе Review Options отображается сводная информация по настройке. Кнопка View Script, позволяет посмотреть Powershell скрипт, при помощи которого, в будущем можно будет произвести настройку доменных служб Active Directory. Нажимаем Next.

server_manager_ad_ds_review_optionsИ наконец, на последнем этапе предварительных проверок, если видим надпись: «All prerequisite checks are passed successfully. Click «install» to begin installation.» (Все предварительные проверки пройдены успешно. Нажмите кнопку «установить», чтобы начать установку.), то нажимаем Install, дожидаемся окончания процесса установки.

server_manager_ad-ds_install_prerequisites_checkПосле перезагрузки, снова заходим в Server Manager -> Dashboard и запускаем пиктограмму треугольника с восклицательным знаком и выбираем там Complete DHCP Configuration (Завершение конфигурации DHCP).

server_manager_dhcp_configurel

Запустится мастер по конфигурированию DHCP, который нам сообщит, что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.

server_manager_dhcp_post_install_wizardНа следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.

server_manager_authorize_dhcp_serverЕсли видим, что Create Security Group — Done и Authorizing DHCP Server — Done, то процесс завершился успешно, нажимаем Close.

Теперь создадим обратную зону в DNS. Обратная зона, позволяет выполнить разрешение FQDN-имен хостов по их IP-адресам. В процессе добавления ролей AD и DNS по умолчанию не создаются, поскольку предполагается, что в сети может существовать другой DNS-сервер, контролирующий обратную зону. Поэтому создадим ее сами, для этого переходим в диспетчер DNS (DNS Manager), на вкладку Reverse Lookup Zones, кликаем правой кнопкой и выбираем  New Zone.

dns_managerЗапустится мастер DNS-зоны. Соглашаемся с параметрами по умолчанию, а именно нам предлагается создать основную зону которая будет хранится на этом сервере (Primary Zone) и будет интегрирована в Active Directory (Store the zone in Active Directory...). Нажимаем Next.

На следующем экране, предлагается выбрать как зона будет реплицироваться, обмениваться данными с другими зонами расположенными на контроллерах и DNS-серверах. Возможны следующие варианты:

Для всех DNS-серверов расположенных на контроллере домена в этом лесу (То all DNS servers running on domain controllers in this forest). Репликации во всем лесу Active Directory включая все деревья доменов.

Для всех DNS-серверов расположенных на контроллере домена в этом домене (То all DNS servers running on domain controllers in this domain). Репликация внутри текущего домена и его дочерних доменов.

Для всех контроллеров домена в этом домене (То all domain controllers in this domain). Репликация на все контроллеры домена внутри текущего домена и его дочерних доменов.

На все контроллеры домена в указанном разделе каталога приложений (To all domain controllers specified in the scope of this directory partition). Репликация на все контроллеры домена, но DNS-зона располагается в специальном каталоге приложений. Поле будет доступно для выбора, после создания каталога.

dns_zone_replication_scope

Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.

На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

dns_network_ID

На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.

Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.

Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.

Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.

dns_dynamic_updates

Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.

Еще одна полезная опция, которая обычно настраивается в DNS — это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.

dns_forwarders_properties

Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.

dns_edit_forwarders

Настройка службы DHCP.

Запускаем оснастку DHCP.

dhcp_manager1Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.

dhcp_manager_scope_name

Далее укажем начальный и конечный адрес диапазона сети.

dhcp_manager_range_of_the_scope

Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.

dhcp_manager_exclusions_delay

На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.

dhcp_manager_lease_duration

Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.

Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.

dhcp_manager_add_gateway

dhcp_manager_domain_and_dns

dhcp_manager_activate_scope

Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.

dhcp_ad_account

Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу «DnsUpdateProxy». Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.

DNSUpdateProxy-account

Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.

dhcp_ipv4_advanced

Нажимаем Credentials и указываем там нашего пользователя DHCP.

DNSUpdateProxy-credentials

Нажимаем ОК, перезапускаем службу.

dhcp_service_restart

Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум второй и последующий контроллеры домена.



Предварительный просмотр:

Лабораторная работа № 4

Тема: Установка и активация сервера лицензирования RDS на Windows Server 2016

Рассмотрим процесс установки, настройки и активации роли сервера терминальных лицензий (Remote Desktop Licensing) на базе Windows Server 2016, а также процедуру установки и активации клиентских терминальных (CAL).

Напомню, что после установки роли терминального сервера Remote Desktop Session Host, пользователи могут использовать его только в течении пробного периода 120 дней, после окончания которого возможность подключения к удаленному RDS серверу пропадает. Согласно схеме лицензирования Microsoft, все пользователи или устройства, использующие возможности RDS, должны быть лицензированы. Для учета и выдачи терминальных лицензий (RDS CAL) существует отдельная служба роли RDS под названием Remote Desktop License Server.

Установка роли Remote Desktop Licensing

Переда началом установки нужно добавить (или убедиться, что у вас есть право на добавление) нового сервера в доменную группу Terminal Server License Servers, иначе сервер не сможет выдать CAL типа RDS Per User пользователям домена.

Установить службу Remote Desktop Licensing можно через консоль Server Manager. Для этого в мастере Add Roles and Features выберите роль Remote Desktop Services.
windows server 2016 роль Remote Desktop Services

В качестве компонента роли нужно выбрать службу Remote Desktop Licensing.

Remote Desktop Licensing - служба лицензирования терминалов

Осталось дождаться окончания установки роли.
установка службы Remote Desktop Licensing

Активация сервера лицензий RDS

Чтобы сервер лицензирования RDS мог выдавать лицензии клиентам, его необходимо активировать. Для этого, откройте консоль Remote Desktop Licensing Manager, щелкните ПКМ по имени вашего сервера и выберите пункт меню Activate Server.
активация сервера терминальных лицензий

Запустится мастер активации сервера, в котором нужно будет выбрать желаемый метод активации. Если ваш сервер имеет доступ в Интернет, он может автоматически подключиться к серверам Microsoft. Если доступа в интернет с сервера нет, можно активировать сервер через веб браузер или по телефону.
выберите метод активации сервера лицензирования

Далее нужно будет заполнить ряд информации о вашей организации (часть полей является обязательной).
информация об организации и компании

Осталось нажать кнопку Finish.

сервер лицензирования RDS успешно активирован
Теперь, если в консоли щелкнуть ПКМ по имени сервера и выбрать пункт 
Review Configuration, можно убедится что данный сервер сервер лицензий RDS является активированным и может быть использован для активации RDS клиентов в домене.
Review Configuration

Типы клиентских терминальных лицензий (RDS CAL)

Каждый пользователь или устройство, которое подключается к серверам Remote Desktop Session должно иметь клиентскую лицензию (CAL — client access license). Есть два типа терминальных CAL.

  • На устройство (Per Device CAL) – это постоянный тип лицензии, назначающаяся компьютеру или устройству, которое подключается к RDS серверу более одного раза (при первом подключении устройства ему выдается временная лицензия). Данные лицензии не являются конкурентными, т.е. если у вас 10 лицензий Per Device, то к вашему RDS серверу смогут подключится всего 10 хостов.
  • На пользователя (Per User CAL) – такой тип лицензии позволяет одному пользователю подключаться к серверу RDS с любого количества компьютеров/устройств. Данный тип лицензий привязывается к пользователю Active Directory, но выдается не навсегда, а на определенный период времени (90 дней по-умолчанию).

Примечание. Отметим, что 2016 RDS CAL можно установить только на сервере лицензирования под управлением Windows Server 2016, установка новых CAL на предыдущие версии Windows Server на поддерживается.

Установка RDS CAL

Теперь на сервер лицензирования нужно установить приобретенный пакет терминальный лицензий (RDS CAL).

В консоли Remote Desktop Licensing Manager щелкните ПКМ по серверу и выберите Install Licenses.

Установка терминальных CAL на RDS сервере

Выберите способ активации (автоматически, через веб или по телефону) и программу лицензирования (в нашем случае Enterprise Agreement).
программа лицензирования Enterprise Agreement

Следующие шаги мастера зависят от того, какой тип лицензирования выбран. В случае Enterprise Agreement нужно указать его номер. Если выбран тип лицензирования License Pack (Retail Purchase), нужно будет указать 25-символьный ключ продукта, полученный от Microsoft.
номер лицензионного соглашения

Тип продукта (Windows Server 2016), тип лицензии (RDS Per user CAL) и количество лицензий, которые нужно установить на сервере.
тип и количество RDS лицензий

После этого, сервер может выдавать лицензии (RDS CAL) клиентам.

Настройка сервера лицензий на серверах RD Session Host

После, того как служба сервера лицензирования запущена и активирована, можно перенастроить терминальные сервера RD Session Host на получение лицензий с данного сервера. Выбрать тип лицензий и указать имя терминального сервера можно с помощью PowerShell или групповой политики.

Чтобы выбрать, какой тип лицензий использовать, выполните команду:

$obj = gwmi -namespace "Root/CIMV2/TerminalServices" Win32_TerminalServiceSetting

Затем укажите желаемый тип лицензирования

$obj.ChangeMode(4)

Примечание. 4 указывается, если сервер должен использовать тип лицензирования Per User, 2 – если Per Device.

Теперь можно указать имя сервера лицензирования RDS:

$obj.SetSpecifiedLicenseServerList("rds-lic1.winitpro.ru")

И проверить настройки:

$obj.GetSpecifiedLicenseServerList()

При настройке через GPO, нужно создать новую GPO и назначить ее на OU с RDS серверами. Настройки лицензирования задаются в разделе:

Computer Configuration -> Policies -> Admin Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Licensing

В этом разделе имеется 2 интересующие нас политики:

  • Use the specified Remote Desktop license servers – задается адрес сервера лицензирования
  • Set the Remote Desktop licensing mode – выбор метода лицензирования

GPO -> Remote Desktop Session Host -> Licensing

Проверить статус сервера лицензий и количество выданных лицензий можно с помощью консоли RD Licensing Diagnoser (Administrative Tools -> Remote Desktop Services -> RD Licensing Diagnoser).

Примечание. В нашем случае после указания нового сервера лицензирования, при подключении, на RDP клинте стала появляться ошибка «The remote session was disconnected because there are no Remote Desktop License Servers available to provide a license». Решение – удаление ключа L$RTMTIMEBOMB из реестра.

Активация сервера терминалов

        

Вариант #1

Служба Terminal Services работает в двух режимах:
1) Режим удаленного администрирования.
2) Режим сервера приложений.
Для этого вам нужно зайти на https://activate.microsoft.com заполнить анкету любой лабудой (Но! введенные Имя, Фамилия, Организация должны быть в точности далее введены в свойства сервера), в итоге вы получите код для активизации сервера лицензий (чтобы после 90 дней у вас все еще работал сервер лицензий), далее вам будет предложено зарегистрировать ваши лицензии – заполняете необходимое количество и вот самый интересный момент! у вас запросят номер заявки (Enrollment Agreement Number), в любом иностранном поисковике набираете “Enrollment Agreement Number” и получаете номер, вуаля, вам сгенерять код ключевого пакета лицензий! – ЭТО И ЕСТЬ ГЕНЕРАТОР ЛИЦЕНЗИЙ, ЛЮБЕЗНО ПРЕДОСТАВЛЕННЫЙ САМИМ MICROSOFT’ОМ!!!

Для начала вот вам Enrollment Agreement Number 6565792;5296992;3325596;4965437;4526017…

Примечание. Чтобы все прошло успешно, вам нужно знать:
1) 25-значный серийный номер (пять раз по пять цифробукв) Windows 2000 server на основании которого генериться код продукта xxxxx-xxx-xxxxxxx-xxxxx;
2) На основании кода продукта генериться 35-значный код сервера лицензий (семь раз по пять цифробукв);
3) На основании кода сервера лицензий, Фамилии, Имени, Организации и 7-значного Enrollment Agreement Number генериться 35-значный код ключевого пакета лицензий (семь раз по пять цифробукв).

Поэтому, если эта цепочка не принадлежит одному серверу, скорее всего работать не будет, хотя я не проверял

 Вариант #2

Это нужно сделать для сервера и для клиента.
Запускаешь regedit, идёшь – HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT и удаляешь всю папку MSLicensing.

 Вариант #3

если выбирать Режим удаленного администрирования, винда никогда не просила лицензий

 Вариант #4

Снятие 90 дневного ограничения: Пример 1 – временные лицензии.
Дата и время выдачи лицензии и окончания действия временной лицензии (через 90 дней) берется с сервера, на котором установлена эта служба, при этом все выданные лицензии хранятся в базе данных сервера, на котором установлена данная служба только для просмотра администратором. При переустановке службы база данных обнуляется. При подключении клиента к серверу проверяется только наличие и дата окончания лицензии на клиенте относительно сервера, к которому он подключается.

В качестве проверки был произведен следующий опыт: Служба “Лицензирование служб терминалов” была запущена на сервере с Windows 2000 Server с установленным 2020 годом. На клиентах, уже имеющих временную лицензию была удалена веточка реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing . На фирменных тонких клиентах, уже подключавшихся к серверу был обнулен (перезаписан) флеш. На станциях, не подключавшихся до этого, никаких процедур не производилось. На всех клиентских станциях была запущена клиентская программа и произведено соединение с сервером. После этого дата на сервере была возвращена на текущую. Подключения прошли без проблем и после изменения дат на серверах и рабочих станциях в пределах до 2019 года. Возможно, в ближайшем времени Microsoft решит эту проблему.

Вариант #5

Заходим в Администрирование -> Terminal Server Licensing. Видим, что найденный на нашем компьютере сервер находится в состоянии Not activated.
Щелкаем правой кнопкой, говорим Activate server. Выбираем тип подключения Automatic. Вводим свои личные данные (имя, фамилию, организацию, страну – строго те, которые были введены при установке Windows). Следующую страничку (E-Mail, адрес) я оставил пустой. Hажимаем Next, и ждём.

Активация должна пройти успешно. Становится непонятным, какой смысл тогда Microsoft закладывала в эту активацию? Зачем она нужна кроме сбора статистики? После успешной активации вам будет предложено добавить лицензии. Что ж, продолжим.
Запустится Client Access License (CAL) Activation Wizard, который первым делом снова полезет в Microsoft. После чего спросит тип лицензии, которую желаете установить. Я выбрал Enterprise Agreement, и следующим этапом у меня спросили магическое
число. Как оказалось, это магическое число прекрасно ищется в любом поисковике по запросу Enrollment Number. Я выбрал первое попавшееся: 4965437 (6565792;5296992;3325596;4965437;4526017).
Теперь нужно указать продукт – Windows 2003 Server. Тип лицензии – per Device. Количество – 999 (9999 у меня почему-то не прошло). Лицензия инсталлировалась отлично. Закрываем окно Terminal Server Licensing.

 

Начало формы


Предварительный просмотр:

Предварительный просмотр:


Предварительный просмотр:

Лабораторная работа № 7

Тема: Установка и настройка файловый сервер на Windows Server 2016

В качестве примера используется Windows Server 2016 R2. Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.

Шаг 1. Выбор оборудования и подготовка сервера

В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:

  • Процессор может быть самый простой;
  • Оперативная память также не сильно используется;
  • Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.

Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

Дополнительные требования

  1. Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
  2. Сервер должен быть подключен к источнику бесперебойного питания;
  3. Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.

Шаг 2. Установка Windows и настройка системы

Установка системы

На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 - 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.

Настройка системы

  1. Проверяем правильность настройки времени и часового пояса;
  2. Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
  3. Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
  4. Для удаленного администрирования, включаем удаленный рабочий стол;
  5. Устанавливаем все обновления системы.

Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Запуск диспетчера серверов Windows Server 2012

Нажимаем Управление - Добавить роли и компоненты.

Установка серверных компонентов в Windows 2012

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

Выбор установки ролей и компонентов в Windows Server

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

  • Службы хранения;
  • Файловый сервер;

Ставим галочки напротив нужных компонентов файлового сервера

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

Открываем свойства папки

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Открываем доступ к папке по сети

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Ставим галочку для включения общего доступа и переходим к управлению разрешениями

Предоставляем полный доступ всем пользователям:

Выставляем разрешения на доступ к папке по сети

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

Кнопка для назначения дополнительных прав безопасности на папку

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Отключаем наследование прав папкой

Нажимаем OK и Изменить. 

Кнопка для изменения прав на папку

Выставляем необходимые права на папку, например:

Пример прав безопасности для папки

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

DFS

С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:

При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.

Администратор легко сможет создать отказоустойчивую систему при необходимости.

Установка DFS

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Запуск диспетчера серверов Windows Server 2012

Нажимаем Управление - Добавить роли и компоненты.

Установка серверных компонентов в Windows 2012

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

Выбор установки ролей и компонентов в Windows Server

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем их и ставим галочки напротив следующих компонентов:

  • Службы хранения;
  • Файловый сервер;
  • Пространство имен DFS.

Ставим галочки напротив Пространства имен DFS

  • * некоторые из служб уже могут быть установлены. В таком случае ставим галочки только напротив тех, которых не хватает.
    ** мастер может выдать предупреждение, что для установки службы потребуется установка дополнительных компонентов — соглашаемся.

Нажимаем Далее.

В следующем окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Создание пространства имен

Открываем Диспетчер серверов. Выбираем Средства

Средства диспетчера серверов

И Управление DFS.

Запуск консоли управления DFS из диспетчера серверов

В открывшемся окне кликаем правой кнопкой по корневому разделу Управление DFS и выбираем Создать пространство имен:

Создание нового пространства имен DFS

В появившемся окне вводим или выбираем сервер пространства имен — это может быть сам файловый сервер.

Выбор сервера, на котором будет установлено пространство имен DFS

Нажимаем Далее. Теперь вводим имя пространства, по которому пользователи будут к нему обращаться, например dfs:

https://www.dmosk.ru/img/miniinstruktions/dfs-install-06.jpg

Нажимаем Далее.

Теперь выбираем тип пространства. В доменной среде лучше оставить Доменное пространство имен:

Выбор доменного пространства имен DFS

В противном случае, ставим Изолированное пространство имен и нажимаем Далее.

На следующем шаге проверяем данные и нажимаем Создать.

Создание общей папки в пространстве DFS

Прежде чем настраивать DFS, создаем общую папку на самом файловом сервере.

Теперь в уже открытом инструменте Управление DFS раскрываем Пространства имен, кликаем правой кнопкой мыши по созданному пространству и выбираем Создать папку:

Создание пространства DFS

В открывшемся окне задаем имя общей папки DFS и нажмите кнопку Добавить:

Задаем название общей папки DFS и добавляем шары

Теперь выбираем среди общих папок на сервере нужную и нажимаем OK - еще раз OK - и еще раз OK. Среди списка папок в пространстве DFS появится наша новая папка.

Она будет доступна по пути \\путь к пространству DFS\имя шары или как в нашем примере \\fs1\share

Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Как включить и настроить теневые копии Windows

Открываем консоль Управление дисками

Для этого кликаем правой кнопкой по Пуск и выбираем пункт Управление дисками:

Открываем консоль управления дисками

В более ранних версиях Windows нажимаем Пуск - Администрирование - Управление компьютером:

Открываем консоль управления компьютером

В открывшемся окне раскрываем Запоминающие устройства - Управление дисками:

Раскрываем управление дисками

Включаем теневые копии

В списке дисков находим нужный и кликаем по нему правой кнопкой мыши. Выбираем Свойства.

Открываем свойства диска

В появившемся окне переходим на вкладку Теневые копии и нажимаем кнопку Включить:

Включаем теневые копии

Если появится предупреждение, прочитайте его и нажмите Да. Пройдет несколько секунд и появится первая теневая копия.

Настраиваем расписание теневых копий

В этом же окне нажимаем Параметры:

Параметры теневых копий

В открывшемся окне кликаем по Расписание:

Переходим к расписанию теневых копий

Составляем новое расписание или оставляем имеющееся:

Переходим к расписанию теневых копий

Нажимаем OK 3 раза.

Как пользоваться созданными копиями

Теневые копии создаются только для измененных файлов и по заданному расписанию.

Чтобы восстановить предыдущую версию файла, кликаем по нему правой кнопкой мыши и выбираем Свойства. В открывшемся окне переходим на вкладку Предыдущие версии и находим список всех версий файла:

Список предыдущих версий файла для восстановления

* если список окажется пустым, значит либо файл не менялся с момента создания, либо еще не отрабатывало задание по созданию теневой копии.

Чтобы восстановить старую версию файла, перетащите файл из списка на рабочий стол, проверьте его корректность и замените основной файл на восстановленный или задайте ему новое имя.

Аудит

Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.

Как включить аудит доступа к файлам Windows в картинках

Запускаем редактор групповых политик

Для этого в Windows 10 или Server 2016 R2 кликаем правой кнопкой мыши по Пуск и нажимаем Панель управления:

Открываем панель управления в Windows 2012 R2 или 10

В более ранних версиях Windows кликаем по Пуск и выбираем Панель управления:

Открываем панель управления в Windows 2008 R2 или 7

Теперь открываем Система и безопасность:

Открываем систему и безопасность в панели управления

Администрирование:

Открываем администрирование в панели управления

И выбираем Локальная политика безопасности:

Локальная политика безопасности

Совет: редактор групповых политик можно открыть через командную строку командой gpedit.msc.

Нюанс: в доменной среде с сервером Active Directory необходимо открывать групповые политики на стороне контроллера домена и применять их к серверам или компьютерам компании.

Настраиваем политику

Раскрываем Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Политика аудита:

Находим политики аудита в групповых политиках

В окне справа кликаем дважды по Аудит доступа к объектам:

Открываем аудит доступа к объектам в групповых политиках

В открывшемся окне ставим галочки на Успех и Отказ:

Галочки отказа и успеха в политиках доступа к объектам

Нажимаем OK и закрываем редактор управления групповыми политиками.

Настраиваем аудит для файлов и папок

Кликаем правой кнопкой мыши по папке, для которой нужно настроить аудит и выбираем Свойства:

Открываем свойства папки

Переходим на вкладку Безопасность:

Переходим на вкладку безопасность

Нажимаем по Дополнительно:

Нажимаем кнопку дополнительно

В открывшемся окне переходим на вкладку Аудит и нажимаем Продолжить:

Переходим на вкладку аудит и нажимаем продолжить

Кликаем Добавить:

Нажимаем кнопку добавить

Кликаем по Выберите субьект:

Выбираем субъект, для которого настроим аудит

и выбираем учетную запись или группу пользователей, для которых необходимо установить аудит, например, все:

Выбираем всех пользователей

Нажимаем OK и выставляем галочки напротив действий, для которых система будет протоколировать события:

Настраиваем события, для которых будет вестись аудит

Нажимаем OK три раза.

Шаг 5. Настройка средств обслуживания

Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.

Резервное копирование

Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.

Мониторинг

Мониторить стоит:

  1. Сетевую доступность сервера;
  2. Свободное дисковое пространство;
  3. Состояние жестких дисков.

Шаг 6. Тестирование

Тестирование состоит из 3-х основных действий:

  1. Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
  2. Выполнить действия анализатора соответствий рекомендациям.
  3. Провести живой тест работы сервиса с компьютера пользователя.



Предварительный просмотр:

Лабораторная работа № 8

Тема: Управление стартовым экраном и элементами таскбара в Windows 10 через GPO

Распространение макета стартового экрана на ПК пользователей с помощью GPO

Чтобы распространить файл с макетом стартового экрана на компьютеры домена с помощью групповых политик (GPO), нужно скопировать полученный файл в некий общедоступный сетевой каталог  (у пользователя должны быть права на чтение). Затем откройте консоль управления доменными групповыми политиками Group Policy Management Console (GPMC.msc) и создайте новую или отредактируйте существующую политику и назначьте ее на OC пользователями.

В редакторе GPO найдите политику с именем Start Screen Layout  (политику можно задать как в пользовательском разделе User Configuration так и параметрах компьютера Computer Configuration ) -> Policies -> Administrative Templates ->Start Menu and Taskbar.

Policies -> Administrative Templates ->Start Menu and Taskbar

Примечание. Эту политику можно настроить с любого компьютера при наличие следующих файлов административных шаблонов:  StartMenu.admx и  StartMenu.adml (в Windows 10 / Server 2016 они уже имеются).

Откройте политику, включите ее (Enabled) и в поле Start layout file укажите UNC путь к xml файлу, содержащему макет стартового экрана Windows 10 (например, \\srv1\share\StartLayoutW10.xml).

Политика управления макетом начального экрана Start Screen Layout

Важно. По умолчанию при задании параметром стартового экрана пользователей с помощью GPO, пользователи не могу изменять его элементы. Чтобы разрешить пользователю менять элементы, нужно воспользоваться возможность частичной блокировки макета начального экрана (Partial Lockdown), описанной в секции ниже.

Partial Lockdown – частичная блокировка макета начального экрана

Режим Partial Lockdown, появившийся в Windows 10 версии 1511 позволяет указать группы плиток начального экрана, которые будут заблокированы для пользователя Все остальные части макета начального экрана пользователь может настраивать по своему желанию.

Чтобы указать заблокированные группы  начального экрана, нужно отредактировать XML файл с макетом с помощью любого текстового редактора.

Откроем наш файл StartLayoutW10.xml   и найдем в нем секцию . Нужно атрибуты данной секции изменить на 

DefaultLayoutOverride LayoutCustomizationRestrictionType=”OnlySpecifiedGroups”>

Сохраните изменения в xml файле и распространите его на клиентские ПК. Таким образом, будут заблокированы только группы, указанные в XML файле. Все другие группы, их состав и параметры элементов могут меняться пользователями.

НО! Работает эта фича только в Windows 10 Enterprise и Education.



Предварительный просмотр:

Лабораторная работа № 9

Тема: Установка и настройка TFTP сервера на Windows Server 2016 R2

Линейка продуктов Windows Server с незапамятных времен поддерживает возможность организации TFTP сервера. Хотя выделенная роль и служба TFTP сервераотсутствует (не стоит искать ее в разделе FTP сервера), этот функционал, как и в Windows Server 2003, является частью Windows Deployments Services (WDS). TFTP сервис функционирует внутри процесса svchost.exe службы WDS.

Протокол TFTP (Trivial File Transfer Protocol)упрощенный протокол передачи файлов, обеспечивающей простую возможность скачки и закачки файлов. Как правило, TFTP используется для организации систем загрузки по PXE (сетевая загрузка, бездисковые рабочие станции и пр.), загрузки/выгрузки конфигурации сетевого оборудования и ряда других специфичных задач. В проколе отсутствуют средства защиты, аутентификации и управления. Основное его преимущество – простота реализации клиентской части и высокая производительность при передачи файлов большого объема. Протокол работает по порту 69 UDP.

Примечание. TFTP сервер Microsoft имеет довольно урезанный функционал, минимально необходимый для работы загрузки по PXE . В частности клиенты могут только читать данные с такого TFTP сервера , а операции записи не доступны.

Чтобы установить службу TFTP на Windows Server 2016 R2, откройте консоль Server Manager и с помощью мастера Add Roles and Features Wiazrd выберите роль Windows Deployment Services (Службы развертывания Windows).

Установка роли Windows Deployment ServicesНа следующем шаге мастера в компонентах роли WDS выбираем только Transport Server (Транспортный сервер), снимите галочку с Deployment Server.

Служба Transport Server (Транспортный сервер)После завершения установки роли необходимо создать каталог, который будет корневым каталогом для TFTP сервера, к примеру C:\tftp.

Затем с помощью редактора реестра в ветке HKLM\SYSTEM\CurrentControlSet\services\WDSServer\Providers\WDSTFTPсоздадим новый строковый (String) параметр с именем RootFolder, и значением, содержащим путь к корневому каталогу TFTP, созданному ранее.

tftp RootFolderОбратите внимание на значение параметра ReadFilter. По умолчанию он разрешает загрузку файлов только из каталогов \boot и\ tmp. Если потребуется возможность загрузки файлов из корня и других каталогов, нужно изменить значение параметра ReadFilter на \*.

Запустим службу WDS с помощью команды

WDSUTIL /Start-TransportServer

Совет. Для автоматического запуска службы нужно изменить тип загрузки службы Windows Deployment Services на Auto с помощью оснастки services.msc или из командой строки:

set-service WDSServer -StartupType Automatic

В брандмауэре Windows должно появится правило, разрешающее входящий трафик на порт UDP 69 (отвечает служба с произвольного номера порта выше 1023).

На этом настройка TFTP сервера завершена.

Чтобы протестировать работу TFTP сервера, нам понадобится клиент TFTP. Установить его можно с помощью Server Manager, выбрав компонент TFTP Client.

Установка TFTP клиентаПопытаемся локально обратиться к развернутому TFTP серверу и попробовать скачать файл test.zip

Скачать файл можно при помощи команды

tftp –i localhost GET tmp\test.zip C:\temp\test.zip

Результатом выполнения такой команды будет сохранённый файл c:\temp\test.zip, скачанный с локального сервера.

Это все в теории, а на практике после выполнения последней команды у меня появилась ошибка:

Connect request failed

tftp Connect request failedПри запуске или перезапуске службы Windows Deployment Services Server в журнале Application появляется событие от службы WDSTFTP с EventID 259 и текстом:

The root folder for the Windows Deployment TFTP server is not configured.Error Information: 0x2

Чтобы заставить TFTP сервер работать, мне пришлось установить компонент роли WDS -> Deployment Service и сразу же удалить его. После его установки в ветке WDSTFTP нужно изменить значение ключа RootFolder с C:\RemoteInstall на c:\tftp. Пытаемся еще раз скачать файл:

PS C:\temp> tftp -i localhost get boot\test.zip

Получилось!

Передача файла по протоколу tftpИтак, мы рассмотрели как быстро без использования сторонних средств развернуть TFTP сервер на Windows Server 2016. Функционал такого сервера будет довольно урезанным, поэтому для более сложных инсталляций, предпочтительнее использовать альтернативную реализацию TFTP сервера, к примеру, tftpd32.


Предварительный просмотр:


Предварительный просмотр:

Лабораторная работа № 12

Тема: Установка и настройка и применение групповых политик в Windows Server 2016 R2

Групповые политики являются одним из наиболее мощных инструментов управления пользователями и компьютерами в домене Active Directory. Однако, как и любой сложный инструмент, они требуют четкого понимания принципов своей работы и тщательного планирования. Без этого применение групповых политик может выдать не совсем тот результат, который  требуется.

Вот собственно о них, основных принципах, и пойдет речь в этой статье. И начнем мы с самого основного — области действия.

Область действия групповых политик

Все групповые политики имеют свою область действия (scope), которая определяет границы влияния политики. Области действия групповых политик условно можно разделить на четыре типа.

Локальные групповые политики

Групповые политики, применяемые к локальному компьютеру, или локальные групповые политики. Эти политики настраиваются в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены. Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками.

Групповые политики доменов

Объекты групповых политик, применяемые к домену Active Directory (AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену. Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам.

Групповые политики подразделения

Политики, применяемые к подразделению (OU) и оказывающие влияние на все содержимое данного OU и дочерних OU (при их наличии).

Групповые политики сайтов

Напомню, что в отличие от доменов, которые представляют из себя логическую структуру организации, сайты в AD используются для представления ее физической структуры. Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи. В один сайт может входить несколько доменов и наоборот, один домен может содержать несколько сайтов.

Объекты групповой политики, примененные к сайту AD, оказывают влияние на все содержимое этого сайта. Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.

Порядок применения групповых политик

Порядок применения групповых политик напрямую зависит от их области действия. Первыми применяются локальные политики, затем политики, назначенные на сайт, затем отрабатывают доменные политики и затем политики, назначенные на OU.

Так в нашем примере (на рисунке ниже) сначала отработает локальная политика (условно назовем ее GPO0), затем политика сайта GPO1, затем политика домена GPO2, ну а затем применятся политики, назначенные на OU. При этом политики применяются в соответствии с иерархией — сначала политика GPO3, назначенная на вышестоящее OU, затем нижестоящие политики GPO4 и GPO5.

Порядок применения доменных политик

 

Если на одну OU назначено несколько GPO, то они обрабатываются в том порядке, в котором были назначены. Например, к подразделению TechSupport относятся GPO4 и GPO5, которые обрабатываются согласно порядку назначения (Link Order).

Политики обрабатываются в обратном порядке (снизу вверх), т.е. политика с номером 1 отработает последней. При необходимости этот порядок можно изменить, выделив политику и передвинув ее вверх или вниз с помощью соответствующих стрелок.

Порядок применения политик к одному OU

Приоритет групповых политик

Приоритет GPO напрямую зависит от порядка их применения — чем позднее применяется политика, тем выше ее приоритет. При этом нижестоящие политики могут переопределять вышестоящие — например локальная политика GPO0 будет переопределена доменной политикой сайта GPO1, доменая политика GPO2 — политикой GPO3, а политика вышестоящего GPO3  — нижестоящими политиками GPO4 и GPO5.

Для большей наглядности проведем эксперимент. Для проверки действия политик будем заходить на рабочую станцию WKS1 под учетной записью пользователя Kirill, находящегося в OU TechSupport.

На рабочей станции WKS1 открываем редактор локальных групповых политик (gpedit.msc) и переходим в раздел Конфигурация пользователя\Административные шаблоны\Рабочий стол\Рабочий стол (User Configuration\Administrative Template\Desktop\Desktop).

Редактор локальных групповых политик

 

Откроем политику Фоновые рисунки рабочего стола (Desktop Wallpaper) и укажем использовать в качестве обоев изображение local.png.

локальная политика для смены обоев

 

Затем перелогиниваемся и проверяем, что политика отработала и обои изменены.

результат применения локальной политики

 

Следующим шагом будет настройка доменной политики. Для этого в оснастке «Group Policy Management» выбираем политику GPO2 и открываем ее для редактирования.настройка доменной политики GPO2

 

Находим политику, отвечающую за смену обоев и устанавливаем в качестве рисунка рабочего стола изображение domain.png.

доменная политика для смены обоев

 

Дополнительно переходим в раздел выше и включаем политику «Remove Recycle Bin icon from desktop», удаляющую корзину с рабочего стола.

удаление корзины с рабочего стола с помощью доменной политики

 

Еще раз заходим на WKS1 и удостоверяемся в том, что обои рабочего стола изменены и корзины не видно. Это значит, что доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками.

результат применения доменных политик

 

Ну и в качестве завершаюшего шага открываем на редактирование политику GPO4 и устанавливаем политику «Remove Recycle Bin icon from desktop» в положение Disabled.

настройка доменной политики GPO4

 

А также меняем рисунок рабочего стола на изображение с именем ou.png.

отмена удаления корзины с рабочего стола с помощью политики

 

Теперь, зайдя на WKS1 мы видим, что обои опять изменены и на рабочий стол вернулась корзина. Из этого следует, что доменная политика GPO2 переопределена политикой GPO4, назначенной на OU.

результат применения политики на OU

Отключение наследования

Как я уже говорил, на все политики в домене распространяется наследование, т.е. политики, назначенные на родительский контейнер (домен или OU), последовательно применяются ко всем дочерним контейнерам. Это поведение по умолчанию, но при необходимости его можно изменить, отключив наследование для отдельно взятого OU.

Отключение наследования производится достаточно просто, надо только в оснастке «Group Policy Management» выбрать нужное OU, кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт «Block Inheritance». После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик.

Примечание. Политика Default Domain Policy содержит настройки, определяющие политику паролей и учетных записей в домене. Эти настройки не могут быть заблокированы.

В нашем примере отменим наследование для OU TechSupport, чтобы на него воздействовали только те политики, которые назначены непосредственно на данное OU.

отмена наследования групповых политик

Форсирование применения групповых политик

Форсирование применения групповых политик применяется тогда, когда данная политика должна отработать независимо от остальных политик. Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет. Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования.

Чтобы форсировать политику, надо выбрать ее в оснастке управления групповыми политиками, кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт «Enforced». Для примера форсируем политику GPO2, назначенную на домен.

форсирование применения групповых политик

 

Затем зайдем на WKS1 еще раз и увидим знакомую картину. Как видите, политика GPO2 отработала не смотря на блокировку наследования и перебила настройки нижестоящей политики GPO4.

результат применения доменных политик

 



Предварительный просмотр:

Лабораторная работа № 13

Тема: Установка и настройка RAID на Windows Server 2016

Настройка программного RAID массива в среде Windows гораздо более простая задача, чем под Linux системами, однако и она имеет свои особенности. Зачастую неполные и отрывочные знания в данной области приводят к сложностям, а в среде администраторов ходят мифы и легенды о "капризности" и "глючности" данного механизма в Windows.

Перед тем как продолжить, снова вспомним основной принцип построения аппаратных массиво: один элемент массива - один физический диск. Основа программных массивов - логический диск. Понимание этой разницы - залог успеха, то что применимо к аппаратному массиву, может оказаться катастрофическим для программного, особенно если речь идет об отказе одного из элементов массива.

Для создания программного RAID в среде Windows нам понадобится познакомиться с понятием динамического диска, так как программные массивы могут быть созданы только на них. Репутация динамических дисков неоднозначна, многие администраторы шарахаются от них, как черт от ладана. А зря, запомнив несколько простых правил работа с динамическими дисками становится столь же проста как с обычными.
Главное правило: установка или загрузка Windows с динамического тома возможна только в том случае, если этот диск был преобразован из системного или загрузочного тома. Т.е. если у вас стоит несколько экземпляров ОС, то после преобразования диска в динамический вы сможете загрузить лишь тот экземпляр, который находится на загрузочном разделе.

Исходя из этого правила становится очевидно, что для загрузочного и системного томов возможно создание только зеркального массива (RAID1), создание иных видов массива невозможно, так как они подразумевают установку системы на заранее созданный раздел.

А стоит ли овчинка выделки? Несмотря на все ограничения, стоит. Основной недостаток аппаратных массивов - привязка к конкретной модели контроллера. Если у вас сгорела материнская плата или контроллер, вам понадобится точно такой же (или материнская плата с аналогичным контроллером), иначе с данными можно попрощаться. В случае программного RAID достаточно машины с установленным Windows Server.

На практике работа с программными массивами и динамическими дисками производится через оснастку
Хранение - Управление дисками в Диспетчере сервера. Для преобразования дисков в динамические достаточно щелкнуть на одном из них правой кнопкой мыши и выбрать Преобразовать в динамический диск, в открывшемся  окне можно выбрать для преобразования сразу несколько дисков.

Стоит помнить, что эта операция необратимая и особое внимание следует уделить системному разделу, переразметить загрузочный диск у вас уже не получится (точнее он после этого перестанет быть загрузочным), единственное, что вы сможете - это расширить том за счет неразмеченного пространства.

Следующим шагом станет создание массива, щелкаем правой кнопкой мыши на нужном томе и выбираем желаемый вариант, в случае с системным и загрузочными томами вариант будет один - зеркало, потом вам будет предложено выбрать диск для размещения зеркального тома. По завершению создания массива тут же начнется его ресинхронизация.
Подключив дополнительные диски мы получим гораздо более широкие возможности, вы можете как объединить несколько дисков в отдельный том, так и создать RAID 0, 1 или 5.
В общем ничего сложного, однако множество ограничений способны отпугнуть кого угодно. Но не спешите делать скоропалительных выводов, по здравому размышлению никаких серьезных препятствий нет, так как обычно принято разносить систему и данные по разным дискам, учитывая копеечную стоимость современных дисков, это не влечет существенных затрат. Мы, например, для нашего тестового сервера создали зеркало для системного диска и RAID5 для данных.


Причем все это удовольствие можно реализовать на самой обычной бюджетной материнской плате, учитывая, что производительность программного массива ничем не отличается от дешевых аппаратных, данная технология выглядит очень привлекательно.


По теме: методические разработки, презентации и конспекты

РАБОЧАЯ ПРОГРАММА ПРОФЕССИОНАЛЬНОГО МОДУЛЯ ПМ.01 Участие в проектировании сетевой инфраструктуры специальность 230111 Компьютерные сети (базовая подготовка)

Рабочая программа профессионального модуля  является частью основной профессиональной образовательной программы в соответствии с ФГОС СПО по специальности 230111 Компьютерные сети в части освоени...

РАБОЧАЯ ПРОГРАММА ПРОФЕССИОНАЛЬНОГО МОДУЛЯ ПМ.01 Участие в проектировании сетевой инфраструктуры специальность 230111 Компьютерные сети по программе углубленной подготовки

1. паспорт рабочей  ПРОГРАММЫ ПРОФЕССИОНАЛЬНОГО МОДУЛЯ  1.1. Область применения программыРабочая программа профессионального модуля  является частью основной профессиональной ...

РАБОЧАЯ ПРОГРАММА ПРОФЕССИОНАЛЬНОГО МОДУЛЯ ПМ.03 ЭКСПЛУАТАЦИЯ ОБЪЕКТОВ СЕТЕВОЙ ИНФРАСТРУКТУРЫ специальность 230111 Компьютерные сети по программе углубленной подготовки

1. паспорт рабочей ПРОГРАММЫ ПРОФЕССИОНАЛЬНОГО МОДУЛЯЭксплуатация объектов сетевой инфраструктуры 1.1. Область применения программы Рабочая программа профессионального модуля (далее раб...

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ВЫПОЛНЕНИЮ ЛАБОРАТОРНЫХ РАБОТ для специальности 230111 Компьютерные сети (углубленный уровень) по ПМ 03 Эксплуатация объектов сетевой инфраструктуры

Методические рекомендации  предназначены для студентов, обучающихся по программе углубленной подготовки направления 230111 «Компьютерные сети». В методических рекомендациях содержатся задания и п...

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по выполнению самостоятельной внеаудиторной работы по ПМ. 03. Эксплуатация объектов сетевой инфраструктуры для специальности 230111 Компьютерные сети (по программе углубленной подготовки)

Методические рекомендации  содержат  указания по выполнению внеаудиторных самостоятельных работ по профессиональному  модулю ПМ. 03. Эксплуатация объектов сетевой инфраструктуры.Методич...

КОНТРОЛЬНО-ОЦЕНОЧНОЕ СРЕДСТВО для проведения дифференцированного зачета ПМ.1 «Эксплуатация объектов сетевой инфраструктуры»

Спецификацией устанавливаются требования к содержанию и оформлению вариантов оценочного средства. Контрольное задание   входит в состав комплекса оценочных средств и предназначено для промеж...