Windows – бывает не так и просто
Сегодня альтернативы Windows для корпоративных серверов продолжают увеличивать свою рыночную долю, и лидером в этом является ОС Linux. Однако факт заключается и в том, что многие пользователи по-прежнему придерживаются Windows для сетевых приложений, как знакомого (и часто не очень любимого) компаньона.
На самом деле, многие пользователи уже связали в сеть два или более компьютера под Windows. Подобное происходит, скажем, когда необходимо обеспечить общий доступ в Интернет через DSL-маршрутизатор. Поэтому многие пользователи уже знакомы с такими простыми задачами, как обеспечение общего доступа к каталогу, принтеру или подключению к Интернету.
Впрочем, цветастая оболочка Windows не всегда столь проста в настройке, как может показаться вначале. Как только вы переходите от простого использования каких-либо функций к их предложению по сети, возникает множество “подводных камней”, о которых просто необходимо знать. Сегодня самым эффективным серверным инструментом в мире Microsoft является Windows Server 2003, который выпускается в трёх вариантах (Web, Standard и Enterprise).
Мы приобрели диск со стандартной версией Windows Server 2003 и приготовились выполнить всю основную работу по развёртыванию сети. В ходе нашей статьи мы уделим особое внимание реализации Active Directory, поскольку эта служба каталога является просто необходимой для многих высокоуровневых серверных приложений, включая сервер электронной почты Exchange 2003.
На чём делать сервер? Серверное “железо”
Сервер не всегда должен иметь два процессора Xeon с дорогой памятью ECC и 64-битными слотами PCI-X, как показано на иллюстрации. Для дома или небольшого офиса вполне достаточно сервера на Pentium 4 или Athlon с достаточным объёмом памяти и массивом RAID для защиты от краха жёсткого диска.
Сейчас мы не будем обсуждать плюсы и минусы отдельных компонентов. Мы бы хотели просто рассмотреть некоторые аппаратные основы, чтобы побыстрее перейти к установке Windows.
В принципе, в роли сервера Windows может работать любой компьютер с условием, что он удовлетворяет минимальным требованиям. В то же время, выполняемые задачи налагают свои специфические требования. К примеру, серверы баз данных или почты очень чувствительны к оперативной памяти, поэтому сервер нужно оснастить немалым её количеством. Для файлового сервера важны производительность и объём жёсткого диска.
Если некоторые пользователи не жалеют денег и могут позволить себе машины с четырьмя процессорами Itanium, Opteron или Xeon из-за требований каких-то специфических приложений, то на серверном рынке наиболее распространены системы с одним и двумя процессорами. Сегодня постепенно набирают популярность процессоры AMD Opteron, хотя самым распространённым выбором для малых серверов является Intel Xeon.
Процессоры Xeon и Pentium 4 имеют очень много общего, поэтому для однопроцессорного сервера мы рекомендуем Pentium 4 с технологией Hyper-Threading, поскольку этот процессор обеспечивает высокую производительность, и его поддерживают множество проверенных платформ. AMD здесь выглядит не в столь привлекательном свете, поскольку этот чип предназначен, главным образом, для мультимедийных задач. Если вы сомневаетесь, мы рекомендуем взять нижнюю модель Opteron, так как она работает наравне с относительно дорогими процессорами Intel, а иногда даже лучше, обеспечивая, к тому же, поддержку 64-битных вычислений.
В зависимости от важности непрерывной работы сервера, мы рекомендуем взять блок бесперебойного питания UPS, дополнительный блок питания для избыточности, а также оснастить сервер массивом RAID.
Кроме того, следует упомянуть сетевые интерфейсы сервера. Если компьютер будет работать внутри локальной сети, то для большинства случаев будет достаточно одного сетевого контроллера. В любом случае, сегодня мы рекомендуем брать гигабитный контроллер, который, кстати, уже интегрируется во многие материнские платы. Если сервер будет обеспечивать и доступ в Интернет, то вам понадобится второй сетевой контроллер.
Установка Windows: приготовления
Любой администратор, часто устанавливающий Windows (а уже во второй раз это не так весело), должен иметь в хозяйстве CD с последним интегрированным пакетом обновления (Service Pack). Инструкции для интеграции можно найти, к примеру, в файле winhelpline.info.
В принципе, установочный CD можно дополнить последними драйверами и модифицировать его так, чтобы система устанавливала себя сама, практически без участия пользователя. Впрочем, подобный подход имеет смысл только в определённых условиях, ведь драйверы быстро меняются, а новые обновления Windows появляются слишком часто. Поэтому овчинка выделки не стоит.
В то же время, пакет обновления (Service Pack) может быть интегрирован в дистрибутив Windows за считанные минуты. Выходят SP редко, так что вот эту операцию мы настоятельно рекомендуем сделать.
Начнём: опции
Во время установки Windows Server вы можете выбирать требуемые службы (service). Мы рекомендуем внимательно подходить к выбору и устанавливать службы только по мере необходимости.
Конечно, создание нескольких разделов (partition) не даёт защиты от аппаратных сбоев, и такой подход несколько сковывает гибкость системы, когда свободное место подходит к концу. В то же время, хранилища данных лучше разделять, как с точки зрения программных проблем, так и безопасности. Поэтому мы рекомендуем создать следующие разделы:
- системный;
- для файла подкачки (swap);
- пользовательских данных;
- RIS.
Сама Windows, вместе со всеми необходимыми службами, занимает меньше 2 Гбайт. Поэтому системного раздела объёмом в 10 Гбайт будет более чем достаточно. Конечно, для надёжности можно сделать его и больше, особенно если файл подкачки вы будете размещать на системном разделе.
Если же это не так, то раздел для файла подкачки лучше создавать первым (2-4 Гбайт обычно достаточно), поскольку жёсткие диски всегда записывают данные, начиная с внешних дорожек к внутренним, поэтому они замедляются в этом направлении, так как линейная скорость диска уменьшается.
Объём раздела для пользовательских данных зависит от многих факторов: сколько пользователей будут хранить свои данные на сервере, и к какому типу эти данные относятся.
Базовые настройки Windows
Первое, что мы сделали, – вернули Windows привычный вид, выбрав классическое меню. По нашему опыту большинство пользователей предпочитают работать именно со старым меню. Для этого вам необходимо нажать правой клавишей мыши на панель задач. Затем выбрать “Свойства” (Properties) и перейти в закладку Start Menu, где и присутствует нужная опция.
Затем необходимо настроить меню (нажав клавишу “Customize”), чтобы автоматически открывать сетевые соединения и опции панели управления. Мы пропустим персональные настройки меню, поскольку на сервере они будут, скорее, недостатком.
Чтобы упростить управление сервером, лучше свести временные файлы в одну папку. Нажмите правой клавишей мыши на значок “My Computer”, выберите “Свойства” (Properties), после чего перейдите на закладку Advanced, нажмите на кнопку “Environment Variables” – и теперь в качестве каталога для временных файлов (под переменными TMP и TEMP) вы можете ввести любой, по своему желанию. Сейчас в нём будут скапливаться все временные файлы, которые можно будет, по мере необходимости, удалять.
Лучше всего задать фиксированный размер файла подкачки, поскольку при изменении размера он может быть фрагментирован. На той же закладке Advanced выберите клавишу “Performance”, “Settings”.
Задержка при открытии подменю может действовать на нервы. Для избавления от неё нам понадобится редактор реестра. Выполните команду regedit.exe. Затем найдите нужную ветку и параметр и введите правильное значение, как на скриншоте (см. выше).
В серверных системах мы должны вручную управлять всем, что происходит и когда происходит. Автоматическое обновление Windows Update противоречит этой философии, поскольку исправления Microsoft иногда производят негативный эффект. Поэтому автоматическое обновление лучше подтверждать вручную.
Для серверных систем визуальные эффекты вряд ли можно считать полезными, поэтому их нужно отключить. Нажмите правой клавишей мыши на рабочий стол, затем выберите Properties, Appearance и Effects. Отключите всё, без чего вы можете жить.
Там же, в закладке Settings и пункте Advanced, следует изменить разрешение и частоту обновления. При этом мы должны учитывать, какой монитор подключён к серверу. Совсем старые мониторы не поддерживают частоту обновления выше 60 Гц.
Настройка Internet Explorer
“Дыры” безопасности в Internet Explorer регулярно преподносят сюрпризы. Для серверов лучше применять следующее правило: запускайте браузер только в случае необходимости. Никогда не выходите в Интернет без межсетевого экрана и антивирусной защиты.
Начнём с изменения временного каталога Internet Explorer (Tools, Internet Options, Setting for Temporary Internet files). Поскольку подкаталог для файлов Internet Explorer создаётся автоматически, у браузера нет возможности получить доступ к временным системным файлам. Мы обычно ограничивает максимальный размер этого каталога. По умолчанию Internet Explorer кэширует настолько много файлов, как будто завтра не будет. Однако для наших нужд вполне хватите нескольких мегабайт.
Настройки безопасности Internet Explorer должны быть выставлены на высокий уровень (high).
…или, может, другой браузер: Mozilla Firefox 0.9
Браузер Firefox превращается в хорошую альтернативу Internet Explorer, поскольку он маленький, быстрый и мощный и не содержит множество “дыр” безопасности. К тому же, он безопаснее и по той причине, что пользуются им намного реже, чем Internet Explorer. Следовательно, и хакеров он интересует меньше.
Многофункциональная строка ввода в Firefox действительно полезна. Вы можете скачать плагины, которые позволят производить поиск напрямую на eBay, Amazon или Google. Выбор огромен.
Конфигурация сетевого интерфейса
В серверных системах часто используется несколько сетевых карт, поэтому лучше изменить стандартные названия интерфейсов, присвоенные Windows, на более понятные. В нашем примере доступен только встроенный на плату сетевой контроллер.
В свойствах сетевого адаптера (Properties), которые выводятся при нажатии правой клавиши мыши, вы можете произвести всю необходимую настройку. Windows любит устанавливать службу QoS (quality of service), однако в небольших сетях она вряд ли полезна. Кстати, не забудьте поставить в нижней части диалога галочку, чтобы значки подключения всегда были видны на панели задач.
Среди всего прочего вы можете получить всю нужную информацию о конфигурации сетевого интерфейса.
Поскольку мы устанавливаем сервер, он должен быть достижим по правильному IP-адресу. В локальной сети это не так важно, так как вы всегда можете добраться до компьютера по его имени. Но, как только дело доходит до обеспечения служб в Интернете (VPN, терминальные службы, FTP…) , для маршрутизатора должен существовать реальный IP-адрес.
В качестве шлюза (default gateway) мы указали IP-адрес нашего DSL-маршрутизатора, поскольку сервер должен иметь доступ в Интернет. В качестве DNS-сервера мы тоже указали маршрутизатор.
Развёртывание Active Directory
Функциональный обзор Active Directory в Windows 2000 Server и Windows Server 2003. Источник: Microsoft.
Служба каталога Active Directory (AD) в Windows 2000 Server и Windows Server 2003 содержит информацию обо всех ресурсах, необходимых для работы в сети. Она включает соединения, приложения, базы данных, принтеры, пользователей и группы. Microsoft вполне конкретно указывает, что Active Directory обеспечивает стандартный путь для указания, описания, управления и доступа к ресурсам.
Active Directory по умолчанию не устанавливается, поскольку она не является обязательной для простых серверных задач. Но, по мере того, как сервер начинает заниматься всё большим количеством задач, AD становится всё более и более важной. Дополнительные компоненты, типа почтового сервера Exchange Server от Microsoft, к примеру, требуют полнофункциональной Active Directory.
Команда dcpromo позволяет превратить обычный сервер в контроллер Active Directory. Процесс отнимает около десяти минут, и здесь мы вкратце его опишем.
Мы предполагаем, что других серверов в вашей сети нет, и поэтому нам нужен контроллер для новой инфраструктуры Active Directory.
После этого мы должны определить, будет ли новый домен AD интегрирован в существующую систему.
Active Directory использует свою собственную базу данных, чтобы наиболее эффективно работать с информацией. Поскольку ваше окружение может быстро наращиваться, а сервер может получать дополнительные задачи, базы данных и файлы журнала лучше размещать на раздельном жёстком диске, чтобы системная производительность была максимально высока.
Папка SYSVOL является ещё одной особенностью Active Directory, поскольку её содержимое дублируется всеми контроллерами Active Directory в домене. Она содержит скрипты входа в систему, групповые политики и другие опции, которые должны быть доступны на всех серверах. Конечно же, расположение этой папки можно менять.
Эта опция будет важна, только если у вас есть компьютеры Windows NT с доменной структурой.
Во время установки мастер AD будет жаловаться, что DNS-серверы не запущены. Поэтому необходимо установить и его.
Установка DNS-сервера
Система DNS (Domain Name Service) является ахиллесовой пятой структуры Active Directory. Поскольку сетевые коммуникации в целях доступности осуществляются по именам (скажем, www.thg.ru), должна существовать система преобразования имён в IP-адреса – и наоборот. Прямые запросы преобразовывают имя в IP-адрес, а обратные – IP-адрес в имя.
Установка сервера DNS происходит быстро (иллюстрация выше), правда сразу он обычно не работает.
Так работает обратный запрос. Источник: Microsoft.
Довольно важно добавить зону обратного преобразования (Reverse Lookup Zone). Тогда DNS-сервер сможет выдавать имена на основе IP-адресов.
Для наших нужд потребуется первичная зона (primary zone), поскольку мы желаем полностью обслуживать локальную сеть этим DNS-сервером. Важно выбрать опцию интеграции с Active Directory в нижней части окна.
Конечно же, нам нужно ввести адресное пространство для локальной сети. В данном случае идентификатор сети будет 192.168.1.x. В качестве маски подсети выбрана 255.255.255.0, при этом сеть может содержать 254 компьютера. Этого количества будет достаточно для дома или малого офиса. Переход на маску 255.255.0.0 увеличит количество компьютеров до 64 516.
Нам нужны только безопасные динамические обновления зоны. Ручные обновления отнимают слишком много сил.
После подтверждения будет создана зона обратного преобразования.
Наконец, нам понадобится запись PTR на нашу подсеть 192.168.1.0.
Здесь необходимо задать полное доменное имя сервера. В нашем случае это будет testserver.testdomain.com.
Лучшим способом проверки правильной настройки DNS являются утилиты nslookup и ping. Поскольку мы планируем выходить и в Интернет, необходимо проинформировать DNS-сервер, как разрешать запросы на другие имена.
Для простоты мы просто ввели IP-адрес нашего DSL-маршрутизатора в качестве DNS forwarder. Наш сервер будет автоматически перенаправлять запросы к серверу DNS провайдера.
Настройки TCP/IP
Сейчас необходимо отрегулировать настройки TCP/IP, чтобы сервер мог работать в паре с новым сервером DNS. На этот раз в качестве основного сервера DNS мы введём IP-адрес 192.168.1.50. Мы отметили все галочки, поскольку тоже хотим работать с суффиксами DNS.
Мы можем ввести адрес сервера WINS (Windows Internet Naming Service), если будем его устанавливать. Он выбирается в пункте [Control Panel] – [Software] – [Windows Components] – [Network Services] и имеет только ряд опций по конфигурации, так что у вас не должно возникнуть каких-либо проблем.
Установка asminpak.msi
На сегодняшний день наиболее полезная коллекция утилит присутствует в Resource Kit for Windows Servers, который поставляется Microsoft. Однако его необходимо брать отдельно. На Windows CD присутствует административный пакет, который можно быстро установить, запустив команду “asminpak.msi”. Он расширяет доступные опции для администрирования.
Установка DHCP-сервера
Как только сервер сможет разрешать имена и IP-адреса, а также будет работать в режиме Active Directory, остаётся установить только сервер DHCP (Dynamic Host Configuration Protocol). По умолчанию каждый компьютер Windows ищет в сети подобный сервер, чтобы получить свой IP-адрес, адрес шлюза и другие сетевые параметры.
После установки службы в пункте [Control Panel] – [Software] – [Windows Components] – [Network Services] его необходимо настроить. Нам нужно ввести диапазон раздаваемых IP-адресов (см. скриншот выше).
В свою очередь, из диапазона можно убрать какие-либо адреса, если они уже заняты.
Аренда IP-адреса указывает на время, в течение которого IP-адрес остаётся за компьютером. Если сеть у вас меняется редко, то аренду можно продлить до месяца, а в сетях с частой сменой компьютеров её лучше сократить до нескольких дней.
Добавление адреса шлюза очень важно для пользователей. В небольших сетях шлюзом, как правило, выступает DSL-маршрутизатор.
Немаловажно указать доменное имя, а также адрес DNS-сервера. Если DNS-серверов несколько, то можно указать их все. Для надёжности мы добавили IP-адрес DLS-маршрутизатора, чтобы пользователи смогли выходить в Интернет даже в случае краха (или перезагрузки) сервера.
Если вы не установили сервер WINS, то оставьте эту страницу пустой. Иначе выполните то же самое, что и для настроек DNS.
После успешной настройки диапазона адресов (scope) сервер DHCP необходимо авторизовать, чтобы он смог работать в Active Directory. Нажмите правой клавишей мыши и сделайте правильный выбор. Вся процедура займёт полминуты.
Всё готово – DHCP работает! Однако убедитесь, что раздачей адресов в сети занимается именно ваш DHCP-сервер. Часто DSL-маршрутизаторы тоже выполняют подобные функции, которые, конечно же, следует отключить.
Удалённое управление через терминал
Хорошая иллюстрация: удалённый доступ к компьютеру. Даже при соединении ISDN скорость подобного подключения будет вполне достаточной.
В Windows 2000 следует установить службы терминала, в то время как у Windows Server 2003 они уже работают по умолчанию. Без дополнительной лицензии службы обеспечивают доступ, максимум, двум пользователям.
Администратор может подключаться к рабочему столу в любое время, а других пользователей необходимо добавить, нажав клавишу “Select Remote Users” в закладке Remote окна System Properties.
Необходимое программное обеспечение для подключения к удалённому рабочему столу уже присутствует в Windows XP или Server 2003. Просто перейдите в меню [Start] – [Programs] – [Accessories] – [Communications], где вы обнаружите Remote Desktop Connection.
Для выбора компьютера, к которому вы желаете подключиться, достаточно знать его IP-адрес или имя.
Производительность Remote Desktop Connection можно регулировать, изменяя опции.
Создаём пользователей и группы
Пользователей можно создавать через пункт меню [Start] – [Programs] – [Active Directory Users and Computers]. Убедитесь, что вы также добавили права на dial-in для VPN или терминальных служб (или не добавили), а также вписали пользователей в нужные группы.
Для лучшей организации разрешений мы рекомендуем с самого начала создавать группы. В идеальных условиях разрешения должны быть привязаны к группам, а не к отдельным пользователям. Конечно, исключением являются персональные папки.
Создаём общие каталоги
Администраторы всегда могут получить полный доступ к логическим дискам сервера Windows. Обратившись, к примеру, по имени \testserverc$ вы получите диск C. Для других же пользователей необходимо создать общие папки с разными разрешениями.
При нажатии правой клавишей на каталог откроется меню, в котором следует выбрать закладку [Sharing and security]. Здесь можно указать сетевое имя для папки. Если вы не хотите давать каких-либо прав на запись, то по умолчанию все пользователи будут иметь права на чтение. Но мы также хотим дать права и на запись.
Мы добавили пользователя Patrick и дали ему права на чтение и запись. Однако права, которые здесь прописываются, относятся только к уровню сетевого каталога. Необходимо прописать права на уровне файловой системы, что осуществляется в том же окне, в закладке [Security].
Доступ к ресурсам сервера
Самый лёгкий способ доступа к общему каталогу осуществляется через имя ресурса \testserversource (в нашем примере). Однако если ресурс будет использоваться часто, то неплохо будет привязать к нему имя диска.
Путь вводится как в Windows Explorer.
Готово! Первый сетевой диск успешно привязан к общему каталогу.
