1175

Администрирование в информационных системах

Методические указания

к выполнению лабораторных работ

для студентов бакалавриата направления

09.03.02 «Информационные системы и технологии»

Воронеж 2016

Министерство образования и науки РФ

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Воронежский государственный архитектурно-строительный университет»

Кафедра информационных технологий

и автоматизированного проектирования в строительстве

Администрирование в информационных системах

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

к выполнению лабораторных работ

для студентов бакалавриата направления

09.03.02 «Информационные системы и технологии»

Воронеж 2016

УДК 004.45

ББК 32.973.81018.2

Составители: К.А. Маковий, Т.В. Корелина

Администрирование в информационных системах: метод. указания к выполнению лабораторных работ для студ. бакалавриата / Воронежский ГАСУ; сост.: К.А. Маковий, Т.В. Корелина – Воронеж, 2016.  32с.

Содержат описание выполнения лабораторных работ по курсу «Администрирование в информационных системах». Приведен в достаточном объеме теоретический материал, а также подробные рекомендации к выполнению лабораторных работ.

Предназначены для студентов бакалавриата направления 09.03.02 «Информационные системы и технологии».

Ил.19. Табл.5. Библиогр. 4 назв.

Печатается по решению учебно-методического совета

Воронежского ГАСУ

Рецензент – Баркалов С.А., проф., зав. кафедрой управления строительством Воронежского ГАСУ

Введение

Целью лабораторного практикума по курсу «Администрирование в информационных системах» является получение практических навыков развертывания, настройки и сопровождения службы каталогов Active Directory, понимание основных административных задач в корпоративной среде и получение навыков автоматизации рутинных операций.

Каждая из лабораторных работ данного курса посвящена важному аспекту управлению ИТ инфраструктурой современного предприятия – развертыванию, настройке и сопровождению службы каталогов, настройке разрешения имен, администрированию объектов сетевой инфраструктуры. Особое внимание уделяется формированию навыков грамотного распределения объектов – пользователей, групп, организационных единиц и назначения прав на общие ресурсы в сетевой среде. Подробно рассмотрен один из наиболее мощных инструментов централизованного администрирования конфигурационных параметров пользователей и компьютеров  групповая политика.

Курсивом выделены вопросы, требующие письменного ответа. Ответы на эти вопросы студенты должны найти в ходе выполнения практических заданий.

Лабораторная работа №1 Развертывание ad ds. Перемещение ролей fsmo

Цель работы: Изучить процесс установки контроллеров домена AD DS.

Краткие теоретические сведения.

Служба каталогов операционной системы Active Directory хранит информацию об объектах системы и инфраструктуры и позволяет манипулировать ими. В домене информация находятся на компьютерах, сконфигурированных как контроллеры домена. В роли контроллеров домена могут выступать только компьютеры с Windows 2000 -2012 Server.

Схема Active Directory представляет собой набор экземпляров классов объектов, хранящихся в каталоге.

Хранилище Active Directory Domain Services (AD DS) находится на каждом контроллере домена. Хранилище AD представляет собой базу данных, состоящую из файла %systemroot%\ntds\ntds.dit и транзакционных журналов, хранящихся в каталоге %systemroot%\ntds. При необходимости можно изменить путь по умолчанию

Глобальный каталог (Global Catalog  GC) хранит частичный набор атрибутов PAS (Partial Attribute Set), набор PAS определяется в схеме AD, первый контроллер домена всегда GC

Мастер Операций (Operation Master) – особая роль DC, осуществляющего FSMO Flexible single-master operations (fizz-mo), в Windows 2008 реализованы:

• Schema Master (мастер схемы);

• Domain naming master (мастер именования доменов);

• RID master (мастер RID);

• PDC emulator (эмулятор PDC);

• Infrastructure Master (мастер инфраструктуры) Domain Services.

Перемещение мастеров операций производится оснастками mmc (Microsoft Management Console), перечисленными в таблице 1.

Таблица 1. Оснастки mmc для перемещения мастеров операций.

Роль Мастера операций	Административный инструмент
Мастер Схемы	Active Directory Schema
Мастер именования доменов	Active Directory Domain and Trusts
Мастер RID, эмулятор PDC, мастер инфраструктуры	Active Directory Users and Computers

Все оснастки устанавливаются на контроллер домена при установке DC. Их можно найти в меню Пуск – Администрирование. Для передачи роли Мастер Схемы необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory. Делается это с помощью команды regsvr32 schmmgmt.dll, введенной в окне Выполнить (Run). После этого в списке доступных оснасток появится Active Directory Schema.

Чтобы проверить, на каком DC находятся роли FSMO, можно использовать утилиту командной строки netdom query fsmo.

ntdsutil.exe – утилита командной строки, предназначенная для обслуживания каталога Active Directory. Она представляет собой мощный инструмент управления, и в число ее возможностей входит передача и захват ролей FSMO.

Практические задания

Задание 1. Установка первого контроллера домена леса.

1. Установить роль Active Directory Domain Controller.

Войдите в Диспетчер сервера (Server Manager) и перейдите в узел Роли (Roles) в левой панели консоли. Затем нажмите Добавить роли (Add Roles) в правой панели, как показано на рис.1.

Рис. 1: Добавление новой роли в Windows Server 2008

Далее откроется страница Перед началом работы. Если вы впервые устанавливаете роли с помощью диспетчера сервера, то вам нужно прочитать информацию на этой странице. Нажмите Далее. Выберите роль Active Directory Domain Services, отмечая соответствующую опцию. Обратите внимание, что мастер отобразит вам ряд функций, которые будут установлены наряду с ролью Active Directory Server Role. Нажмите кнопку Добавить нужные функции (Add Required Features), чтобы установить эти функции во время установки роли Active Directory Server.

Обратите внимание, что во время установки роли Active Directory Domain Services также устанавливаются службы DFS пространства имен, DFS репликации, все эти службы используются службами Active Directory Domain Services, поэтому устанавливаются автоматически. Нажмите Установить для установки файлов, необходимых для запуска dcpromo. После того, как установка прошла успешно, нажмите Закрыть.

Вторая часть установки контроллера домена на Windows Server 2008 - запуск программы dcpromo. Перейдите в меню Пуск и наберите dcpromo в текстовом поле. Нажмите Выполнить. Найдите в результирующем списке dcpromo и запустите.

После запуска мастера  Welcome to the Active Directory Domain Service Installation Wizard нажмите Далее, не выбирая Расширенные опции инсталляции. На странице Совместимость операционной системы (Operating System Compatibility) мастер предупреждает о том, что NT и non-Microsoft SMB клиенты будут испытывать проблемы с некоторыми криптографическими алгоритмами, используемыми в Windows Server 2008 R2 (рис.2), нажмите Далее.

Рис.2. Предупреждение об ограничении совместимости алгоритмов шифрования.

На следующей странице Выбор конфигурации установки (Choose a Deployment Configuration) выбираем опцию Создание нового домена в лесу (Create a new domain in a new forest). На странице Имя корневого домена в лесу (Name the Forest Root Domain) введите название домена в текстовое поле FQDN корневого домена в лесу fflab.net (рис.3). Нажмите Далее.

Рис. 3. Назначение имени домена.

На странице Определение функционального уровня леса (Set Forest Functional Level) выберите опцию Windows Server 2008 R2 (а не опцию Windows Server 2003, которая показана на рисунке 4). Нажмите Далее.

Рис. 4. Выбор режима работы леса.

На странице Дополнительные опции контроллера домена (Additional Domain Controller Options)  есть единственный выбор: DNS сервер. Опция глобального каталога выбрана и не является опцией по выбору, так как пока что это единственный DC в этом домене, поэтому он должен быть сервером глобального каталога. Опция контроллера домена с разрешением только чтения (Read-only domain controller  RODC) не отмечена, поскольку необходимо иметь другой не-RODC в сети, чтобы включить эту опцию (рис. 5). Выберите опцию DNS сервер и нажмите Далее.

Рис. 5. Окно выбора дополнительных параметров контроллера домена.

Появится диалоговое окно, говорящее о том, что невозможно создать делегирование для этого сервера DNS, поскольку полномочная родительская зона не может быть найдена или не использует Windows DNS сервер. Причина в том, что это первый DC в сети. Нажмите Да, чтобы продолжить.

Оставьте без изменения пути, предложенные для папок Database, Log Files и SYSVOL по умолчанию (рис. 6) и нажмите Далее.

Рис.6. Окно выбора места расположения файлов доменных служб.

На странице Пароль администратора для режима восстановления служб каталогов (Directory Service Restore Mode Administrator Password) введите надежный пароль, аналогичный паролю в операционную систему, в текстовые поля Пароль (Password) и Подтверждение (Confirm password) (рис. 7).

Рис. 7. Окно создания пароля администратора для режима восстановления.

Проверьте информацию на странице Сводка (Summary) и нажмите Далее.

В результате Ваших действий будет произведена установка Active Directory. Установка первого DC занимает немного времени. Отметьте опцию Перезагрузить по окончании (Reboot on completion), чтобы машина автоматически перезагрузилась после установки DC. Машина автоматически перезагрузится, поскольку мы выбрали эту опцию. Установка будет завершена после того, как Вы войдете в систему.

Какие данные необходимо собрать перед установкой первого домена в первом лесу? Запишите все сведения, которые Вам понадобились при установке первого контроллера домена нового леса.

Задание 2. Добавление второго контроллера домена к существующему домену

На второй виртуальной машине проделайте шаги из предыдущего задания. На странице Выбор конфигурации устан овки (Choose a Deployment Configuration) выберите опцию  Существующий лес – Добавить контроллер домена в существующий домен (Add a domain controller to an existing domain)

Запишите в тетрадь, какие необходимы права и сведения для установки дополнительно контроллера домена

Задание 3. Перемещение ролей FSMO с помощью инструментов консоли mmc

Для того, чтобы определить хозяев операций, выполните netdom query fsmo в командной строке, запущенной с привилегиями администратора. По результатам заполните второй столбец в таблице 2.

Таблица 2. Принадлежность мастеров операций.

Роль Мастера операций	Имя сервера	Название оснастки mmc для переноса роли
Мастер Схемы
Мастер именования доменов
Мастер RID
Эмулятор PDC
Мастер инфраструктуры

Для передачи ролей уровня домена (RID Master, PDC Emulator и Infrastructure Master) используйте оснастку Active Directory Пользователи и компьютеры (Users and Computers). Для этого зайдите на контроллер домена, которому хотите передать роли, запустите оснастку и, щелкнув правой клавишей мыши на нужном домене, выберите пункт Хозяева операций (рис. 8).

 Рис. 8. Использование оснастки Пользователи и компьютеры для управления хозяевами операций домена.

В открывшемся окне выберите нужную роль  (в нашем примере RID Master) и нажмите кнопку Изменить (рис.9).

Рис. 9. Окно передачи ролей хозяев операций.

Далее подтвердите перенос роли, как показано на рисунке 10.

Рис. 10. Подтверждение переноса роли хозяина операций.

Проверьте результат с помощью утилиты netdom query fsmo командной строки, запущенной с привилегиями администратора. Запишите в тетрадь, какому серверу принадлежит роль RID Master после переноса.

Проделайте то же самое для ролей эмулятор PDC и Мастер инфраструктуры. После каждого переноса проверьте себя с помощью команды netdom query fsmo и запишите в тетрадь результат переноса

Перенос роли Domain Naming Master осуществляется из оснастки Active Directory Домены и доверие (Domains and Trust). Запустите оснастку, при необходимости подключитесь к нужному контроллеру домена с помощью пункта меню Сменить контроллер домена. Обратите внимание, что для переноса роли хозяина операций нужно подключаться к тому контроллеру домена, на который Вы переносите роль.

Щелкните правой клавишей мыши в корне оснастки и выберите пункт меню Хозяин операций, как показано на рис. 11.

Рис. 11. Использование оснастки Домены и доверие для управления хозяевами операций домена.

Открывается знакомое окно, в котором надо нажать кнопку Изменить, а затем подтвердить изменения так же, как и в предыдущем примере.

Запишите в тетрадь, какому серверу принадлежит роль Хозяин именования доменов после переноса.

Для передачи  роли Schema Master необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory. Делается это с помощью команды regsvr32 schmmgmt.dll, введенной в окне Выполнить (Run), как показано на рисунке 12.

Рис. 12. Регистрация библиотеки управления схемой AD

Откройте  консоль MMC и добавьте  в нее оснастку Схема Active Directory  (рис. 13).

Рис. 13. Добавление оснастки Схема Active Directory 

Теперь зайдите в оснастку и аналогичным образом проделайте операции по передаче роли (рис. 14).

Рис. 14. Использование оснастки Схема Active Directory для управления хозяином операций схемы (Schema Master).

Запишите в тетрадь, какому серверу принадлежит роль Мастер схемы после переноса/

Задание 4. Перемещение ролей FSMO с помощью утилиты ntdsutil.exe

Для передачи ролей зайдите на любой контролер домена, расположенный в том лесу, в котором следует выполнить передачу ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Запустите командную строку и введите команды в такой последовательности:

ntdsutil

roles

connections

connect to server <имя сервера>

q

После успешного подключения к серверу Вы получите приглашение к управлению ролями (fsmo maintenance), и можете начать передавать роли :

• transfer naming master  передача роли хозяина доменных имен.

• transfer infrastructure master  передача роли хозяина инфраструктуры;

• transfer rid master  передача роли хозяина RID;

• transfer schema master  передача роли хозяина схемы;

• transfer pdc  передача роли эмулятора PDC.

Для завершения работы Ntdsutil введите команду q и нажмите Ввод.

По результатам проделанных операций заполните таблицу 3.

Таблица 3. Принадлежность ролей FSMO.

Роль Мастера операций	Имя сервера
Мастер Схемы
Мастер именования доменов
Мастер RID
Эмулятор PDC
Мастер инфраструктуры

Проанализируйте способы перемещения ролей FSMO между доменами и сделайте вывод о том, какой из них предпочтителен для Вас. Аргументируйте свою точку зрения.

Контрольные вопросы

1. Понятие Каталога. Понятие Службы каталогов, в чем отличие службы каталогов от каталога. Что собой представляет контроллер домена?

2. Понятие Схемы AD. Основные функции Схемы AD и консоль управления Schema Active Directory. Мастер Схемы.

3. Глобальный каталог. Функции глобального каталога. Как можно определить, является ли контроллер домена глобальным каталогом.

4. Роли FSMO. Перечислите роли FSMO и оснастки, необходимые для управления переносом ролей. Какие рекомендации по совмещению ролей Вам изввестны?

5. Какие средства администрирования AD DS Вы знаете? Опишите достоинства и недостатки каждого из способов администрирования.

6. Опишите физическую структуру AD DS. Назовите основные файлы и пути к ним.