zabika.ru 1
Лабораторная работа № 2.

Основы администрирования домена Windows.

Установка служб Active Directory и DNS.
Цели работы:


  • Научиться устанавливать контроллер домена;

  • научиться добавлять компьютер к домену;

  • научиться устанавливать и конфигурировать службу каталогов.


Ход работы
Перед началом работы до запуска виртуальных машин, сделайте настройки, указывающие, что виртуальная машина будет использовать физический сетевой адаптер. В консоли управления Virtual PC 2007 в свойствах виртуальной машины Networking и выберите для использования один из сетевых адаптеров физического компьютера.

Для того, чтобы использовать установленную операционную систему Windows Server 2003 для выполнения некоторой серверной функции надо установить роль (role). Роль включает одну или несколько служб (role services), необходимых для выполнения определенной функции. Например, File Services (файловые службы) или Web-server (IIS). Когда роль объединяет несколько служб, то могут устанавливаться или все сразу, или отдельные службы. Дополнительная функциональность может быть получена путем установки программных модулей, называемых компонентами (feature). Пример компоненты – это SMTP Server. Роли и компоненты могут быть как независимыми, так и взаимосвязанными.

Добавить или удалить роли и компоненты можно с помощью оснастки Пуск - Администрирование - Управление данные сервером (рис.2.1).


Рис.2.1. Оснастка «Управление данным сервером».
Одна из задач текущей лабораторной работы – сделать наш сервер контроллером домена Windows. Для этого понадобится установить роль Контроллер домена (Active Directiry) и выполнить настройку параметров домена.

Рис.2.2. Выбор мастера.

Домен Windows логически объединяет несколько компьютеров для того, чтобы можно было их централизованно администрировать. Примером административной задачи может быть создание такой учетной записи, чтобы пользователь мог входить под ней на любой компьютер своего подразделения организации. В этом случае, чтобы такую запись завести только один раз (а не на каждом компьютере), нужно вести единую базу данных с информацией о пользователях и компьютерах. Подобная база называется каталогом, а разработанная Microsoft служба каталога – Active Directory. Серверы, на которых работает служба и которые, в частности, выполняют проверку пользователей с доменными учетными записями, называются контроллерами домена.


Рис.2.3. Установка контроллера домена.
Информация об объектах сети хранится в каталоге. Для этого сначала создаются определения объектов, которые помещаются в служебную структуру, называемую схема каталога. При создании объект нового типа, нужно сначала поместить в схему его определение. Совокупность доменов, использующих единую схему каталога и общую конфигурацию, называют лесом доменов (forest).

В окнах мастера, представленных на рис. 2.3 и рис.2.4, показано, что создается новый домен, т.е. конфигурируется первый контроллер первого (корневого) домена в локальной сети.


Рис.2.4. Выбор типа домена.
В следующем окне мастера запрашивается имя домена (рис.2.5). Для наших лабораторных будем использовать имя POKS.test.


Рис.2.5. Выбор имени домена.
Укажите NetBIOS-имя домена (рис.2.6).

Убедитесь, что для размещения базы данных и протокола выбран путь C:\WINDOWS\NTDS, а для размещения каталога SYSVOL указан путь C:\WINDOWS\SYSVOL .


Далее, так как в нашей виртуальной сети пока нет DNS сервера, мастер предложит установить DNS-сервер (рис.2.8). Служба DNS используется для разрешения доменных имен компьютеров в IP-адреса. В домене Windows клиентские компьютеры с помощью DNS получают информацию о контроллерах домена, поэтому хотя бы один DNS сервер необходим.

Служба доменных имен — это главный метод разрешения имен в Windows Server. При использовании DNS необходимо развертывание роли сервера доменных служб Active Directory.


Рис.2.6. Выбор NetBIOS-имени домена.


Рис.2.7. Установка DNS сервера
Следующее окно позволяет выбрать функциональный уровень домена. Выберем уровень разрешений, совместимый с Windows Server 2000 или Windows Server 2003 (рис.2.9).


Рис. 2.8. Диагностика регистрации DNS.


Рис.2.9. Выбор разрешений по умолчанию.
Проверьте в Сводке правильность выбранных установок и дождитесь окончания установки Active Directory.
Как частный случай, DNS может хранить и обрабатывать и обратные запросы, определения имени хоста по его IP адресу — IP адрес по таблице соответствия преобразуется в доменное имя, и посылается запрос на информацию типа PTR.

Для этого используются уже имеющиеся средства DNS. Дело в том, что с записью DNS могут быть сопоставлены различные данные, в том числе и какое-либо символьное имя. Существует специальный домен in-addr.arpa, записи в котором используются для преобразования IP-адресов в символьные имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно запросить у DNS-сервера запись 44.33.22.11.in-addr.arpa, и тот вернет соответствующее символьное имя. Обратный порядок записи частей IP-адреса объясняется тем, что в IP-адресах старшие октеты расположены в начале, а в символьных DNS-именах старшие (находящиеся ближе к корню) части расположены в конце.


При запросе осуществляется считывание записи PTR, содержащей искомое доменное имя. Если запись отсутствует, то IP-адрес считается не имеющим обратного DNS. DNS-запись in-addr.arpa выглядит так:

78.56.34.12.in-addr.arpa. IN PTR domain.ltd.

Это будет означать, что имени хоста domain.ltd соответствует IP-адрес 12.34.56.78.

Объекты в иерархии DNS идентифицируются c помощью записей ресурсов (Resource Record). Они используются для выполнения основных операций поиска пользователей и ресурсов внутри указанного домена и уникальны для содержащего их домена. Различаютследующие типы записей.

1. Начальная запись зоны SOA (Start of Authority). Указывает, на каком сервере хранится эталонная информация о данном домене, содержит контактную информацию лица, ответственного за данную зону, тайминги кеширования зонной информации и взаимодействия DNS-серверов.

2. Записи хостов (записи А, Address Record). Наиболее часто встречающийся тип записей ресурсов. Содержит имя хоста и соответствующий ему IP-адрес.

3. Записи сервера имен (Name Server – NS). Указывают, какие компьютеры в базе данных DNS являются серверами имен – то есть DNS-серверами для конкретной зоны. Для каждой зоны может существовать только одна запись типа SOA, но может быть несколько NS – записей.

4. Запись AAAA (IPv6 address record) связывает имя хоста с адресом протокола IPv6.

5. Запись CNAME (canonical name record) или каноническая запись имени позволяет присваивать хосту мнемонические имена. Мнемонические имена, или псевдонимы, широко применяются для связывания с хостом какой-либо функции, либо просто для сокращения имени.

6. Запись MX (mail exchange) определяет почтовый сервер - машину, которая обрабатывает почту для данного домена.

7. Запись SRV (server selection) используется для поиска серверов, обеспечивающих работу тех или иных служб в данном домене.


8. Запись PTR (pointer) или запись указателя связывает IP хоста с его каноническим именем.

Зона логический узел в дереве имён. Различают следующие типы зон в DNS.

Зона прямого просмотра (forward lookup zone) создается в DNS по умолчанию во время установки. Она необходима для преобразования доменного имени в IP-адрес и информацию о ресурсах. Большинство записей в прямой зоне типа A.

Зона обратного просмотра (reverse lookup zone) реализует обратный DNS-запрос. Развертывание зоны обратного просмотра обычно улучшает производительность DNS и существенно повышает успешность DNS-запросов. Зона обратного просмотра состоит почти целиком из записей типа PTR (Pointer).

Первичная зона (Primary zone). В DNS (без интегрированной Active Directory) один сервер служит первичным DNS – сервером зоны, и все изменения, выполняемые в данной зоне, выполняются на этом конкретном сервере. Один DNS-сервер может содержать несколько зон, будучи первичным для одной зоны и вторичным для другой. Однако, если зона является первичной, все запрошенные изменения для данной зоны должны выполняться на сервере, содержащим основную копию зоны.

Вторичная зона (Secondary zone) создается для обеспечения резервирования и разгрузки первичной зоны. Однако каждая копия базы данных DNS доступна только для чтения, т.к. все модификации записей выполняются в первичной зоне. Один DNS-сервер может содержать несколько первичных и вторичных зон.

Зона-заглушки (Stub zone) представляет собой зону, которая не содержит никакой информации о членах домена, а служит только для переадресации запросов к списку назначенных серверов имен для различных доменов. Поэтому она содержит только записи NS, SOA и связанные записи (glue records – записи А, которые используются в сочетании с конкретной записью NS для преобразования IP-адреса конкретного сервера имен). Сервер, содержащий зону-заглушку какого-либо пространства имен, не управляет зоной. Она используется для ускорения работы.

Самостоятельные задания
Задание 1. Создайте зону прямого просмотра POKS.test.


  1. Откройте оснастку DNS.

  2. Разверните узел DNS, далее разверните узел <Имя компьютера>.

  3. Для создания нового домена щелкните правой кнопкой по Зоны прямого просмотра и выберите пункт Новая зона.

  4. В окне Тип зоны укажите Основная зона и нажмите Next.

  5. В окне Имя зоны укажите имя зоны – zona1.test и нажмите Next.

  6. В окне Область репликации зоны выберите переключатель На все DNS-серверы в лесу POKS.test Active Directory и имя зоны zona1.test.

  7. Для добавления нового узла (хоста) в созданную зону, щелкните правой кнопкой по узлу zona1.test и выберите Новый хост. В поле Имя введите имя узла – Aserver. Поле IP Address установите равным IP-адресу вашего компьютера. Нажмите Добавить узел.

  8. Убедитесь, что в Зоны прямого просмотра появился новый узел zona1.test и сгенерированы записи Начальная запись зоны (SOA), Сервер имен (NS) и Узел (A) ( рис.2.10).




Рис.2.10. Установка зоны прямого просмотра.
Задание 2. Протестируйте работу службы DNS.

  1. Запустите виртуальную машину с Windows XP. Выполните в ней команду:

ping Aserver.zona1.test

  1. Убедитесь, что такой узел был найден, и отображается его IP-адрес. Если ping не проходит, нужно исправить настройки.

  2. Для преобразования IP-адреса в доменное имя выполните утилиту nslookup с параметром, равным IP-адресу виртуальной машины. Объясните, почему появилась ошибка.

Задание 3. Создайте зону обратного просмотра (для преобразования IP-адреса в доменное имя).


  1. На виртуальной машине с Windows Server 2003 в узле Зоны обратного просмотра щелкните правой кнопкой мыши и выберите Мастер создания новой зоны.

  2. В окне Тип зоны укажите Основная зона и нажмите Next.

  3. Убедитесь, что выбран переключатель Номер сети. В поле под ним введите адрес вашей сети (например, 192.168.0). Поле Имя зоны обратного просмотра внизу окна должно выглядеть так: 0.168.192.in-addr.arpa.

  4. Завершите работу мастера, оставив все настройки по умолчанию.

  5. Щелкните правой кнопкой мыши по новому узлу в Зоны обратного просмотра (например, 192.168.0.х Subnet) и выберите Новый указатель. Последнее число установите равным последнему числу в IP-адресе. В поле Имя узла запишите полное имя узла, например Aserver.zona1.test.


Задание 4. Создайте псевдоним для узла Aserver.zona1.test.

Щелкните правой кнопкой мыши по узлу zona1.test и выберите Новый псевдоним. В поле Псевдоним укажите псевдоним узла (например, MyServer1). В поле Полное доменное имя увидите полное имя MyServer1.zona1.test
Задание 5. Протестируйте работу службы DNS.

Используйте утилиты ping, nslookup.

В дереве консоли откройте свойства DNS-узла через команду контекстного меню Свойства. Перейдите на вкладку Наблюдение.

В группе Выберите тип теста пометьте флажки Простой запрос к этому DNS-серверу и Рекурсивный запрос к другим DNS-серверам. Щелкните кнопку Тест.

В списке Результаты теста против обеих записей вы увидите ПРОЙДЕН. Если вы работаете на автономном сервере, напротив Рекурсивный запрос вы увидите FAIL (ошибка).

Задание 6. Включите рабочую станцию в домен и сконфигурируйте клиента для использования службы DNS.


  1. На виртуальной машине с Windows XP откройте в диалоговом окне Сетевые подключения свойства TCP/IP. Настройте систему для автоматического получения адреса DNS и вручную укажите IP-адрес виртуальной машины с Windows Server 2003.

  2. Выполните команду:

ping Aserver.zona1.test
Задание 7. Включить рабочую станцию xp в домен POKS.test

  1. Для присоединения компьютера к домену на рабочей станции следует открыть окно Пуск – Мой компьютер – Свойства системы. Перейдите на вкладку Имя компьютера. Выберите Идентификация. Откроется мастер сетевой идентификации. Нажмите Next.

  2. На вкладке Подключение к сети выберите Компьютер входит в корпоративную сеть, и во время работы я использую его для соединения с другими компьютерамиМоя организация использует сеть с доменами.

  3. В окне Сетевая информация изучите, какие сетевые параметры понадобятся. В окне Сведения об учетной записи и домене оставьте все без изменения. Нажмите Next.

  4. В окне Домен компьютера)запишите имя домена и узла – Имя компьютераxp, а Домен компьютераPOKS. Нажмите Next.

  5. Появится окно, в котором нужно ввести имя и пароль учетной записи, которая имеет разрешение на добавление пользователей в домен. Например, в нашем случае это будут:

  • Имя пользователяАдминистратор

  • Пароль – пустой (или текущий пароль администратора)

  • ДоменPOKS.test

  1. В окне Учетные записи пользователей будет предложено добавить новых пользователей. Выберите переключатель Не добавлять пользователей сейчас. Нажмите Готово и перезагрузите компьютер.
  2. Проверьте на виртуальной машине с Windows Server 2003 в оснастке Active Directory – пользователи и компьютеры принадлежность рабочей станции к домену.



Задание 8. Удалите рабочую станцию из домена.

  1. На рабочей станции войдите под учетной записью администратора. Вызовите Пуск – Мой компьютер – Свойства системы Имя компьютераИдентификация

  2. На вкладке Подключение к сети выберите Компьютер предназначен для домашнего использования и не входит в корпоративную сеть. Предложите другой способ исключения рабочей станции из домена и реализуйте.




    • Для всех заданий поместите в отчете скриншоты, отражающие правильность выполнения заданий.