Обзор основы сети
На следующем рисунке показаны компоненты основы сети.
Компоненты основы сети
Ниже представлены компоненты, составляющие основу сети.
Маршрутизатор
В настоящем руководстве приводятся инструкции по развертыванию основы сети с двумя подсетями, разделенными маршрутизатором с включенной переадресацией DHCP. Можно, однако, использовать коммутатор уровня 2 или 3 или концентратор, в зависимости от требований и доступных ресурсов. Если будет использоваться коммутатор, он должен поддерживать переадресацию DHCP, в противном случае необходимо создать отдельный DHCP-сервер в каждой подсети. Если будет использоваться концентратор, подсеть будет одна и переадресация DHCP не потребуется, равно как и вторая область DHCP-сервера.
Статические настройки TCP/IP
Все серверы в этом развертывании настроены на использование статических адресов IPv4. Клиентские компьютеры по умолчанию настроены на получение IP-адресов в аренду от DHCP-сервера.
Глобальный каталог и DNS-сервер
На этот сервер устанавливаются и службы AD DS, и служба DNS, которые будут предоставлять службы каталогов и разрешения имен всем компьютерам и устройствам, входящим в сеть.
WINS-сервер (необязательно)
Устанавливать службу WINS в рамках основы сети необязательно. Часто трудно определить, нуждаются ли в ней службы и приложения. В некоторых случаях служба WINS будет нужна, а в других единственной требуемой службой разрешения имен окажется DNS. Поскольку служба WINS в малых и средних сетях не требует заметного обслуживания и не использует значительные ресурсы процессора, можно установить ее на DHCP-сервер на тот случай, если приложениям или службам она все же понадобится.
DHCP-сервер
DHCP-сервер настроен на выдачу IP-адресов в аренду компьютерам локальной подсети. В его настройку можно добавить дополнительные области для предоставления IP-адресов компьютерам других подсетей, если переадресация DHCP поддерживается маршрутизаторами.
NPS-сервер (необязательно)
Установка NPS-сервера — подготовительный шаг к развертыванию других технологий доступа в сеть, например VPN-серверов, беспроводных точек доступа и коммутаторов с проверкой подлинности 802.1X. Кроме того, установка такого сервера подготавливает сеть к развертыванию NAP.
Клиентские компьютеры
Клиентские компьютеры под управлением ОС Windows Vista® и Windows XP по умолчанию настроены как клиенты DHCP, автоматически получающие IP-адреса и настройки DHCP у DHCP-сервера.
Планирование основы сети
Перед развертыванием сети нужно спланировать следующие элементы.
Планирование подсетей
Планирование базовой конфигурации всех серверов
Планирование развертывания AD-DNS-01
Планирование доступа в домен
Планирование развертывания WINS-01
Планирование развертывания DHCP-01
Планирование развертывания NPS-01
Следующие разделы освещают каждый пункт подробнее.
Планирование подсетей
В сетях на основе протокола TCP/IP маршрутизаторы используются для соединения аппаратного и программного обеспечения, существующего в разных сегментах сети, называемых подсетями. Маршрутизаторы также используются для переадресации IP-пакетов между подсетями. Прежде, чем приступать к выполнению других инструкций этого руководства, спланируйте физическое воплощение будущей сети, включая требуемое количество маршрутизаторов и подсетей.
Кроме того, чтобы задать серверам будущей сети статические IP-адреса, нужно определиться с диапазоном IP-адресов, который будет использоваться в подсети, которой принадлежат серверы. В этом руководстве в качестве примера используется диапазон 192.168.1.1 - 192.168.0.254, но можно использовать любой диапазон частных IP-адресов.
Следующие общепринятые диапазоны частных IP-адресов указаны в RFC 1918:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
При использовании частного диапазона IP-адресов, упомянутого в RFC 1918, не удастся напрямую подключиться к Интернету с использованием частного IP-адреса, поскольку запросы, идущие от или к таким адресам автоматически отклоняются маршрутизаторами поставщиков услуг Интернета. Чтобы получить возможность выхода в Интернет, необходимо будет обратиться к поставщику услуг Интернета и получить публичный IP-адрес.
 Внимание!
При использовании частных IP-адресов нужно также использовать прокси или NAT для преобразования частных адресов локальной сети в маршрутизируемые публичные IP-адреса.
Подробнее см. Планирование развертывания DHCP-01.
Планирование базовой конфигурации всех серверов
Для каждого сервера, составляющего основу сети, нужно сменить пароль локальной учетной записи администратора, переименовать компьютер, а также назначить и настроить статический IP-адрес.
Выбор пароля учетной записи администратора
Из соображений безопасности учетную запись администратора необходимо защитить надежным паролем. Кроме того, рекомендуется, чтобы пароли этой учетной записи были разными на каждом сервере сети.
Вот пример надежного пароля.
Настраиваемый элемент:
|
Пример значения:
|
Пароль администратора
|
Пример: J*p2leO4$F
 Примечание
Надежный пароль должен состоять не менее чем из 7 символов, охватывающих все следующие категории: верхний регистр (A, B, C), нижний регистр (d, e, f), цифры (0, 1, 2, 3) и специальные символы (' ~ ! @ # $ % | /).
|
Выбор конвенции именования компьютеров и устройств
Для сохранения единообразия рекомендуется использовать последовательные имена для серверов, принтеров и других устройств. Имена могут помочь пользователям и администраторам легко определять назначение и расположение такого устройства. Например, если имеется три DNS-сервера, один в Сан-Франциско, другой в Лос-Анджелесе, а третий в Чикаго, можно остановиться на конвенции именования назначение-расположение-номер:
DNS-SF-01. Это имя DNS-сервера в Сан-Франциско. Если там появятся дополнительные DNS-серверы, им будут присваиваться имена DNS-SF-02 и DNS-SF-03;
DNS-LA-01. Это имя DNS-сервера в Лос-Анджелесе;
DNS-CH-01. Это имя DNS-сервера в Чикаго.
Выберите какую-либо конвенцию именования перед установкой основы сети, описываемой в этом руководстве.
Выбор статических IP-адресов
Перед выдачей каждому компьютеру статического IP-адреса нужно определить используемые подсети и диапазоны IP-адресов. Кроме того, нужно определить IP-адреса DNS- и WINS-серверов. Если планируется использовать маршрутизатор, предоставляющий доступ в другие сети, например соседние подсети или Интернет, то для настройки статических IP-адресов нужно знать IP-адрес этого маршрутизатора, также называемого шлюзом по умолчанию.
В следующей таблице приведен пример значений статической настройки IP-адреса.
Настраиваемый элемент:
|
Пример значения:
|
IP-адрес
|
192.168.0.3
|
Маска подсети
|
255.255.255.0
|
Шлюз по умолчанию
|
192.168.0.10
|
Предпочитаемый DNS-сервер
|
192.168.0.1
|
Альтернативный DNS-сервер
|
192.168.0.7
|
Предпочитаемый WINS-сервер
|
192.168.0.2
|
Альтернативный WINS-сервер
|
192.168.0.8
|
Подробнее см. Планирование развертывания DHCP-01.
Планирование развертывания AD-DNS-01
Далее приведены ключевые шаги планирования, необходимого перед установкой доменных служб Active Directory (AD DS) и службы DNS на компьютер AD-DNS-01.
Выбор имени корневого домена леса
Первый шаг в построении AD DS — определение того, сколько лесов требуется предприятию. Лес — контейнер AD DS верхнего уровня. В него входит один или несколько доменов с общей схемой и глобальным каталогом. На предприятии может иметься несколько лесов, но для большинства единственный лес окажется наилучшим выбором с точки зрения архитектуры и простоты управления.
При создании первого на предприятии контролера домена также создается первый домен (называемый корневым доменом леса) и первый лес. Перед выполнением этого шага нужно определить наиболее подходящее имя домена. В большинстве случаев для этого используется называние самой организации, и во многих случаях такое доменное уже зарегистрировано. Если планируется развертывать веб-службы для клиентов или партнеров, выберите доменное имя и убедитесь, что оно пока не занято.
Выбор режима работы леса
При установке служб AD DS нужно выбрать режим работы леса. Функциональные возможности домена и леса, впервые появившиеся в Windows Server 2003 Active Directory, позволяют задействовать компоненты Active Directory, затрагивающие весь домен или лес. В зависимости от текущей среды можно выбрать подходящие режимы работы домена и леса.
Режим работы леса отвечает за включение возможностей во всех доменах этого леса. Доступны следующие режимы работы леса:
Windows 2000. В этом режиме в качестве контроллеров домена поддерживаются Windows NT 4.0, Windows 2000 и Windows Server 2003;
Windows Server 2003. В качестве контроллера домена может выступать только Windows Server 2003;
Windows Server 2008. В качестве контроллера домена может выступать только Windows Server 2008.
При развертывании нового домена в новом лесу, когда все контроллеры домена будут работать под управлением Windows Server 2008, рекомендуется во время установки AD DS задать режим работы леса «Windows Server 2008».
Внимание!
После повышения режима работы леса контроллеры домена, работающие под управлением более ранних операционных систем, не смогут быть присоединены к лесу. Например, при повышении режима работы до «Windows Server 2008» контроллеры домена на основе Windows 2000 Server или Windows Server 2003 добавить в лес будет нельзя.
Примерная конфигурация AD DS приведена в следующей таблице.
Настраиваемый элемент:
|
Пример значения:
|
Полное имя DNS
|
Примеры:
example.com
corp.example.com
|
Режим работы леса.
Windows 2000
Режим работы леса «Windows 2000» дает доступ ко всем возможностям AD DS, имеющимся в Windows 2000 Server. Если имеются контроллеры домена, работающие под управлением более поздних версий ОС Windows Server, некоторые расширенные возможности этих контроллеров не будут доступны, пока режим работы не будет изменен.
Windows Server 2003
В режиме работы леса «Windows Server 2003» доступны все возможности режима «Windows 2000», а также ряд дополнительных:
репликация по связанному значению, улучшающая репликацию изменения членства в группах;
более эффективное создание сложных топологий репликации с помощью KCC;
доверительные отношения между лесами, упрощающие совместное использование организациями внутренних ресурсов в нескольких лесах. Все новые домены, созданные в таком лесу, будут автоматически функционировать в режиме работы домена «Windows Server 2003».
Windows Server 2008
Этот режим работы леса не дает новых возможностей по сравнению с режимом «Windows 2003». Он, однако, обеспечивает то, что все новые домены, создаваемые в таком лесу, будут автоматически функционировать в режиме работы домена «Windows Server 2008», который и предоставляет уникальные возможности.
|
Windows Server 2003
Windows Server 2008
|
Расположение папки базы данных доменных служб Active Directory
|
E:\Configuration\
Или значение по умолчанию.
|
Расположение папки файлов журналов доменных служб Active Directory
|
E:\Configuration\
Или значение по умолчанию.
|
Расположение папки SYSVOL доменных служб Active Directory
|
E:\Configuration\
Или значение по умолчанию.
|
Административный пароль режима восстановления каталога
|
J*p2leO4$F
|
Имя файла ответов (необязательно)
|
AD DS_AnswerFile
|
Планирование зон DNS
Зона прямого просмотра создается в DNS по умолчанию во время установки. Она позволяет компьютерам и другим устройствам запрашивать IP-адреса других компьютеров или устройств, зная их имя DNS. В дополнение к зоне прямого просмотра рекомендуется создать зону обратного. Тогда один компьютер или устройство сможет узнавать имя другого компьютера или устройства, зная его IP-адрес. Развертывание зоны обратного просмотра обычно улучшает производительность DNS и существенно повышает успешность DNS-запросов.
При создании такой зоны на DNS-сервер устанавливается домен in-addr.arpa, определенный стандартами DNS и зарезервированный в пространстве имен DNS Интернета с целью обеспечения практичного и надежного способа выполнять обратные запросы. Для создания обратного пространства имен в домене in-addr.arpa формируются поддомены с использованием обратного порядка чисел в десятичной нотации записи IP-адресов.
Домен in-addr.arpa автоматически распространяется на все сети TCP/IP, основанные на системе адресации протокола IPv4. Мастер создания новой зоны изначально предполагает, что для создания зоны обратного просмотра используется этот домен.
При запуске этого мастера рекомендуется указать следующие значения:
Настраиваемый элемент:
|
Пример значения:
|
Тип зоны
|
Primary zone (первичная зона), и установлен флажок Store the zone in Active Directory (хранить зону в Active Directory)
|
Область репликации зон Active Directory
|
To all DNS servers in this domain (на все DNS-серверы в этом домене)
|
Первая страница мастера, запрашивающая имя зоны обратного просмотра
|
IPv4 Reverse Lookup Zone
|
Вторая страница мастера, запрашивающая имя зоны обратного просмотра
|
Network ID = 192.168.0.
|
Динамическое обновление
|
Allow only secure dynamic updates (разрешить только безопасные динамические обновления)
|
Планирование доступа к домену
Для входа в домен компьютер должен являться его участником, а учетная запись пользователя должна быть создана в AD DS.
Примечание
Нельзя войти в домен с учетной записью, хранящейся в базе данных учетных записей диспетчера SAM локального компьютера.
После первого успешного входа с доменными учетными данными настройки входа сохраняются, пока компьютер не будет исключен из домена или пока эти настройки не будут изменены вручную.
Перед входом в домен нужно:
создать учетные записи пользователей в AD DS. У каждого пользователя должна быть учетная запись в «Пользователи и компьютеры Active Directory». Подробнее см. Создание учетной записи пользователя в «Пользователи и компьютеры Active Directory»;
убедиться в правильности настроек IP-адресов. Для присоединения к домену компьютер должен обладать IP-адресом. В этом руководстве серверам назначаются статические IP-адреса, а клиентские компьютеры получают их в аренду от DHCP-сервера. Поэтому развернуть DHCP-сервер нужно до присоединения клиентских компьютеров к домену. Подробнее см. Установка DHCP;
присоединить компьютер к домену. Любой компьютер, предоставляющий или потребляющий сетевые ресурсы, должен являться участником домена. Подробнее см. Присоединение компьютера к домену.
Планирование развертывания WINS-01
Определившись с необходимостью развертывания WINS-сервера наряду с DNS-сервером, нужно решить, сколько должно быть WINS-серверов.
В небольших сетях единственный WINS-сервер может хорошо справляться с обслуживанием запросов на разрешение имен NetBIOS от 10 000 клиентов. Для обеспечения дополнительной отказоустойчивости для клиентов можно настроить второй компьютер под управлением Windows Server® 2008 в качестве вторичного, или резервного, WINS-сервера. При использовании только двух WINS-серверов очень просто настроить их в качестве партнеров репликации. Для этого один нужно сделать опрашивающим партнером, а другой — извещающим. Репликация может быть ручной или автоматической.
В больших сетях часто требуется больше WINS-серверов. Это происходит по ряду причин, включая, прежде всего, количество клиентских подключений на сервер. Количество пользователей, которое каждый WINS-сервер в состоянии поддерживать, зависит от характера его использования, хранилища данных и вычислительных возможностей компьютера, где он установлен.
При планировании серверов следует исходить из того, что каждый WINS-сервер может одновременно обрабатывать сотни регистраций и запросов в секунду.
Планирование развертывания DHCP-01
Ниже приведены ключевые шаги, предшествующие установке роли DHCP-сервера на компьютер DHCP-01.
Планирование DHCP-серверов и переадресации DHCP
Поскольку сообщения DHCP являются широковещательными, маршрутизаторы не переадресовывают их между подсетями. Если имеется несколько подсетей, и для каждой требуется служба DHCP, нужно сделать одно из двух:
установить DHCP-сервер в каждой подсети;
настроить маршрутизаторы на переадресацию широковещательных сообщений DHCP по подсетям и создать несколько областей на DHCP-сервере, по одной на подсеть.
В большинстве случаев настройка маршрутизаторов оказывается более рентабельной, чем развертывание отдельного DHCP-сервера в каждом физическом сегменте сети.
Выбор диапазонов IP-адресов
У каждой подсети должен быть собственный уникальный диапазон IP-адресов. Эти диапазоны представлены областями DHCP-сервера.
Область — это сгруппированная из административных соображений совокупность IP-адресов, выдаваемых тем компьютерам подсети, которые полагаются на службу DHCP. Сначала администратор создает область для каждой физической подсети, а затем задает в них параметры, передаваемые клиентам.
Область обладает следующими параметрами.
Диапазон IP-адресов, которые включаются или исключаются из набора адресов, выдаваемых службой DHCP в аренду.
Маска подсети, определяющая подсеть по заданному IP-адресу.
Имя области, присваиваемое при ее создании.
Длительность аренды, распространяющаяся на клиентов, получающих динамически размещаемые IP-адреса.
Любые другие параметры, настроенные для передачи клиентам DHCP, например IP-адрес DNS-сервера, IP-адрес маршрутизатора или шлюза по умолчанию и IP-адрес WINS-сервера.
Возможно также включить резервирование, чтобы клиенты DHCP всегда получали один и тот же IP-адрес.
Перед развертыванием серверов определите подсети и их диапазоны IP-адресов.
Выбор масок подсети
Идентификаторы сети и узла, содержащиеся в IP-адресе, определяются при помощи маски подсети. Маска — это 32-разрядное число, в котором последовательная группа бит, равных 1, указывает на идентификатор сети в IP-адресе, а последовательная группа нулей — на идентификатор узла.
Например, маска, обычно используемая с IP-адресом 131.107.16.200, выглядит так:
11111111 11111111 00000000 00000000
Это 16 бит, равных 1, а затем 16 бит, равных 0. Поэтому идентификаторы сети и узла в этом IP-адресе имеют равную длину в 16 бит. Эта маска обычно записывается в десятичной нотации — 255.255.0.0.
В следующей таблице приведены маски подсетей классов адресов Интернета.
Класс адреса
|
Биты маски подсети
|
Маска подсети
|
Класс A
|
11111111 00000000 00000000 00000000
|
255.0.0.0
|
Класс B
|
11111111 11111111 00000000 00000000
|
255.255.0.0
|
Класс C
|
11111111 11111111 11111111 00000000
|
255.255.255.0
|
При создании области DHCP и указании диапазона IP-адресов эти маски по умолчанию будут автоматически предложены DHCP-сервером. Они подходят большинству сетей, где нет особых требований и где каждый сегмент адресов соответствует одной физической сети.
В некоторых случаях может быть нужно изменить маску подсети. При этом участок маски, соответствующий идентификатору узла, еще раз делится, чтобы определить подсети, являющиеся подразделениями исходных сетей, определяемых классами.
Изменив длину маски подсети, можно сократить количество бит, которые используются для указания идентификатора узла.
Во избежание проблем с адресацией и маршрутизацией следует убедиться, что все компьютеры сетевого сегмента, полагающиеся на TCP/IP, используют одну и ту же маску подсети, и что у каждого компьютера есть уникальный IP-адрес.
Выбор диапазонов исключения
Создав диапазон исключения в каждой области, можно исключить некоторые IP-адреса из списка выдаваемых DHCP-сервером. Диапазон исключения должен учитывать все устройства, использующие статические IP-адреса. В число исключаемых нужно поместить адреса, назначенные вручную другим серверам, клиентам, не использующим DHCP, бездисковым рабочим станциям и клиентам RAS и PPP.
Диапазон исключения рекомендуется указывать с запасом, учитывающим будущий рост сети. В следующей таблице приведен пример диапазона исключения для области IP-адресов от 192.168.0.1 до 192.168.0.254.
Настраиваемый элемент:
|
Пример значения:
|
Начальный IP-адрес диапазона исключения
|
192.168.0.1
|
Конечный IP-адрес диапазона исключения
|
192.168.0.15
|
Планирование статических параметров TCP/IP
Некоторым устройствам, например маршрутизаторам, DHCP-серверам и DNS-серверам, нужно назначать статические IP-адреса. Кроме того, могут иметься другие устройства, например принтеры, IP-адреса которых тоже желательно видеть постоянными. Составьте список устройств в каждой подсети, которым нужно задать статические параметры, а затем опишите диапазоны исключения, которые нужно создать на DHCP-серверах, чтобы те не выдавали в аренду статически закрепленные адреса. Диапазон исключения — это ограниченная последовательность IP-адресов в рамках области, исключаемая из предлагаемых DHCP-сервером. Благодаря диапазонам исключения можно гарантировать, что адреса, входящие в эти диапазоны, не будут выдаваться клиентам DHCP-сервером.
Например, если диапазон IP-адресов подсети — от 192.168.0.1 до 192.168.0.254, и при этом есть 10 устройств, которым будут назначены статические IP-адреса, можно создать для области 192.168.0.x диапазон исключения, включающий эти 10, или больше, адресов: от 192.168.0.1 до 192.168.0.15.
В этом примере десять исключенных IP-адресов будут распределены между серверами и другими устройствами, а пять оставшихся останутся свободными, пока не появятся новые устройства, которым их можно будет статически назначить. У DHCP-сервера остается пул адресов от 192.168.0.16 до 192.168.0.254.
Дополнительные примеры настройки AD DS и DNS приведены в следующей таблице.
Настраиваемый элемент:
|
Пример значения:
|
Привязка сетевого подключения
|
Local Area Connection 2
|
DNS-сервер
|
AD-DNS-01
|
IP-адрес предпочитаемого DNS-сервера
|
192.168.0.1
|
IP-адрес альтернативного DNS-сервера
|
192.168.0.6
|
Настройки WINS-сервера. Указывается IP-адрес предпочитаемого WINS-сервера, если он есть в сети.
|
192.168.0.2
|
IP-адрес альтернативного WINS-сервера
Примечание
Указывать этот адрес нужно, только если альтернативный WINS-сервер присутствует в сети.
|
192.168.0.12
|
Значения для диалогового окна добавления области:
Имя области:
Начальный IP-адрес
Конечный IP-адрес:
Маска подсети
Шлюз по умолчанию (необязательно)
Тип подсети
|
Primary Subnet
192.168.0.1
192.168.0.254
255.255.255.0
192.168.0.11
проводная (длительность аренды 6 дней)
|
Режим работы DHCP-сервера IPv6
|
Выключен
|
Планирование развертывания NPS-01
Если после развертывания основы сети планируется развертывание серверов доступа в сеть, например точек беспроводного доступа или VPN-серверов, рекомендуется также развернуть NPS-сервер.
При использовании в качестве RADIUS-сервера он будет выполнять проверку подлинности и авторизацию запросов на подключение, проходящих через сервера доступа в сеть. С его помощью можно централизованно настраивать и управлять сетевыми политиками, определяющими, кому, как и когда разрешен доступ в сеть.
Вот ключевые шаги по планированию, предшествующему установке NPS-сервера.
Спланировать базу данных учетных записей пользователей. Если присоединить NPS-сервер к домену Active Directory, он по умолчанию будет проводить проверку подлинности и авторизацию на основе базы данных учетных записей пользователей AD DS. В некоторых случаях, например в больших сетях, использующих NPS-сервер как RADIUS-прокси для переадресации запросов на подключение к другим RADIUS-серверам, может быть нужно установить NPS-сервер на компьютере, не входящем в домен.
Спланировать использование NAP. С учетом некоторых ограничений, вводимых NAP, будет нужно установить NPS-сервер на конкретном сервере. Например, если развертываются NAP-сервер и DHCP-сервер, NPS-сервер должен быть установлен на компьютере, где установлен DHCP-сервер.
Спланировать обработку учетных данных RADIUS-сервера. NPS-сервер позволяет журналировать эти данные в базу данных SQL Server или текстовый файл на локальном компьютере. Если нужно использовать журналирование на основе SQL Server, следует спланировать установку и настройку сервера, где будет работать экземпляр SQL Server.
|
