Робота з Windows Server 2008 R2 – установка і створення тестового контролера домену (частина 2), Windows, Операційні системи, статті

Ну, добре! У нас тепер є робочий контролер домена, а машина перезавантажена. Наступний крок – встановити ключові ролі та служби, необхідні для створення базової робочої мережі рівня підприємства.


Для цього ми скористаємося Server Manager, Щоб встановити дві серверні ролі: Certificate Services і DHCP. Знову ж таки, якщо ви звикли до образу роботи Windows 2003, для вас все буде трохи по-іншому. Як краще? Вам вирішувати. Мені здається, використання Server Manager має свої переваги і недоліки, але взагалі я думаю, що в Microsoft відмінно попрацювали з інтерфейсом Server Manager.


Щоб встановити ролі DHCP і Certificate Services, клацніть на вузлі Roles в лівій панелі консолі, а потім клацніть Add Roles у правій панелі.


*


Рисунок 1


Клацніть Next, Щоб пропустити сторінку Before You Begin. На сторінці Select Server Roles поставте позначки у віконцях Active Directory Certificate Services і DHCP Server. Клацніть Next.


*


Рисунок 2


Спочатку Server Manager встановить DHCP-сервер, після чого видасть вам деяку інформацію про служби DHCP. Пара речей на замітку:



*


Рисунок 3


Server Manager виявив, що з даною машиною пов’язаний єдиний статичний IP-адресу. Ми скористаємося цією адресою, тому залиште позначку у відповідних віконці.


*


Рисунок 4


Тепер Server Manager хоче знати, яке доменне ім’я потрібно приписувати клієнтам DHCP. У нашому експерименті ми будемо працювати з доменом fflab.net – Так і запишемо в текстовому вікні Parent domain. У вікні Preferred DNS server IPv4 address вам потрібно ввести IP-адресу DNS-сервера, який буде використовуватися клієнтами для розпізнавання імен. Зверніть увагу: місцевий адреса хоста вводиться за замовчуванням. Ми не можемо цим скористатися, тому що клієнти будуть намагатися використовувати себе для DNS-служб, що неправильно. Введіть 10.0.0.2 – IP-адреса контролера домену та DNS-сервера. Якби у нас був другий DNS-сервер в мережі, ми могли б додати IP-адреса другого DNS-сервера у віконці Alternate DNS server IPv4 address. Можливо, надалі так і потрібно буде робити, тому що непогано завжди мати два DNS-сервера (і, якщо вже на те пішло, два контролера домена).


*


Рисунок 5


Потім Server Manager запитує про адресу WINS-сервера. Ми ще не встановили WINS-сервер, але трохи пізніше займемося цим. Ми не встановлюємо WINS-сервер зараз тому, що Microsoft вважає WINS швидше функцією, а не роллю, тому встановлювати WINS треба через процедуру установки функцій. Проте ми ж знаємо, що DC буде у нас WINS-сервером, тому ми виберемо опцію WINS is required for applications on this network, А потім введемо IP-адреса DC в текстовому віконці Preferred WINS server IP address.


*


Рисунок 6


DHCP видає адреси зі своєї області. Необхідна як мінімум одна область, щоб видавати IP-адреси клієнтам DHCP. У діалоговому вікні Add Scope введіть назву області (Scope Name – Можна вводити будь-яке, аби ви знали, що це за область і для чого вона використовується), початковий IP-адресу (Starting IP address), Кінцевий IP-адресу (Ending IP address), Тип підмережі (Subnet type), Маску підмережі (Subnet mask) І шлюз за замовчуванням (опціонально) (Default gateway). У нашому прикладі вводимо таке:



Шлюзом за умовчанням буде IP-адресу, призначений для брандмауера TMG, який ми будемо встановлювати пізніше.


*


Рисунок 7


Server Manager показує діапазон IP-адрес, обраних вами для DCHP-області.


*


Рисунок 8


На наступній сторінці вас запитують про IPv6-адреси. Оскільки ми, ймовірно, будемо користуватися IPv6 в подальших статтях, потрібно подумати про те, що робити з IPv6-адресами. Проте в даний момент ми не будемо використовувати DHCP для розподілу адрес для клієнтів IPv6. Через це ми виберемо Enable DHCPv6 stateless mode for this server. Пізніше, можливо, ми і поміняємо цю опцію, але так як нам не потрібно негайне використання DHCP для IPv6, зараз включати не будемо.


*


Рисунок 9


На наступній сторінці вас запитають про опціях DHCP для клієнтів IPv6. Ці настройки не будуть використовуватися, адже ми не збираємося зараз використовувати DHCP для клієнтів IPv6, тому можна спокійно клацнути Next.


*


Рисунок 10


У Active Directory зберігається список DHCP-серверів, авторизованих для обслуговування клієнтів мережі. Щоб DHCP-сервери функціонували в мережі Active Directory, їх потрібно авторизувати в Active Directory. На цій сторінці ви вибираєте авторизаційні дані, які ви хочете використовувати для авторизації DHCP-сервера в Active Directory. Оскільки ми є адміністратором домену, ми можемо вибрати опцію Use current credentials (Використовувати поточні дані). Якщо б ми не були адміністратором, ми могли б вибрати Use alternate credentials(Використовувати альтернативні дані), і потім ввести дані. Або, в разі якщо б ми не хотіли використовувати DHCP-сервер в мережі зовсім, можна було б вибрати Skip authorization of this DHCP server in Active Directory DS(Пропустити авторизацію цього DHCP-сервера в Active Directory).


*


Рисунок 11


От і все, що стосується установки DHCP-сервера. Тепер у Server Manager є вся необхідна інформація. Далі Server Manager задасть вас серію питань про Certificate Services в Active Directory. Як і для всіх центрів сертифікації, пам’ятайте, що ім’я та налаштування домену комп’ютера не можуть бути змінені після установки ЦС. Оскільки ми встановлюємо ЦС на DC, проблеми тут немає.


*


Рисунок 12


На наступній сторінці переконайтеся в наявності відміток у віконцях Certification Authority і Certification Authority Web Enrollment. Зверніть увагу, що майстер Add Roles Wizard викликає діалогове вікно, що оповіщає про те, що йому буде потрібно додати число служб, пов’язаних з web, щоб сайт Web enrollment site заробив. Клацніть Add Required Role Services в знак підтвердження, що так і повинно бути.


*


Рисунок 13


Тепер нам потрібно вибрати тип встановлюваного ЦС – Enterprise або Standalone. Так як ми хочемо скористатися перевагами авторегісраціі для машинного сертифіката і, можливо, користувальницьких сертифікатів в даному циклі статей, будемо встановлювати ЦС Enterprise.


*


Рисунок 14


У виробничому середовищі у вашій інфраструктура PKI буде, швидше за все, кілька ЦС: кореневої ЦС і підлеглі ЦС, які отримують свої сертифікати від кореневого ЦС. Однак у нас в мережі буде тільки один ЦС, кореневої, тобто ЦС самого верхнього рівня. Виберіть опцію Root CA.


*


Рисунок 15


Тепер нам потрібно виділити особистий ключ ЦС, який буде генерувати і видавати сертифікати клієнтам. Для цього є пара способів: Створити новий особистий ключ або скористатися існуючим ключем, який вже був виписаний іншому ЦС. Так як це нова PKI для нової мережі, кращий варіант тут – Create a new private key (Створити новий особистий ключ). Виберіть цю опцію і перейдіть до наступної сторінки.


*


Рисунок 16


Щоб створити новий особистий ключ, вам потрібно прийняти кілька рішень. По-перше, вам потрібно вибрати провайдера криптографічних служб (cryptographic service provider – CSP). По-друге, вам потрібно вибрати довжину ключа, після чого потрібно вибрати алгоритм хешування для підпису сертифікатів. Це може виявитися досить складною темою, існують аргументи на користь вибору різних CSP, довжин ключів та алгоритмів хешування. Не будемо влазити в ці складності прямо зараз, тому залишимо все по замовчуванню:



Прийміть настройки за замовчуванням і перейдіть до наступної сторінки.


*


Рисунок 17


Тепер потрібно вписати ім’я для ЦС. Це може бути ім’я самого сервера, але зазвичай це ім’я трохи змінюється, щоб було зрозуміло, що це ЦС. У нашому прикладі назвемо ЦС FFWIN2008R2-CA. Distinguished name suffix для даного ЦС – DC=fflab, DC=net, Що відображає імена доменів ЦС. Будемо задовольнятися цими значеннями – клацніть Next.


*


Рисунок 18


Тепер виберіть, як довго повинні бути придатні сертифікати ЦС. Значення за замовчуванням – 5 років, що краще, ніж дворічний період в попередніх версіях Microsoft CA. Після закінчення цього періоду вам знадобиться оновити сертифікат. Якщо ви цього не зробите, жоден із сертифікатів, підписаних даними ЦС, не буде прийнятий, що буде для вас дуже болісно. Залиште собі замітку про дату закінчення строку ЦС і покладіть собі в календар, щоб ви згадали оновити сертифікат ЦС заздалегідь, до закінчення терміну.


*


Рисунок 19


Прийміть шляху за замовчуванням для Certificate database location і Certificate database log location і клацніть Next.


*


Рисунок 20


Це все, що стосується налаштування ЦС. Тепер Server Manager хоче задати вам кілька питань про встановлення IIS. Причина, по якій Server Manager запитує про служби IIS, полягає в тому, що ми вибрали установку сайту Web enrollment site. Ми не збираємося використовувати цей механізм для інших Web-служб, тому питання, висвітлені на цій інформаційній сторінці, нас не сильно хвилюють зараз.


*


Рисунок 21


Рольові служби, потрібні для сайту Web enrollment site, вибираються автоматично. Ніякої необхідності розбиратися самостійно. Що просто прекрасно. Клацніть Next.


*


Рисунок 22


Відмінно! Тепер у Server Manager є вся необхідна інформація для установки DHCP і служб Certificate services. Підтвердіть це в діалоговому вікні, в якому підбиваються підсумки вашої настройки; клацніть Install.


*


Рисунок 23


В кінці процесу встановлення ви повинні побачити Installation succeeded в зеленому кольорі.


*


Рисунок 24


Остання ключова функція мережі, яку ми повинні встановити, – це WINS. Хоча роль WINS і зменшена на даному етапі, деяким службам він буде корисний, можливо навіть, деяким службам в нашій тестовій середовищі він буде необхідний (хоча це й малоймовірно, тому що ми сконцентруємося на новинки Windows Server 2008 R2). Виходячи з того, що WINS втратив свій блиск, в Microsoft вирішили зробити його “функцією”, а не “серверної роллю”. Але це не проблема, його все одно можна встановити через Server Manager.


Відкрийте Server Manager і клацніть на вузлі Featuresв лівій панелі консолі. Потім клацніть на посилання Add Features у правій панелі.


*


Рисунок 25


Поставте відмітку у віконці WINS Serverі клацніть Next.


*


Рисунок 26


Інформаційне віконце повідомляє вам про те, що буде встановлений WINS. Клацніть Install.


*


Рисунок 27


Ага! Спрацювало. Установка WINS-сервера успішно завершена.


*


Рисунок 28


Отже, наш DC тепер повністю встановлений і готовий виконувати обов’язки DC, WINS, DHCP і сервера сертифікації. Перейдемо тепер до останнього кроку побудови нашої інфраструктури – установці брандмауера, щоб DC і всі служби, що встановлюються в нашій мережі, могли б підключатися до Інтернету. Який же брандмауер нам встановити? Звичайно, Forefront Threat Management Gateway Firewall! Чому? Тому що, як ми побачимо пізніше, брандмауер TMG інтегрується з Forefront Protection Manager, який дозволить нам створити проактивний політику брандмауерів у відповідь на загрози, виявлені в нашій мережі. Це дійсно здорово, і я чекаю – не дочекаюся, коли ж я, нарешті, по

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*