Сегодня альтернативы Windows для корпоративных серверов продолжают увеличивать свою рыночную долю, и лидером в этом является ОС Linux.

Однако факт заключается и в том, что многие пользователи по-прежнему придерживаются Windows для сетевых приложений, как знакомого (и часто не очень любимого) компаньона.

На самом деле, многие пользователи уже связали в сеть два или более компьютера под Windows. Подобное происходит, скажем, когда необходимо обеспечить общий доступ в Интернет через DSL-маршрутизатор.

Поэтому многие пользователи уже знакомы с такими простыми задачами, как обеспечение общего доступа к каталогу, принтеру или подключению к Интернету.

Впрочем, цветастая оболочка Windows не всегда столь проста в настройке, как может показаться вначале. Как только вы переходите от простого использования каких-либо функций к их предложению по сети, возникает множествоподводных камней», о которых просто необходимо знать.

Сегодня самым эффективным серверным инструментом в мире Microsoft является Windows Server 2003, который выпускается в трёх вариантах (Web, Standard и Enterprise).

Мы приобрели диск со стандартной версией Windows Server 2003 и приготовились выполнить всю основную работу по развёртыванию сети. В ходе нашей статьи мы уделим особое внимание реализации Active Directory, поскольку эта служба каталога является просто необходимой для многих высокоуровневых серверных приложений, включая сервер электронной почты Exchange 2003.

На чём делать сервер? Серверноежелезо»

Сервер не всегда должен иметь два процессора Xeon с дорогой памятью ECC и 64-битными слотами PCI-X, как показано на иллюстрации. Для дома или небольшого офиса вполне достаточно сервера на Pentium 4 или Athlon с достаточным объёмом памяти и массивом RAID для защиты от краха жёсткого диска.

Сейчас мы не будем обсуждать плюсы и минусы отдельных компонентов. Мы бы хотели просто рассмотреть некоторые аппаратные основы, чтобы побыстрее перейти к установке Windows.

В принципе, в роли сервера Windows может работать любой компьютер с условием, что он удовлетворяет минимальным требованиям. В то же время, выполняемые задачи налагают свои специфические требования.

К примеру, серверы баз данных или почты очень чувствительны к оперативной памяти, поэтому сервер нужно оснастить немалым её количеством. Для файлового сервера важны производительность и объём жёсткого диска.

Если некоторые пользователи не жалеют денег и могут позволить себе машины с четырьмя процессорами Itanium, Opteron или Xeon из-за требований каких-то специфических приложений, то на серверном рынке наиболее распространены системы с одним и двумя процессорами.

Сегодня постепенно набирают популярность процессоры AMD Opteron, хотя самым распространённым выбором для малых серверов является Intel Xeon.

Процессоры Xeon и Pentium 4 имеют очень много общего, поэтому для однопроцессорного сервера мы рекомендуем Pentium 4 с технологией Hyper-Threading, поскольку этот процессор обеспечивает высокую производительность, и его поддерживают множество проверенных платформ.

AMD здесь выглядит не в столь привлекательном свете, поскольку этот чип предназначен, главным образом, для мультимедийных задач. Если вы сомневаетесь, мы рекомендуем взять нижнюю модель Opteron, так как она работает наравне с относительно дорогими процессорами Intel, а иногда даже лучше, обеспечивая, к тому же, поддержку 64-битных вычислений.

В зависимости от важности непрерывной работы сервера, мы рекомендуем взять блок бесперебойного питания UPS, дополнительный блок питания для избыточности, а также оснастить сервер массивом RAID.

Кроме того, следует упомянуть сетевые интерфейсы сервера. Если компьютер будет работать внутри локальной сети, то для большинства случаев будет достаточно одного сетевого контроллера. В любом случае, сегодня мы рекомендуем брать гигабитный контроллер, который, кстати, уже интегрируется во многие материнские платы. Если сервер будет обеспечивать и доступ в Интернет, то вам понадобится второй сетевой контроллер.

Установка Windows 2003 Server: приготовления

Любой администратор, часто устанавливающий Windows (а уже во второй раз это не так весело), должен иметь в хозяйстве CD с последним интегрированным пакетом обновления (Service Pack). Инструкции для интеграции можно найти, к примеру, в файле winhelpline.info.

В принципе, установочный CD можно дополнить последними драйверами и модифицировать его так, чтобы система устанавливала себя сама, практически без участия пользователя. Впрочем, подобный подход имеет смысл только в определённых условиях, ведь драйверы быстро меняются, а новые обновления Windows появляются слишком часто. Поэтому овчинка выделки не стоит.

В то же время, пакет обновления (Service Pack) может быть интегрирован в дистрибутив Windows за считанные минуты. Выходят SP редко, так что вот эту операцию мы настоятельно рекомендуем сделать.

Начнём: опции Windows Server 2003

Во время установки Windows Server вы можете выбирать требуемые службы (service). Мы рекомендуем внимательно подходить к выбору и устанавливать службы только по мере необходимости.

Конечно, создание нескольких разделов (partition) не даёт защиты от аппаратных сбоев, и такой подход несколько сковывает гибкость системы, когда свободное место подходит к концу. В то же время, хранилища данных лучше разделять, как с точки зрения программных проблем, так и безопасности. Поэтому мы рекомендуем создать следующие разделы:

  • системный;
  • для файла подкачки (swap);
  • пользовательских данных;
  • RIS.

Сама Windows, вместе со всеми необходимыми службами, занимает меньше 2 Гбайт. Поэтому системного раздела объёмом в 10 Гбайт будет более чем достаточно. Конечно, для надёжности можно сделать его и больше, особенно если файл подкачки вы будете размещать на системном разделе.

Если же это не так, то раздел для файла подкачки лучше создавать первым (2-4 Гбайт обычно достаточно), поскольку жёсткие диски всегда записывают данные, начиная с внешних дорожек к внутренним, поэтому они замедляются в этом направлении, так как линейная скорость диска уменьшается.

Объём раздела для пользовательских данных зависит от многих факторов: сколько пользователей будут хранить свои данные на сервере, и к какому типу эти данные относятся.

Базовые настройки Windows 2003

Первое, что мы сделали, — вернули Windows привычный вид, выбрав классическое меню. По нашему опыту большинство пользователей предпочитают работать именно со старым меню. Для этого вам необходимо нажать правой клавишей мыши на панель задач. Затем выбратьСвойства(Properties) и перейти в закладку Start Menu, где и присутствует нужная опция.

Затем необходимо настроить меню (нажав клавишуCustomize»), чтобы автоматически открывать сетевые соединения и опции панели управления. Мы пропустим персональные настройки меню, поскольку на сервере они будут, скорее, недостатком.

Чтобы упростить управление сервером, лучше свести временные файлы в одну папку. Нажмите правой клавишей мыши на значокMy Computer», выберитеСвойства(Properties), после чего перейдите на закладку Advanced, нажмите на кнопкуEnvironment Variables- и теперь в качестве каталога для временных файлов (под переменными TMP и TEMP) вы можете ввести любой, по своему желанию. Сейчас в нём будут скапливаться все временные файлы, которые можно будет, по мере необходимости, удалять.

Лучше всего задать фиксированный размер файла подкачки, поскольку при изменении размера он может быть фрагментирован. На той же закладке Advanced выберите клавишуPerformance»,Settings».

Задержка при открытии подменю может действовать на нервы. Для избавления от неё нам понадобится редактор реестра. Выполните команду regedit.exe. Затем найдите нужную ветку и параметр и введите правильное значение, как на скриншоте (см. выше).

В серверных системах мы должны вручную управлять всем, что происходит и когда происходит. Автоматическое обновление Windows Update противоречит этой философии, поскольку исправления Microsoft иногда производят негативный эффект. Поэтому автоматическое обновление лучше подтверждать вручную.

Для серверных систем визуальные эффекты вряд ли можно считать полезными, поэтому их нужно отключить. Нажмите правой клавишей мыши на рабочий стол, затем выберите Properties, Appearance и Effects. Отключите всё, без чего вы можете жить.

Там же, в закладке Settings и пункте Advanced, следует изменить разрешение и частоту обновления. При этом мы должны учитывать, какой монитор подключён к серверу. Совсем старые мониторы не поддерживают частоту обновления выше 60 Гц.

Настройка Internet Explorer

«Дырыбезопасности в Internet Explorer регулярно преподносят сюрпризы. Для серверов лучше применять следующее правило: запускайте браузер только в случае необходимости. Никогда не выходите в Интернет без межсетевого экрана и антивирусной защиты.

Начнём с изменения временного каталога Internet Explorer (Tools, Internet Options, Setting for Temporary Internet files). Поскольку подкаталог для файлов Internet Explorer создаётся автоматически, у браузера нет возможности получить доступ к временным системным файлам. Мы обычно ограничивает максимальный размер этого каталога. По умолчанию Internet Explorer кэширует настолько много файлов, как будто завтра не будет. Однако для наших нужд вполне хватите нескольких мегабайт.

Настройки безопасности Internet Explorer должны быть выставлены на высокий уровень (high).

…или, может, другой браузер: Mozilla Firefox 0.9

Браузер Firefox превращается в хорошую альтернативу Internet Explorer, поскольку он маленький, быстрый и мощный и не содержит множестводырбезопасности. К тому же, он безопаснее и по той причине, что пользуются им намного реже, чем Internet Explorer. Следовательно, и хакеров он интересует меньше.

Многофункциональная строка ввода в Firefox действительно полезна. Вы можете скачать плагины, которые позволят производить поиск напрямую на eBay, Amazon или Google. Выбор огромен.

Конфигурация сетевого интерфейса Windows 2003

В серверных системах часто используется несколько сетевых карт, поэтому лучше изменить стандартные названия интерфейсов, присвоенные Windows, на более понятные. В нашем примере доступен только встроенный на плату сетевой контроллер.

В свойствах сетевого адаптера (Properties), которые выводятся при нажатии правой клавиши мыши, вы можете произвести всю необходимую настройку. Windows любит устанавливать службу QoS (quality of service), однако в небольших сетях она вряд ли полезна. Кстати, не забудьте поставить в нижней части диалога галочку, чтобы значки подключения всегда были видны на панели задач.

Среди всего прочего вы можете получить всю нужную информацию о конфигурации сетевого интерфейса.

Поскольку мы устанавливаем сервер, он должен быть достижим по правильному IP-адресу. В локальной сети это не так важно, так как вы всегда можете добраться до компьютера по его имени. Но, как только дело доходит до обеспечения служб в Интернете (VPN, терминальные службы, FTP…) , для маршрутизатора должен существовать реальный IP-адрес.

В качестве шлюза (default gateway) мы указали IP-адрес нашего DSL-маршрутизатора, поскольку сервер должен иметь доступ в Интернет. В качестве DNS-сервера мы тоже указали маршрутизатор.

Развёртывание Active Directory

Функциональный обзор Active Directory в Windows 2000 Server и Windows Server 2003. Источник: Microsoft.

Служба каталога Active Directory (AD) в Windows 2000 Server и Windows Server 2003 содержит информацию обо всех ресурсах, необходимых для работы в сети. Она включает соединения, приложения, базы данных, принтеры, пользователей и группы. Microsoft вполне конкретно указывает, что Active Directory обеспечивает стандартный путь для указания, описания, управления и доступа к ресурсам.

Active Directory по умолчанию не устанавливается, поскольку она не является обязательной для простых серверных задач. Но, по мере того, как сервер начинает заниматься всё большим количеством задач, AD становится всё более и более важной. Дополнительные компоненты, типа почтового сервера Exchange Server от Microsoft, к примеру, требуют полнофункциональной Active Directory.

Команда dcpromo позволяет превратить обычный сервер в контроллер Active Directory. Процесс отнимает около десяти минут, и здесь мы вкратце его опишем.

Мы предполагаем, что других серверов в вашей сети нет, и поэтому нам нужен контроллер для новой инфраструктуры Active Directory.

После этого мы должны определить, будет ли новый домен AD интегрирован в существующую систему.

Active Directory использует свою собственную базу данных, чтобы наиболее эффективно работать с информацией. Поскольку ваше окружение может быстро наращиваться, а сервер может получать дополнительные задачи, базы данных и файлы журнала лучше размещать на раздельном жёстком диске, чтобы системная производительность была максимально высока.

Папка SYSVOL является ещё одной особенностью Active Directory, поскольку её содержимое дублируется всеми контроллерами Active Directory в домене. Она содержит скрипты входа в систему, групповые политики и другие опции, которые должны быть доступны на всех серверах. Конечно же, расположение этой папки можно менять.

Эта опция будет важна, только если у вас есть компьютеры Windows NT с доменной структурой.

Во время установки мастер AD будет жаловаться, что DNS-серверы не запущены. Поэтому необходимо установить и его.

Установка DNS-сервера

Система DNS (Domain Name Service) является ахиллесовой пятой структуры Active Directory. Поскольку сетевые коммуникации в целях доступности осуществляются по именам (скажем, www.thg.ru), должна существовать система преобразования имён в IP-адреса — и наоборот. Прямые запросы преобразовывают имя в IP-адрес, а обратные — IP-адрес в имя.

Установка сервера DNS происходит быстро (иллюстрация выше), правда сразу он обычно не работает.

Так работает обратный запрос. Источник: Microsoft.

Довольно важно добавить зону обратного преобразования (Reverse Lookup Zone). Тогда DNS-сервер сможет выдавать имена на основе IP-адресов.

Для наших нужд потребуется первичная зона (primary zone), поскольку мы желаем полностью обслуживать локальную сеть этим DNS-сервером. Важно выбрать опцию интеграции с Active Directory в нижней части окна.

Конечно же, нам нужно ввести адресное пространство для локальной сети. В данном случае идентификатор сети будет 192.168.1.x. В качестве маски подсети выбрана 255.255.255.0, при этом сеть может содержать 254 компьютера. Этого количества будет достаточно для дома или малого офиса. Переход на маску 255.255.0.0 увеличит количество компьютеров до 64 516.

Нам нужны только безопасные динамические обновления зоны. Ручные обновления отнимают слишком много сил.

После подтверждения будет создана зона обратного преобразования.

Наконец, нам понадобится запись PTR на нашу подсеть 192.168.1.0.

Здесь необходимо задать полное доменное имя сервера. В нашем случае это будет testserver.testdomain.com.

Лучшим способом проверки правильной настройки DNS являются утилиты nslookup и ping. Поскольку мы планируем выходить и в Интернет, необходимо проинформировать DNS-сервер, как разрешать запросы на другие имена.

Для простоты мы просто ввели IP-адрес нашего DSL-маршрутизатора в качестве DNS forwarder. Наш сервер будет автоматически перенаправлять запросы к серверу DNS провайдера.

10 советов по обеспечению безопасности Active Directory

Используйте Windows Server 2003

Версия Windows Server 2003 с поддержкой службы каталогов «Активная директория» (Active Directory, далее AD) гораздо безопаснее версии Windows 2000. Это не значит, что нельзя сделать Windows 2000 более безопасной.

Это значит, что для работы с AD легче использовать версию Windows Server 2003, которая не требует дополнительных настроек параметров защиты. Если нет возможности обновить систему до версии Windows Server 2003, убедитесь, что отключены все функции вида «pre-Windows 2000», например «Разрешения совместимы с версиями, предшествующими Windows 2000 Server» (Permissions compatible with pre–Windows 2000 servers).

Ограничьте доступ пользователей с правами администратора

При помощи таких технологий AD, какДелегирование полномочий административного контроля(Delegation of Administrative Control) или грамотно применяя возможностиВстроенных групп(Built In Groups) иПолномочий Активных директорий(Active Directory Permissions), организация может существенно улучшить безопасность Active Directory.

Вместо того, чтобы предоставлять широкие полномочия всем администраторам, следует распределить права IT-специалистов в соответствии с выполняемыми ими специфическими задачами (тоже самое касается и конечных пользователей вашей сети — не позволяйте им иметь слишком много прав).

Если организация имеет несколько офисов, деревьев, доменов и лесов, убедитесь в том, что административные права соответствуют принятой политике разграничения полномочий.

Защитите DNS

AD сильно зависит от DNS. В частности, записи расположения служб необходимы для оповещения компьютера о местонахождении в сети функций контроллера домена.

Поскольку DNS содержит необходимую информацию о сети Active Directory, необходимо убедиться в том, что DNS-сервера надёжно защищены от посторонних как на программном, так и на аппаратном уровне. Рекомендуется разрешать толькоБезопасные динамические обновления(Secure Dynamic Updates). О том, как включить эту опцию, можно узнать, если пройти по этой ссылке.

Защитите роли FSMO

РолиОпераций одиночного гибкого хозяина(Flexible Single Master Operations, далее FSMO) имеют очень важное значения для Active Directory. В частности,Эмулятор основного контроллера домена(PDC Emulator) ответственен за выполнение многих важных функций, в том числе синхронизацию, приоритетные обновления Групповой политики(Group Policy) и операции по блокировке учётной записи.

Помимо этого,Мастер схемы(Schema Master) регулирует обновления дляСхемы(Schema) и поэтому тоже должен быть максимально защищён. Использование отказоустойчивых серверов, надёжных средств резервирования и применение других известных контрмер также содействует повышению уровня безопасности ролевых объектов FSMO.

Включите аудит

Аудит позволяет проверять работу Active Directory. Включив соответствующую опцию можно осуществлять аудитУправления учётными записями(Account Management),Аудит событий входа в систему(Logon Events),Аудит изменения политики(Policy Change) иАудит использования привилегий(Privilege Use). Хотя это и очевидно, сам по себе аудит бесполезен без регулярной проверки журналов событий.

Отключите бесполезные служб и удалите ненужные приложения

В свете того, что все контроллеры доменов в идеале должны использоваться исключительно по своему прямому назначению, логично будет воздержаться от установки и запуска на них ненужных служб и программ. Убедитесь в том, что на серверах установлен минимальный набор необходимых служб и приложений. Крайне не рекомендуется когда бы то ни было использовать контроллер домена в качестве хранилища файлов или веб-сервера.

Установите шаблоны безопасности

Шаблоны безопасности осуществляют эффективные меры по обеспечению последовательной защиты домена, они всегда могут пригодиться толковому ответственному администратору. Если шаблоны с предзаданными значениями (например, HiSecDc.inf) не могут удовлетворить ваших потребностей, создайте свой собственный.

Установите приоритет для обновлений контроллеров домена

Microsoft выпускает свои защитные патчи ежемесячно (иногда чаще). Администраторам необходимо настроить обновления так, чтобы в первую очередь обеспечивать защитными заплатками контроллеры домена.

Обеспечьте безопасность на физическом уровне

Позаботьтесь о том, чтобы ваши сервера находились в запертом помещении или специальной охраняемой комнате. Злоумышленник, которому удастся физически подобраться к серверу и войти в систему под учётной записью администратора, может существенно разрушить инфраструктуру Active Directory.

Планируйте сбоеустойчивую топологию

Поскольку любая защита строится на основе уже известных видов атак, всегда есть возможность столкнуться с неведомой доселе проблемой. Готовы ли вы к восстановлению? Active Directory — это мультисерверная среда, где несколько контроллеров домена имеют несколько ролей.

Таким образом, при сбое одного контроллера страдает вся директория. Вы должны разобраться в схемах Active Directory, разработать методы восстановления и спланировать топологию так, чтобы снизить риск возникновения всех возможных проблем и аварийных ситуаций. Планируйте и будьте готовы.

Настройки TCP/IP

Сейчас необходимо отрегулировать настройки TCP/IP, чтобы сервер мог работать в паре с новым сервером DNS. На этот раз в качестве основного сервера DNS мы введём IP-адрес 192.168.1.50. Мы отметили все галочки, поскольку тоже хотим работать с суффиксами DNS.

Мы можем ввести адрес сервера WINS (Windows Internet Naming Service), если будем его устанавливать. Он выбирается в пункте [Control Panel] — [Software] — [Windows Components] — [Network Services] и имеет только ряд опций по конфигурации, так что у вас не должно возникнуть каких-либо проблем.

установка и настройка NAT(подключение к интернету)

Общие сведения о NAT

NAT (Network Address Translation — преобразование сетевых адресов) представляет собой стандарт IETF (Internet Engineering Task Force — рабочая группа разработки технологий Интернета), с помощью которого несколько компьютеров частной сети (с частными адресами из таких диапазонов, как 10.0.x.x, 192.168.x.x, 172.x.x.x) могут совместно пользоваться одним адресом IPv4, обеспечивающим выход в глобальную сеть.

Основная причина растущей популярности NAT связана со все более обостряющимся дефицитом адресов протокола IPv4. Также многие шлюзы Интернета активно используют NAT, особенно для подключения к широкополосным сетям, например, через DSL или кабельные модемы.

Установка NAT

Для того чтобы выступать в роли маршрутизатора, на сервере должно быть 2 сетевых интерфейса. Интернет и сама сеть, которую необходимо пускать в Интернет. У меня сетевые подключения называются LAN_1 (Internet) и LAN_2 (локальная сеть).

Сразу скажу, что служба Брандмауэр Windows/Общий доступ к Интернету (ICS) должна быть отключена.

Итак, приступим к установке:

Пуск – Программы – Администрирование – Маршрутизация и удаленный доступ (Routing and Remote Access). В контекстном меню выбираем пункт Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access)

Появляется Мастер настройки сервера маршрутизации и удаленного доступа. Этот мастер позволяет вам выбрать различные конфигурации для Routing and Remote Access (RRAS). RRAS может быть настроен как вы захотите, но Microsoft включил несколько шаблонов, чтобы сделать процесс настройки для основных типов установки проще. Но мы выберем Особая конфигурация (Custom configuration)

Выбираем NAT и основной брандмауэр и Маршрутизация ЛВС (NAT and basic firewall и LAN routing)

В конце нажимаем Готово (Finish) на вопрос Хотите запустить службу? (Do you want to start the service?) Нажимаем Да (Yes)

Далее переходим к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Для работы NAT необходимо добавить публичный (подключенный к Интернет) и приватный (локальный) интерфейс. В контекстном меню выбираем Новый интерфейс (New Interface)

В списке интерфейсов выбираем интерфейс, подключенный к Интернету в нашем случае это LAN_1

В появившимся окне, выбираем пункт Общий интерфейс подключен к Интернету (Public interface connected to the Internet) и ставим галочку Включить NAT на данном интерфейсе (Enable NAT on this interface)

Снова идем к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall), в контекстном меню выберите Новый интерфейс (New Interface). В появившимся окне выберите интерфейс локальной или публичной сети

Оставляем это окно без изменений (по умолчанию выбрано Частный интерфейс подключен к частной сети (Private interface connected to private network)).

Нажимаем OK.

Настройка NAT

Итак, сетевые интерфейсы мы установили, теперь настроим их.

Первым делом давайте настроим Внешний интерфейс (LAN_1):

Нам необходимо настроить IP адреса и маску. Переходим к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Выбираем контекстное меню LAN_1, идем в Свойства (Prefences). Появится окно с вкладками, выбираем Пул адресов (Address Pool). Далее нужно добавить внешний IP-адрес и маску.

Закончили составлять список. Далее необходимо зарезервировать IP-адрес (мы зарезервируем один IP). Во вкладке (Address Pool) нажимаем на кнопку Зарезервировать

192.168.0.2 – IP-адрес пользователя, который будет выходить в сеть через наш сервер

10.7.40.154 – внешний IP-адрес сервера

Выходя в Интернет по такой технологии вы будете иметь IP-адрес 10.7.40.154. Есть различные пути настройки, можно каждой машине отдельно резервировать адреса. В резервации можно указывать не один диапазон адресов или не указывать вовсе, тогда любой IP в локальной сети сможет сидеть в Интернете через сервер.

Настраиваем клиентскую машину

Заходим в Свойства локальной сетевой карты, далее Свойства TCP/IP. Прописываем IP клиента, маску, в Основной шлюз (Default gateway) прописываем IP адрес сервера. В полях DNS необходимо прописать IP адреса DNS провайдера или IP адреса установленного локального DNS сервера.

Установка asminpak.msi

На сегодняшний день наиболее полезная коллекция утилит присутствует в Resource Kit for Windows Servers, который поставляется Microsoft. Однако его необходимо брать отдельно. На Windows CD присутствует административный пакет, который можно быстро установить, запустив командуasminpak.msi». Он расширяет доступные опции для администрирования.

Установка DHCP-сервера

Как только сервер сможет разрешать имена и IP-адреса, а также будет работать в режиме Active Directory, остаётся установить только сервер DHCP (Dynamic Host Configuration Protocol). По умолчанию каждый компьютер Windows ищет в сети подобный сервер, чтобы получить свой IP-адрес, адрес шлюза и другие сетевые параметры.

После установки службы в пункте [Control Panel] — [Software] — [Windows Components] — [Network Services] его необходимо настроить. Нам нужно ввести диапазон раздаваемых IP-адресов (см. скриншот выше).

В свою очередь, из диапазона можно убрать какие-либо адреса, если они уже заняты.

Аренда IP-адреса указывает на время, в течение которого IP-адрес остаётся за компьютером. Если сеть у вас меняется редко, то аренду можно продлить до месяца, а в сетях с частой сменой компьютеров её лучше сократить до нескольких дней.

Добавление адреса шлюза очень важно для пользователей. В небольших сетях шлюзом, как правило, выступает DSL-маршрутизатор.

Немаловажно указать доменное имя, а также адрес DNS-сервера. Если DNS-серверов несколько, то можно указать их все. Для надёжности мы добавили IP-адрес DLS-маршрутизатора, чтобы пользователи смогли выходить в Интернет даже в случае краха (или перезагрузки) сервера.

Если вы не установили сервер WINS, то оставьте эту страницу пустой. Иначе выполните то же самое, что и для настроек DNS.

После успешной настройки диапазона адресов (scope) сервер DHCP необходимо авторизовать, чтобы он смог работать в Active Directory. Нажмите правой клавишей мыши и сделайте правильный выбор. Вся процедура займёт полминуты.

Всё готово — DHCP работает! Однако убедитесь, что раздачей адресов в сети занимается именно ваш DHCP-сервер. Часто DSL-маршрутизаторы тоже выполняют подобные функции, которые, конечно же, следует отключить.

Настройка VPN сервера в Windows 2003

VPN PPTP-сервер для защищенного подключения клиентов может быть настроен только на серверных версиях Windows 2000/2003. Он настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS (Маршрутизация и удаленный доступ). Эта справка предназначена для опытных пользователей.

Создание VPN сервера

1. Откройте службуМаршрутизация и удаленный доступи зайдите в свойства сервера.

2. Выставите параметрлокальной сети и вызова по требованию», а такжесервер удаленного доступа»

3. Зайдите во вкладкуIP«, выберите название внутреннего адаптера и создайте статический пул адресов отличного от внутреннего который будет присваиваться VPN клиентам.

4. Далее во вкладкеPPPснимите галку сМногоканальные подключения»-это ускорит работу Интернета.

5. Во вкладкеЖурнал событийвыставите параметрвести журнал всех событий»

Конфигурация портов

1. Зайдите в свойстваПорты». По умолчанию RRAS создаст 5PPTP, 5L2TPи 1Прямой параллельный». Для стабильной работы сервера рекомендуется удалить ненужные порты (прямой параллельный, L2TP, и.т.д.) и создать необходимое количество портов, их должно быть больше чем одновременных подключений.

2. Удаляем порты WAN(L2TP)

3. Выставите необходимое число PPTP портов (число портов должно быть больше чем планируемых одновременных подключений)

4. В итоге у Вас появится следующее окно

Конфигурируем NAT

1. Зайдите вIP-маршрутизация/NAT-преобразование сетевых адресов». Если Вы собираетесь предоставлять доступ только по VPN соединению тогда удалите внутренний интерфейс, если нет тогда оставьте. Если вы используете Windows 2003 вам необходимо отключить basic firewall. Ее использование при наличии Traffic Inspector может привести к конфликтам. Для этого зайдите в свойства внешнего подключения и отключите.

Далее вам надо добавить RAS интерфейс для этого в командной строке наберитеnetsh routing ip nat add interface Внутренний (в английской версии windowsinternal») privateсм.рис. Кроме того очень полезно запретить привязку NetBios к интерфейсу Внутренний (internal), если он активен (см. выше).

Это важно, если используется RAS-сервер для подключения диалапных клиентов (модемы или VPN) и поможет избавится от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка этой службы.

Появление IP- адреса интерфейса Внутренний (internal) в этих регистрациях может привести к проблемам. Для этого редактором реестра в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessParametersIp добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу надо перезапустить.

3. Автоматически появится RAS интерфейс

Создание клиентов

1. Зайдите вУправление компьютером», далее вЛокальные пользователи и группы»,Пользователи»

2. Создайте пользователя, имена пользователей должны совпадать с именами клиентов заведенных в ТИ, далее зайдите во вкладкуВходящие звонки».

Настройка VPN соединения

1. В группеПолитика удаленного доступазайдите в свойстваРазрешить доступ, если разрешены входящие подключения»

2. Нажмите на кнопкуИзменить профиль…»

3. Зайдите во вкладкуПроверка подлинности»

4. Оставьте два параметра проверки подлинности MS-CHAP для ОС Windows и CHAP для других ОС.

5. Далее зайдите на вкладкуШифрование», выберите параметры шифрования. Все произведенные настройки должны быть идентичны, при настройке VPN соединения у клиентов.

Перезапустите сервер.

Удалённое управление через терминал

Хорошая иллюстрация: удалённый доступ к компьютеру. Даже при соединении ISDN скорость подобного подключения будет вполне достаточной.

В Windows 2000 следует установить службы терминала, в то время как у Windows Server 2003 они уже работают по умолчанию. Без дополнительной лицензии службы обеспечивают доступ, максимум, двум пользователям.

Администратор может подключаться к рабочему столу в любое время, а других пользователей необходимо добавить, нажав клавишуSelect Remote Usersв закладке Remote окна System Properties.

Необходимое программное обеспечение для подключения к удалённому рабочему столу уже присутствует в Windows XP или Server 2003. Просто перейдите в меню [Start] — [Programs] — [Accessories] — [Communications], где вы обнаружите Remote Desktop Connection.

Для выбора компьютера, к которому вы желаете подключиться, достаточно знать его IP-адрес или имя.

Производительность Remote Desktop Connection можно регулировать, изменяя опции.

Создаём пользователей и группы

Пользователей можно создавать через пункт меню [Start] — [Programs] — [Active Directory Users and Computers]. Убедитесь, что вы также добавили права на dial-in для VPN или терминальных служб (или не добавили), а также вписали пользователей в нужные группы.

Для лучшей организации разрешений мы рекомендуем с самого начала создавать группы. В идеальных условиях разрешения должны быть привязаны к группам, а не к отдельным пользователям. Конечно, исключением являются персональные папки.

Создаём общие каталоги

Администраторы всегда могут получить полный доступ к логическим дискам сервера Windows. Обратившись, к примеру, по имени testserverc$ вы получите диск C. Для других же пользователей необходимо создать общие папки с разными разрешениями.

При нажатии правой клавишей на каталог откроется меню, в котором следует выбрать закладку [Sharing and security]. Здесь можно указать сетевое имя для папки. Если вы не хотите давать каких-либо прав на запись, то по умолчанию все пользователи будут иметь права на чтение. Но мы также хотим дать права и на запись.

Мы добавили пользователя Patrick и дали ему права на чтение и запись. Однако права, которые здесь прописываются, относятся только к уровню сетевого каталога. Необходимо прописать права на уровне файловой системы, что осуществляется в том же окне, в закладке [Security].

Доступ к ресурсам сервера

Самый лёгкий способ доступа к общему каталогу осуществляется через имя ресурса testserversource (в нашем примере). Однако если ресурс будет использоваться часто, то неплохо будет привязать к нему имя диска.

Путь вводится как в Windows Explorer.

Готово! Первый сетевой диск успешно привязан к общему каталогу.

Подготовка к установке сервера Exchange 2003

До установки сервера Exchange 2003 должны быть выполнены несколько задач:

1. Необходимо убедиться в доступности сервера глобального каталога (GC). Если сервер Exchange устанавливается в домене с несколькими сайтами AD, то 2. необходимо удостоверится, что у него будет постоянный доступ к GC.

Убедиться, что на сервере, на котором планируется развернуть Exchange, установлены все необходимые компоненты:

• .NET Framework

• ASP.NET

• Internet Information Services (IIS)

• World Wide Web Publishing Service

• Simple Mail Transfer Protocol (SMTP) service

• Network News Transfer Protocol (NNTP) service

Компоненты, необходимые для установки Exchange

Так же рекомендуется установить Windows 2003 Support Tools с компакт диска Windows 2003 Server из папки supporttools.

3. Если у учётной записи, под которой планируется установка Exchange не достаточно прав для модификации схемы, то необходимо предварительно произвести расширение схемы AD под учётной записью, у которой имеются права модификации схемы AD.

Для расширения схемы AD необходимо последовательно запустить установку Exchange с ключами /forestprep(расширение схемы леса AD) и /domainprep (расширение схемы домена AD):

setup.exe /forestprep необходимо запускать на Хозяине Схемы (Schema Master)

setup.exe /domainprep

После выполнения подготовительных шагов можно переходить к установке сервера Exchange.

Установка сервера Exchange 2003

Наиболее простой путь для установки Exchange — вставить компакт диск Exchange 2003 и следовать пошаговым инструкциям установки. Рассмотрим процедуру установки сервера Exchange по шагам:

1. Вставьте в привод компакт диск Exchange 2003 (Standard или Enterprise).

2. Должна запуститься программа автозагрузки компакт диска Resources and Deployment tools. Если этого не произошло, то выполните запуск вручную: выберите Пуск, далее Выполнить и напечатайте :setup.exe и нажмите OK.

3. Кликните на Exchange Deployment tools.

4. На пригласительном экране Deployment tools кликните на Deploy the first Exchange 2003 Server (установить первый сервер Exchange 2003).

5. Кликните Run Setup Now (Запустить установку).

6. Кликните Next (далее).

7. Прочтите лицензионное соглашение и выберите I Agree. Нажмите Next.

8. Появится окно выбора компонентов. По-умолчанию выбран тип установки Typical (типичный). См. рисунок. На этом шаге можно изменить путь и тип установки Exchange. Нажмите Next.

Путь и тип установки Exchange

9. Выберите Create New Exchange Organization. Нажмите Next.

Create New Exchange Organization

10. Введите имя вашей организации Exchange. Будьте внимательны, т.к. эту информацию вы не сможете изменить в дальнейшем. Нажмите Next.

Organization name

11. На следующем экране выберите I Agree That I Have Read and Will Be Bound by the License Agreements for This Product. Нажмите Next.

12. Появится подтверждающий экран Installation Summary, где необходимо убедиться в правильности выбора устанавливаемых компонентов и пути установки и нажать Next.

Installation summary

13. Если вы устанавливаете Exchange 2003 в Смешанном режиме(Mixed Mode), то появится предупреждение безопасности. В этом случае нажмите OK.

14. После завершения установки нажмите Finish.

15. Если после установки будет предложено перезагрузить систему — перезагрузите сервер.

16. Не забудьте после установки скачать и установить последние обновления и сервиспаки для Exchange 2003.

10 советов по обеспечению безопасности Windows Server 2003

Установите Service Pack 1

Первый пакет дополнений Windows Server 2003 Service Pack 1 содержит ряд ключевых расширений безопасности системы, включая значительные усовершенствования для Internet Explorer (очень полезные для серверов Terminal Services), новый брандмауэр, новый мастер конфигурации безопасности для помощи в защите сервера и службу применений последних установленных обновлений Post-Setup Security Update, которая отключает компьютер от сети во время процесса загрузки и установки обновлений Windows.

Я рекомендую устанавливать SP1 на новые системы Windows Server 2003, благодаря этому пакету можно полностью оценить предусмотренные защитные возможности.

Всегда используйте NTFS

Файловая система NT, впервые представленная в ОС Windows NT более десяти лет назад, по-прежнему является одним из лучших средств по защите системы Windows. Ещё недавно необходимо было выбирать между FAT и NTFS в зависимости от видов приложений, поддерживаемых сервером.

Сегодня уже трудно найти такую программу, которая не работала бы с NTFS, а некоторые и подавно могут запускаться только на этой файловой системе. NTFS предоставляет контроль над пользовательскими полномочиями и позволяет ограничивать права доступа к отдельным файлам и папкам. Если диски вашего сервера всё еще используют систему FAT, переконвертируйте их в NTFS при помощи соответствующей утилиты Windows.

Устанавливайте только то, что необходимо

Это самый простой, но в то же время самый ценный совет по безопасности системы, и я уверен, что вам уже не раз доводилось его слышать. Чем больше служб и программ установлено и запущенно на сервере, тем более широкий простор действий вы даёте злоумышленникам. В частности, не следует устанавливать IIS или службы файлов/принтеров на серверах, где они не будут необходимы.

IIS, например, является любимой мишенью хакеров, и несмотря на то, что версия IIS 6.0 по умолчанию более безопасна, её уровень защиты уступает системам с отключённой службой IIS. Помимо этого используйте возможность распределения встроенных ролей Windows Server 2003, которые позволят вам рационально настроить конфигурацию сервера и его служб.

Изолируйте операционную систему

Ещё одним хорошим способом защиты сервера является размещение файлов операционной системы на одном диске (или разделе диска), а файлов компании или приложений на другом.

В этом случае, если пользователю-злоумышленнику или хакеру удастся осуществить несанкционированный доступ через дыру в одном из несистемных процессов, то у него будет меньше шансов проникнуть в ядро ОС и разрушить его. Конечно, данный метод не сможет защитить от всех видов атак, однако он является ещё одной полезной мерой по обеспечению безопасности вашего сервера.

Используйте локальные учётные записи для запуска служб

В Windows Server 2003 занижена необходимость использования служебныхУчётных записей(service accounts), тем не менее, они всё ещё нужны для некоторых служб Windows и приложений от сторонних производителей. Время от времени придётся создавать такие записи для того, чтобы подобные продукты и службы могли войти в систему.

Если есть возможность, создавайте локальные служебные учётные записи на тех машинах, где будут работать эти приложения, вместо создания доменных записей. Взломав доменную запись, хакеры могут получить доступ к дополнительным серверам вашей организации. При использовании локальных учётных записей у вас есть больше шансов удержать злоумышленников на одном сервере.

Измените название учётной записи Administrator и имя системной папки

Учётная запись администратора (Administrator), а также директории C:WINNT и C:WINDOWS — любимые мишени неискушённых хакеров. Вредоносные коды, эксплуатирующие их уязвимости, можно без труда найти в интернете.

Несмотря на то, что подобные методы получения незаконного доступа примитивны, они часто бывают эффективными. Чтобы избежать проблем, вызванных действиями таких кодов, измените название учетной записи Administrator и установите систему Windows Server 2003 в директорию с именем, отличным от C:WINNT или C:WINDOWS.

Установите антивирус на сервере

Даже если на почтовых серверах и всех компьютерах организации уже установлено антивирусное ПО, вам всё равно нужно иметь соответствующее приложение на серверах, в частности, на файловых серверах.

Если одна из настольных систем не обновляет базу данных записей о вирусах на регулярной основе, вполне возможно, что в скором времени сервер будет переполнен вредоносными программами. Заражённые файлы могут долго «спать», но в один прекрасный день они проснутся и нарушат работу некоторых служб. Или, что ещё хуже, начнут размножаться.

Установите расписание загрузки новых защитных патчей и придерживайтесь его

Обычно Microsoft ежемесячно выпускает несколько защитных заплаток. Было бы не очень рационально устанавливать каждый новый патч независимо от того, нужен ли он вам или нет.

Но те из них, которые способствуют усилению безопасности сети, следует немедленно проверить на тестовой системе и внедрить как можно быстрее. В наши дни новые вредоносные коды, эксплуатирующие главные уязвимости, появляются не ежемесячно, а ежечасно, поэтому жизненно важно своевременно обзаводиться новыми защитными заплатками.

Изучайте и используйте новые опции службы «Групповая политика» (Group Policy)

Первый Service Pack Windows Server 2003 даёт администраторам дюжину новых параметровГрупповой политикидля централизованного управления представленными в SP1 защитными функциями. Например, Windows Server 2003 SP1 содержит около трёх десятков опций  Групповой политики», предназначенных для управления одним только брандмауэром. Любой защитной функцией можно управлять при помощиГрупповой политики», это один из самых эффективных способов обеспечить безопасность среды. Для знакомства с полным списком параметровГрупповой политикипосетите раздел сайта Microsoft, посвящённый службе Group Policy системы Windows Server 2003 SP1.

Скачайте и прочитайте Руководство по безопасности Windows Server 2003

выложенное компанией Microsoft в открытый доступ, призвано помочь администраторам провести дополнительные меры по защите своих серверов Windows. От создания базовой политики рядовых серверов (MSBP) и механизмов укрепления безопасности контроллеров домена до проверки угроз и мер противодействия — данное руководство является важным и эффективным инструментом, который должен иметь в арсенале каждый администратор Windows.