МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Практическая работа №5 СОЗДАНИЕ ДОМЕНА В СЕТИ WINDOWS Цель: Освоить порядок создания в сети Windows службы каталогов (Active Directory), интегрированной со службой доменных имен (Domain Name System, DNS). Задание • Познакомиться со службой доменных имен DNS. • Преобразовать компьютер с ОС Windows Server в контроллер домена. 2000 • Выполнить регистрацию рабочих станций в домене. Технология выполнения Служба DNS в сети Windows Система доменных имен – служба имен Интернета – является стандартной службой для стека протоколов TCP/IP. Служба DNS дает возможность клиентским компьютерам в сети регистрировать и разрешать доменные имена. Доменные имена используются для удобного представления ресурсов сети и обращения к ним. Домен DNS основан на концепции дерева именованных доменов (рис. 5.1). Рис. 5.1. Структура DNS на примере Каждый уровень дерева может представлять или ветвь, или лист дерева. Ветвь – это уровень, содержащий более одного имени и идентифицирующий набор именованных ресурсов. Лист – имя, указывающее заданный ресурс или хост (компьютер). 1. Загрузить персональную операционную систему. 1 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE 2. Открыть оснастку DNS (Путь: Пуск – Программы – Администрирование – DNS) (рис. 5.2 … 5.3). Рис. 5.2. Путь к оснастке DNS Рис. 5.3. Оснастка DNS Если в меню Администрирование пункта DNS не оказалось, то это значит, что сетевой компонент DNS в ОС Windows 2000 Server не установлен. Его требуется установить, воспользовавшись инсталляционным диском с этой ОС. (Пуск – Настройки – Панель управления – Установка и удаление программ и компонентов Windows – Установка компонентов Windows). По умолчанию сервер DNS получает сетевое имя компьютера, на котором он установлен (см. рис. 5.3). Если сервер DNS не установлен как корневой сервер службы DNS, то в его свойствах на закладке Корневые 2 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE ссылки можно найти список IP-адресов компьютеров корня службы DNS Интернета (рис. 5.4). Рис. 5.4. Список корневых компьютеров службы DNS Интернета Подготовка компьютера к установке службы каталогов (Active Directory) 3. В дальнейшем все виртуальные компьютеры будут использоваться по технологии моста (bridged), поэтому виртуальные сетевые адаптеры в основной ОС целесообразно выключить (рис. 5.5, 5.6). Рис. 5.5. Свойства сетевого подключения 3 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.6. Оснастка с итоговым состоянием сетевых подключений 4. После того, как на компьютере будет установлена служба Active Directory, то уже нельзя будет изменить IP-адрес этого компьютера. Поэтому необходимо настроить сетевой интерфейс на IP-адрес 10.0.N.1 /24 (где N – номер рабочего места). Основной шлюз не назначать, а DNS сервер – 127.0.0.1 или 10.0. N .1, так как он будет установлен на этом же компьютере (рис. 5.7). При помощи кнопки Дополнительно убедиться, что компьютер не имеет других IP-адресов, и нажать ОК. Рис. 5.7. Сетевой интерфейс компьютера перед установкой службы Active Directory 5. Запустить программу VMware и отключить в ней серверы DHCP и NAT, чтобы их работа не помешала работе серверов на компьютере с Windows 2000 Server (рис. 5.8 … 5.11). 4 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.8. Выбор в меню пункта настройки виртуальных сетей (Virtual Network Settings) Рис. 5.9. На вкладке DHCP представлен список обслуживаемых сетей – удалить их при помощи кнопки Remove и остановить службу DHCP (Stop service) (рис. 5.10) 5 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.10. Итоговый вид вкладки DHCP Рис. 5.11. Итоговый вид вкладки NAT 6 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Установка Active Directory, интегрированной со службой DNS 6. На рис. 5.12 … 5.30 представлена последовательность диалога с ОС при установке службы Active Directory. Рис. 5.12. Выбрать в меню Администрирование пункт Настройка сервера Рис. 5.13. В этом диалоговом окне выбрать пункт Active Directory 7 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.14. Переход к мастеру установки Active Directory выполняется при помощи гиперссылки внизу экрана Рис. 5.15. Диалоговое окно мастера установки Active Directory 8 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.16. Создание нового домена Рис. 5.17. Создание нового дерева доменов 9 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.18. Создание нового леса доменных деревьев Рис. 5.19. Присвоение DNS-имени создаваемому домену по фамилии студента 10 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.20. Присвоение NetBIOS -имени для создаваемого домена (по умолчанию мастер предлагает сформировать это имя из DNS-имени домена) Рис. 5.21. Определение местоположения базы данных и журнала Active Directory (мастер предлагает размещать их на том же диске, с которого загружена ОС) 11 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.22. Определение местоположения копии серверных файлов домена (обязательно на логическом диске с файловой системой NTFS 5.0) Рис. 5.23. Сообщение об отсутствии записи доменной зоны на сервере DNS – подтвердить настройку сервера DNS 12 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.24. Согласиться с автоматической настройкой службы DNS Рис. 5.25. Если членами домена будут только службы под управлением ОС Windows 2000, то целесообразно выбрать соответствующие разрешения 13 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.26. Задание пароля администратора, который будет использоваться при восстановлении службы каталогов (это один из дополнительных вариантов загрузки Windows 2000). Целесообразно ввести такой же пароль, который имеет администратор в ОС Windows 2000 Рис. 5.27. Информационное окно о процессе создания Active Directory (настройка выполняется 5-10 минут) 14 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.28. Завершение работы мастера Рис. 5.29. Предложение перезагрузить компьютер, чтобы служба Active Directory вступила в силу – перезагрузить компьютер Знакомство с компонентами служб DNS и Active Directory 7. После перезагрузки системы компьютер получает статус контроллера домена. Вход на него разрешен только администраторам домена. Через меню Администрирование открыть оснастку DNS и познакомиться с изменением настроек сервера DNS (рис. 5.30 … 5.31). 15 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.30. Состав узлов в службе DNS после перезагрузки компьютера Рис. 5.31. Отсутствие корневых ссылок, так как сервер DNS настроен как корневой 16 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.32. В сетевом окружении, кроме пиктограммы Сеть Microsoft Windows появилась пиктограмма доменных ресурсов – Папка Рис. 5.33. В сети домен отображается как рабочая группа компьютеров Рис. 5.34. Состав компьютеров домена Рис. 5.35. Список действующих доменов 17 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.36. Обзор ресурсов домена Рис. 5.37. Наличие новых пунктов службы Active Directory в меню Администрирование 18 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.38. Оснастка Active Directory – пользователи и компьютеры. Основные задачи по администрированию домена выполняются с помощью оснастки Active Directory – пользователи и компьютеры (см. рис. 5.38). Назначение стандартных папок оснастки Active Directory – пользователи и компьютеры: o Builtin содержит встроенные локальные группы; o Computers содержит учетные записи всех компьютеров, подключаемых к домену; o Domain Control содержит информацию обо всех контроллерах домена; o Users содержит информацию о всех пользователях домена (рис. 5.39). Рис. 5.39. Содержимое папки Users 19 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Создание учетных записей пользователей домена 8. Пользователи домена могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам. При этом пользователи могут распределяться по подразделениям, которые создаются в домене в виде папок. По умолчанию все встроенные пользователи домена находятся в подразделении Users. Для создания новой учетной записи пользователя необходимо указать подразделение и нажать правую кнопку мыши. В появившемся меню выбрать команду Создать – Пользователь (рис. 5.40). Создать пользователя студент с именем входа student (рис. 5.41, 5.44). Рис. 5.40. Выбор команды на создание нового пользователя домена 20 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.41. Создание новой учетной записи пользователя домена с именем входа student Рис. 5.42. Задание пароля нового пользователя с неограниченным сроком действия 21 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.43. Итоговые настройки новой учетной записи Студент Рис. 5.44. Наличие созданного пользователя Студент в папке Users Регистрация клиентских рабочих станций в домене 9. Перед регистрацией рабочей станции в домене необходимо настроить ее сетевой интерфейс для работы в сети. Для доступа в эту сеть виртуальной машины перед ее включением следует убедиться, что у нее установлен сетевой адаптер типа Bridged (рис. 5.45). 22 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.45. Параметры виртуального компьютера 10. Войти в систему с правами локального администратора, например, от имени созданного ранее локального пользователя student с пустым паролем (рис. 5.46). Рис. 5.46. Вход в клиентскую систему пользователем с правами администратора 11. В свойствах подключения по локальной сети (рис. 5.47) настроить сетевой интерфейс для работы в сети домена, указав IP-адрес 10.0.N.2 /24, DNS сервер и основной шлюз – 10.0.N.1 (рис. 5.48). 23 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.47. Пиктограмма подключения по локальной сети Рис. 5.48. Пример настройки сетевого интерфейса клиентской рабочей станции для N =13 12. На клиентской рабочей станции под управлением операционной системы Windows XP Professional необходимо изменить сетевую идентификацию компьютера, включив его в домен (Мой компьютер – Свойства (вызываемые правой кнопкой мыши) – Имя компьютера – кнопка Изменить) (рис. 5.49). Следует напомнить, что изменить сетевую идентификацию компьютера может только локальный администратор этой машины. Рис. 5.50 … 5.53 иллюстрируют процесс регистрации рабочей станции с сетевым именем XP 1- Ivanov в домене ivanov.ibi. Следует 24 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE отметить, что для клиентских рабочих станций целесообразно указать только NetBIOS-имя домена, например, ivanov. Рис. 5.49. Параметры сетевой идентификации компьютера Рис. 5.50. Изменение параметров сетевой идентификации – включение рабочей станции в домен ivanov 25 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Рис. 5.51. Выполнить регистрацию рабочей станции в домене имеет право только администратор домена Рис. 5.52. Успешная регистрация рабочей станции в домене Рис. 5.53. Предложение перезагрузить операционную систему клиентской рабочей станции для вступления в силу политики домена Рис. 5.54. Появление рабочей станции в папке Computers на сервере 26 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE 13. Войти в операционную систему зарегистрированной рабочей станции теперь можно как локальным пользователем с локальными правами и разрешениями, так и пользователем домена с соответствующими правами (рис. 5.55). При этом в папке Documents and Settings рабочей станции формируется папка с локальным профилем пользователя домена student. IVANOV(рис. 5.56). Рис. 5.55. Вход в систему пользователем домена student с паролем 123 Рис. 5.56. Папка с профилем пользователя домена Задание на самостоятельную работу 1. Назначить второй виртуальной машине IP-адрес из своей сети 10.0.N.3 /24 и тоже зарегистрировать в своем домене. Убедиться, что на контроллере домена в списке компьютеров домена стало две рабочих станции (Администрирование – Active Directoty пользователи и компьютеры – Computers) (см. рис. 5.54), а в службе DNS (Администрирование – DNS) (см. рис. 5.31) зарегистрировано три узла домена. 27 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE 2. Создать в домене учетную запись пользователя с именем входа тест (с паролем 123) и проверить его допуск в домен на рабочих станциях домена и контроллере домена. 28