■ ■■•CERBEP на
Windows
"Linux
Windows Server - вы узнаете об управлении сервером; мониторинге процессов, сервисов
и событий; автоматизации административных задач; основах безопасности; управлении
учетными записями пользователя и группы, как управлять сетью TCP/IP и использовать
сервисы DNS и DHCP. Также подробно рассмотрим Active Directory - разворачивание, основы
администрирования, доменные службы Active Directory.
Linux-сервер для локальной сети - вы узнаете об управлении процессами и загрузкой ОС;
маршрутизации и настройке брандмауэра; доменной системе имен; как использовать
удаленный вход в систему по SSH. Отдельно будет рассказано про файловый сервер FTP
и DHCP-сервер, приведены примеры использования сервера.
Виртуальные сервера на Windows и Linux - рассмотрим вопросы преобразования
виртуальных машин из одного формата в другой; какой гипервизор выбрать; рассмотрим
виртуальный сервер на базе коммерческого решения - VMWare, а также бесплатного
гипервизора - KVM.
издательство
НАУКА и ТЕХНИКА
Матее*» М. Д.
Справочник
Линуксоида
рекомендует
Матвеев м д.
Справочник
Сисадмина
Администрирование и виртуализация
Все «что нужно «под рукой
«Издательство Наука и Техника» г. Санкт-Петербург
Для заказа книг: т. (812) 412-70-26
E-mail: nitmail@nit.com.ru
Сайт: nit.com.ru
ХШдотёльствоЗрг
иНиТ
г- Windows Server—управление, основы безопасности, Active Directory, сеть и сервисы
г- Linux-сервер — процессы, пользователи и группы, маршрутизация, удаленка по SSH
Файловый сервер FTP и DHCP-сервер, доменная система имен
г- Виртуальные сервера на VMware и KVM
^НиТ
nit.com.ru
nit.com.ru
Левицкий Н. Д., Завьялов А. В.
СЕРВЕР
НА
WINDOWS и LINUX
Администрирование и
виртуализация
^НиТ
\йздатёльствс£1^
’’Издательство Наука и Техника”
Санкт-Петербург
УДК 004.42
ББК 32.973
Левицкий Н. Д., Завьялов А. В.
Сервер на Windows и Linux. Администрирование и виртуализация — СПб.:
Издательство Наука и Техника, 2023. — 544 с., ил.
ISBN 978-5-907592-26-1
В этой книге вы сможете найти полезную информацию по администрированию и
использованию серверов на Windows и Linux, причем как физических (локальных),
так и виртуальных. Вы узнаете об отличиях, недостатках и преимуществах физиче
ского и виртуального сервера - вполне возможно, что это поможет вам определиться
с типом сервера для своих личных задач.
В первой части книги будет рассмотрен Windows Server - вы узнаете об управлении
сервером; мониторинге процессов, сервисов и событий; автоматизации администра
тивных задач; основах безопасности; управлении учетными записями пользователя
и группы, как управлять сетью TCP/IP и использовать сервисы DNS и DHCP. Также
подробно рассмотрим Active Directory - разворачивание, основы администрирова
ния, доменные службы Active Directory.
Во второй части книги будет рассмотрен Linux-сервер для локальной сети - вы
узнаете об управлении процессами и загрузкой ОС; маршрутизации и настройке
брандмауэра; доменной системе имен; как использовать удаленный вход в систему
по SSH. Отдельно будет рассказано про файловый сервер FTP и DHCP-сервер, при
ведены примеры использования сервера.
Заключительная часть книги посвящена виртуальным серверам на Windows и Linux
- рассмотрим вопросы преобразования виртуальных машин из одного формата в
другой; какой гипервизор выбрать (на случай, если вы предпочитаете строить
инфраструктуру виртуализации самостоятельно), рассмотрим виртуальный сервер
на базе коммерческого решения - VMWare, а также бесплатного гипервизора - KVM.
Книга будет полезна как системным администраторам различного уровня, так и
обычным пользователям, заинтересованным в изучении серверов и сетевых техно
логий.
Все права защищены. Никакая часть данной книги не может быть воспроизведена в какой бы то ни было форме без письменного разрешения владельцев
авторских прав.
Издательство не несет ответственности за возможный ущерб, причиненный в ходе использования материалов данной книги, а также за доступность
материалов, ссылки на которые вы можете найти в этой книге.На момент подготовки книги к изданию все ссылки на интернет-ресурсы были действую
щими. Информация, содержащаяся в данной книге, получена из источников, рассматриваемых издательством как надежные. Тем не менее, имея в виду
возможные человеческие или технические ошибки, издательство не может гарантировать абсолютную точность и полноту приводимых сведений и не
несет ответственности за возможные ошибки, связанные с использованием книги.
ISBN 978-5-907592-26-1
Контактные телефоны издательства:
(812)412 70 26
Официальный сайт: www.nit.com.ru
Содержание
ВВЕДЕНИЕ В ВИРТУАЛЬНЫЕ СЕРВЕРЫ.................................. 13
В.1. ВИРТУАЛЬНЫЕ СЕРВЕРЫ.......................................................................................... 15
В. 1.1. Преимущества и недостатки......................................................................15
В. 1.2. Стоимость виртуального сервера...............................................................17
В. 1.3. Какие серверы можно виртуализировать?............................................. 19
В. 1.4. Преимущества собственной виртуальной инфраструктуры............ 20
В.2. ВЫБОР ГИПЕРВИЗОРА.................................................................................................20
В.2.1. Типы гипервизоров....................................................................................... 21
В.2.2. Hyper-V или VMware?.................................................................................. 21
В.2.3. KVM.................................................................................................................. 26
В.2.4. Что выбрать?.................................................................................................... 27
В.З. ВИРТУАЛЬНЫЙ СЕРВЕР: СОДЕРЖАНИЕ............................................................ 28
В.3.1. Сколько стоит физический сервер............................................................. 28
В.3.2. Стоимость содержания физического сервера........................................32
В.3.3. Варианты снижения стоимости владения................................................33
В.3.4. Что лучше? Муки выбора.............................................................................34
ЧАСТЫ. WINDOWS SERVER...................................... 37
ГЛАВА 1. УПРАВЛЕНИЕ СЕРВЕРАМИ НА БАЗЕ WINDOWS
SERVER........................................................................... 37
1.1. ЗНАКОМСТВО С WINDOWS SERVER 2019............................................................. 38
1.2. КОНТРОЛЛЕРЫ ДОМЕНА, ОБЫЧНЫЕ СЕРВЕРЫ И СЛУЖБЫ ДОМЕНА ..40
1.2.1. Работа с Active Directory.............................................................................. 40
1.3. ИНСТРУМЕНТЫ УПРАВЛЕНИЯ WINDOWS SERVER........................................ 44
1.4. КОНСОЛЬ ’’ДИСПЕТЧЕР СЕРВЕРОВ”.................................................................... 45
1.5. РОЛИ СЕРВЕРОВ, СЛУЖБЫ РОЛЕЙ И КОМПОНЕНТЫ.................................. 46
1.6. УСТАНОВКА WINDOWS SERVER.............................................................................. 55
1.6.1. Системные требования.................................................................................. 55
1.6.2. Минимальный выпуск Essentials................................................................ 57
1.6.3. Выпуски Standard и Datacenter....................................................................58
1.6.4. Server Core......................................................................................................... 59
Сервер на Windows и Linux
1.6.5. Процесс установки Windows Server........................................................... 71
1.6.6. Дополнительные возможности при установке........................................ 76
Принудительное удаление раздела диска во время установки......... 76
Создание, форматирование, удаление и расширение разделов диска ..77
Загрузка драйверов устройств при установке......................................... 77
1.7. УПРАВЛЕНИЕ РОЛЯМИ, СЛУЖБАМИ РОЛЕЙ И КОМПОНЕНТАМИ....... 78
1.7.1. Обзор диспетчера серверов........................................................................... 78
1.7.2. Удаленное управление серверами............................................................... 83
1.8. ДОБАВЛЕНИЕ И УДАЛЕНИЕ РОЛЕЙ, РОЛЕВЫХ СЛУЖБ И КОМПОНЕНТОВ „ 85
ГЛАВА 2. МОНИТОРИНГ ПРОЦЕССОВ, СЕРВИСОВ
И
СОБЫТИЙ...................................................................... 91
2.1. УПРАВЛЕНИЕ ПРОЦЕССАМИ ИПРИЛОЖЕНИЯМИ.......................................... 92
2.1.1. Диспетчер задач............................................................................................... 93
Вкладка ’’Процессы”....................................................................................... 93
Вкладка ’’Подробности". Изменение приоритета процесса............... 97
Вкладка "Службы". Просмотр системных служб.................................102
Вкладка "Производительность"................................................................. 103
Вкладка "Пользователи"...............................................................................106
2.1.2. Управление службами.................................................................................. 108
Настройка входа в систему..........................................................................111
Реакция на сбой службы.............................................................................. 112
Отключение служб......................................................................................... 113
2.2. ПРОСМОТР И ПРОТОКОЛИРОВАНИЕ СОБЫТИЙ........................................... 114
2.2.1. Основные журналы........................................................................................ 114
2.2.2. Доступ к событиям в "Диспетчере серверов"....................................... 116
2.2.3. Средство "Просмотр событий"...................................................................117
Установка параметров журнала событий............................................... 121
Сохранение и очистка журналов............................................................... 122
ГЛАВА 3. АВТОМАТИЗАЦИЯ АДМИНИСТРАТИВНЫХ
ЗАДАЧ............................................................................................. 125
3.1. ГРУППОВАЯ ПОЛИТИКА............................................................................................ 126
3.1.1. Основные сведения о групповой политике............................................ 126
3.1.2. Порядок применения политики................................................................. 128
3.1.3. Редакторы групповой политики................................................................ 129
3.1.4. Управление локальной групповой политикой....................................... 130
Содержание
3.1.5. Управление политиками сайта, домена или ОЕ................................... 133
3.1.6. Административные шаблоны.................................................................... 138
3.1.7. Создание и связь объекта групповой политики................................... 140
3.1.8. Удаление ссылок и удаление GPO............................................................ 141
3.1.9. Обновление групповой политики............................................................. 142
3.1.10. Если политика не применяется. Мастер результатов групповой политики 145
3.2. УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ И КОМПЬЮТЕРАМИПОСРЕДСТВОМ
ГРУППОВОЙ ПОЛИТИКИ................................................................................ 146
3.2.1. Управление сценариями пользователя и компьютера........................ 147
3.2.2. Развертывание программного обеспечения через групповую политику... 150
Основы развертывания ПО....................................................................... 150
Развертывание программ в домене......................................................... 152
3.2.3. Настройка автоматических обновлений ОС......................................... 154
ГЛАВА 4. ОСНОВЫ БЕЗОПАСНОСТИ WINDOWS SERVER. 161
4.1. ШАБЛОНЫ БЕЗОПАСНОСТИ................................................................................... 162
4.1.1. Введение в шаблоны безопасности.......................................................... 162
4.1.2. Использование оснасток «Шаблоны безопасности» и «Анализ и
настройка безопасности».......................................................................................164
4.1.3. Изменение настроек для политик учетных записей, локальных
политик и журнала событий................................................................................. 166
4.1.4. Настройка групп с ограниченным доступом....................................... 168
4.1.5. Включение, отключение и настройка системных служб................. 170
4.1.6. Настройка параметров безопасности для реестра и файловой системы.... 171
4.1.7. Анализ, просмотр и применение шаблонов безопасности............. 173
4.2. ПОЛИТИКИ, НА КОТОРЫЕ СТОИТ ОБРАТИТЬ ВНИМАНИЕ............... .
176
4.2.1. Удаляем лишние команды из Проводника............................................. 176
4.2.2. Запрещаем доступ к командной строке и PowerShell......................... 178
4.2.3. Максимальное время работы пользователя........................................... 180
4.2.4. Отключение элементов панели управления.......................................... 181
4.3. НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНА С ПОМОЩЬЮ ГРУППОВЫХ
ПОЛИТИК............................................................................................ 181
ГЛАВА 5. РАЗВОРАЧИВАНИЕ ACTIVE DIRECTORY........... 185
5.1. ВВЕДЕНИЕ В ACTIVE DIRECTORY......................................................................... 186
5.2. КОНТРОЛЛЕР ДОМЕНА ТОЛЬКО ДЛЯ ЧТЕНИЯ (RODC).............................. 194
Содержание
3.1.5. Управление политиками сайта, домена или ОЕ................................... 133
3.1.6. Административные шаблоны.................................................................... 138
3.1.7. Создание и связь объекта групповой политики................................... 140
3.1.8. Удаление ссылок и удаление GPO............................................................ 141
3.1.9. Обновление групповой политики............................................................. 142
3.1.10. Если политика не применяется. Мастер результатов групповой политики 145
3.2. УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ И КОМПЬЮТЕРАМИ ПОСРЕДСТВОМ
ГРУППОВОЙ ПОЛИТИКИ.............................................................. 146
3.2.1. Управление сценариями пользователяи компьютера.......................... 147
3.2.2. Развертывание программного обеспечения через групповую политику... 150
Основы развертывания ПО....................................................................... 150
Развертывание программ в домене........................................................ 152
3.2.3. Настройка автоматических обновлений ОС......................................... 154
ГЛАВА 4. ОСНОВЫ БЕЗОПАСНОСТИ WINDOWS SERVER. 161
4.1. ШАБЛОНЫ БЕЗОПАСНОСТИ................................................................................... 162
4.1.1. Введение в шаблоны безопасности.......................................................... 162
4.1.2. Использование оснасток «Шаблоны безопасности» и «Анализ и
настройка безопасности».......................................................................................164
4.1.3. Изменение настроек для политик учетных записей, локальных
политик и журнала событий................................................................................. 166
4.1.4. Настройка групп с ограниченным доступом....................................... 168
4.1.5. Включение, отключение и настройка системных служб................. 170
4.1.6. Настройка параметров безопасности для реестра и файловой системы.... 171
4.1.7. Анализ, просмотр и применение шаблонов безопасности............. 173
4.2. ПОЛИТИКИ, НА КОТОРЫЕ СТОИТ ОБРАТИТЬ ВНИМАНИЕ............... .
176
4.2.1. Удаляем лишние команды из Проводника............................................. 176
4.2.2. Запрещаем доступ к командной строке и PowerShell......................... 178
4.2.3. Максимальное время работы пользователя........................................... 180
4.2.4. Отключение элементов панели управления.......................................... 181
4.3. НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНА С ПОМОЩЬЮ ГРУППОВЫХ
ПОЛИТИК............................................................................................ 181
ГЛАВА 5. РАЗВОРАЧИВАНИЕ ACTIVE DIRECTORY........... 185
5.1. ВВЕДЕНИЕ В ACTIVE DIRECTORY......................................................................... 186
5.2. КОНТРОЛЛЕР ДОМЕНА ТОЛЬКО ДЛЯ ЧТЕНИЯ (RODC).............................. 194
Сервер на Windows и Linux
5.3. КОМПОНЕНТЫ ACTIVE DIRECTORY.................................................................... 195
5.4. СТРУКТУРЫ ДОМЕНА................................................................................................. 197
5.4.1. Домены.............................................................................................................. 198
5.4.2. Лес и дерево домена..................................................................................... 200
5.4.3. Организационные единицы (подразделения)........................................ 202
5.4.4. Сайты и подсети............................................................................................. 203
5.5. СТРУКТУРА КАТАЛОГА............................................................................................... 205
5.5.1. Хранилище данных....................................................................................... 206
5.6. КОРЗИНА ACTIVE DIRECTORY................................................................................ 211
ГЛАВА 6. ОСНОВЫ АДМИНИСТРИРОВАНИЯ AD.............. 215
6.1. УТИЛИТЫ УПРАВЛЕНИЯ ACTIVE DIRECTORY................................................ 216
6.1.1. Оснастка ’’Пользователи” и компьютеры Active Directory............... 218
6.1.2. Центр администрирования Active Directory.......................................... 221
6.2. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ КОМПЬЮТЕРА............................. 223
6.2.1. Создание учетной записи компьютера.................................................... 223
6.3. УПРАВЛЕНИЕ КОНТРОЛЛЕРАМИ ДОМЕНА....................................................... 231
6.3.1. Понижение роли контроллера домена.....................................................231
6.3.2. Просмотр и передача ролей домена......................................................... 232
6.4. УПРАВЛЕНИЕ ОРГАНИЗАЦИОННЫМИ ЕДИНИЦАМИ.................................. 234
6.4.1. Создание организационных подразделений.......................................... 234
6.4.2. Просмотр и редактирование свойств организационных
подразделений............................................................................................................ 235
6.4.3. Переименование и удаление организационных подразделений .... 235
6.4.4. Перемещение организационных подразделений................................. 236
ГЛАВА 7. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬ
ЗОВАТЕЛЯ И ГРУППЫ........................
237
7.1. ТИПЫ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ................................................ 239
6
Содержание
7.2. ИМЯ ВХОДА И ИДЕНТИФИКАТОРЫ БЕЗОПАСНОСТИ......................
240
7.3. УЧЕТНЫЕ ЗАПИСИ ГРУПП....................................................................................... 241
7.3.1. Типы групп..................................................................................................... 242
7.3.2. Область действия группы.......................................................................... 242
7.3.3. Идентификаторы безопасности и учетные записи групп................ 243
7.4. УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП ПО УМОЛЧАНИЮ.... 244
7.4.1. Встроенные учетные записи пользователей........................................ 244
7.4.2. Учетная запись '’Администратор”............................................................245
7.4.3. Учетная запись "Гость”...............................................................................246
7.4.4. Неявные группы и специальные идентификаторы............................. 246
7.4.5. Группы, используемые администраторами........................................... 248
7.5. ВОЗМОЖНОСТИ УЧЕТНОЙ ЗАПИСИ................................................................... 250
7.5.1. Привилегии..................................................................................................... 251
7.5.2. Право входа.................................................................................................... 255
7.5.3. Встроенные возможности для групп в Active Directory.................... 257
7.6. ТРЕБОВАНИЯ К ИМЕНАМ ПОЛЬЗОВАТЕЛЕЙ И ПАРОЛЯМ....................... 258
7.6.1. Требования к имени учетных записей.................................................... 258
7.6.2. Использование безопасных паролей....................................................... 259
7.7. ПОЛИТИКИ УЧЕТНОЙ ЗАПИСИ............................................................................. 260
7.7.1. Установка политик учетных записей...................................................... 260
7.7.2. Настройка политики паролей................................................................... 262
Вести журнал паролей..........................................
263
Максимальный срок действия пароля.................................................... 263
Минимальный срок действия пароля..................................................... 264
Минимальная длина пароля....................................................................... 264
Пароль должен отвечать требованиям сложности.............................. 264
Хранить пароли, используя обратимое шифрование......................... 265
7.7.3. Политики блокировки учетной записи................................................... 265
Пороговое значение блокировки.............................................................. 266
Время до сброса счетчика блокировки...................................................267
7.7.4. Политики Kerberos....................................................................................... 268
Максимальная погрешность синхронизации часов компьютера .. 269
7.8. НАСТРОЙКА ГЛОБАЛЬНЫХ ПРАВ ПОЛЬЗОВАТЕЛЯ..................................... 270
7
Сервер на Windows и Linux
7.9. СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ............................................ 271
7.10. СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ГРУППЫ..........................................................275
7.11. УПРАВЛЕНИЕ ЧЛЕНСТВОМ В ГРУППЕ..............................................................277
ГЛАВА 8. УПРАВЛЕНИЕ СЕТЬЮ TCP/IP................................... 279
8.1. ВКЛЮЧЕНИЕ СЕТЕВОГО ОБНАРУЖЕНИЯ........................................................ 280
8.2. НАСТРОЙКА СЕТИ TCP/IP.......................................................................................... 285
8.3. НАСТРОЙКА НЕСКОЛЬКИХ ШЛЮЗОВ.....................
ГЛАВА 9. СЕРВИСЫ DNS И DHCP................................................. 297
9.1. СЕРВИС DNS...................
298
9.1.1. Интеграция с Active Directory.................................................................... 298
9.1.2. Настройка разрешения имен на DNS-клиентах.................................... 300
9.1.3. Типы серверов................................................................................................ 303
9.1.4. Установка и базовая настройка DNS-сервера....................................... 303
9.1.5. Создание основной зоны............................................................................. 305
9.1.6. Создание дополнительного сервера DNS............................................... 309
9.1.7. Обратная зона................................................................................................. 310
9.1.8. Управление записями DNS......................................................................... 310
9.2. НАСТРОЙКА DHCP......................................................................................................... 314
9.2.1. Введение в DHCP........................................................................................... 314
9.2.2. Области адресов............................................................................................. 316
9.2.3. Установка DHCP-сервера............................................................................ 317
9.2.4. Консоль DHCP.................................................................................................320
9.2.5. Интеграция DHCP с DNS............................................................................ 321
9.2.6. Создание суперобластей............................................................................. 323
9.2.7. Создание обычных областей....................................................................... 324
ЧАСТЬ II. LINUX SERVER........................................... 329
ГЛАВА 10. УПРАВЛЕНИЕ ЗАГРУЗКОЙ LINUX....................... 329
10.1. ЗАГРУЗЧИКИ LINUX.................................................................................................... 330
Содержание
10.2. ЗАГРУЗЧИК GRUB2......................................................................................................331
10.2.1. Конфигурационные файлы .....................................................................331
10.2.2. Выбор метки по умолчанию................................................................... 338
10.2.3. Загрузка Windows....................................................................................... 338
10.2.4. Пароль загрузчика GRUB2....................................................................... 339
10.2.5. Установка загрузчика................................................................................. 341
10.3. СИСТЕМА ИНИЦИАЛИЗАЦИИ.............................................................................. 342
10.3.1. Принцип работы.......................................................................................... 343
10.4. УПРАВЛЕНИЕ СЕРВИСАМИ ПРИ ИСПОЛЬЗОВАНИИ SYSTEMD............. 349
ГЛАВА 11 УПРАВЛЕНИЕ ПРОЦЕССАМИ LINUX................ 351
11.1. КОМАНДЫ PS, NICE И KILL..................................................................................... 352
11.1.1. Получение информации о процессе...................................................... 352
11.1.2. Изменение приоритета процесса............................................................ 358
11.1.3. Аварийное завершение процесса...........................................................358
11.2. КОМАНДА ТОР.............................................................................................................. 360
11.3. ИНФОРМАЦИЯ ОБ ИСПОЛЬЗОВАНИИ ПАМЯТИ И ДИСКОВОГО
ПРОСТРАНСТВА................................................................................ 363
11.4. КОМАНДА FUSER......................................................................................................... 364
ГЛАВА 12. ПОЛЬЗОВАТЕЛИ И ГРУППЫ.................................. 371
12.1. ВВЕДЕНИЕ В УЧЕТНЫЕ ЗАПИСИ LINUX.......................................................... 372
12.2. ПОЛУЧЕНИЕ ПОЛНОМОЧИЙ ROOT................................................................... 375
12.3. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ.................... 381
12.3.1. Создание учетной записи пользователя............................................... 381
12.3.2. Файлы /etc/passwd и /etc/shadow............................................................. 383
12.3.3. Изменение и удаление учетных записей ............................................ 386
12.3.4. Группы пользователей............................................................................... 390
Сервер на Windows и Linux
12.5. МОДУЛИ РАМ................................................................................................................ 392
12.5.1. Ограничиваем доступ к системе по IP-адресу................................... 396
12.5.2. Ограничиваем время входа в систему.................................................. 398
12.5.3. Ограничение системных ресурсов с помощью РАМ....................... 399
ГЛАВА 13. МАРШРУТИЗАЦИЯ И НАСТРОЙКА БРАНДМАУЭРА.403
13.1. ПРОСМОТР ТАБЛИЦЫ МАРШРУТИЗАЦИИ..................................................... 404
13.2. ИЗМЕНЕНИЕ И СОХРАНЕНИЕ ТАБЛИЦЫ МАРШРУТИЗАЦИИ............. 407
13.3.2. Цепочки и правила...................................................................................... 414
13.3.3. Команда iptables........................................................................................... 415
ГЛАВА 14. УДАЛЕННЫЙ ВХОД В СИСТЕМУ ПО SSH....... 431
14.1. ПРОТОКОЛ SSH............................................................................................................. 432
ГЛАВА 15. ВОПРОСЫ АДМИНИСТРИРОВАНИЯ ВЕБ-СЕРВЕРА.443
15.1. ВЫБОР ДОМЕННОГО ИМЕНИ................................................................................ 444
15.2. ВЫБОР ТИПА СЕРВЕРА.............................................................................................. 445
15.3. ВЫБОР ОБЛАЧНОГО ПРОВАЙДЕРА..................................................................... 448
15.4. ВЫБОР КОНФИГУРАЦИИ СЕРВЕРА..................................................................... 451
Содержание
15.5. ПЕРЕЕЗД С ХОСТИНГА НА СЕРВЕР.................................................................... 451
15.5.1. Этапы переноса......................................................................................... 451
15.5.2. Копирование файлов сайта на локальный компьютер.................... 452
15.5.3. Экспорт базы данных на локальный компьютер............................. 453
15.5.4. Установка веб-сервера, СУБД и другого ПО на VPS.......................453
15.5.5. Загрузка файлов с локальной системы на VPS.................................457
15.5.6. Редактирование конфигурации движка сайта.................................... 458
15.5.7. Импорт базы данных на VPS.................................
ГЛАВА 16. ФАЙЛОВЫЙ СЕРВЕР FTP........................................ 461
16.1. ВЫБОР FTP-CEPBEPA................................................................................................. 462
16.2. НАСТРОЙКА FTP-CEPBEPA PROFTPD................................................................. 463
16.2.1. Установка и управление сервером......................................................... 463
16.2.2. Файл конфигурации proftpd.conf........................................................... 464
16.2.3. Обеспечение безопасности FTP-сервера............................................. 470
16.2.4. Аутентификация с помощью MySQL................................................... 475
ГЛАВА 18. DHCP-CEPBEP.................................................................. 495
18.1. НАСТРАИВАТЬ DHCP-CEPBEP ИЛИ НЕТ?......................................................... 496
18.2. ПРИНЦИП РАБОТЫ ПРОТОКОЛА DHCP............................................................ 496
Сервер на Windows и Linux
18.6. НАСТРОЙКА DHCP-КЛИЕНТА В UBUNTU.......................................................... 503
ЧАСТЬ III. ВИРТУАЛИЗАЦИЯ................................... 507
ГЛАВА 19. ВИРТУАЛИЗАЦИЯ WINDOWS-СЕРВЕРА........... 507
19.1. КОНВЕРТИРОВАНИЕ ВИРТУАЛЬНЫХ МАШИН ИЗ ОДНОГО ФОРМАТА В
ДРУГОЙ.................................................................................................................... 508
19.1.1. Преобразование из Hyper-V в VMWare................................................ 508
Выбор конвертера........................................................................................508
Установка модуля PowerShell для Hyper-V......................................... 509
Подготовка виртуальной машины.......................................................... 510
Конвертирование с помощью HypervOVAConverter ........................ 511
Конвертирование с помощью StarWind V2V Converter.................. 512
19.1.2. Перенос сервера из Amazon ЕС2 на виртуальную машину VMware.514
19.1.3. Перенос из Azure в VMWare.................................................................... 516
Команда Save-AzureVhd.............................................................................516
Несколько примеров................................................................................... 517
Конвертирование в формат VMDK........................................................ 517
19.2. ВИРТУАЛИЗАЦИЯ WINDOWS-СЕРВЕРА............................................................. 517
19.2.1. Преобразование в VMware........................................................................ 517
VMware® vCenter Converter Standalone............................................... 517
Преобразование в формат OVF............................................................. 522
19.2.2. Утилита Disk2Vhd: преобразование в Hyper-V................................. 522
ГЛАВА 20 ВИРТУАЛЬНЫЙ СЕРВЕР НА БАЗЕ VMWARE
WORKSTATION.......................................................... 523
20.1. УСТАНОВКА VMWARE............................................................................................... 524
20.2. СОЗДАНИЕ ВИРТУАЛЬНОЙ МАШИНЫ..............................................................527
20.3. ВИРТУАЛИЗАЦИЯ ФИЗИЧЕСКОГО СЕРВЕРА..................................................531
ГЛАВА 21. KVM - БЕСПЛАТНОЕ РЕШЕНИЕ ДЛЯ ВИРТУАЛИЗАЦИИ. 533
21.1. ЧТО ТАКОЕ KVM........................................................................................................... 534
21.2. УСТАНОВКА KVM........................................................................................................ 535
21.3. СОЗДАНИЕ ВИРТУАЛЬНОГО СЕРВЕРА............ .................................................. 536
21.4. СПИСОК КОМАНД VIRSH......................................................................................... 540
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ИНФОРМАЦИИ....................... 540
12
Введение в виртуальные
серверы
Сервер на Windows и Linux
Вопросы виртуализации и применения облачных технологий сами по себе
заслуживают написания отдельной большой книги. Поэтому, чтобы не рас
пыляться, в самом начале книги мы рассмотрим несколько фундаменталь
ных вопросов:
• Физический или виртуальный сервер - в последнее время наблюдают
ся тенденции переноса серверов, да и всей инфраструктуры предприятия,
в облако. Вполне возможно, что виртуальный сервер окажется предпо
чтительным для вас.
• Выбор гипервизора - если вы предпочитаете строить инфраструктуру
виртуализации самостоятельно, вам нужно задуматься о выборе гипер
визора.
•
Вопросы преобразования виртуальных машин из одного формата в
другой - этому вопросу уделяется достаточно мало внимания, но от того
он не становится менее востребованным. Если предприятие переходит с
одного гипервизора на другой, становится вопрос преобразования вирту
альных машин.
14
Введение в виртуальные серверы
В.1. Виртуальные серверы
ВЛ.1. Преимущества и недостатки
Пожар, кража, стихийное бедствие - все это не страшно, если ваш сервер
виртуальный. Просто физическое оборудование будет установлено в удален
ном дата-центре, который, скорее всего, находится даже в другом городе и
охраняется гораздо лучше, чем ваш офис (физическая охрана, круглосуточ
ный мониторинг).
Но это далеко не единственное преимущество виртуального сервера. Следу
ющее, что нужно учитывать, - простоту и дешевизну обслуживания. Управ
ление сервером, его конфигурацией осуществляется через удобную панель
управления, и вы можете в любой момент сотворить с ним все что угодно.
Например, модернизировать сервер, добавив модуль оперативной памяти
или дополнительный жесткий диск всего за пару кликов мышки.
Вам не нужно беспокоиться, что накопитель выйдет из строя - если это и
произойдет, то это проблемы провайдера, а вы сможете восстановить свою
виртуальную машину из бэкапа. О клонировании сервера нажатием одной
кнопки - отдельный разговор. Вам не нужно ни о чем заботиться - ни о
перепадах напряжения, ни об отключении электричества и т.д. Все это проблемы провайдера, которые будет решать именно он.
Из-за перепада напряжения, грозы или просто из-за возраста могут выйти из
строя довольно дорогие компоненты сервера - блок питания, оперативная
память, жесткие диски. Все это влечет за собой следующее:
• Незапланированный многочасовой простой сервера (пока будут куплены
необходимые комплектующие, пока они будут установлены);
•
Финансовые потери, что следует из простоя;
• Возможную потерю информации.
Также не нужно забывать о банальном отключении электропитания, потере
связи с Интернетом. Если второе интернет-соединение в большинстве слу
чаев организовать не проблема, как и настроить автоматическое переклю
чение на резервный канал в случае, если с основным что-то случится, то с
15
Сервер на Windows и Linux
питанием - беда. Фермы UPS, способные обеспечивать многочасовое пита
ние серверов, могут позволить себе далеко не все предприятия, а дизельные
генераторы можно размещать далеко не везде, учитывая нормы пожарной
безопасности.
Что же касается виртуального сервера, то дата-центр уровня 3 (Tier III) га
рантирует не более 1.6 часа простоя, при этом коэффициент отказоустой
чивости составляет 99.982%. Дата-центр оснащен и резервным каналом, и
резервным питанием. Вам не нужно заботиться об этом, лучше сконцентри
роваться на задачах предприятия, чем заниматься рутинными вопросами.
В таблице В.1 приводятся преимущества и недостатки физического и вирту
ального серверов.
Таблица В.1. Преимущества и недостатки физического и виртуального
серверов
Физический
Виртуальный
Гораздо дешевле физического сер
вера
Простота обслуживания, не нужен
отдельный администратор в штате
Настоящий компьютер
из плат и проводов
Обеспечение работоспособности не ваша проблема
Сразу доступны все ре
сурсы сервера
Быстрое клонирование сервера
Преимущества
Более высокая произво
дительность
Больше дискового про
странства доступно
Быстрое создание ’’снимка” сервера,
что позволяет восстановить сервер
за считанные секунды
Простая модернизация сервера
Оплата только за используемые ре
сурсы, возможность быстро изме
нить конфигурацию сервера
В стоимость уже входит IP-адрес и
интернет-канал
ф
Введение в виртуальные серверы
Значительно дороже при
покупке и содержании
Всю сумму нужно пла
тить сразу
Недостатки
Требуется администра
тор именно сервера
Производительность немного ниже,
чем у физического сервера
Необходимо платить за
colocation или обеспе
чивать самому надлежа
щие условия для работы
сервера
Нельзя увидеть/пощупать физиче
ски
Сложность
ции
модерниза
В.1.2. Стоимость виртуального сервера
Прежде чем говорить о стоимости виртуального сервера, нужно поговорить
о стоимости покупки и содержания физического сервера. Стоимость физи
ческого сервера составляет от 150 до 200 тысяч рублей, если мы говорим, ко
нечно, о сервере, а не просто о мощном системном блоке, который вы будете
использовать в качестве сервера (здесь и далее все цены указаны приблизи
тельно, так как в зависимости от конкретного времени и ситуации они могут
отличаться). Аналогию можно привести с грузовиком - в его кузове можно
перевозить людей, но он для этого, мягко говоря, не предназначен. Как пра
вило, у сервера должен быть специальный корпус, позволяющий установить
его в стойку, модули памяти с коррекцией ошибок, SAS-накопители и т.д.
Все это отражается на стоимости.
Кроме покупки самого сервера, не нужно забывать о его содержании. В сто
имость содержания физического сервера входят следующие составляющие:
Стоимость программного обеспечения. Покупая виртуальный сервер, вы
автоматически покупаете и лицензию на право использования того или
иного программного обеспечения, например Microsoft Windows Server. В
случае с физическим сервером за ’’математику” придется доплатить.
Сервер на Windows и Linux
•
Зарплата администратору. В зависимости от уровня администратора и ва
шего региона, эта сумма будет составлять 25-100 тысяч рублей в месяц.
• Стоимость основного и резервного интернет-каналов. В стоимость вир
туального сервера уже входит один выделенный IP-адрес и канал со ско
ростью 10 Мбит/с. И будьте уверены: канал резервируемый. Никто не
захочет, чтобы серверы клиентов остались без Интернета. Вам же для
своего физического сервера придется обеспечить резервный канал само
стоятельно.
•
Стоимость электричества. Сервер оснащен блоком питания на 900 Вт
(при полной нагрузке). Стоимость электроэнергии несложно подсчитать
самостоятельно. Сюда же посчитайте затраты на кондиционирование по
мещения, в котором стоит сервер, - ему не должно быть слишком жарко,
что особенно актуально для летнего периода.
•
Стоимость системы резервного электропитания. Вы же не хотите, чтобы
работа вашей организации остановилась, если пропадет электричество?
Стоимость виртуального сервера зависит от его конфигурации. Рассмотрим
следующую достаточно простую конфигурацию:
• 4 ядра процессора Xeon Е5 с частотой 3 ГГц;
•
8 Гб ОЗУ;
•
320 Гб SAS-накопителя;
•
канал связи 30 Мбит/с;
•
Один выделенный IP-адрес.
Все это обойдется вам в менее чем 9 рублей в час или около 6000 рублей в
месяц. Это средняя стоимость, у некоторых провайдеров будет чуть дешев
ле, у некоторых - чуть дороже (стоимость может сильно отличаться в зави
симости от времени прочтения данной книги).
При работе с виртуальными серверами нужно помнить следующее:
•
Тарификация, как правило, почасовая. Вы можете отключать его на
ночь, если он вам не нужен. Например, если ваш сервер не является веб
сервером, а используется как терминальный сервер для работы бухгалте-
Введение в виртуальные серверы
ров с 1С, его можно выключать на ночь и на выходные. 22 рабочих дня по
8 часов обойдутся вам всего в 1500 рублей в месяц.
• Стоимость виртуального сервера зависит от используемых ресурсов. Но
вы можете выделять ресурсы по мере необходимости. Это означает, что
вы можете купить сначала сервер с 6 Гб ОЗУ и 120 Гб накопителя, что
обойдется вам всего 4400 р. в месяц. По мере необходимости вы можете
добавить ресурсы. Скажем, первые полгода вам будет достаточно этих
120 Гб, далее вы увеличите размер накопителя. Этим вы сэкономите 9600
р. за полгода (6000 - 4400 = 1600 р./мес).
• Вы можете возвращать неиспользуемые ресурсы в пул. Представим, что
у вас есть веб-сервер для интернет-магазина. Сейчас для него вы исполь
зуете 8 Гб ОЗУ. Но на новогодние праздники нагрузка на ресурс увели
чивается, и вы можете запросить более широкий канал, скажем, не 30, а
все 100 Мбит/с и дополнительный 4 Гб ОЗУ. После того, как пик нагрузки
спадет, вы сможете вернуть ’’лишние” ресурсы в пул и тем самым сэко
номить.
Даже если не считать стоимость содержания физического сервера, то только
одной стоимости физического сервера (напомню, от 150 тыс. руб.) вам хва
тит на 25 месяцев использования виртуального сервера. Если же вы будете
экономить и выключать сервер, когда он вам не нужен, то стоимость его вряд
ли превысит 2000 p./мес., следовательно, этой суммы вам хватит на 75 ме
сяцев. И заметьте: вам не нужно выкладывать всю сумму сразу, вы платите
ежемесячно.
В. 1.3. Какие серверы можно виртуализировать?
Виртуализировать можно все что угодно. Например, вы можете виртуали
зировать сервер с 1С, чтобы обеспечить непрерывный доступ бухгалтеров к
базе данных предприятия, сервер для CRM, веб-сервер и т.д. Все зависит от
специфики вашего предприятия.
Вас никто не огранивает и с выбором облачных провайдеров, но вы не долж
ны забывать о законодательстве. Если на серверах хранятся/обрабатываются
персональные данные пользователей, серверы должны находиться в преде
лах РФ. Об этом нужно помнить, дабы не было никаких проблем.
*
19
Сервер на Windows и Linux
В.1.4. Преимущества собственной виртуальной
инфраструктуры
Не всегда можно размещать данные на серверах третьей стороны (в нашем
случае - на серверах дата-центра). Как минимум, это может быть запрещено
политикой компании. Но использовать преимущества виртуальной инфра
структуры хочется. В этом случае ее, эту инфраструктуру, можно развернуть
самостоятельно. Да, это дорого, но если другого выхода нет, то почему бы
не попробовать.
В результате вы получаете все преимущества виртуализации:
•
Возможность создания и клонирования виртуальных машин. Вы може
те создать шаблоны виртуальных мест. Например, места разработчика.
Когда в компанию придет новый разработчик, подготовка его рабочего
места займет считанные минуты - вы создадите виртуальную машину
на основании шаблона разработчика, и он получит уже готовое рабочее
место с настроенным ПО.
• Любую виртуальную машину в любой момент можно остановить, переза
грузить, приостановить и возобновить ее работу.
•
Можно легко выполнить резервное копирование целых серверов.
• Легкость в миграции виртуальных машин.
•
Возможность создавать снапшоты. Например, если нужно внести серьез
ные изменения в рабочий сервер, вы можете перед этим создать снапшот.
Если что-то пойдет не так, откат (чтобы вернуть все, как было) займет
пару минут. С физическим сервером такого не выйдет.
В.2. Выбор гипервизора
Технологии виртуализации уже насчитывается более 30 лет. Сегодня вир
туализация стала ключевой технологией IT и основой сервисов нового по
коления. Существует множество продуктов виртуализации, и такое многооб
разие заставляет задуматься: а какой продукт лучше?
ф
2(1
Введение в виртуальные серверы
Выбирать продукт виртуализации нужно, прежде всего, исходя из потреб
ностей бизнеса. В одном случае будет хорош один продукт, в другом
- совершенно другой. Многие компании, ищущие решения для виртуали
зации, выбирают между продуктами VMware, Hyper-V и KVM.
В.2.1. Типыгипервизоров
^Illlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllll 1П11П1П II III IIIIIIIIIIII1 II I I II lllllllllll II II
I III
I
........ Illllll lllllllllllllllllllllll I
III
I II II
II I II I II I I llllll II
I I I I I I I
I II II Illi I III Illi.... IIIIIIIIIIIIIIIIIIIL
Существует два типа гипервизоров.
^iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiii....и..... .....................
uulu.......... .........................
ши.......... г
Гипервизоры первого типа запускаются непосредственно на ’’железе” и не
требуют установки какой-либо операционной системы. Для работы гипер
визоров второго типа нужна операционная система - через нее производится
доступ к аппаратной части. Считается, что производительность гипервизо
ров первого типа выше, поскольку они работают напрямую с оборудовани
ем.
Примеры гипервизоров 1-го типа: Hyper-V, KVM, ESXi.
Гипервизоры 2-го типа: VMware Workstation, Oracle Virtual Box, OpenVZ.
Нас интересуют только гипервизоры первого типа, так как вторые больше
подходят для индивидуального использования, чем в качестве решений
уровня предприятия.
Hyper-V и WMware - это проприетарные решения, и было бы правильнее
сравнивать именно их. Но есть также и решение с открытым исходным ко
дом - KVM. Многие предприятия выбирают именно KVM, несмотря на то,
что некоторые независимые эксперты считают это решение довольно сы
рым и непригодным на корпоративной кухне. Однако, согласно отчету
IT Central Station, 25% операторов связи и 11% финансовых организаций
выбрали именно KVM. Так что это решение нельзя игнорировать.
Сначала мы рассмотрим проприетарные решения, а затем попытаемся
выяснить, стоит ли использовать KVM.
В.2.2. Hyper-V или VMware?
Начнем с Hyper-V. Здесь нужно понимать, что есть Windows Server 2016/2019
со стандартной ролью Hyper-V и есть Hyper-V Server 2016/2019. Windows
21
Сервер на Windows и Linux
Server 2016/2019 поставляется в двух редакциях - Datacenter и Standard. У
каждой из них есть роль Hyper-V. С точки зрения виртуализации обе ре
дакции аналогичны, но есть нюансы, связанные с лицензированием. В ре
дакции Standard по одной серверной лицензии можно поднять только две
виртуальных машины. В редакции Datacenter можно поднять любое коли
чество виртуальных машин. В стандартной редакции тоже можно запустить
любое количество виртуальных машин, но это будет не очень верно с точки
зрения лицензирования. С другой стороны, лицензируется не факт создания
виртуальной машины, а только ОС внутри виртуальной машины. Если нуж
ны виртуальные Linux-серверы, то можно запустить любое их количество в
стандартной версии Windows Server. В 2016 году в лицензионной политике
Microsoft произошли изменения. Теперь стоимость лицензии на сервер за
висит от количества ядер на физическом сервере.
Hyper-V Server 2016/2019 - специально для тех, кто не хочет платить за ги
первизор. Никаких ограничений виртуализации, и при этом он абсолютно
бесплатный. Что-то невероятное, особенно когда речь идет о Microsoft. Но
есть и подводные камни:
1. Нужно лицензировать все виртуальные машины, работающие под управ
лением Windows.
2. Отсутствует графический интерфейс, правда, есть удаленная консоль.
3. Отсутствие поддержки производителя (но есть обновления).
Хорошего администратора не испугает ни отсутствие поддержки, ни гра
фического интерфейса. А вот необходимость в лицензировании каждой
Windows-машины - это плохо. Иногда целесообразнее купить Datacenter так будет выгоднее. С другой стороны, если планируете разворачивать толь
ко Linux-серверы, то данное решение можно действительно назвать бесплат
ным.
Теперь о VMware ESXi - ядре всех серверных решений виртуализации от
VMware. В отличие от VMware Workstation, ESXi - это не приложение, это,
можно сказать, операционная система, которая устанавливается на голое
оборудование. ESXi похож на Linux - те же команды, те же названия стан
дартных каталогов, однако он работает полностью на собственном пропри
етарном ядре VMkernel. Если вам интересно, информацию об этом вы може
те найти в Сети.
22
Введение в виртуальные серверы
Отдельно купить ESXi нельзя. Если вы хотите купить ESXi, вам нужно ку
пить VMware vSphere 6. При этом лицензия покупается на каждый физиче
ский процессор на физическом сервере. Оперативная память и число вирту
альных машин не влияют на стоимость.
А есть что-то бесплатное? Да, VMware предлагает VMware ESXi Free или
VMware Free vSphere Hypervisor. Бесплатный VMware ESXi требует реги
страции и может работать в режиме полной пробной версии 60 дней, после
этого нужно или мириться с ограничениями бесплатной версии, или же по
купать полноценную.
На данный момент у бесплатного VMware Free vSphere Hypervisor нет огра
ничений для хоста по процессорам и памяти. Зато есть ряд других ограни
чений:
• API продукта доступны только на чтение.
• Виртуальная машина может иметь не более 8 vCPU.
•
Нельзя использовать вместе с Veeam для создания резервных копий.
•
Не поддерживается подключение к vCenter Server.
• Не поддерживаются технологии VM host live migration, VM storage live
migration, не поддерживается высокая доступность.
Обмануть судьбу не получится. Коммерческого решения на базе бесплатного
ESXi создать не выйдет.
Теперь немного цифр. Таблица В.2 содержит сравнительные характеристики
гипервизоров MS Hyper-V и VMware vSphere 6.5.
Таблица В.2. Сравнительные характеристики проприетарных гиперви
зоров
Система
Хост
Ресурс
MS
Hyper-V
Free
Hypervisor
Essential
Plus
Enterprise
Plus
Логические
процессоры
512
576
576
576
Физическая
память, ТБ
24
4
4
12
vCPU на 1 хост
2048
4096
4096
4096
ВМ на 1 хост
1024
1024
1024
1024
Вложенный
гипервизор
+
+
+
+
23
Сервер на Windows и Linux
Вирту
альная
.машина
(ВМ)
Виртуальные
CPU на 1 ВМ
240 для
поко
ления 2
или 64
для поко
ления 1
8
128
128
Макс. ОЗУ для
ВМ
12 Тб
для поко
ления 2
или 1 Тб
для поко
ления 1
6128 Гб
6128 Гб
6128 Гб
Макс, дисковое
пространство
64 Тб
ДЛЯ
формата
VDHX,
2040 Тб
для VHD
62 Тб
62 Тб
62 Тб
К-во дисков
256
60
60
60
Макс, узлов
64
-
64
64
Макс. ВМ
8000
-
8000
8000
Кластер
Как видите, по масштабируемости представленные гипервизоры очень похо
жи. Free-версия, конечно, немного урезана - она не поддерживает кластеры,
и виртуальная машина может содержать только 8 виртуальных процессоров.
Но не это самое главное. Помимо ’’технических характеристик”, нужно рас
смотреть еще и функционал гипервизоров.
Основной недостаток Hyper-V не увидеть в таблице В.2. К сожалению, дан
ный гипервизор до сих пор не поддерживает технологию USB Redirection,
которая используется для проброса аппаратных USB-портов, что позволяет
подключать аппаратные USB-ключи к виртуальным машинам. Вместо нее
пытаются ’’сосватать" технологию Discrete Device Assignment, но это
несколько не то. К тому же Hyper-V пока не умеет "на лету" добавлять CPU.
Зато Hyper-V позволяет уменьшать размер диска, а не только увеличивать,
как VMware. Сравнение функционала приведено в таблице В.З.
Введение в виртуальные серверы
Таблица В.З. Сравнение функционала гипервизоров
Функция
MS Hyper-V
VM host live
migration
Free Hypervisor
Essential
Plus
Enterprise
Plus
-
+
+
-
+
VM storage live
migration
+
-
QoS для хранилища/сети
+
-
Проброс обору
дования
Discrete Device
Assignment
PCI VMDirectPath/ USB redi
rection
PCI VMDirectPath/ USB
redirection
PCI VMDirectPath/
USB redirec
tion
Горячее добав
ление
Диски/vNIC/
ОЗУ
Диски/vNIC/USB
Диски/vNIC/
USB
Диски/
vNIC/USB/
CPU/ОЗУ
Горячее удаление
Диски/vNIC/
ОЗУ
Диски/vNIC/USB
Диски/vNIC/
USB
Диски/
vNIC/USB/
CPU
Изменение раз
мера диска
Уменьшение и
увеличение
Увеличение
Увеличение
Увеличение
Шифрование ВМ
+
-
-
+
+
Функционал говорит за себя. Если нужен проброс USB-портов в виртуаль
ную машину, то однозначно - только VMware, даже бесплатный. С другой
стороны, если необходимо шифрование виртуальной машины, то, возможно,
дешевле будет использовать Hyper-V.
Кроме функционала самого гипервизора, нужно оценить еще и средства
управления. У каждого вендора есть свое решение для управления гипер
визорами. Virtual Machine Manager (VMM) позволяет управлять серверами
Hyper-V, а именно: создавать, клонировать, развертывать виртуальные ма
шины и многое-многое другое.
У VMware средство управления называется vSphere. vSphere подразумева
ет использование ESXi-хостов и vCenter Server для их централизованного
управления.
Какое средство управления более удобное - судить сложно. Все индивиду
ально, кто к чему привык. Однако нужно понимать, что в случае с VMware
Сервер на Windows и Linux
требуется обязательное наличие VMware vCenter, если вам нужен, напри
мер, кластер. А вот Virtual Machine Manager (VMM) является опциональным
компонентом, который очень полезен, но совсем не обязателен.
Какой из гипервизоров лучше, сказать нельзя. Все зависит от того, что нуж
но вам. В некоторых случаях, например, если нужен проброс USB, лучшим
выбором будет VMware - даже бесплатное решение поддерживает эту тех
нологию. Но не все готовы мириться с ограничением в 8 виртуальных про
цессоров. В этом случае нужно или покупать Enterprise-версию, или же ис
пользовать Hyper-V, который вообще бесплатный (а в случае с Linux даже не
придется покупать лицензии).
В любом случае, даже если вы почти определились с выбором, нельзя за
бывать о полностью бесплатном KVM.
KVM (Kernel-based Virtual Machine) - полное решение виртуализации
для платформ Linux/x86, поддерживающее аппаратные расширения
(Intel VT и AMD-V).
Изначально KVM поддерживал только процессоры х86, но современные
версии KVM поддерживают самые различные процессоры и гостевые ОС, в
том числе Linux, BSD, Solaris, Windows и др.
KVM — простой в использовании, легкий, нетребовательный к ресурсам
и довольно функциональный гипервизор. KVM позволяет в минимальные
сроки развернуть площадку виртуализации. Все Wiki-ресурсы (MediaWiki,
Wikimedia Foundation, Wikipedia, Wikivoyage, Wikidata, Wikiversity) исполь
зуют именно это решение виртуализации.
Поскольку гостевые операционные системы взаимодействуют с гипервизо
ром, который интегрирован в ядро Linux, у них есть возможность обращать
ся напрямую к оборудованию без нужды изменения гостевой ОС. Благодаря
этому KVM считается довольно быстрым решением.
Конечно, KVM - не идеален, и у него есть тоже свои недостатки. Начнем с
того, что нет мощных средств для управления виртуальными машинами и
сервером KVM. Средства, конечно, есть, но они не соответствуют по функ-
Введение в виртуальные серверы
ционалу аналогичным средствам для других гипервизоров. Одно из лучших
решений - SolusVM - универсальная панель управления виртуальными сер
верами KVM, Хеп и OpenVZ.
Также часто отмечают плохую стабильность гипервизора KVM при выпол
нении разнообразных задач с интенсивным вводом-выводом. Именно
поэтому некоторые эксперты в сфере виртуализации и называют KVM сы
рым решением, которое больше подходит для экспериментов, чем для кор
поративного применения.
Гипервизор Hyper-V более стабилен, специальные средства миграции вир
туальной машины в нем надежнее, эффективнее применяется оборудование,
нежели в Linux-KVM. Платформа Microsoft Azure построена на Hyper-V, и
это говорит о многом.
В.2.4. Что выбрать?
Следующие небольшие тезисы помогут вам сделать правильный выбор:
1. VMware - самое дорогое решение, Hyper-V - дешевле (или при исполь
зовании Hyper-V Server и виртуальных машин с Linux - вообще бесплат
ное), KVM - изначально бесплатное.
2. Подсчитывая стоимость системы виртуализации, нужно учитывать еще
и стоимость лицензий программного обеспечения, которое будет уста
новлено в виртуальных машинах. Именно поэтому Hyper-V значительно
дешевле VMware - при использовании VMware вам все равно придется
покупать лицензии на гостевые ОС.
3. Hyper-V значительно дешевле и производительнее в гиперконвергентных
решениях.
4. Таблица В.2 - сугубо информативная, большинство пользователей не
столкнутся с этими ограничениями, и ее не нужно учитывать при выборе
гипервизора. Самое жесткое ограничение - у свободной версии ESXi.
5. У VMware есть Fault Tolerance, у Microsoft - пока нет. Если это для вас
важно, задумайтесь над VMware.
6. У VMware лучше VDI, но у Microsoft организация VDI будет дешевле.
7. Hyper-V менее требовательный к ’’железу”.
27
Сервер на Windows и Linux
8. Хранилище для Hyper-V дешевле, поскольку VMware тесно связан по ру
кам и ногам HCL, a Hyper-V может использовать любой SMB 3.0 ресурс
для хранения.
9. Hyper-V Server - это гипервизор Hyper-V, поставляемый с Соге-версией
Windows без графического интерфейса. Ограничений в нем никаких нет
(в отличие от бесплатной версии VMware), вы можете включить его в до
мен, управлять им с помощью System Center, бэкапить и т.д. (в отличие от
бесплатного vSphere).
10. В Hyper-V нет средств вроде Distributed Resource Scheduler или же Storage
DRS, которые в VMware используются для балансировки нагрузок между
ресурсами хостов.
11. SCVMM в Hyper-V открывает возможности, выходящие за рамки про
стой серверной виртуализации. Вы можете создавать частные облака.
12. KVM - самый неприхотливый к ресурсам гипервизор. Это нужно учиты
вать при разработке бюджетных решений виртуализации.
13. Для KVM можно также использовать интерфейс управления Virsh и GUIинтерфейс virtmanager.
14. Службы поддержки у KVM нет. Если что-то не получается, вы можете
рассчитывать только на сообщество. Впрочем, поддержки нет и у бес
платного Hyper-V Server.
15. Существует коммерческий вариант KVM - RHEV (Red Hat Enterprise
Virtualization).
Какой бы выбор вы ни сделали, он будет правильным в вашем случае.
В.З. Виртуальный сервер: содержание
В.3.1. Сколько стоит физический сервер
Возьмем средней конфигурации физический сервер. Ничего примечательно
го, пусть это будет HP Proliant DL180. Конфигурация весьма посредственная
28
Введение в виртуальные серверы
- 8 ядер на Xeon Sliver 4208 2,1 ГГц (не самый мощный Xeon), 16 Гб ОЗУ и
нет ни одного накопителя - их придется купить отдельно. Цена такого вари
анта (на данный момент) - 201635 рублей.
Добавьте к этому стоимость 1 или 3 накопителей. В двух накопителях осо
бо нет смысла, поскольку RAID-массив с чередованием вы не построите из
двух дисков, разве что в режиме зеркалирования, когда второй диск будет
точной копией основного диска, но это очень нерационально с точки зрения
расходования ресурсов. Но, тем не менее, такая защита данных лучше, чем
вообще ничего.
Посмотрим, сколько стоят серверные накопители. Здесь все зависит от со
вести администратора и жадности руководства. Если устанавливать то, что
действительно является серверным диском, а не только называется им, то
цена будет около 15 000 рублей за один диск. За эти деньги вы получите
SAS-диск со скоростью вращения шпинделя 15 000 об/мин, с буфером 16
Мб, но емкостью всего 300 Гб - это вполне нормально для сервера. Конечно,
можно купить обычный SATA-диск со скоростью вращения 7200 об/мин и
ценой 7000 рублей. При этом емкость этого диска будет составлять не 3 00
Гб, а 1 Тб. Если скорость и надежность для вас - не пустой звук, то выбери
те первый вариант, если же на первом месте экономия - то второй вариант
будет предпочтительнее.
При выборе диска нужно обращать внимание на следующие характеристики:
•
Форм-фактор - наш сервер поддерживает 3.5” диски, поэтому подбира
емые под него диски должны быть в этом форм-факторе. Другие (2.5”) не
подойдут.
•
Интерфейс - наш сервер поддерживает интерфейсы SAS и SATA. Неко
торые серверы не поддерживают SATA, об этом нужно помнить. Некото
рые, наоборот, не поддерживают SAS.
• Скорость вращения шпинделя - чем выше скорость вращения, тем
быстрее будет работать диск. Для сервера нужно подбирать диски со ско
ростью вращения от 10 000 оборотов в минуту.
•
Размер буфера - чем выше размер буфера, тем быстрее будут происхо
дить операции записи данных. В то же время тем больше данных вы по
теряете, если произойдет какой-то сбой до того, как все эти данные будут
перемещены из буфера на сам диск. Мы выбрали диск с небольшим буфе
ром на сегодняшний день - 16 Мб. Но есть в продаже более продвинутые
Сервер на Windows и Linux
накопители с размером буфера 128 Мб, правда, и емкость там около 2 Тб,
и цена совсем другая.
•
Состояние - как ни странно, но обязательно обращайте внимание на
состояние (новый или б/у) покупаемого диска. На том же Яндекс.
Маркете можно найти б/у SAS-диски по цене от 4000 рублей. Гаран
тии на такие диски, как правило, или нет вообще, или символическая
гарантия 1-3 месяца. Как они будут работать в будущем - никому не
известно. Скорее всего, они свой ресурс уже отработали, их заменили
новыми, а старые - продают. Особенно на других досках объявлений
веселят объявления ’’серверы из Европы” или ’’компьютерная техника
из Европы”. Жесткие диски изнашиваются из-за вращения, а не из-за
своего месторасположения.
Итак, пусть разум победил над желанием сэкономить и вы остановились на
варианте за 15 000 рублей, но все-таки желание сэкономить присутствовало,
поэтому вы купили два, а не три диска, решив, что 300 Гб суммарного
пространства будет достаточно. В принципе да, если не заниматься обработ
кой видео и не хранить фотографии тысяч пользователей, то для организа
ции того же интернет-магазина такого пространства хватит с запасом.
Считаем стоимость сервера:
201635 + 15000 х 2 = 231635
Для обеспечения бесперебойной работы сервера нам нужно помещение с
кондиционером. Будем считать, что таковое имеется, и не будем включать
его в затраты. Стоимость резервного интернет-канала не так высока, и тоже
спишем это на прочие затраты организации, тем более что резервный канал
пригодится не только для сервера, но и для всего офиса. А вот о резервном
питании нужно поговорить отдельно.
Выбору ИБП посвящаются довольно большие и глубокие статьи, в которые
нужно вникать. У нас сейчас другая задача - просчитать примерно, сколько
часов наш сервер сможет проработать от ИБП и узнать стоимость такого
ИБП.
Стоимость серверных ИБП может доходить до 1 млн рублей и даже больше.
Нам, конечно же, такие не нужны, но стоимость ’’бесперебойника” все равно
будет достаточно высокой.
30
Введение в виртуальные серверы
Мощность источника бесперебойного питания для IT-оборудования опреде
ляется по тому же принципу, что и для любой другой техники. Необходимо
просуммировать мощности всех подключаемых к устройству потребителей
и сверх этого заложить запас, компенсирующий возможные эксплуатаци
онные перегрузки (актуальное значение - 30%). Подбор подходящего ИБП
производится по полученному в результате вышеуказанных действий значе
нию (с округлением в большую сторону).
В технической документации и на заводских этикетках 1Т-оборудования
часто указывается максимальная мощность блока питания, а не действи
тельное энергопотребление устройства. Рекомендуется уточнить реальную
мощность, потребляемую нагрузкой, данные можно запросить у произво
дителя либо произвести самостоятельные замеры с помощью электроизме
рительной аппаратуры (мультиметры, ваттметры).
Номенклатура (мощностные линейки) большинства производителей ИБП
строится на основе полной мощности, измеряемой в вольт-амперах - ВА.
Если мощность электрической нагрузки представлена только в ваттах - Вт
(активная мощность), то перевод в вольт-амперы осуществляется делением
на коэффициент мощности - Р (может обозначаться как cosq) или PF), рав
ный для простейшего 1Т-оборудования — 0,6-0,8.
Современное серверное и сетевое оборудование может быть оснащено бло
ком питания с коррекцией коэффициента мощности (PFC), приближающей
его значение к единице - 0,99. Если уверенности в наличии данной функции
нет, то применяется типовое значение из указанного интервала.
Обратите внимание - в характеристиках источника бесперебойного питания
указываются входной и выходной коэффициенты мощности, зависящие от
электронной схемы самого устройства:
• Входной — отражает влияние ИБП на внешнюю сеть и не имеет прямого
отношения к подключаемой нагрузке.
• Выходной — необходим при определении максимальной нагрузки в ват
тах, которую устройство способно запитать, для этого умножаем полную
мощность ИБП на выходной коэффициент мощности.
Расчет полной мощности защищаемой техники следует проводить, исполь
зуя соответствующий ей коэффициент мощности, а не значения входного и
выходного коэффициентов ИБП (на практике cos(p прописывается в руковод
стве по эксплуатации большинства потребителей электрической энергии)!
Сервер на Windows и Linux
Полная (ВА) и активная мощность (Вт) правильно выбранного ИБП должна
быть не меньше соответствующих мощностей подключенных электропри
емников, а для гарантированно надежной работы - превышать их. Вычис
лить примерное время работы от ИБП можно по ссылке http://proline.biz.ua/
calculator-ups-time-count. Для расчета времени вам нужно указать:
•
Среднюю потребляемую мощность - нужно учитывать не только мощ
ность блока питания (точнее, потребляемую мощность) сервера, но и
другого оборудования, которое будет подключено к ИБП. Помните о 30%.
Если вы вычислили, что средняя потребляемая мощность будет 700 Вт,
добавим еще 30%, получим 910 Вт.
•
Суммарная емкость аккумуляторов - укажите емкость ИБП, планируемо
го к покупке. Пусть это будет 1000 А/час.
•
Остальные параметры оставьте по умолчанию, если вам не понятно их
назначение, нажмите вопросительный знак возле названия параметра.
Получится, что при средней потребляемой мощности в 910 Вт и суммарной
емкости аккумуляторов 1000 А/ч наше оборудование сможет проработать 7
часов 11 минут. Вполне солидно - за это время смогут отремонтировать воз
никшие проблемы с электропитанием.
Теперь попробуем подобрать ИБП. Поскольку мы не планируем менять ба
тареи раз в год, то лучше покупать ИБП с небольшим запасом, чтобы плани
ровать старение батарей. Неплохим вариантом будет ИБП АРС SMC 150012U Smart-UPS С 1500VA (1500 ВА/900 Вт). Цена 136 600 рублей за именно
серверный ИБП с возможностью горячей замены батарей (без выключения
оборудования) и возможностью установки в стойку, это действительно не
много.
Получилось 368 235 рублей - без стоимости обеспечения охраны помеще
ния, организации видеонаблюдения и т.д.
В.3.2. Стоимость содержания физического сервера
Стоимость содержания физического сервера состоит из следующих факто
ров:
32 J
Введение в виртуальные серверы
• Стоимость основного и резервного интернет-каналов. В стоимость
виртуального сервера уже входит один выделенный IP-адрес и канал со
скоростью 10 Мбит/с. И будьте уверены: канал резервируемый. Никто
не захочет, чтобы серверы клиентов остались без Интернета. Вам же для
своего физического сервера придется обеспечить резервный канал само
стоятельно и платить за оба канала.
• Стоимость электричества. Мы уже посчитали, что будем потреблять
900 Вт (при средней нагрузке). На практике эта цифра может быть выше.
Стоимость электроэнергии несложно подсчитать самостоятельно. Сюда
же посчитайте затраты на кондиционирование помещения, в котором сто
ит сервер - ему не должно быть слишком жарко, что особенно актуально
для летнего периода.
•
Стоимость охраны серверной комнаты. Охрана может осуществляться
как собственными силами (в этом случае будут расходы на зарплату ох
ранникам), так и путем подключения к пульту охранного предприятия. В
любом случае за физическую безопасность оборудования нужно платить.
• Амортизация оборудования. Ваше железо - это ваше железо. Гаран
тийный срок составляет 12-24 месяца в зависимости от производителя
оборудования. Даже именитые вендоры вроде HP редко предоставляют
более длительную гарантию. По истечении гарантийного срока любые
комплектующие могут выйти из строя. Как правило, первыми выходят со
строя блоки питания, модули оперативной памяти и жесткие диски. Это
группа риска. Так что можете включить в будущие расходы стоимость пе
речисленных компонентов. Также добавьте время простоя - пока вы ку
пите и установите ’’железо”, может пройти несколько часов, а то и дней.
Для кого-то это допустимо, а кто-то может потерять сотни тысяч рублей
прибыли (например, если идет речь о популярном магазине).
Другими словами, есть постоянные затраты, которые вам придется нести
каждый месяц.
В.3.3. Варианты снижения стоимости владения
Стоимость владения можно снизить:
И
Сервер на Windows и Linux
• Размещение сервера в дата-центре (colocation) - если сервер уже ку
плен, его можно разместить в дата-центре. Да, ваш сервер будет физиче
ски размещен в дата-центре. При этом вам не нужно платить ни за охрану,
ни за электричество, ни за кондиционирование. Вам не нужно заботиться
о резервном канале, об ИБП и т.д. Обо всем этом позаботится провайдер
- и о резервировании канала, и о бесперебойной работе сервера. И все
это стоит от 3 до 5 тысяч рублей в месяц. Средняя стоимость размещения
1 юнита с выделенным каналом 100 Мбит/с составляет 3000 рублей в
месяц.
•
Аренда виртуального сервера - если сервера пока нет, гораздо дешевле
арендовать виртуальный сервер. Средняя стоимость сервера средней кон
фигурации (4 ядра по 2.8 ГГц, 8 Гб ОЗУ, 100 Гб накопителя) составляет
1790 рублей. Когда ваш проект выйдет за эти рамки, вы можете арендо
вать виртуальный сервер, приближенный по конфигурации к нашему фи
зическому (8 ядер по 2.8 ГГц, 16 Гб ОЗУ, 260 Гб накопителя), - он стоит
в среднем 3600 рублей.
• Виртуализация физического сервера - если сервер уже настроен, вы
оценили стоимость затрат на его содержание, потом посмотрели на стои
мость colocation и поняли, что она всего лишь на 600 рублей дешевле сто
имости необходимой вам конфигурации сервера. Решение правильное.
Далее будет показано, как виртуализировать физический сервер.
Примечание. Если разместить свой физический сервер в ДЦ, то у
вас становится гораздо меньше головной боли и из всех расходов
остается стоимость colocation, стоимость ПО (если нужно) и зарпла
та администратору (именно тому человеку, который будет отвечать
за здоровье железа сервера). Конечно, спустя два года добавится и
стоимость технического обслуживания. Гарантия на узлы сервера со
ставляет как раз 2 года, а в составе сервера есть много механических
частей, которые могут выйти из строя, - вентиляторы, жесткие диски
ит.д.
В.3.4. Что лучше? Муки выбора
У виртуального сервера есть свои преимущества. Одно из них - простота
обслуживания. Администратор сервера не нужен как таковой, поскольку
34
Введение в виртуальные серверы
управление сервером, его конфигурацией осуществляется через удобную
панель управления, и вы можете в любой момент сотворить с ним все что
угодно. Например, модернизировать сервер, добавив модуль оперативной
памяти или дополнительный жесткий диск всего за пару кликов мышки.
Все это не требует каких-либо знаний и навыков, и справиться с подобными
задачами может любой пользователь, владеющий компьютером. Также ав
томатически создаются резервные копии сервера (или за дополнительную
плату, или бэкапы уже входят в тариф) и все, что нужно вам, - это настроить
их периодичность.
Также у вас не будет никаких волнений относительно выхода из строя ком
понентов сервера - если даже что-то и выйдет из строя, то, скорее всего, об
этом вы не узнаете. Во-первых, это проблемы провайдера, во-вторых,
современные системы обеспечения отказоустойчивости, применяемые в
дата-центрах, позволяют минимизировать возможные простои в работе сер
веров в случае выхода ’’железа” из строя.
Отдельного внимания заслуживает возможность создания снапшотов моментальных снимков сервера. Например, вы настраиваете сервер и перед
настройкой делаете снапшот. Если что-то пойдет не так, за считанные мину
ты вы сможете вернуть все, как было. Да, хранение снапшотов - это платная
функция, но она того стоит.
Клонирование сервера - это еще одна функция, которая достанется вам в
виде приятного бонуса, если вы арендуете виртуальный сервер. Обычным
пользователям она редко нужна, но пригодится интеграторам, которые про
дают типичные серверы своим клиентам. Все, что вам нужно, - сначала
создать эталонный сервер, а затем клонировать его для каждого клиента.
Максимум, что понадобится, - изменить некоторые настройки, ориентиро
ванные на клиента. Но это гораздо быстрее, чем создавать подобный сервер
с нуля.
Арендовать виртуальный сервер в большинстве случаев выгоднее, проще и
удобнее, чем связываться с физическим сервером. Сегодня, по сути, физи
ческое оборудование имеет смысл приобретать, если вы сами планируете
предоставлять виртуальные серверы в аренду. Во всех остальных случаях
можно обойтись виртуальным сервером.
Но есть и совершенно другие причины заполучить виртуальный сервер,
например тестирование. Пусть у нас есть работающий сервер и нам нужно
создать его виртуальную копию для всевозможных экспериментов. Такую
копию можно отдать, предположим, разработчикам ПО, чтобы не вносить
непроверенные изменения в production-сервер. Тогда разработчики могут
JL
Сервер на Windows и Linux
работать с виртуальным сервером, а вы будете спокойны, что ничего не сло
мается. Как только все будет готово, можно будет перенести на productionсервер измененные файлы. Покупать ради такого VDS не очень оправдано,
поскольку он стоит денег. Ведь можно уже на имеющемся сервере развер
нуть виртуальную машину и предоставить к ней доступ разработчикам. При
этом для вас данная операция будет совершенно бесплатной, если не считать
времени, затраченного на ее реализацию. Ну, почти бесплатной - если буде
те использовать бесплатное решение.
В большинстве случаев выбор гипервизора зависит от бюджета и от личных
предпочтений администратора. Например, администратору нравится VM
ware, но нет средств на его покупку, поэтому придется использовать бесплат
ное решение. Или уже используется какой-то гипервизор, тогда есть смысл
использовать именно его, а не разворачивать еще один. В последних двух
главах книги будет показано, как создать виртуальный сервер на базе ком
мерческого решения - VMware, а также бесплатного гипервизора - KVM.
36
Глава 1.
Управление серверами на
базе Windows Server
Сервер на Windows и Linux
Microsoft Windows Server 2019 — мощная, универсальная и полнофункцио
нальная серверная операционная система от Microsoft. В Microsoft уделяют
много внимания обратной совместимости, поэтому работа с предыдущими
версиями (Windows Server 2012 и Windows Server 2016) во многом схожа,
в том числе в управлении, настройке средств безопасности, сети и средств
хранения данных. Поэтому большую часть информации о Windows Server
2019 можно применить и к более старым выпускам этой ОС.
1.1. Знакомство с Windows Server 2019
Существуют различные выпуски Windows Server 2019. Все они поддержива
ют многоядерные процессоры. Важно указать, что компьютер может иметь
всего лишь один процессор (будем называть его физическим процессором),
но у него может быть восемь ядер (так называемые логические процессоры).
Если говорить о версии 2019, то существует три выпуска - Datacenter,
Standard и Essentials. Вкратце особенности этих выпусков приведены в табл.
1.1.
Таблица 1.1. Особенности выпусков Windows Server
Выпуск
Подходит для
Компоненты
Модель
лицензирования
Datacenter
Среды частного и общедо
ступного облака с высоким
уровнем виртуализации
Полный набор функци
ональных возможностей
Windows Server с неогра
ниченным количеством
виртуальных экземпляров
Ядро + CAL1
Client Access License - клиентская лицензия, позволяющая клиентам подключаться к серверу и использовать его сервисы
38
Глава I. Управление серверами на базе Windows Server
Standard
Essentials
Среды низкой плотности
или невиртуализированной
среды
Среды малого бизнеса для
серверов, имеющих не бо
лее двух процессоров
Полный набор функци
ональных возможностей
Windows Server с двумя
виртуальными экземпля
рами
Ядро + CAL
Упрощенный интерфейс,
предварительно настроен
ное взаимодействие с об
лачными службами, один
виртуальный экземпляр
основных компонентов
Сервер (ограниче
ние в 25 пользова
телей)
\
Примечание. Если вас интересуют подробности и вы желаете
больше различных цифр и опций, посетите следующую страничку:
https://docs.microsoft.com/en-us/windows-server/get-started-19/editions- |
comparison-19.
Windows Server 2019 — строго 64-разрядная операционная система (по сути,
она является полностью 64-разрядной, начиная с версии 2012). Поскольку
различные выпуски Windows Server поддерживают те же самые базовые
компоненты и обладают одинаковыми инструментами управления, допу
скается использовать методы, обсуждаемые в этой книге, независимо от ис
пользуемого выпуска Windows Server.
После установки ОС Windows Server нужно настроить систему в соответ
ствии с ее ролью в сети:
• Серверы — обычно являются частью рабочей группы или домена;
• Рабочие группы — группы компьютеров, в которых каждый компьютер
управляется отдельно;
• Домены — группы компьютеров, которыми можно управлять коллектив
но посредством контроллеров доменов, в роли которых может выступать
система на базе Windows Server. Такие системы управляют доступом к
сети, базе данных каталога и общим ресурсам.
39
При установке Windows Server 2019 на новую систему можно настроить как
обычный сервер (например, веб-сервер или файловый сервер), так и
контроллер домена или автономный сервер. Важно понимать разницу меж
ду этими типами серверов. Рядовые серверы являются частью домена, но не
хранят информацию каталога. Контроллеры домена отличаются от рядовых
серверов тем, что хранят информацию каталога, производят аутентифика
цию и предоставляют сервисы для домена. Автономные серверы не явля
ются частью домена. Поскольку у автономных серверов собственные базы
данных, они требуют отдельной аутентификации.
1.2.1. Работа с Active Directory
Операционная система Windows Server поддерживает модель репли
кации с несколькими хозяевами (multi-master), подразумевающую,
что любой контроллер домена может обрабатывать изменения ката
лога, затем эти изменения могут реплицироваться между остальными
контроллерами домена автоматически.
llllllllllllllllllltlllllllllllllHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIM
Windows Server распространяет всю информацию каталога, называемую
хранилищем данных. Внутри хранилища находятся наборы объектов, пред
ставляющих учетные записи пользователя, группы, компьютера, а также ин
формация об общих ресурсах — серверах, файлах и принтерах.
Домены, использующие Active Directory, также называются ActiveDirectoryдоменами. Хотя эти домены могут работать только на одном контроллере до
мена, обычно в сети есть несколько контроллеров. В этом случае если один
контроллер будет недоступен, остальные контроллеры домена смогут обра
батывать аутентификации и выполнять другие критические задачи.
Функциональность каталога обеспечивается целым семейством связанных
служб:
ф
40
Глава I. Управление серверами на базе Windows Server
• Службы сертификатов Active Directory (Active Directory Certificate
Services, AD CS). Предоставляют функциональность, необходимую для
выпуска и освобождения цифровых сертификатов пользователей, кли
ентских компьютеров и серверов. Служба AD CS использует центры
сертификации (СА), ответственные за подтверждение идентификации
пользователей и компьютеров, а также за выпуск сертификатов под
тверждения этих идентификационных данных. Домены обладают корпо
ративными корневыми сертификационными центрами, которые являются
сертификационными серверами на вершине сертификационной иерархии
для доменов и пользуются наибольшим доверием в корпоративной сети,
и подчиненные центры сертификации, которые являются членами суще
ствующей корпоративной сертификационной иерархии. Рабочие группы
имеют свои собственные автономные корневые сертификационные цен
тры, являющиеся сертификационными серверами на вершине некорпора
тивной сертификационной иерархии, а также автономные подчиненные
центры сертификации, которые являются членами существующей некор
поративной сертификационной иерархии.
• Доменные службы Active Directory (Active Directory Domain Services,
AD DS). Предоставляют службы каталогов, необходимые для установки
домена, включая хранилище данных, в котором содержится информация
об объектах в сети. Служба AD DS использует контроллеры домена для
управления доступом к сетевым ресурсам. Как только пользователи ау
тентифицировали себя при входе в домен, их учетные записи получают
доступ к ресурсам сети. Для краткости данную службу в этой книге мы
будем называть просто Active Directory (AD), поскольку она является ос
новной для работы каталога.
• Службы федерации Active Directory (Active Directory Federation
Services, AD FS). Дополняют функции аутентификации и управления
доступом AD DS, расширяя их до WWW. Как только служба AD FS
настроена, пользователи могут использовать свои цифровые идентифи
кационные данные для аутентификации в Web. Доступ к внутренним веб
приложениям осуществляется с помощью веб-браузера.
• Службы Active Directory облегченного доступа к каталогам (Active
Directory Lightweight Directory Services, AD LDS). Предоставляют хра
нилище данных для каталогозависимых приложений, которые не требу
ют AD DS и которые не должны размещаться на контроллерах доменов.
AD LDS не выполняется как служба операционной системы и может ис
пользоваться как в домене, так и в рабочей группе. Каждое приложение,
stWindows
которое работает на сервере, может иметь свое хранилище данных, реа
лизованное с помощью AD LDS.
• Службы управления правами Active Directory (Active Directory Right
Management Services, AD RMS). Предоставляют уровень защиты ин
формации организации, которая может распространяться за пределы кор
поративной сети, например, сообщения e-mail, документы, веб-страницы
интрасети — все это может быть защищено от несанкционированного
доступа. Служба AD RMS использует: сервис сертификации для выпу
ска правильных сертификатов учетных записей, позволяющих иденти
фицировать пользователей, группы и сервисы; службу лицензирования,
предоставляющую авторизированным пользователям, группам и серви
сам доступ к защищенной информации; сервис протоколирования, чтобы
контролировать и обслуживать службу управления правами. Как только
доверие будет установлено, пользователи с правильным сертификатом
учетной записи смогут получить права на доступ к информации, опреде
ляющие, какие пользователи могут получить доступ к информации и что
они смогут с ней сделать.
1.2.2. Контроллеры RODC
Контроллер домена только для чтения — дополнительный кон
троллер домена, содержащий копию хранилища данных AD, доступ
ную только для чтения. RODC идеально подходит для филиалов, где
не гарантирована физическая безопасность контроллера домена.
За исключением паролей, на RODC хранятся те же объекты и атрибуты, что
и на обычном (перезаписываемом) контроллере домена. Эти объекты и атри
буты реплицированы в RODC посредством однонаправленной репликации
от перезаписываемого контроллера домена, который работает как партнер
по репликации.
Поскольку RODC по умолчанию не хранят пароли или учетные данные,
кроме их собственной учетной записи компьютера и цели Kerberos (Kerbe
ros Target), RODC получает учетные записи пользователя и компьютера от
перезаписываемого контроллера домена, который работает под управлением
Windows Server. Если это разрешено политикой репликации пароля, задан-
42
Глава I. Управление серверами на базе Windows Server
ной на перезаписываемом контроллере домена, RODC получает и кэширует
учетные записи по мере необходимости, пока эти учетные данные не изме
нятся. Поскольку на RODC хранится только подмножество учетных запи
сей, это существенно сужает число учетных данных, которые могут быть
скомпрометированы.
1.2.3. Перезапускаемые доменные службы
IIIITI III IIIIIIIMII III lltllllll 111111111!1Н IIHHIIIIIIIIII HUH Hill IIIIIIIIIII III IItIII IIIItIII III 1НИ1Н1Г1IIIIIIHIIIIIILL
Перезапускаемые доменные службы Active Directory (Restartable
Active Directory Domain Services) — функция, позволяющая админи
стратору запускать и останавливать AD DS.
illlll|llllllllllllllllllllll(ll!lllllll!lltlllllllllltllllfl|l|llllllllllltlllllllllllllllllllll|lllllilllllllllllllllllllllllllllllllll|||||||lllllllll||llllll|llllllll|||||lll||l||l|ll|||||lllll|lllllll||lllllllllllllllllll|lllllllllllllllllllllllllllllllllllllllllllllillllllllllllllllllllllllll1IIIIIIIIIIIIHIIIIIIIIIIIllinilllll|ll|lllllllll^
Служба Доменные службы Active Directory (Active Directory Domain
Services) позволяет легко остановить и перезапустить AD DS, как и любую
другую службу, которая локально запущена на сервере. Пока служба До
менные службы Active Directory остановлена, можно выполнить задачи
по техническому обслуживанию, которые могут потребовать перезапуска
сервера, например оффлайн-дефрагментацию базы данных Active Directory,
применение обновлений операционной системы или инициирование авто
ритетного восстановления. При остановленной службе Доменные службы
Active Directory на сервере другие контроллеры домена могут обрабатывать
задачи аутентификации и входа в систему. Кэшируемые учетные данные,
смарт-карты и биометрические методы входа в систему все еще будут рабо
тать. Если же в сети нет других доступных контроллеров домена, ни один из
этих методов входа в систему работать не будет. Однако все еще можно будет
войти в систему сервера, используя режим восстановления служб каталогов
(Directory Services Restore Mode).
Контроллеры домена под управлением Windows Server могут находиться в
одном из трех состояний:
1. Active Directory запущен — в этом состоянии контроллер домена может
предоставлять услуги аутентификации и входа в систему для домена.
2. Active Directory остановлен — Active Directory остановлен, и контрол
лер домена больше не может предоставлять услуги аутентификации и
входа для домена. В этом режиме сохраняются некоторые характеристи-
Сервер на Windows и Linux
ки рядового сервера и контроллера домена в режиме DSRM (Directory
Services Restore Mode). Как рядовой сервер, этот сервер может присоеди
няться к домену. Пользователи могут входить интерактивно с помощью
кэшированных учетных данных, смарт-карт и биометрических методов
входа. Пользователи также могут входить по сети сиспользованием дру
гих контроллеров домена. База данных Active Directory на локальном кон
троллере домена находится в отключенном состоянии. Это означает, что
можно выполнять оффлайн-операции AD DS, например дефрагментацию
базы данных, обновление приложений без необходимости перезагрузки
контроллера домена.
3. Режим восстановления службы каталогов (Directory Services Restore
Mode) — Active Directory в режиме восстановления. В этом режиме раз
решается проводить авторитетное или неавторитетное восстановление
базы данных Active Directory.
1.3. Инструменты управления Windows Server
Для администрирования системы Windows Server доступно много инстру
ментов. Большинство утилит входит в состав следующих инструментов:
•
Панель управления — содержит набор утилит для управления конфигу
рацией системы. Организовать список этих утилит можно разными спо
собами.
•
Графические инструменты администратора — ключевые утилиты для
управления сетевыми компьютерами и их ресурсами. Получить доступ к
этим утилитам можно через программную группу Администрирование.
•
Административные мастера — утилиты, предназначенные для автома
тизации ключевых задач администратора. Доступ к большинству таких
утилит можно получить с помощью Диспетчера серверов — основной
административной консоли Windows Server.
• Утилиты командной строки — многие утилиты администратора можно
запустить из командной строки.
44
Глава 1. Управление серверами на базе Windows Server
1.4. Консоль ’’Диспетчер серверов”
Для осуществления базовых задач системного администрирования исполь
зуется консоль Диспетчер серверов (Server Manager). Эта консоль (далее
просто — Диспетчер серверов) позволяет произвести общую настройку и
задать параметры конфигурации локального сервера, управлять ролями,
компонентами на любом удаленно управляемом сервере предприятия.
Задачи, которые можно выполнить с помощью Диспетчера серверов, тако
вы:
• Добавление серверов для удаленного управления;
•
Инициирование удаленных соединений к серверам;
•
Настройка локального сервера;
•
Управление установленными ролями и компонентами;
•
Управление томами и общими ресурсами;
•
Настройка объединения сетевых адаптеров NIC (Network Interface Card);
•
Просмотр событий и предупреждений;
•
Перезапуск серверов.
Рис. 1.1. Диспетчер серверов
45
Сервер на W indims и I шп\
^ЯЦМН^ИЦ |J^ Whiduv;,
Диспетчер серверов идеально подходит для общего администрирования,
но также вам пригодится утилита для более точной настройки параметров
и свойств окружения. Речь идет об утилите Система2, которая используется
для:
•
Изменения имени компьютера;
• Настройки производительности приложений, виртуальной памяти и па
раметров реестра;
•
Управления переменными окружения пользователя и системы;
•
Настройки запуска системы и параметров восстановления.
1.5. Роли серверов, службы ролей и компоненты
Подготовка серверов происходит путем установки и настройки следующих
компонентов.
• Роли серверов - это связанный набор программных компонентов, позво
ляющих серверу осуществить определенные функции для пользователей
и других компьютеров сети. Компьютер может быть выделен для какойто определенной роли, например для роли Доменные службы Active
Directory - тогда он будет контроллером домена. При желании один и тот
же компьютер может выполнять несколько ролей.
• Службы ролей (или ролевые службы) - это программные компоненты,
обеспечивающие функциональность роли сервера. У каждой роли есть
одна или несколько ролевых служб. Некоторые роли, например DNSсервер или DHCP-сервер, выполняют одну функцию, и добавление роли
устанавливает эту функцию. Администратор может выбрать, какие служ
бы ролей нужно установить.
• Компоненты. Это программные компоненты, предоставляющие допол
нительную функциональность. Компоненты вроде Шифрование диска
Bit Locker и Система архивации данных Windows Server устанавлива
ются отдельно от ролей и ролевых служб. В зависимости от конфигура
ции компьютера компоненты могут быть установлены или отсутствовать.
Компоненты сервера подобны компонентам комплектации автомобилей:
Как и во всех других версиях Windows, проще всего вызвать эту утилиту с помощью щелчка правой кнопкой мыши на
элементе Этот компьютер в Проводнике - после этого из контекстного меню нужно выбрать команду Свойства
2
46
Глава 1. Управление серверами на базе Windows Server
хочешь, чтобы летом поездки были более комфортные, покупаешь авто
мобиль с климат-контролем; хочешь резервное копирование — устанав
ливаешь систему архивации данных.
Роли, ролевые службы и компоненты настраиваются с помощью Диспетче
ра серверов и Консоли управления Microsoft3. Некоторые роли, службы
ролей и компоненты зависят от других ролей, служб ролей и компонентов.
При установке ролей, служб ролей и компонентов Диспетчер серверов
запрашивает у администратора подтверждение на выполнение этого дей
ствия. Аналогично, при попытке удалить компонент, Диспетчер серверов
предупреждает администратора, что нельзя удалить этот компонент, пока не
будут удалены зависимая роль, служба роли или компонент. Все автомати
зировано, и вам не нужно помнить, от каких служб ролей зависит та или
иная роль - при установке роли необходимые службы будут установлены
автоматически.
Поскольку добавление или удаление ролей, служб ролей и компонентов мо
жет менять требования к аппаратным ресурсам (о системных требованиях
мы еще поговорим), необходимо внимательно планировать любые измене
ния в конфигурации и определять, как они отобразятся на общей производи
тельности сервера. Так как обычно хочется комбинировать дополнительные
роли, что увеличивает нагрузку на сервер, то придется, соответственно, оп
тимизировать аппаратные средства. Таблица 1.2 содержит обзор основных
ролей, доступных для размещения на сервере под управлением Windows
Server 2019.
Таблица 1.2. Основные роли и связанные ролевые службы
Роль
Службы сертифика
тов Active Directory
Описание
Предоставляют функции, необходимые для выпуска и отзыва циф
ровых сертификатов для пользователей, компьютеров клиентов и
серверов. Службы роли: Центр сертификации, Веб-служба политик
регистрации сертификатов, Веб-служба регистрации сертификатов,
Сетевой ответчик, Служба регистрации в центре сертификации че
рез Интернет, Служба регистрации на сетевых устройствах
Microsoft Management Console, ММС
Сервер на Windows и Linux
Доменные службы
Active Directory
Предоставляют функционал, необходимый для хранения информа
ции о пользователях, группах, компьютерах и других объектах сети.
Установка данной роли превращает компьютер в контроллер доме
на. Контроллеры домена Active Directory предоставляют пользовате
лям и компьютерам сети доступ к запрашиваемым ресурсам сети
Службы федерации
Active Directory
Производят аутентификацию и управление доступом для AD DS
путем расширения этих функций на WWW. Сервисы и подсервисы
роли: Службы федерации, Поддерживающий утверждение агент
AD FS 1.1, Агент Windows на основе токенов, Прокси-агент службы
федерации
Службы Active
Directory облег
ченного доступа к
каталогам
Предоставляют хранилище данных для каталогозависимых при
ложений, которые не требуют AD DS и размещения на контроллере
домена. Не требует дополнительных служб ролей
Службы управле
ния правами Active
Directory
Предоставляют контролируемый доступ к защищенным сообще
ниям e-mail, документам, страницам корпоративной сети и другим
типам файлов. Требуются службы: Сервер управления правами
Active Directory и Поддержка федерации удостоверений
Сервер приложений
Используется для размещения приложений, построенных с помо
щью ASP.NET, Enterprise Services и Microsoft .NET Framework 4.5.
Требует более 10 служб ролей
DHCP-сервер
Используется для централизованного управления IP-адресацией.
DHCP-серверы динамически назначают IP-адреса и другие TCP/IPпараметры другим компьютерам сети. Не требует дополнительных
ролевых служб
DNS-сервер
Реализует функционал DNS-сервера. Не требует дополнительных
ролевых служб
Факс-сервер
Используется для централизованного контроля над отправкой и
приемом факсов на предприятии. Факс-сервер может работать как
шлюз для факсов и позволяет управлять факс-ресурсами: заданиями
и отчетами, факс-устройствами на сервере или в сети. Не требует
дополнительных служб
Глава Г Управление серверами на базе Windows Server
Файловые службы
и службы храни
лища
Используется для управления файлами и хранилищем. Некоторые
роли требуют дополнительных типов файловых служб. Службы
роли: BranchCache для сетевых файлов, Дедупликация данных, Рас
пределенная файловая система, Пространства имен распределенной
файловой системы, Репликация DFS, Файловый сервер, Диспетчер
ресурсов файлового сервера, Конечный iSCSI-сервер, Загрузка цели
iSCSI и Storage Services
Hyper-V
Используется для создания и управления виртуальными машинами
и эмулирования физических компьютеров. На виртуальные машины
можно установить операционные системы, отличные от операцион
ной системы сервера
Службы политики
сети и доступа
Предоставляют службы для управления политиками сетевого досту
па. Ролевые сервисы: Сервер политики сети, Протокол авторизации
учетных данных узла и Центр регистрации работоспособности
Службы печати и
документов
Предоставляют службы для управления сетевыми принтерами, сете
выми сканерами и соответствующими драйверами. Ролевые серви
сы: Сервер печати, Печать через Интернет, Сервер распределенного
сканирования, Служба LPD
Удаленный доступ
Обеспечивает сервисы управления маршрутизацией и удаленным
доступом к сетям. Используйте эту роль, если необходимо настро
ить виртуальную частную сеть (VPN), трансляцию сетевых адресов
(NAT) и другие сервисы маршрутизации. Службы: DirectAccess и
VPN (RAS), Маршрутизация
Службы удаленных
рабочих столов
Предоставляют службы, позволяющие пользователям запускать
Windows-приложения, установленные на удаленном сервере. При
запуске пользователями сервиса на терминальном сервере весь про
цесс выполнения происходит на сервере, по сети передаются только
данные от приложения
Volume Activation
Services
Предоставляет службы для автоматического управления лицензион
ными ключами томов и активацией ключей томов
Веб-сервер (IIS)
Используется для размещения веб-сайтов и веб-приложений. Веб
сайты, размещаемые на веб-сервере, могут иметь статический и/или
динамический контент. Содержит около 10 служб ролей
Сервер на Windows и Linux
Служба развертыва
ния Windows
Предоставляет сервисы для размещения Windows-компьютеров на
предприятии. Службы ролей: Сервер развертывания, Транспортный
сервер
Службы Windows
Server
Предоставляет сервисы для Microsoft Update, разрешая предостав
лять обновления для определенных серверов
Таблица 1.3 содержит обзор основных компонентов операционной системы
Windows Server 2019. Обратите внимание, что далеко не все компоненты
устанавливаются по умолчанию. Наоборот, по умолчанию не устанавлива
ются даже очень важные компоненты, такие как система архивации данных.
Таблица 1.3. Основные компоненты Windows Server 2019
Компонент
Описание
Фоновая интеллектуальная
служба передачи (BITS)
Обеспечивает фоновую интеллектуальную передачу. После
установки этого компонента сервер может действовать как
BITS-сервер, который способен принимать загрузки файлов
от клиентов. Дополнительные подкомпоненты: Расширение
сервера IIS и Облегченный сервер загрузки
Шифрование диска BitLocker
Обеспечивает основанную на аппаратных средствах защиту
данных с помощью шифрования всего тома. Компьютеры,
оснащенные модулем Trusted Platform Module (TPM), могут
использовать Шифрование диска BitLocker в режиме Startup
Key или TPM-Only
Сетевая разблокировка
BitLocker
Позволяет автоматически разблокировать BitLockerзащищенные диски операционной системы, если присоеди
ненный к домену компьютер будет перезапущен. Обычно
при перезагрузке компьютера, если его жесткий диск за
шифрован с помощью BitLocker, нужно вводить пароль.
Этот компонент позволяет автоматически разблокировать
такие компьютеры без ввода пароля или каких-либо других
действий со стороны оператора. Однако данный компонент
работает только в домене AD и вне домена его использова
ние невозможно
BranchCache
Предоставляет функциональность, необходимую для клиен
тов и серверов BranchCache
50
Глава 1. Управление серверами на базе Windows Server
Клиент для NFS
Обеспечивает функциональность для доступа к файлам, на
ходящимся на NFS-серверах под управлением UNIX
Мост для центра обработки
данных
Поддерживает набор IEEE-стандартов для улучшения ло
кальных Ethernet-сетей путем обеспечения гарантированной
аппаратной пропускной способности
Enhanced Storage
Обеспечивает поддержку устройств Enhanced Storage
Отказоустойчивая класте
ризация
Позволяет нескольким серверам работать вместе для обе
спечения высокого уровня доступности ролей серверов.
Можно кластеризировать многие типы серверов, в том чис
ле файловый сервер и сервер печати. Серверы баз данных и
сообщений — отличные кандидаты для кластеризации
Управление групповой по
литикой
Устанавливает консоль управления групповой политикой
для централизованного администрирования групповой по
литики
Служба рукописного ввода
Обеспечивает использование ручки или стилуса, а также
распознавание рукописного ввода
Сервер управления IPадресами
Централизованно управляет пространством IP-адресов и
соответствующими серверами инфраструктуры
Клиент печати через Ин
тернет
Позволяет клиентам использовать протокол HTTP для печа
ти на принтерах, подключенных к веб-серверам печати
Служба iSNS-сервера
Предоставляет управление и функции сервера для iSCSIустройств. Позволяет серверу обрабатывать запросы
регистрации и дерегистрации, также запросы от iSCSIустройств
Монитор LPR-порта
Позволяет выполнять печать на принтерах, подключенных к
UNIX-компьютерам
Media Foundation
Обеспечивает необходимую функциональность для
Windows Media Foundation
51
Сервер на Windows и Linux
Очередь сообщений
Функции управления и сервер-функции для распределенной
очереди сообщений. Как правило, доступна группа допол
нительных подкомпонентов
Multipath I/O (МРЮ)
Обеспечивает функциональность, необходимую для исполь
зования путей данных к устройствам хранения данных
.NET Framework 4.5
Предоставляет API для разработки приложений. Допол
нительные подкомпоненты: .NET Framework 4.5, ASP.NET
4.5 и Windows Communication Foundation (WCF) Activation
Components
Балансировка сетевой
нагрузки (NLB)
Распределяет трафик между несколькими серверами по про
токолу TCP/IP. Идеальными кандидатами для балансировки
нагрузки являются веб-серверы
Протокол однорангового
разрешения имен (PNRP)
Предоставляет функциональность Link-Local Multicast
Name Resolution (LLMNR), обеспечивая тем самым одно
ранговое разрешение имен
QWave (Quality Windows
Audio Video Experience)
Сетевая платформа для передачи аудио/видео по домашним
сетям
Фреймворк для создания профилей соединений к удален
ным серверам и сетям
Удаленный помощник
Разрешает удаленному пользователю подключаться к серве
ру для обеспечения или получения удаленной помощи
Удаленное разностное
сжатие
Вычисляет и передает различия между двумя объектами
данных и минимизирует объем передаваемых данных
Средства удаленного ад
министрирования сервера
(RSAT)
Устанавливает средства управления ролями и компонента
ми, которые могут использоваться для удаленного админи
стрирования других Windows-серверов
RPC через НТТР-прокси
Предоставляет прокси для передачи RPC-сообщений от
клиентских приложений к серверам через НТТР-прокси.
RPC по HTTP — это альтернатива доступа клиента к серве
ру через частную сеть
Глава I. Управление серверами на базе Windows Server
4
Простые службы TCP/IP
Устанавливает дополнительные TCP/IP-сервисы, в том чис
ле Character Generator, Daytime, Discard, Echo и Quote of the
Day
SMTP-сервер
После установки этого компонента сервер может работать
как базовый SMTP-сервер4. В некоторых случаях этого до
статочно, в некоторых нужно будет установить полноцен
ный почтовый сервер вроде Microsoft Exchange Server
Служба SNMP
Протокол SNMP используется для централизованного
управления сетью, если в сети есть SNMP-совместимые
устройства. Также протокол SNMP применяется для мони
торинга сети с помощью программного обеспечения мони
торинга сети
Подсистема для UNIXприложений
Предоставляет возможность запуска UNIX-приложений.
Дополнительные инструменты управления доступны для
загрузки с сайта Microsoft (не рекомендуется использовать)
Клиент Telnet
Используется для подключения к удаленному Telnet-серверу
и запуска приложений на этом сервере
Сервер Telnet
Представляет функциональность Telnet-сервера. Это уста
ревшая технология, и протокол Telnet не обеспечивает шиф
рования передаваемых данных, что делает использование
небезопасным
Пользовательские интер
фейсы и инфраструктура
Позволяет контролировать параметры пользовательского
интерфейса (Графические средства управления и инфра
структура, Возможности рабочего стола, Графическая обо
лочка сервера)
Биометрическая платформа
Windows
Поддерживает устройства сканирования отпечатков пальцев
Внутренняя база данных
Windows
Реляционное хранилище данных, которое может быть ис
пользовано только функциями и ролями Windows Server,
например AD RMS, UDDI Services, WSUS, Windows SharePoint Services и WSRM
Windows PowerShell
Разрешает управлять функциями Windows PowerShellсервера. Windows PowerShell 3.0 и PowerShell ISE устанав
ливаются по умолчанию
SMTP — сетевой протокол для контроля, передачи и маршрутизации сообщений e-mail
Сервер на Windows и Linux
Windows PowerShell Web
Access
Превращает сервер в веб-шлюз для удаленного управления
серверами с помощью веб-браузера
Служба активации процес
сов Windows
Обеспечивает поддержку распределенных веб-приложений,
которые используют HTTP- и не-НТТР-протоколы
Стандартизированное
управление хранилищами
Windows
Позволяет обнаруживать запоминающие устройства, управ
лять ними и контролировать их работу. Предоставляет клас
сы для WMI и Windows PowerShell
Система архивации данных
Windows Server
Используется для резервного копирования и восстановле
ния операционной системы и любых данных, хранящихся
на сервере
Диспетчер системных ре
сурсов Windows (WSRM)
Позволяет управлять использованием ресурсов (не рекомен
дуется)
Фильтр Windows TIFF
IFilter
Используется для распознавания текста в файлах, соответ
ствующих стандарту TIFF 6.0
Расширение IIS WinRM
Позволяет серверу принимать запросы от клиента, исполь
зуя протокол WS-Management
WINS-сервер
Сервис разрешения имен, который сопоставляет имена ком
пьютеров их IP-адресам. Установка этого компонента пре
вращает компьютер в WINS-сервер
Служба беспроводной ло
кальной сети
Позволяет серверу использовать беспроводную сеть
Поддержка WoW64
Поддержка WoW64, необходимая для полной установки
сервера. Удаление этого компонента превращает полную
установку сервера в установку основных компонентов
Средство просмотра XPS
Программа для просмотра XPS-документов
54
Глава 1. У правление серверами па базе Windows Server
1.6. Установка Windows Server
Казалось бы, что можно рассказать об установке Windows Server? Ведь в
большинстве случаев вам не придется ее устанавливать:
• Если вы устроились в организацию с уже существующей инфраструкту
рой, Windows Server уже установлена.
• Если вы покупаете новый сервер, то, как правило, он уже будет постав
ляться с предустановленной ОС.
• Арендуемый виртуальный сервер также уже поставляется с предустанов
ленной ОС.
Конечно, есть и частные случаи. Первый - покупка сервера без операцион
ной системы. Такие серверы тоже продаются для экономии - вы покупаете
"железо" без "математики", а затем сами всю эту "математику" будете уста
навливать. Также возможно придется устанавливать Windows Server и в вир
туальную машину - не все облачные провайдеры предоставляют серверы с
установленной операционной системой.
1.6.1. Системные требования
В большинстве случаев то, что называется на данный момент "сервером",
способно выполнять Windows Server, которая отличается вполне неболь
шими по современным меркам системными требованиями. Но у вас могут
возникнуть задачи, когда вам необходимо знать системные требования
(например, при заказе виртуального сервера). Если речь идет об экономии,
тогда нужно выбирать Windows Server 2019 Essentials (далее мы поговорим
об этом выпуске), который отличается минимальными системными требо
ваниями:
• Процессор:
»
.
Производительность зависит не только от частоты процессора, но и
от количества ядер и размера кэша, учитывайте это при конфигуриро
вании сервера - восьмиядерная машина с меньшей рабочей частотой
будет работать быстрее, чем 4-ядерная с более высокой частотой.
55
Сервер на Windows и Linux
•
•
•
»
Минимальные требования к рабочей частоте - 1.4 ГГц, 64-бит.
»
Совместимость с набором команд х64.
»
Поддержка NX и DEP.
»
Поддержка CMPXCHG16b, LAHF/SAHF и PrefetchW.
»
Поддержка Second Level Address Translation (EPT или NPT).
^-^^
Оперативная память:
»
512 Мб для Essentials.
»
2 Гб для Standard.
»
ЕСС (Error Correcting Code) или аналогичная технология.
Контроллеры дискового пространства:
»
Компьютеры, на которых работает Windows Server 2016/2019, должны
включать адаптер с памятью, совместимый со спецификацией архи
тектуры PCI Express.
»
Интерфейс РАТА не поддерживается.
»
Windows Server 2016/2019 не работает с ATA/PATA/IDE/EIDE для за
грузки, подкачки и как с накопителями данных.
»
Предположительные минимальные требования к свободному про
странству на жестком диске для системных разделов - 32 Гб.
Сетевой адаптер:
»
Адаптер Ethernet с пропускной способностью от 1 Гбит/с.
»
Совместимость со спецификациями архитектуры PCI Express.
»
Поддержка Pre-boot Execution Environment (PXE).
»
Сетевой адаптер с поддержкой отладки сети (KDNet) может быть по
лезен, но не является минимальным необходимым условием.
•
DVD-привод (для установки с диска).
•
Система на базе UEFI 2.3.1с и прошивка, поддерживающая безопасную
загрузку.
•
Графическое устройство и монитор с разрешением Super VGA (1024 х
768) и выше (необязательно).
56
Глава 1. Управление серверами на базе Windows Server
•
Клавиатура и мышь (необязательно).
•
Подключение к Интернету (необязательно).
Примечание. Начиная с Windows Server 2016, жесткие диски РАТА
I (IDE, EIDE) больше не поддерживаются - ни для загрузки, ни для хра| нения данных. Если вам нужно работать с такими дисками, обратите
внимание на Windows Server 2012, где еще есть поддержка РАТА.
1.6.2. Минимальный выпуск Essentials
Как уже отмечалось ранее, для версии Windows Server 2019 доступны три
выпуска - Standard, Datacenter и Essentials. Выбор выпуска осуществляется
при установке операционной системы.
Windows Server 2019 Essentials - это серверная операционная
система для малого бизнеса с количеством пользователей до 25 и
устройств до 50. Ранее он назывался Small Business Server (SBS) или
Microsoft BackOffice Server.
Редакция Essentials ограничена в возможностях и вариантах лицензирования
и, соответственно, самая дешевая среди семейства. По словам Microsoft, из
дание Essentials ’’идеально подходит для малых предприятий с количеством
пользователей до 25 и 50 устройствами”. В Essentials отсутствуют ’’расши
ренные” функции, такие как поддержка службы миграции хранилищ (SMS),
которые доступны в выпусках Standard и Datacenter. Essentials также ограни
чена во многих аспектах.
ОС Windows Server 2019 Essentials поставляется по единой лицензии, кото
рая включает лицензии клиентского доступа CAL (до 25 пользователей / 50
устройств), имеет более низкую цену и возможность запуска традиционных
приложений и других функций, таких как совместная работа с файлами и
печатью.
Windows Server 2019 Essentials имеет те же лицензии и технические характе
ристики, что и ее предшественница Windows Server 2016 Essentials. Если она
57
С ервер на Windows и
!{ИИИИИЦ # w <
настроена как контроллер домена, то должна быть единственным контрол
лером домена, выполнять все роли мастера FSMO и не может иметь двусто
ронние отношения с другими доменами Active Directory. Другими словами,
вы можете сэкономить и выбрать выпуск Essentials - он сможет работать как
контроллер домена.
Windows Server 2019 Essentials включает в себя новую аппаратную под
держку и улучшения, такие как поддержка Azure Active Directory через AAD
Connect, новые опции Windows Server 2019 Standard, службы миграции па
мяти и другие. Windows Server 2019 Essentials не поддерживает резервное
копирование и удаленный доступ к сети.
1.6.3. Выпуски Standard и Datacenter
Основными продуктами семейства Windows Server 2019 являются Windows
Server 2019 Standard и Datacenter.
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIUIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
Windows Server 2019 Datacenter является наиболее полным вы*
пуском семейства продуктов Microsoft Server и, вместе с тем, самым
дорогим, по оценкам Microsoft.
tlllllllllllllllllllllllllllllllllllllllHIIIHIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIII..... IIIIIIIIIIHIIIIII .... .
Это отражает увеличение цены по сравнению с MSRP аналогичного сервера
версии 2016 года. Выпуск Datacenter будет примерно в 6 раз дороже выпуска
Standard. А вот выпуск Essentials будет примерно в два раза дешевле, чем
Standard.
Лицензия Datacenter предоставляет самый широкий набор функций и воз
можностей с наименьшим количеством лицензионных ограничений среди
всех выпусков Server. Например, все серверы, которые виртуализированы
на сервере Datacenter, лицензируются автоматически их хостом Datacenter,
учитывая, что хост-сервер и гостевые серверы имеют одинаковую версию.
Такие гости также могут быть автоматически активированы с помощью ак
тивации виртуальной машины (AVMA).
В Windows Server 2016 была представлена защищенная виртуальная машина
- новая функция, доступная только в выпуске Datacenter. В отличие от этого,
Host Guardian Service был доступен только в выпуске Datacenter Windows
Глава I. Управление серверами на базе Windows Server
Server 2016, хотя в выпуске Windows Server 2019 служба Host Guardian ста
ла доступна также и в Standard-версии. Хотя такое и происходит время от
времени, это не правило, а скорее исключение. В итоге: новые возможно
сти представлены в новых выпусках Windows Server, в то время как другие
функции отключены. Некоторые функции являются эксклюзивными для вы
пуска Datacenter, тогда как иногда такие функции становятся доступными
для более дешевых вариантов лицензирования.
I Windows Server 2019 Standard и Datacenter - это, по сути, один и тот же
| продукт, отличающийся друг от друга по функциям только благодаря
лицензированию.
Таким образом, выпуски Datacenter и Standard могут быть преобразованы
друг в друга после установки. Это можно сделать после активации, введя
ключ активации, который затем определяет и при необходимости преобра
зует Windows в соответствующую редакцию. Вкратце: Windows Server 2019
Datacenter может быть активирован в Standard и наоборот.
1.6.4. Server Core
Выпуски Datacenter и Standard могут быть установлены в режимах Server
Core и Desktop Experience (GUI).
Если выбрана установка Server Core, будет установлен пользовательский ин
терфейс с ограниченным окружением рабочего стола для локального управ
ления сервером. Этот минимальный интерфейс содержит:
•
Экран входа в систему, который служит для входа в систему и выхода
из нее;
• Редактор Блокнот (notepad.exe) для редактирования файлов;
•
Редактор реестра (regedit.exe) для управления реестром;
• Диспетчер задач (taskmgr.exe) для управления задачами и запуска новых
задач;
•
Утилиту Сведения о системе (msinfo32.exe) для получения системной
информации;
•
Установщик Windows (msiexec.exe);
•
Панель Дата и время (timedata.cpl) для просмотра/установки даты, вре
мени и часового пояса;
•
Панель Язык и региональные стандарты (intl.cpl) для просмотра/изменения региональных и языковых опций, в том числе форматов и рас
кладки клавиатуры;
•
Утилиту конфигурации сервера (sconfig), предоставляющую текстовое
меню для управления настройкой сервера.
При запуске сервера с основными серверными компонентами для входа в
систему можно использовать экран входа в систему, точно такой же есть на
сервере с полной установкой системы. В домене действуют стандартные
ограничения входа на серверы, и на сервер может войти только пользователь
с надлежащими правами и полномочиями входа. На серверах, не являющих
ся контроллерами домена, и серверах в рабочих группах можно использовать
команды NET USER (для добавления пользователей) и NET LOCALGROUP
для добавления пользователей в локальную группу для локального входа в
систему.
После входа в сервер на базе установки с основными серверными компо
нентами будет доступно ограниченное окружение (нет рабочего стола, есть
только окно командной строки) с командной строкой администратора. Ко
мандная строка используется для администрирования сервера. Если окно ко
мандной строки было нечаянно закрыто, открыть новое можно с помощью
следующих шагов:
1. Нажмите комбинацию клавиш ++ для запуска Дис
петчера задач.
2. Нажмите Подробнее, чтобы отобразить меню Диспетчера задач.
3. В меню Файл выберите команду Запустить новую задачу.
4. В окне Создание задачи введите cmd и нажмите кнопку ОК.
Глава 1. Управление серверами па базе Windows Server
Этот же способ можно использовать для запуска дополнительной команд
ной строки. Хотя можно запустить Блокнот и редактор реестра с помощью
команд notepad.exe и regedit.exe вместо cmd, есть возможность запустить
Блокнот и редактор реестра прямо из командной строки командами notepad,
ехе и regedit.exe.
Л IlllllltllllllllllllllllllllHlllllllllllllllll I I Hill III II I I II III
II I
II
I II И
I III
I II lllllllllllllllllllllll
I
II
I
I II I II
II
II I I I I I I I I
lilt
II II
Illi I llllllllllllllllllll
Утилита конфигурации сервера (sconfig) предоставляет текстовое
меню, позволяющее легко выполнить следующие операции (рис. 1.2):
IIIIIIIIIIIIIIIIIIIIII I II II II II I II II I II II II I I
И II I I
I II II I
IIIIIIIII
I Illi IIIIIII I IIIIII I I III I I
I
I
I I II II
I I I I
II
I
I
II
II I II II I II III I llllllllllll
• Настроить членство в домене или рабочей группе;
• Добавить локальную учетную запись администратора;
•
Настроить функции удаленного управления;
•
Настроить параметры Windows Update;
• Загрузить и установить обновления Windows;
•
Включить или отключить удаленный рабочий стол;
•
Настроить сетевые параметры TCP/IP;
•
Настроить дату и время;
•
Выйти из системы, перезагрузить компьютер и завершить работу
компьютера.
Рис. 1.2. Утилита sconfig
Сервер на Windows и Linux
После входа в систему отобразить экран входа в любой момент можно с по
мощью нажатия комбинации клавиш ++. В установке
сервера с основными серверными компонентами экран входа такой же, что
и в полной установке, пользователь может заблокировать компьютер, пере
ключить пользователей, выйти из системы, сменить пароль или запустить
диспетчер задач. В командной строке разрешается использовать все стан
дартные команды и утилиты командной строки, предназначенные для управ
ления сервером. Однако команды, утилиты и программы будут доступны,
только если они есть в установке сервера с основными серверными компо
нентами.
Таблица 1.4. содержит список полезных команд, которые вам наверняка при
годятся для администрирования Essentials-выпуска.
Таблица 1.4. Список полезных команд
Команда
Описание
Cscript Scregedit.wsf
Настраивает операционную систему. Исполь
зуйте параметр /cli для вывода доступных
областей настройки
Diskraid.exe
Настраивает программный RAID-массив
ipconfig /all
Выводит информацию о настройке IP-адреса
компьютера
Netdom RenameComputer
Устанавливает имя сервера
Netdom Join
Подключает сервер к домену
Netsh
Предоставляет контекст для управления кон
фигурацией сетевых компонентов. Введите
netsh interface ipv4 для настройки параметров
IPv4 или netsh interface ipv6 для настройки
IPv6
Ocsetup.exe
Добавляет или удаляет роли, ролевые серви
сы и компоненты
~
»
ф
Глава 1. Управление серверами па базе Windows Server
Pnputil.exe
Устанавливает или обновляет драйверы
устройств
Sc query type^driver
Выводит установленные драйверы устройств
Slmgr -ato
Средство Windows Software Licensing
Management, используется для активации
операционной системы. Запускает Cscript
slmgr. vbs -ato
Slmgr -ipk
Устанавливает или заменяет ключ продукта.
Запускает Cscript slmgr.vbs -ipk
Systeminfo
Выводит подробности конфигурации систе
мы
Wecutil.exe
Создает и управляет подписками на перена
правляемые события
Wevtutil.exe
Позволяет просматривать системные собы
тия
Winrm quickconfig
Настраивает сервер на прием запросов WSManagement от других компьютеров. Запу
скает Cscript winrm.vbs quickconfig
Wmic datafile where
name=”FullFilePath" get
version
Выводит версию файла
Wmic nicconfig index=9 call
enabledhcp
Настраивает компьютер на использование
динамического IP-адреса (вместо статическо
го IP)
Применяет обновление/исправление к опера
ционной системе
Также вам пригодятся базовые команды командной оболочки, представлен
ные в табл. 1.5. В обычном выпуске толку от них мало, поскольку там есть
полноценный интерфейс пользователя, а вот в Essentials они могут приго
диться.
Таблица 1.5. Базовые команды командной оболочки Windows
Команда
Описание
ARP
Отображает и модифицирует таблицы преобразования IPадресов в физические адреса с использованием протокола
ARP (Address Resolution Protocol)
ASSOC
Отображает и модифицирует привязку расширений файлов
ATTRIB
Показывает и изменяет атрибуты файлов
CALL
Вызывает один сценарий из другого
CD/CHDIR
Используется для отображения имени текущего каталога и
изменения текущего каталога
Глава I. Управление серверами на базе Windows Server
CHKDSK
Проверяет диск на наличие ошибок и отображает отчет
CHKNTFS
Показывает статус томов. Позволяет добавить/удалить том
из списка автоматической проверки, которая осуществляет
ся при запуске операционной системы
CHOICE
Создает список, из которого пользователи могут выбрать
один из нескольких вариантов (используется в пакетном
сценарии)
CLS
Очищает окно консоли
CMD
Запускает новый экземпляр окна командной строки
Windows
COLOR
Устанавливает цвет окна командной оболочки Windows
CONVERT
Конвертирует FAT-тома в NTFS
COPY
Копирует или комбинирует файлы
DATE
Отображает/устанавливает системную дату
DEL
Удаляет один или больше файлов
DIR
Отображает список файлов и подкаталогов заданного ката
лога
DISKPART
Вызывает командный интерпретатор, позволяющий управ
лять дисками, разделами и томами, используя отдельную
командную строку и внутренние команды DISKPART
DISM
Управляет образами Windows
DOSKEY
Используется для создания макросов, состоящих из команд
Windows
65
ECHO
Отображает сообщения, а также переключает режим ото
бражения команд на экране
ENDLOCAL
Завершение локализации окружения в пакетном файле
ERASE
Стирает один или более файлов
EXIT
Выход из командного интерпретатора
EXPAND
Разархивирует файлы
FIND
Производит поиск текстовой строки в файлах
FOR
Запускает указанную команду для каждого файла из набора
файлов
FORMAT
Форматирует дискету или жесткий диск
FTP
Передает файлы
FTYPE
Отображает/изменяет типы файлов, используемые в ассоци
ации расширений
GOTO
Передает управление содержащей метку строке командного
файла
HOSTNAME
Выводит имя компьютера
IF
Осуществляет проверку условия в пакетных программах
IPCONFIG
Отображает конфигурацию TCP/IP
LABEL
Создает, изменяет или удаляет информацию о томе диска
Глава I Управление серверами на базе W indows Server
MD/MKDIR
Создает каталог или подкаталог
MORE
Поэкранно выводит данные
MOUNTVOL
Управляет точкой монтирования тома
MOVE
Перемещает файлы из одного каталога в другой на одном и
том же диске
NBTSTAT
Отображает статус NetBIOS
NET ACCOUNTS
Управляет учетной записью пользователя и политиками
паролей
NET COMPUTER
Добавляет/удаляет компьютер в домен или из домена
NET CONFIG
SERVER
Отображает/модифицирует конфигурацию службы Сервер
NET CONFIG
WORKSTATION
Отображает/модифицирует конфигурацию службы Рабочая
станция
NET CONTINUE
Возобновляет работу приостановленной службы
NET FILE
Отображает открытые файлы на сервере или управляет ими
NET GROUP
Показывает глобальные группы или управляет ими
NET LOCALGROUP
Показывает локальные группы или управляет ими
NET NAME
Отображает/модифицирует получателей для службы со
общений
NET PAUSE
Приостанавливает службу
67
Сервер на Windows и
лил
NET PRINT
Отображает/модифицирует задания печати и управляет оче
редью печати
NET SEND
Отправляет сообщение с использованием службы сообще
ний
NET SESSION
Показывает или завершает установленные сеансы
NET SHARE
Показывает общие принтеры и каталоги или управляет ими
NET START
Запускает сетевые сервисы или отображает запущенные
сервисы
Открывает отдельную командную оболочку, позволяющую
управлять конфигурацией разных сетевых сервисов на ло
кальном и удаленном компьютерах
NETSTAT
Отображает статус сетевых соединений
PATH
Отображает или устанавливает путь поиска исполняемых
файлов в текущем командном окне
PATHPING
Трассирует маршрут и предоставляет информацию о потере
пакетов
......................
ф
Глава 1. Управление серверами на базе Windows Server
PAUSE
Приостанавливает обработку сценария и ждет ввод с клави
атуры
PING
Определяет, установлено ли сетевое соединение
POPD
Переходит в каталог, сохраненный командой PUSHD
PRINT
Выводит текстовый файл
PROMPT
Изменяет приглашение командной строки Windows
PUSHD
Сохраняет текущий каталог, а затем переходит в указанный
каталог
RD/RMDIR
Удаляет каталог
RECOVER
Восстанавливает информацию на поврежденном диске
REG ADD
Добавляет новый подключ или запись в реестр
REG COMPARE
Сравнивает подключи или записи реестра
REG COPY
Копирует запись реестра на локальной или удаленной ма
шине
REG DELETE
Удаляет подключ или записи из реестра
REG QUERY
Отображает элементы ключа реестра и имена подключей
(если они есть)
REG RESTORE
Записывает сохраненные подключи и записи обратно в ре
естр
REG SAVE
Сохраняет копию указанных подключей, элементов и их
значений в файл
Сервер на Windows и Linux
88-Windows
REGSVR32
Регистрирует и отменяет регистрацию DLL-библиотеки
REM
Добавляет комментарии в сценарии
REN
Переименовывает файл
ROUTE
Управляет таблицами сетевой маршрутизации
SET
Отображает или модифицирует переменные окружения
Windows. Также используется для вычисления числовых
выражений в командной строке
SETLOCAL
Начинает локализацию окружения в пакетном файле
SFC
Сканирует и проверяет защищенные системой файлы
SHIFT
Смещает подставляемые параметры для пакетного файла
START
Запускает новое окно командной строки и запускает в нем
указанную программу или команду
SUBST
Сопоставляет букву диска указанному пути
TIME
Отображает или устанавливает системное время
TITLE
Устанавливает заголовок окна командной строки
TRACERT
Отображает путь между компьютерами
TYPE
Показывает содержимое текстового файла
VER
Отображает версию Windows
^|ава 1 Управление серверами на базе Windows Server
VERIFY
Включает или отключает режим проверки правильности
записи файлов на диск
VOL
Отображает метку тома диска и серийный номер
Чтобы конвертировать полную установку в установку с минимальным гра
фическим интерфейсом, нужно удалить компонент Графическая оболочка
сервера. Хотя можно использовать мастер удаления ролей и компонентов,
данную операцию можно выполнить с помощью команды PowerShell:^
Чтобы конвертировать установку с минимальным интерфейсом в полную
установку, нужно добавить компонент Графическая оболочка сервера:
install—windowsfeature server-gui-shell -restart
Эта команда устанавливает компонент Графическая оболочка сервера и
перезапускает сервер для завершения установки. Если также нужно доба
вить компонент Возможности рабочего стола, используйте этукоманду
вместо предыдущей:^
1.6.5. Процесс установки Windows Server
Перед началом установки необходимо решить, нужно ли проверить и деф
рагментировать диски и разделы компьютера перед началом установки. При
желании использовать средства программы установки для создания и фор
матирования разделов необходимо загрузить компьютер с дистрибутивного
диска. Если загрузка произведена иным способом, эти средства не будут
доступны и управлять разделами можно будет только из командной строки,
используя утилиту DiskPart.
71
Сервер на Windows и Linux
Для осуществления чистой установки Windows Server 2019 выполните сле
дующие действия:
1. Загрузитесь с дистрибутивного диска. Для этого нужно вставить
дистрибутивный диск в DVD-привод (при желании можно подготовить
загрузочный USB-диск) и выполнить перезагрузку системы. Если про
цесс загрузки с дистрибутивного диска не начался, значит нужно изме
нить параметры BIOS SETUP - выбрать загрузку с дистрибутивного диска.
2. При запуске компьютера с использованием дистрибутивного носителя
выберите язык, форматы времени и валюты, а также раскладку клавиа
туры (рис. 1.3). Когда будете готовы начать установку, нажмите кнопку
Далее.
3. Нажмите кнопку Установить для начала установки.
4. В корпоративных выпусках ОС Windows Server 2019 не нужно вводить
ключ продукта. Однако в OEM-версиях следует ввести ключ продукта,
как только инсталлятор попросит это сделать (рис. 1.4).
5. На странице Выберите операционную систему, которую вы хотите
установить выберите нужный вам выпуск операционной системы (рис.
1.5). В зависимости от инсталляционного диска в этом же окне произво
дится выбор варианта Server Core/Desktop Experience.
6. Лицензионное соглашение Windows Server 2019 отличается от предыду
щих версий Windows. Прочитайте его, отметьте флажок Я принимаю ус
ловия лицензии и нажмите кнопку Далее.
7. На странице Выберите тип установки выберите тип установки, которую
необходимо осуществить. Поскольку выполняется чистая установка, для
замены существующей инсталляции или для настройки нового компью
тера нажмите кнопку Выборочная: только установка Windows (для
опытных пользователей). Если компьютер загружен с дистрибутивного
диска, кнопка Обновление (Upgrade) будет недоступна.
8. На странице Где вы хотите установить Windows? выберите диск или
раздел диска (рис. 1.6), на который необходимо установить операцион
ную систему. Существуют две версии этой страницы, поэтому нужно
иметь в виду следующее:
»
72
Когда у компьютера есть один жесткий диск с одним разделом на весь
диск или одной областью нераспределенного пространства, указыва
ют весь диск, и можно нажать кнопку Далее для выбора этого диска
в качестве назначения установки. Инсталлятор автоматически создаст
новые разделы при необходимости.
»
Когда у компьютера имеется несколько дисков или один диск с
несколькими разделами, нужно либо выбрать существующий раздел
для установки операционной системы, либо создать новый раздел.
»
Нельзя выбрать диск, использующий файловую систему FAT/FAT32.
Также нельзя отформатировать диск в этой файловой системе. Если
раздел, на который планируется установить Windows Server, отформа
тирован как FAT32, нужно конвертировать его в NTFS, нажав кнопку
Форматировать (в этом случае все данные будут потеряны) или с по
мощью специальных утилит, выполняющих преобразование файло
вых систем.
9. Дождитесь завершения установки (рис. 1.7). Компьютер будет перезагру
жен автоматически.
10.После перезагрузки вам будет предложено установить пароль для локаль
ной учетной записи администратора (рис. 1.8). После этого вы увидите
окно входа в систему: нажмите Ctrl + Alt + Del и, используя имя Админи
стратор и только что указанный пароль, войдите в систему.
Рис. 1.3. Выбор языка и других параметров локализации
Рис. 1.4. Ввод лицензионного ключа
Рис. 1.5. Выбор выпуска Hindoos Server
Глава 1. Управление серверами на базе Windows Server
0 ^ Уст»имк» Window:
Где вы хотите установить Windows?
Файл
Общий ₽«i.
Г&Т Н***и,^,,Ч|^^^т*9*^Аи*'»в
^Обноеиг»
^ крутит»
1 — -^
^.^ЛИЛ
60ЙГ6
^£ t1
Рис. 1.13. Выбор типа установки
1^ Мастер добавления ролей и компонентов
КОНЕЧНЫЙ СЕРВЕР
WIN-IGQG8ECFFJS
Выбор целевого сервера
Перед началом работы
Выберите сервер или виртуальный жесткий диск, на котором будут установлены роли и
компоненты
Тип установки
Выбор
;
• Утмсччмь ■ [
Отмена
Рис. 1.14. Выбор сервера: Windows Server 2019 поддерживает серверы под управ
лением Windows Server 2019, 2016 и 2012
4. На странице Выбор ролей сервера выберите одну или несколько ролей
для установки. Если для установки роли требуются дополнительные ком
поненты, будет отображено дополнительное диалоговое окно. Нажмите
кнопку Добавить компоненты для добавления необходимых компонен
тов в инсталляцию сервера. Нажмите кнопку Далее для продолжения.
87
Ж^0^0^
Сервер на Windows и Linux
Если вам нужно установить компонент сервера, не обязательно выбирать
какую-либо роль. Например, для установки компонента Система архи
вации данных Windows Server на странице Выбор ролей сервера ниче
го не выбирайте, а просто нажмите Далее, а на следующей странице уже
выберите необходимый компонент.
На Мастер добавления ролей и компонентов
КОНЕЧНОЙ СЕРВЕР
WHjGQGBECFFJS
Выбор ролей сервера
Выберите одну или несколько ролей для установки на этом сервере.
Тип установки
Описание
Выбор сервера
Компоненты
DHCP-сервер позволяет
□ DNS-сервер
П Hyper-V
централизованно настраивать
Г] Аттестация работоспособности устройств
с ними данные, предоставлять их
□ Веб-сервер (HS)
□ Доменные службы Active Directory
клиентским компьютерам, а также
управлять ими.
временные if3-адреса и связанные
Г1 Служба опекуна узла
О Службы Active Directory облегченного доступа к
Q Службы Windows Server Update Services
П Службы активации корпоративных лицензий
О Службы печати и документов
Q Службы политики сети и доступа
Q Службы развертывания Windows
□ Службы сертификатов Active Directory
Q Службы удаленных рабочих столов
О Службы управления правами Active Directory
П Службы федерации Active Directory
Q Удаленный доступ
г |i Файловые службы и службы хранилища (Устанс
Рис. 1.15. Выбор ролей сервера
5. На странице Выбор компонентов выберите один или несколько компо
нентов для установки (рис. 1.16). Если нужно установить дополнитель
ные компоненты, от которых зависит устанавливаемый компонент, будет
отображено соответствующее диалоговое окно. Нажмите кнопку Доба
вить компоненты для закрытия этого окна и установки требуемых ком
понентов на сервер. По окончании выбора компонентов нажмите кнопку
Далее.
6. В случае с некоторыми ролями будут показаны дополнительные страни
цы мастера, на которых нужно будет предоставить дополнительную ин
формацию относительно использования и настройки роли. Также можно
установить дополнительные ролевые службы как часть роли.
88
Глава I. Управление серверами на базе Windows Server
Ц& Мастер добавления ролей и компонентов
КОНЕЧНЫЙ СЕРВЕР
WIN-IGCGBECFWS
Выбор компонентов
Выберите один или несколько компонентов для установки из этом сервере.
Тип установки
Компоненты
Описание
Выбор сервера
Роли сервера
Подтверждение
[Л
О
□
-✓
Ц
Provides services to collect and
archive Windows Server system data.
System insights
’etnet Client
TFTP Client
Windows Defender Antivirus (Установлено)
Windows Identity Foundation 3.5
[■i Windows PowerShell (Установлено 3 из 5)
ГП Windows TIFF (Filter
Q WfNS-cepsep
V KPS Viewer (Установлено)
[j Балансировка сетевой нагрузки
С Биометрическая платформа Windows
L1
Q
О
С
Q
С
[И
Виртуализации сети
Внутренняя база данных Windows
Внутрипроцессное веб-ядро IIS
Качество обслуживания ввода-вывода
Клиент для NFS
Клиент печати через Интернет
Монитор LPR-оорта
|
< Назад
■
Далее >
Рис. 1.16. Выбор компонентов: установка системы архивации
7. На странице Подтверждение установки компонентов щелкните по
ссылке Экспорт параметров конфигурации для создания отчета уста
новки, который можно просмотреть в Internet Explorer (рис. 1.17).
^ Мастер добавления ролей и компонентов
КОНЕЧНЫЙ СЕРВЕР
WIN-LGOGBECFFJS
Подтверждение установки компонентов
Перед началом работы
Чтобы установить на выбранном сервере следующие роли, службы ролей или компоненты,
нажмите кнопку ’Установить”.
Тип установки
Выбор сервера
Рож сервера
Компоненты
rX.^T^I*^^.!’®₽^!WK*S^.^&^
На этой странице могут быть отображены дополнительные компоненты (например, средства
администрирования), так как они были выбраны автоматически. Если вы не хотите устанавливать
эти дополнительные компоненты, нажмите кнопку “Назад', чтобы снять их флажки.
: Система архивации данных Windows Server
Экспорт параметров конфигурации
Указать альтернативный исходный путь
«Назад
> че
установись
Рис. 1.17. Подтверждение установки компонентов
Отмена
’
Сервер на Windows и Linux
8. Для начала установки нажмите кнопку Установить. Если нужно, вклю
чите параметр Автоматический перезапуск конечного сервера, если
требуется. Будьте осторожны с этой опцией при установке компонента/
роли на реальный работающий сервер. Вполне вероятно, его перезапуск
возможен только вне бизнес-времени - тогда можно будет не перезагру
жать сервер сразу, а сделать это позже - вручную.
9. О завершении установки выбранных ролей и компонентов сообщит стра
ница Ход установки (рис. 1.18). Просмотрите подробности установки
и убедитесь, что все фазы инсталляции завершены успешно. Нажмите
кнопку Закрыть.
HU Мастер добавления ролей и компонентов
-
□
X
КОНЕЧНЫЙ СЕРВЕР
WlN-lGOGBECWS
Ход установки
Просмотр хода установки
0)
Установка компонента
«■мвмямммаа
Установка выполнена на Wihl-LGOGBECFRS.
Система архивации данных Windows Server
ц
Этот мастер можно закрыть, не прерывая выполняющиеся задачи. Наблюдайте за ходом
выполнения задачи или откройте эту страницу снова, выбрав на панели команд пункт
' Уведомления', а затем ’ Сведения о задаче".
Экспорт параметров конфигурации
• г^Л
^“"
Г w* 1 -^ч
Рис. 1.18. Компонент установлен
Для удаления роли сервера или компонента в меню Управление выберите
команду Удалить роли и компоненты. Далее нужно использовать
мастер удаления ролей и компонентов аналогично установке роли/компонента, только нужно галочку в списке роли/компонента не устанавливать, а
снимать. Все предельно просто.
ф
Глава 2.
Мониторинг процессов,
сервисов и событий
Сервер на Windows и Linux
Администратору нужно тщательно присматривать за сетевыми системами
сервера. Состояние использования системных ресурсов может измениться
в любой момент и вовсе не в лучшую сторону. Службы могут перестать ра
ботать. В файловых системах может закончиться свободное пространство.
Приложения могут порождать исключительные ситуации, что приведет к
системным проблемам. Неавторизованные пользователи будут пытаться по
лучить несанкционированный доступ. Методы, рассмотренные в этой главе,
помогут идентифицировать и разрешить эти и другие системные проблемы.
2.1. Управление процессами и приложениями
Когда вы запускаете приложение или вводите команду в командной строке,
операционная система запускает один или более процессов. Все запускае
мые процессы называются интерактивными, поскольку пользователь вза
имодействует с ними с помощью клавиатуры или мыши. Если приложение
(или программа) активно и выбрано, интерактивный процесс контролирует
клавиатуру и мышь, пока пользователь не завершит программу или не вы
берет другую.
Однако процесс может работать и в фоновом режиме, такие процессы на
зывают фоновыми.
$2
Глава 2. Мониторинг процессов, сервисов и событий
Фоновые процессы могут выполняться независимо от пользова
тельского сеанса; обычно такие процессы запускает сама операцион
ная система.
Пример такого фонового процесса — задание планировщика, которое за
пускает сама операционная система. В этом случае пользователь говорит
системе, что ей нужно выполнить команду в указанное время.
2.1.1. Диспетчер задач
Для управления системными процессами и приложениями используется
Диспетчер задач. Есть несколько способов открыть Диспетчер задач в
Windows Server 2019:
• С помощью комбинации клавиш Ctrl + Shift + Esc.
• С помощью щелчка правой кнопки мыши на кнопке открытия главного
меню (ранее кнопка Пуск) - в появившемся меню нужно выбрать коман
ду Диспетчер задач.
• С помощью команды taskmgr (ее можно ввести в командной строке, в
окне Выполнить, которое появляется при нажатии комбинации Win + R,
или в любом другом средстве запуска приложений).
Вкладка ’’Процессы”
У диспетчера задач есть два представления:
1. Сводка — перечисляются только приложения, запущенные в интерак
тивном режиме, что позволяет быстро выбирать такие приложения.
2. Подробный вид — расширенное предоставление, где есть дополнитель
ные вкладки, которые можно использовать для получения информации
обо всех запущенных процессах, производительности системы, подклю
ченных пользователях и настроенных службах.
Сервер на Windows и Linux
Находясь в первом представлении, переключиться во второе представление
можно нажатием кнопки Подробнее. Для переключения со второго пред
ставления в первое используется кнопка Меньше. При повторном открытии
диспетчера задач он будет находиться в последнем выбранном представле
нии.
Для администратора представляет интерес именно расширенное представ
ление. В нем есть несколько вкладок (рис. 2.1), позволяющих работать с за
пущенными процессами, производительностью системы, подключенными
пользователями и настроенными службами. Вкладка Процессы, также по
казанная на рис. 2.1, показывает общий статус процессов. Процессы группи
руются по типу и выводятся в алфавитном порядке в пределах каждого типа.
Есть три общих типа процессов:
1. Приложения — процессы, запущенные в интерактивном режиме;
2. Фоновые процессы — процессы, работающие в фоновом режиме;
3. Процессы Windows — процессы, запускаемые операционной системой.
ЙР Диспетчер задач
Файл
—
□
X
Параметры Вид
Процессы Производительность Пользователи Подробности Службы
Л
: Состояние
Имя
5%
63%
ЦП
Память
Приложения (4)
>
^ Server Manager
0,6%
152,0МБ
>
^ Диспетчер задач
1,2%
14,8МБ
>
0 Параметры
0%
19,2МБ
>
п Проводник
0%
22.1МБ
ВЗ Antimalware Service Executable
0%
161.2МБ
® Application Frame Host
0%
El COM Surrogate
0%
® COM Surrogate
0%
3.1МБ
^ CTF-загрузчик
0%
3,7МБ
Фоновые процессы (25)
>
>
/
4,7МБ
го мб
Меньше
Рис. 2.1. Диспетчер задач в расширенном представлении
I LUM.! Moilll I 01)11111 IIpOHCCCOB. CCpBIICOB II СООЫ I IIII
При просмотре списка процессов учитывайте следующее:
• Многие Windows-процессы также группируются по узлу службы, под
управлением которой они работают. Узлы службы могут быть такими:
Локальная служба, Локальная система, Сетевая служба. В круглых скоб
ках указывается число сгруппированных процессов. Чтобы просмотреть
фактические процессы, можно развернуть узел. В меню Вид есть коман
да Развернуть все для разворачивания всех групп процессов для более
простого просмотра.
• В меню Вид также есть команда Группировать по типу, определяющая,
будут ли процессы группироваться по типу или выводиться просто в ал
фавитном порядке.
• Также заметьте, что можно запустить программу прямо из диспетчера за
дач. Для этого в меню Файл выберите команду Запустить новую зада
чу. В появившемся окне у вас будет возможность выбрать исполняемый
файл программы и запустить задачу с правами администратора.
• Колонка Состояние показывает, выполняется ли приложение или же
остановлено. Если в этой колонке ничего нет, это означает нормальное
выполнение процесса. Любое другое значение в этой колонке свиде
тельствует о наличии какой-то проблемы, например, приложение мо
жет «зависнуть», и администратору придется завершить соответству
ющую ему задачу. Однако некоторые приложения могут не отвечать на
запросы системы во время интенсивных вычислений. Поэтому перед
завершением задачи убедитесь, что приложение действительно завис
ло.
Для завершения процесса нужно выбрать его и нажать кнопку Снять зада
чу. Однако не нужно пытаться завершить работу Windows-процессов с по
мощью этой кнопки. При попытке остановить Windows-процесс или груп
пу процессов диспетчер задач отобразит предупреждение, что завершение
данного процесса может привести к нестабильной работе системы и даже
завершению работы. Чтобы продолжить, нужно установить флажок Не
сохранять данные и завершить работу и нажать кнопку Завершить ра
боту.
9
95
Сервер на Windows и Linux
lllllllllllllllllllllllllllllllllll II II I Illi I I I II Illi Illi I Illi I I I II Illi I II II II II I I I I Illi llllll 1111 II nil lllll II I II III lllllll I II II II III III lllllllll I llllllllllllllllllllllll I Illi III lllll II II II II II II llllllllllllllll I Mini Illi III I II I lllllllinillllllll lllllllllll lllllll lllllllllllllll
Примечание. Учтите, что даже администратор не может завершить
некоторые системные процессы. Например, при попытке завершить
процесс Antimalware Service Executable (процесс антивируса) вы полу
чите сообщение «Отказано в доступе». Чтобы выключить временно
антивирус, откройте окно Параметры, перейдите в раздел Безопас
ность Windows, нажмите кнопку Открыть службу «Безопасность
Windows», перейдите в раздел Защита от вирусов и угроз, щелкните
по ссылке Управление настройками, выключите параметр Защита в
режиме реального времени (рис. 2.2). Только так можно отключить
антивирус Защитник Windows. Немного запутанно, но другого способа
нет.
Allllllllllllllllllllllillllllllllllllllllllllllllllllllllllllillllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllilllllllllllllllllillllllllillllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllillllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllll
Параметры
Безопасность Windows
Bi
пр
уст
Обновление и безопасность
у Параметры защиты от вирусов и
других угроз
Просмотрите и обновите параметры защиты от вирусов и угроз для
антивирусной программы 'Защитника Windows ’.
Центр обновления Windows
01
Оптимизация доставки
Защита в режиме реального времени
Обнаруживает и останавливает установку или запуск вредоносных
программ на вашем устройстве. Можно на короткое время отключить
этот параметр, после чего он будет снова включен автоматически.
Обеспечивает улучшенную и ускоренную защиту благодаря доступу к
новейшим данным о защите в облаке. Для наилучшего результата
рекомендуется включить функцию автоматической отправки
За
Windows прэдщтаеляет параметр
Рис. 2.2. Отключение процесса антивируса
Другие колонки вкладки Процессы предоставляют дополнительную инфор
мацию о выполнении процессов. Эти сведения можно использовать, чтобы
определить, какие процессы потребляют больше всего системных ресурсов.
По умолчанию на вкладке отображаются только столбцы ЦП и Память, но
добавить дополнительные можно, щелкнув правой кнопкой мыши по лю
бому заголовку и затем выбрав нужный столбец из появившегося меню. В
дополнение к названию и состоянию, доступны следующие столбцы:
Глава 2. Мони торинг процессов, сервисов и событий
• ЦП — процент использования процессора текущим процессом (по всем
ядрам). Значение в заголовке — общее использование процессора (по
всем ядрам) всеми запущенными процессами;
• Память — общий объем памяти, зарезервированный для процесса. Зна
чение в заголовке столбца — общее использование физической памяти
сервером;
• Командная строка — полный путь к исполняемому файлу процесса, а
также любые переданные при запуске аргументы;
• ИД процесса — числовой идентификатор процесса;
• Имя процесса — имя процесса или исполняемого файла процесса;
• Издатель — название издателя процесса, например Microsoft Corporation;
• Тип — тип процесса (приложение, фоновый процесс, Windows-процесс).
Эта информация полезна, если опция Группировать по типу в меню Вид
выключена.
Щелчок правой кнопкой мыши по процессу отображает контекстное меню
действий над ним:
• Снять задачу — завешает задачу приложения;
•
Создать файл дампа — создает файл дампа для отладки;
• Подробно — открывает страницу Подробности и отображает на ней
выбранный процесс;
•
Открыть расположение файла — открывает папку, в которой находится
исполняемый файл процесса;
•
Свойства — открывает окно Свойства для соответствующего исполня
емого файла процесса.
Вкладка "Подробности". Изменение приоритета процесса
^llllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllIIIlllllllllllllllllllIlliIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIH
Вкладка Подробности диспетчера задач (рис. 2.3) предоставляет
подробную информацию о запущенных процессах.
97
^нН^НННННП^/tnd^
Сервер на Windows и Linux
Столбцы, по умолчанию отображаемые на этой вкладке, подобны тем, ко
торые отображаются на вкладке Процессы. Колонка Виртуализация UAC
отображает состояние виртуализации UAC (User Account Control) для опре
деленного процесса.
® Диспетчер задач
Файл
Параметры
Дид
Процессы Производительность Пользователи Подробности Службы
Имя
Ш AppiicatsonFrameHo...
ИД а..
Состояние
Имя пользователя
ЦП
1836
Выполняется
Администратор
ое
Память (активн
Виртуализация МАС
3 616 К
Не разрешено
rSrscsfss.exe
380
Выполняется
СИСТЕМА
00
1 384 К
Не разрешено
H3csrss.exe
gjfctfnnon.exe
460
Выполняется
00
1 392 К
Не разрешено
772
Выполняется
СИСТЕМА
Администратор
00
3 832 К
Не разрешено
ffidilho$Le«ce
3008
Выполняется
СИСТЕМА
00
3 196К
Не разрешено
^idsthostexe
4332
Выполняется
00
®dwm.exe
W expiorer.exe
920
1468
Выполняется
Выполняется
Администратор
OWM-1
Администратор
00
':*?:! fontdrvhostexe
752
Выполняется
UMFD-0
00
® fontdtvhostexe
760
Выполняется
UMFD-1
00
Si isassexe
620
Выполняется
СИСТЕМА
00
Ж ManagementAgentH^ msdtc.exe
2320
Выполняется
СИСТЕМА
00,
1832
Выполняется
NETWORK SERVICE
00
2 292 К
Не разрешено
Si MsMpEng.exe
2296
Выполняется
СИСТЕМА
00
160 352 К
Не разрешено
Ж NssSrv.exe
3236
Выполняется
LOCAL SERVICE
00
2 552 К
Не разрешено
^ Registry
88
Выполняется
СИСТЕМА
00
984 К
Не разрешено
^ RuntimeBroker-exe
Выполняется
Выполняется
Администратор
00
3 320 К
Не разрешено
SB Runtime8roker.exe
1840
956
Администратор
00
Не разрешено
Ж Runtime8roter.exe
4372
Выполняется
Администратор
00
19 728 К
2 2ООК
00
2 128К Не разрешено
28 580 К Отключено
22 236 К Не разрешено
1 100 К Отключено
1 492 К Отключено
5 448 К Не разрешено
2 696 К
Не разрешено
Не разрешено
б^у Меньше
Смять задачу
Рис. 2.3. Вкладка "Подробности"
Вкладка Подробности интересна администратору дополнительными столб
цами, предоставляющими много интересной информации о процессе. Если
щелкнуть правой кнопкой мыши по заголовку любого столбца и выбрать
команду Выбрать столбцы, можно добавить дополнительные колонки, ко
торые пригодятся при решении системных проблем.
Выбор столбцов
X
Выберите столбцы, которые будут отображаться в
таблице.
□
0
0
0
0
0
Имя пакета
ИД процесса
Состояние
Имя пользователя
ИД сеанса
ИД объекта задания
□
0
0
0
0
ЦП
Время ЦП
Цикл
Рабочий набор (память)
Пиковый рабочий набор (память)
а
[
0 Дельта рабочего набора (память)у
□К
Отмена
Рис. 2.4. Дополнительные столбцы
Глава 2. Мониторинг процессов, сервисов и событий
Рассмотрим эти пункты чуть подробнее:
• Базовый приоритет — определяет, сколько системных ресурсов будет
выделено процессу. Для установки приоритета щелкните правой кнопкой
мыши по процессу и выберите команду Задать приоритет. Затем выбе
рите приоритет: Низкий, Ниже среднего, Обычный, Выше среднего,
Высокий, Реального времени. Большинство процессов выполняется с
обычным приоритетом. Наивысший приоритет у процессов реального
времени.
• Время ЦП — общее процессорное время, использованное процессом с
момента его запуска. Чтобы просмотреть процессы, использующие боль
ше всего процессорного времени, отобразите эту колонку и щелкните на
ее заголовке для сортировки записей по процессорному времени.
• Предотвращение выполнения данных — показывает, включена ли
функциональность DEP для этого процесса.
• С более высоким уровнем разрешений — показывает, выполняется ли
процесс с правами администратора.
• Дескрипторы — общее число дескрипторов, связанных с процессом.
Используйте число дескрипторов, чтобы определить, сколько файлов
открыл процесс. Некоторые процессы открывают тысячи файлов, что
расходует системную память. Однако большое количество открытых де
скрипторов не означает, что процесс нужно сразу «убить». Нет. Нужно
выполнить его настройку, чтобы уменьшить количество потребляемых
ресурсов.
• Операций чтения, Операций записи — общее число операций диско
вого ввода/вывода (I/O) с момента запуска проекта. Общее число опера
ций чтения и записи говорит о том, как активно процесс использует диск.
Если число операций чтения/записи растет непропорционально фактиче
ской активности сервера, процесс может не использовать кэширование
файлов или же кэширование не настроено должным образом. В идеале
кэширование сокращает потребность в операциях ввода/вывода.
•
Ошибки страницы — ошибки страниц возникают, когда процесс
запрашивает страницу в памяти, которую система не может найти в
запрашиваемом месте. Если страница находится где-то в памяти, ошибка
называется мягкой. Если же запрашиваемая страница находится на дис
ке, ошибка называется жесткой. Большинство процессоров может обра-
99
ботать огромное число мягких ошибок. Жесткие ошибки вызывают су
щественные задержки.
Выгружаемый пул, невыгружаемый пул — выгружаемый пул —
область системной памяти для объектов, которые могут быть записаны
на диск, если они не используются. Невыгружаемый пул — область
системной памяти для объектов, которые не могут быть записаны на
диск. Отметьте процессы, требующие большого объема невыгружаемой
памяти. Если недостаточно свободной памяти на сервере, эти процессы
могут стать причиной большого количества ошибок страниц.
Пиковый рабочий набор — наибольшее количество памяти, использу
емой процессом. Разница, или дельта, между текущим использованием
памяти и пиковым значением также важна. Приложения с большой дель
той между использованием базовой памяти и пиковым рабочим набором,
как например Microsoft SQL Server, нуждаются в выделении большего
объема памяти при запуске — так они будут лучше работать.
Платформа — платформа, для которой предназначен процесс (32- или
64-битная). 64-разрядные версии Windows могут выполнять 64- и 32-разрядные приложения, используя уровень эмуляции WoW64 (Windows on
Windows 64) x86. Подсистема WoW64 изолирует 32-разрядные приложе
ния от 64-разрядных. Это позволяет избежать проблем с файловой систе
мой и реестром.
ИД процесса — числовой идентификатор процесса.
ИД сеанса — идентификатор сеанса, в котором запущен процесс.
Потоки — текущее число потоков, используемых процессом. Большин
ство серверных приложений являются многопотоковыми. Многопоточ
ность допускает параллельное выполнение запросов процесса. Неко
торые приложения могут динамически управлять числом параллельно
выполняющихся потоков для улучшения производительности приложе
ния. Однако слишком много потоков может фактически уменьшить про
изводительность, поскольку операционная система должна слишком
часто переключать контексты потока.
Виртуализация UAC — показывает, включена ли виртуализация кон
троля учетных записей (User Account Control, UAC). Виртуализация мо
жет быть включена, выключена или не поддерживаться процессом. Вир
туализация необходима для очень старых приложений, написанных для
Глава 2. Мониторинг процессов, сервисов и событий
Windows ХР, Windows Server 2003 и более ранних версий Windows. Ког
да виртуализация контроля учетных записей включена, уведомления об
ошибках и протоколирование ошибок, связанных с виртуализированными файлами и значениями реестра, будут записаны в виртуализированное
расположение, а не в фактическое, в которое процесс пытался записать.
Если виртуализация выключена или не поддерживается, при попытке за
писать данные в защищенные папки или области реестра процесс пре
кратит свою работу.
Примечание. В списке Диспетчера задач есть специальный процесс I
— Бездействие системы. Нельзя установить приоритет для этого про-1
цесса. В отличие от других процессов, для этого процесса выводится |
количество свободных ресурсов (которые не используются). Так, 99% I
в колонке ЦП (CPU) для бездействия системы означает, что система I
практически не используется.
Помните, что одно приложение может запускать несколько процессов. Эти
процессы зависимы от центрального процесса. Начиная с этого главного
процесса, формируется дерево процесса, состоящее из зависимых процес
сов. Найти главный процесс приложения можно, щелкнув на нем правой
кнопкой мыши на вкладке Процессы и выбрав команду Подробно. При за
вершении приложения нужно завершить основной процесс приложения, а
не зависимые процессы. Это гарантирует, что приложение будет корректно
остановлено.
Чтобы закрыть основной процесс приложения и все зависимые процессы,
можно выполнить одно из следующих действий:
• Находясь на вкладке Процессы, щелкнуть на приложении правой кноп
кой мыши и выбрать команду Снять задачу;
• Находясь на вкладке Подробности, щелкнуть правой кнопкой мыши на
главном процессе приложения и выбрать команду Снять задачу;
•
Находясь на вкладке Подробности, щелкнуть правой кнопкой мыши на
главном или зависимом процессе и выбрать команду Завершить дерево
процессов.
[ ни;
Window s
II
Вкладка "Службы". Просмотр системных служб
4iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiuiiiiiiiiiim
I Вкладка Службы диспетчера задач предоставляет обзор системных |
служб.
|
Вкладка отображает имя службы, ИД процесса, описание, состояние и груп
пу службы. У нескольких служб может быть один и тот же ИД процесса (рис.
2.5). Можно быстро отсортировать службы по их ИД процесса, щелкнув по
соответствующему заголовку. Аналогично, можно отсортировать службы по
их состоянию — Выполняется или Остановлено.
§ Диспетчер задач
файл Параметры
Вид
Процессы Производительность Пользователи Подробности Службы
Описание
Состояние
Группа
^AJRouter
Служба маршрута...
Остановле...
LocalServic...
4alg
Служба шлюза ур...
Остановле...
ИД п.„
Удостоверение п...
Остановле...
LocalServic..
Сведения о прия».
Выполняет.»
netsvcs
^AppMgmt
Управление прил...
Остановле...
netsvcs
^AppReadiness
Готовность прило...
Остановле...
AppReadin...
^AppVCIient
Microsoft App-V Cl...
Остановле...
^ AppXSvc
Служба разверты».
Остановле».
wsappx
Средство построе...
Выполняет...
LocalSyste...
Остановле...
AxInstSVGr...
%AppiDSvc
^.Appinfo
v^AudioEndpo...
%Audiosrv
%AxlnstSV
^BFE
1 WO
1012
1900
Windows Audio
Установщик Activ...
1932
LocalServic..
Служба базовой...
Выполняет».
LocalServic,»
4&BITS
Фоновая интелле...
Остановле».
netsvcs
^Brokerlnfrast... 724
Служба инфрастр».
Выполняет.»
DcomLaunch
боты компьютера, при входе/выходе пользователя, также вы можете
| использовать групповую политику для развертывания программного
3.2.1. Управление сценариями пользователя и компьютера
В Windows Server можно настроить четыре типа сценариев:
1. Computer Startup — выполняется при запуске;
2. Computer Shutdown — выполняется при завершении работы;
3. User Logon — выполняется, когда пользователь входит в систему;
4. User Logoff — выполняется, когда пользователь выходит из системы.
Windows 2000 и более поздние версии поддерживают сценарии, написанные
на языке командной оболочки, с расширением bat и cmd или сценарии, кото
рые используют Windows Script Host (WSH). WSH — это компонент Windows
Server, позволяющий использовать сценарии, написанные на языке сценари
ев вроде VBScript без необходимости вставки сценария в веб-страницу. Для
предоставления доступа к многоцелевой среде WSH основывается на движ
ках сценариев. Движок сценариев — это компонент, определяющий основ
ной синтаксис и структуру определенного языка сценариев. Windows Server
поддерживает движки сценариев для VBScript и JScript. Также доступны
другие движки.
Операционные системы Windows 7/8/10, Windows Server 2012/2016/2019
также поддерживают сценарии PowerShell. Если Windows PowerShell уста
новлен на компьютеры, которые обрабатывают определенные GPO, можно
использовать сценарии Windows PowerShell так же, как и остальные сцена
рии. Есть возможность запуска сценариев Windows PowerShell до или после
других типов сценариев.
Сценарии Computer Startup и Computer Shutdown назначаются как часть
GPO. Таким образом, все компьютеры, которые являются членами сайта, до
мена и организационной единицы или всех трех структур одновременно, вы
полняют сценарии автоматически, когда загружаются или завершают работу.
Чтобы назначить сценарий запуска или завершения работы, выполните сле
дующие действия:
• В Проводнике Windows откройте папку, содержащую сценарии, которые
нужно использовать.
Сервер на Windows и Linux
• В консоли GPMC щелкните правой кнопкой мыши по GPO сайта, домена
или организационной единицы, с которыми будете работать. Выберите
команду Изменить, чтобы открыть редактор GPO.
• В узле Конфигурация компьютера дважды щелкните на папке Конфи
гурация Windows, затем перейдите в подпапку Сценарии (запуск/
завершение).
• Для работы со сценариями запуска щелкните правой кнопкой мыши на
элементе Автозагрузка и выберите команду Свойства. Для работы со
сценариями завершения работы щелкните правой кнопкой на элементе
Завершение работы и выберите команду Свойства. Откроется окно,
подобное изображенному на рис. 3.5.
•
На вкладке Сценарии можно управлять сценариями командной строки
(с расширениями bat или cmd) и сценариями Windows Scripting Host. На
вкладке Сценарии PowerShell можно управлять сценариями Windows
PowerShell. Для перехода к папке, в которой находятся сценарии, нажми
те кнопку Показать файлы.
•
Скопируйте файлы в окне Проводника Windows и вставьте их в окно,
которое будет открыто после нажатия кнопки Показать файлы.
• Нажмите кнопку Добавить для назначения сценария. Откроется окно До
бавление сценария. В поле Имя сценария введите имя сценария, кото
рый был скопирован в папку Machine\Scripts\Startup или папку Machine\
Scripts\Shutdown. В поле Параметры сценария введите любые параме
тры, которые нужно передать сценарию. Повторите этот шаг для других
сценариев.
•
Во время запуска и завершения работы сценарии будут выполнены
в том порядке, в котором они указаны в окне Свойства. Для измене
ния порядка используйте кнопки Вверх и Вниз. На вкладке Сценарии
PowerShell есть также список, позволяющий выбрать, когда должны за
пускаться сценарии Windows PowerShell: до или после запуска других
типов сценариев.
•
Если нужно отредактировать имя сценария или его параметры, выберите
сценарий и нажмите кнопку Изменить. Для удаления сценария выберите
его и нажмите кнопку Удалить.
•
Для сохранения изменений нажмите кнопку ОК.
Глава 3. Автоматизация административных задач
Рис. 3.5. Назначение сценариев компьютера
Сценарии пользователя можно назначить с помощью одного из трех спосо
бов:
1. С помощью групповой политики. В этом случае все пользователи, явля
ющиеся членами сайта, домена или организационной единицы (или всех
трех сразу) автоматически запустят сценарии при входе или выходе.
2. Можно назначить сценарии входа индивидуально, используя консоль
Active Directory - пользователи и компьютеры. В этом случае можно
назначить каждому пользователю или каждой группе отдельный сцена
рий входа.
3. Посредством планировщика заданий. Для создания расписаний задач ис
пользуется мастер создания задачи.
Чтобы назначить сценарии входа или выхода в GPO, выполните следующие
действия:
• В Проводнике Windows откройте папку, содержащую сценарии, которые
нужно использовать.
•
В консоли GPMC щелкните правой кнопкой мыши по GPO сайта, домена
или организационной единицы, с которыми планируете работать. Выбе
рите команду Изменить, чтобы открыть редактор GPO.
149
Сервер на Windows и Linux
• В узле Конфигурация пользователя дважды щелкните на папке Кон
фигурация Windows, затем перейдите в узел Сценарии (вход/выход из
системы).
• Для работы со сценариями входа щелкните правой кнопкой мыши на пап
ке Вход в систему и выберите команду Свойства. Для работы со сце
нариями выхода щелкните правой кнопкой мыши на папке Сценарии
выхода и выберите команду Свойства. Откроется окно, подобное изо
браженному на рис. 3.6.
• Далее процесс назначения сценариев аналогичен назначению сценариев
для компьютера.
Рис. 3.6. Назначение сценариев пользователя
3.2.2. Развертывание программного обеспечения через
групповую политику
Основы развертывания ПО
В групповой политике можно развертывать ПО на основе компьютеров и
на основе пользователей. Приложения на базе компьютеров доступны всем
пользователям компьютера и настраиваются в узле Конфигурация
компьютера\Конфигурация программХУстановка программ.
Можно развернуть программы тремя основными способами:
150
^^dows
Глава 3. Автоматизация административных задач
1. Назначение компьютеру — назначает программное обеспечение на
компьютеры клиента, чтобы установка ПО происходила при запуске ком
пьютера. Эта техника не требует какого-либо вмешательства со стороны
пользователя, но она нуждается в перезагрузке системы для установки
программ. Установленное программное обеспечение будет доступно
всем пользователям компьютера.
2. Назначение пользователю — назначает программное обеспечение
пользователям так, что оно будет установлено при входе пользователя в
систему. Эта техника не требует какого-либо вмешательства со стороны
пользователя, не предполагает входа в систему для установки програм
мы. Установленное программное обеспечение будет доступно только
конкретному пользователю.
3. Публикация пользователю — публикует программное обеспечение
так, что пользователи могут установить его вручную с помощью утилиты
Программы и компоненты. Эта техника требует вмешательства поль
зователя для установки программы или активации установки. Установ
ленное программное обеспечение будет доступно только конкретному
пользователю.
При использовании назначения пользователю или публикации пользовате
лю можно объявлять программное обеспечение так, чтобы компьютер мог
установить программу при ее первом использовании. В этом случае про
граммное обеспечение может быть установлено автоматически в следую
щих ситуациях:
•
Когда пользователь пытается открыть документ, для работы с которым
нужна программа;
•
Когда пользователь открывает ярлык приложения;
•
Когда другому приложению требуется компонент программы.
При настройке политики Установка программ не нужно использовать су
ществующие GPO. Вместо этого следует создать объекты GPO, которые
будут настраивать установку программ, и затем привязать эти GPO к соот
ветствующим контейнерам в групповой политике. При использовании этого
подхода значительно проще повторно развернуть программное обеспечение
и применить обновления.
151
Сервер ив \\ indows и I Unix
После создания GPO для разворачивания программного обеспечения нужно
настроить точку распространения.
I
Точка распространения — это общая папка, которая доступна
компьютерам и пользователям, для которых вы разворачиваете ПО. |
Как правило, можно подготовить точку распространения путем копирова
ния файла пакета инсталлятора и всех необходимых приложению файлов
на общий ресурс и настройкой разрешений так, чтобы все эти файлы были
доступны. Для других приложений, например Microsoft Office, можно подго
товить точку восстановления путем административной установки на общий
ресурс. В случае с MS Office нужно запустить программу установки с пара
метром /а и указать общий ресурс как назначение установки. Преимущество
административной установки состоит в том, что программное обеспечение
может быть обновлено и повторно развернуто через политику Установка
программ.
Развертывание программ в домене
Политика Установка программ используется только с пакетами
установщика Windows (msi) и пакетами приложений нижнего уровня
ZAW (zap).
Iltlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllin
При использовании назначения компьютера, назначения пользователя
или публикации можно развернуть ПО с помощью пакетов установщика
Windows. При использовании публикации можно применять как msi-пакеты,
так иzap-пакеты. Необходимо установить разрешения на файле пакета уста
новщика так, чтобы у соответствующих компьютеров и пользователей был
доступ для чтения.
Поскольку политика Установка программ применяется во время обработки
настроек политики, развертывание приложения на компьютере обрабатыва
ется при его запуске, а развертывание приложения для пользователя осу
ществляется при входе в систему. Можно настроить установку с использова
нием файлов преобразований (mst). Эти файлы изменяют процесс установки
152
Глава 3. Автоматизация административных задач
согласно настройкам, которые заданы для определенных компьютеров и
пользователей.
Развернуть программное обеспечение можно с помощью следующих дей
ствий:
1. В консоли GPMC щелкните правой кнопкой мыши на GPO, который нуж
но модифицировать для распространения, и затем нажмите кнопку Из
менить.
2. В редакторе политики разверните узел Конфигурация компьютера\
Конфигурация программ\Установка программ или узел Конфигура
ция пользователя\Конфигурация программ\Установка программ в
зависимости от типа разворачивания ПО.
3. Щелкните правой кнопкой мыши на политике Установка программ. В
появившемся контекстном меню выберите команды Создать, Пакет.
4. В окне Открытие перейдите к сетевому ресурсу, в котором размещены
пакеты, щелкните на пакете для его выбора и нажмите кнопку Открыть.
5. В окне Развертывание программ выберите один из следующих методов
развертывания и нажмите кнопку ОК (рис. 3.7):
»
публичный — публикует приложение без изменений;
»
назначенный — назначает приложение без изменений;
»
особый — развертывание приложения с использованием расширен
ных параметров настройки.
Рис. 3.7. Развертывание программы
Сервер на Windows и Linux
После добавления пакета можно изменить его параметры. Для этого дважды
щелкните по нему, чтобы открыть окно Свойства. На вкладке Развертыва
ние можно изменить тип развертывания и настроить следующие параметры
развертывания и установки.
•
Автоматически устанавливать приложение при обращении к файлу
с соответствующим расширением — связывает приложение с файлами,
которое оно обрабатывает. Программа будет установлена при первом об
ращении к файлу связанного типа. Используется по умолчанию.
• Удалять это приложение, если его использование выходит за рамки,
допустимые политикой управления — удаляет приложение, если оно
больше не применимо к пользователю.
•
Не отображать этот пакет в окне мастера установки и удаления про
грамм панели управления — запрещает отображение приложения в
окне Установка/удаление программ, что предотвращает удаление прило
жения пользователем.
•
Устанавливать это приложение при входе в систему — при входе
пользователя в систему будет произведена полная установка программы,
а не "объявление" приложения. Эта опция не может быть выбрана, когда
приложение публикуется для пользователя.
•
Пользовательский интерфейс при установке — контролирует, как
будет произведена установка. Значение по умолчанию — Полный, при
этом пользователь увидит все экраны программы установки и все сооб
щения. При значении Простой пользователь увидит только сообщения об
ошибках и сообщение о завершении установки.
3.2.3. Настройка автоматических обновлений ОС
Автоматические обновления помогают поддерживать операционную систе
му в актуальном состоянии. Хотя можно настроить автоматические обнов
ления на основе компьютеров, обычно необходимо настроить эту функцию
для всех пользователей и компьютеров, которые обрабатывают GPO, — это
более эффективная техника управления.
Описанные далее групповые политики будут актуальны для систем Windows
8/10/11/Windows Server 2012/2016/2019.
Глава 3. Автоматизация административных задач
При управлении автоматическими обновлениями через групповую политику
можно выбрать конфигурацию обновления:
• Автоматическая загрузка и установка по расписанию — обновления
будут автоматически загружены и установлены в соответствии с создан
ным расписанием. Когда обновления будут загружены, операционная
система уведомит пользователя, что он может просмотреть запланиро
ванные обновления. Пользователь может установить обновления или по
дождать, пока придет время запланированной установки.
• Автоматическая загрузка и уведомление об установке — операцион
ная система получит все обновления и, когда они станут доступны, уве
домит пользователя, что они готовы к установке. Пользователь может
принять или отклонить обновления. Принятые обновления будут уста
новлены. Отклоненные обновления не будут установлены, но останутся
в системе, и их можно будет установить позже.
• Уведомление о загрузке и установке — операционная система уведом
ляет пользователя перед получением любых обновлений. Если пользова
тель выберет загрузку обновлений, у него есть еще возможность принять
или отклонить их. Принятые обновления будут установлены. Отклонен
ные обновления не будут установлены, но останутся в системе, и их мож
но будет установить позже.
• Разрешить локальному администратору выбирать параметры —
позволяет локальному администратору настраивать автоматическое об
новление. Заметьте, что используются любые другие опции, локальные
пользователи и администраторы не могут изменить параметры автомати
ческого обновления.
Настроить автоматическое обновление можно так:
1. В консоли GPMC щелкните правой кнопкой мыши по GPO, с которым
нужно работать, и выберите команду Изменить.
2. В редакторе политик разверните узел Конфигурация компьютерах
ПолитикиХАдминистративные
шаблоны\Компоненты WindowsX
Центр обновления Windows.
3. Дважды щелкните на политике Настройка автоматического обновле
ния. В появившемся окне можно включить или отключить управление
Сервер на Windows и Linux
автоматическими обновлениями с помощью групповой политики. Для
включения управления автоматическими обновлениями установите пере
ключатель Включено, для отключения управления — переключатель
Отключено. Нажмите кнопку ОК и пропустите следующие шаги.
4. Из списка Настройка автоматического обновления выберите опцию
обновления.
5. Если выбрана опция Автоматическая загрузка и установка по распи
санию, можете выбрать день и время установки обновлений. Нажмите
кнопку ОК для сохранения изменений.
3.3. Планировщик заданий
I Посредством планировщика заданий можно автоматизировать за
пуск различных задач на сервере.
Вызвать планировщик заданий можно через меню Средства диспетчера
серверов (рис. 3.8).
® Планировщик заданий
файл
Создать задачуЗадания хранятся в папках библиотеки планировщика заданий. Для просмотра или выполнения действия
с отдельными заданиями выберите задание а библиотеке планировщика заданий и щелкните команду в
меню "Действие*
—
Состояние задач, начатых в указанный период времени.-
за последние 2* часа
Сводка: всего - 51,0 - выполнение. 51 - успех, 0 - остановлено. О - ошибка
И appunverifierdaiiy (поел...
Ш ConsoMdator (посоеднеШ Device (последнее вып...
Последнее обновление в 06.04.2020 15:36:59
Рис. 3.8. Планировщик заданий
Для создания новой задачи выполните следующие действия:
Г 156
I i;iiu 3
\biom:ii и шипя a
imiiiiiici
p:u пвных hi лич
1. На панели Действия выберите команду Создать задачу.
2. В появившемся окне Создание задачи на вкладке Общие введите назва
ние задачи, ее описание (если нужно).
3. Нажав кнопку Изменить, можно выбрать учетную запись, от имени ко
торой будет запущена задача. На рис. 3.9 задача будет выполняться от
имени администратора.
4. Выберите, для кого нужно выполнять эту задачу - только для пользовате
лей, вошедших в систему, или для всех пользователей.
5. Перейдите на вкладку Триггеры и нажмите кнопку Создать. Триггеры
позволяют определить, когда именно будет выполнена задача.
6. В окне Создание триггера определите, когда именно будет выполнена
задача:
»
Однократно - задача будет выполнена один раз в указанное время.
»
Ежедневно - задача будет выполняться каждый день в указанное вре
мя.
»
Еженедельно - задача будет выполняться раз в неделю в указанное
время.
»
Ежемесячно - задача будет выполняться раз в месяц в указанное вре
мя.
7. Определите другие параметры триггера, например, задайте срок действия
задания. После того как будете готовы, наймите кнопку ОК.
8. Перейдите на вкладку Действия и нажмите кнопку Создать.
9. В окне Создание действия выберите тип действия:
»
Запуск программы - единственное рекомендуемое действие.
»
Отправить сообщение электронной почты - данное действие не ре
комендуется Microsoft.
»
Вывести сообщение - пользователю будет выведено сообщение в
указанное время (не рекомендуется).
10. Установите параметры в зависимости от выбранного действия. Для за
пуска программы нужно указать путь к программе и задать (если нужно)
аргументы и рабочий каталог.
Сервер на Windows и Linux_________________________
11. Нажмите кнопку ОК.
12. Перейдите на вкладку Условия и задайте условия, определяющие необ
ходимость выполнения задачи:
»
Запускать задачу при простое компьютера — будет ли задача запу
щена при простое компьютера.
»
Останавливать при выходе из простоя — выполнение задачи будет
прервано, как только компьютер выйдет из состояния простоя (пользо
ватель пошевелит мышкой или нажмет любую клавишу).
»
Перезапускать при возобновления простоя — задача будет переза
пущена, если простой возобновится.
»
Запускать только при питании от электросети — актуально для но
утбуков, чтобы не увеличивать разряд аккумулятора.
»
Останавливать при переходе на питание от батарей — если вы
полнение задачи началось, а затем компьютер перешел на питание от
батарей, выполнение задачи будет приостановлено.
»
Запускать только при подключении к следующей сети — позволяет
выбрать сеть, при подключении к которой будет выполнено задание.
Для серверов этот параметр неактуален, поскольку они, как правило,
подключены к одной и той же сети.
13. Перейдите на вкладку Параметры и установите дополнительные пара
метры задачи:
»
Выполнять задачу по требованию — позволяет настроить запуск за
дания по требованию (то есть вручную) до или после назначенного
запуска.
»
Немедленно запускать задачу, если пропущен плановый запуск —
если случилось так, что задача не была выполнена, например, из-за
отключения электричества, то этот параметр позволит сразу же, как
только появится возможность, выполнить задачу.
»
При сбое выполнения перезапускать через — позволяет перезапу
стить задачу, если произошел сбой.
»
Останавливать задачу, выполняемую дольше — если выполнение
задачи заняло больше указанного промежутка времени, ее выполнение
будет прервано.
I 158 ]
Глава 3. Автоматизация административных задач
»
Принудительная остановка задачи, если она не прекращается по
запросу — если задача не реагирует на ’’мягкий” останов, она будет
остановлена принудительно.
»
Если повтор задачи не запланирован, удалять через — позволяет
удалить задачу, если не запланирован ее повтор.
»
Если задача уже выполняется, то применять правило — позволяет
применить одно из правил к задаче, если она уже выполняется. До
пустим, вы создали задачу, которая должна выполняться каждый час.
Но выполнение задачи заняло более часа, поэтому она еще выполняет
ся, но пришло время снова выполнить ее. По умолчанию применяется
правило Не запускать новый экземпляр, что позволит не запускать
задачу снова, если она еще выполняется.
14. Нажмите кнопку ОК для создания задачи.
X
Создание задачи
Общие Триггеры Действия Условия Параметры
Имя:
Размещение:
Автор:
\
ЕХАМР1Е\Администратор
Описание:
Параметры безопасности
При выполнении задачи использовать следующую учетную запись пользователя:
Изменить...
ЕХАМР1Е\Администратор
# Выполнять только для пользователей, вошедших в систему
: О выполнять для всех пользователей
I ; Не сохранять .пароль. Будут доступны ресурсы только локального компьютера,
□ Выполнить с наивысшими правами
□ Скрытая задача
Настроить для:
Windows Vista™. Windows Server™ 2008
OK।
Отмена
Рис. 3.9. Создание задачи
Мы рассмотрели основные вопросы, связанные с автоматизацией админи
стративных задач.
' 159 J
Глава 4.
Основы безопасности
Windows Server
Сервер на Windows и Linux
Методы обеспечения безопасности важны для успешного системного ад
министрирования. Существуют два ключевых способа сконфигурировать
настройки безопасности: использование шаблонов безопасности и политик
безопасности.
4.1. Шаблоны безопасности
4.1.1. Введение в шаблоны безопасности
11111111111111111111111П1111111111111111111111111111111В1111111111111111111111111111111111!11111111111111111111111111111111111111111111111111Ш1111111111Н11111111111111111П1111Н111111111111Н1111111111111111^^
Шаблоны безопасности предоставляют централизованный способ |
управления настройками, связанными с безопасностью рабочих стан-1
ций и серверов.
Можно использовать шаблоны безопасности для применения их к определе
ниям групповой политики на конкретных компьютерах.
Данные определения политики обычно влияют на следующие политики:
•
Политики учетных записей. Контролируют безопасность паролей,
учетных записей пользователей и безопасность Kerberos.
S Endows
Глава 4. Основы безопасности Windows Server
• Локальные политики. Управляют аудитом, назначением прав пользова
телям и другими настройками безопасности.
• Политики протоколирования событий. Управляют безопасностью для
протоколирования событий.
• Политики ограниченных групп. Управляют безопасностью локальной
группы.
• Политики системных служб. Контролируют безопасность и режим за
пуска локальных служб.
• Политики файловой системы. Контролируют безопасность файлов и па
пок локальной файловой системы.
•
Политики реестра. Контролируют права доступа на ключах реестра, свя
занных с безопасностью.
Работа с шаблонами безопасности — сложный процесс, состоящий из сле
дующих шагов:
• Используйте оснастку Шаблоны безопасности для создания нового
шаблона или выбора существующего шаблона, который нужно изменить.
• Используйте оснастку Шаблоны безопасности для внесения необходи
мых изменений в настройки шаблона и для сохранения изменений.
• Используйте оснастку Анализ и настройка безопасности для анализа
различий между выбранным шаблоном и текущими настройками ком
пьютерной безопасности.
•
При необходимости пересмотрите шаблон после того, как найдете разли
чия между настройками шаблона и текущими настройками компьютера.
• Используйте оснастку Анализ и настройка безопасности для примене
ния шаблона и перезаписи существующих настроек безопасности.
При работе с шаблонами безопасности нужно определить, можно ли исполь
зовать существующий шаблон в качестве отправной точки. Другие админи
страторы, возможно, тоже создали шаблоны, или у организации есть базовые
шаблоны, которые нужно использовать. Также можно создать новый шаблон
и принять его в качестве начальной точки.
163
и
_ ___ __________
_______
|ЦИНИ|ИО^
_
Примечание. Шаблоны безопасности доступны во всех инсталля
циях Microsoft Windows Server и могут быть импортированы в любой
объект групповой политики. Шаблоны безопасности применяются
только к области Конфигурация компьютера групповой политики. Они
не применяются к области Конфигурация пользователя. В групповой
политике вы найдете применяемые параметры в Конфигурация
компьютера\Конфигурация Windows\F1apaMeTpbi безопасности. Неко
торые параметры безопасности не включены, например те, которые
применяются к беспроводным сетям, публичным ключам, ограничени
ям программного обеспечения и IP-безопасности.
Совет. Если вы выбираете шаблон, который вы хотите
использовать в качестве начальной точки, вы должны пройти
через каждую установку, которую применяет шаблон. Оценить,
как эта установка влияет на вашу среду. Если установка не
целесообразна, вы должны изменить или удалить ее.
Не используйте оснастку Шаблоны безопасности для применения шабло
нов. Для применения шаблонов нужно использовать оснастку Анализ и
настройка безопасности. Также вы можете использовать эту оснастку для
сравнения настроек шаблона с текущими настройками компьютера. Резуль
таты анализа выделяют области, где текущие настройки не соответствуют
настройкам в шаблоне.
4.1.2. Использование оснасток «Шаблоны безопасности» и
«Анализ и настройка безопасности»
Вы можете открыть оснастки Шаблоны безопасности и Анализ и настрой
ка безопасности (рис. 4.1) так:
1. Запустите консоль управления Microsoft (команда ттс). Один из спосо
бов сделать это - нажать клавишу Windows, ввести mmc.exe и нажать
Enter.
164
Ф
Глава 4. Основы безопасности Windows Server
2. В консоли управления выберите команду Файл, Добавить или удалить
оснастку.
3. В окне Добавление и удаление оснасток выберите Шаблоны безопас
ности и нажмите Добавить.
4. Выберите Анализ и настройка безопасности, нажмите Добавить, по
том нажмите ок.
Добавление и удаление оснасток
Вы можете выбрать оснастки для этой консоли из доступных на компьютере оснасток и затем настроить их. Для расширяемых
оснасток можно настроить требуемое расширение.
Доступные оснастки:
Оснастка
Выбранные оснастки:
Поставщик
^Анализ и настрой.... Корпорация...
^Диспетчер автори.... Корпорация...
: Я Корень консоли
i
^Анализ и настройка безопасней
Изменить расширения...
^Диспетчер служб .... Microsoft Со...
Л Диспетчер устрой.. .
Корпорация...
^Локальная архив... (с) Корпора...
^ Локальные польз..., Microsoft Со...
Ж Маршрутизация и.... Microsoft Со...
S Монитор 1Р-безоп....
1^ Монитор брандма....
Microsoft Со...
^ Общие папки
Я Папка
Microsoft Со...
й Просмотр событий
(с) Корпора...
Microsoft Со...
Корпорация...
0Планировщик зад... (с) Корпора...
J/ Редактор объекте... Microsoft Со...
Дополнительно...
Описание:
"Анализ и настройка безопасности'' • это оснастка ММС, позволяющая анализировать и настраивать параметры
безопасности на компьютерах Windows с помощью файлов шаблонов безопасности.
ОК
Отмена
Рис, 4.1. Добавление оснастки Шаблоны безопасности в консоль ттс
По умолчанию оснастка Шаблоны безопасности ищет шаблоны в каталоге
%SystemDrive%\Users\%UserName%\Documents\Security\Templates.
Вы можете добавить другие пути для поиска шаблонов с помощью следую
щих действий:
1. Выберите оснастку Шаблоны безопасности в ММС, из меню Действие
выберите команду Новый путь для поиска шаблонов.
2. В окне Обзор папок выберите папку с шаблонами, например %SystemRoot%\security\templates\policies, и нажмите ОК.
Теперь, когда вы определили местоположение для поиска шаблонов, с кото
рыми вы будете работать, выберите шаблон и просмотрите его настройки.
Если готовых шаблонов пока нет, самое время их создать.
ж
И Windows
Сервер на Windows и Linux
Создать новый шаблон можно так:
1. В оснастке Шаблоны безопасности щелкните правой кнопкой мыши по
пути, в котором нужно создать шаблон, и выберите команду Создать
шаблон.
2. Введите имя и описание шаблона в появившемся окне.
3. Нажмите ОК для создания шаблона. Будет создан шаблон, но ни один из
параметров не будет настроен, поэтому вам нужно внимательно настро
ить шаблон перед его использованием.
4. После того как вы измените настройки шаблона, щелкните на его назва
нии и выберите команду Сохранить. Альтернативно, вы можете исполь
зовать команду Сохранить как, чтобы назначить шаблону новое имя.
% Консоль! - [Корень консоли\Шаблоны 6езолэсности\СЛизег5\Администратор\Ооситепгз\5есип!у\Тетр1а!е$\5ег¥ег]
^ файл
Действие
4* *! ^й ж
'
Дид
Избранное
Qkho
Справка
Е ^
..'.. Корень консоли
4 ^ Анализ и настройка безопасности
Л Политики учетных записей
v ^ Шаблоны безопасности
Я Локальные политики
Имя
* ^i C:\Usea\A4MHHecrpaTop\Documents\Secur Л Локальные политики
4 Реестр
' J Журнал событий
Ш Группы с ограниченным доступом
'^Файловая система
Описание
Политики паролей и блокировки у...
Политики аудита, прав пользовате...
Журнал событий
Дополнительные
►
Группы с ограниченным доступом
Параметры системной службы
4.1.3. Изменение настроек для политик учетных записей,
локальных политик и журнала событий
Настройки политики учетных записей (узел Политики учетных
записей) контролируют безопасность паролей, блокировки учетных
записей, а также безопасность Kerberos.
Параметры локальных политик (узел Локальные политики) контролиру
ют безопасность аудита, назначения прав пользователям и другие настройки
безопасности.
I kii'j 4 Основы бсюнаснос! и W indows Server
g|w/ndou3
Параметры журнала событий (узел Журнал событий) контролируют без
опасность журнала событий.
Настройки политики учетных записей, локальных политик и журнала без
опасности можно изменить с помощью следующих действий:
• В оснастке Шаблоны безопасности разверните нужный узел, а затем вы
берите соответствующий подузел, например Политика паролей или По
литика блокировки учетной записи.
• На правой панели параметры политики выводятся в алфавитном порядке.
Значение в колонке Параметр компьютера отображает текущее значе
ние. Если шаблон изменяет настройки так, что политика больше не ак
тивна, в этой колонке будет значение Не определено.
• Дважды щелкните на параметре, чтобы отобразить диалог Свойства,
изображенный на рис. 4.3. Для определения назначения параметра пере
йдите на вкладку Объяснение. Для определения политики в шаблоне
включите флажок Определить следующий параметр политики в
шаблоне. Для отмены применения политики снимите этот флажок.
Свойства: Минимальная длина пароля
?
X
Параметр шаблона политики безопасности Объяснение
Минимальная длина пароля
0 Определит* следующий параметр политики ■ шаблоне
Длина пароля не менее.
Н
X ’*
I
0* 44 :
Отмена
Применить ;
Рис. 4.3. Изменение настроек шаблона
• Если вы включите настройку политики, укажите ее значение и любые
другие дополнительные параметры.
• Нажмите ОК для сохранения изменений. Вы увидите диалог Suggested
Value Changes, показанный на рис. 4.4. Этот диалог информирует вас
Сервер на Windows и Linux
о других значениях, которые изменены на основании измененных вами
значений. Например, когда вы изменяете настройки Пороговое значение
блокировки, Windows также может изменить настройки Время до сбро
са счетчика блокировки и Продолжительность блокировки учетной
записи.
Предлагаемые изменения значений
X
Так как значение “Пороговое значение блокировки* изменено на "5 ошибок входа в
систему", следующие элементы получат предлагаемые значения.
Политика
Параметр шаблона
Предлагаемое значен...
. Время до сброса счетчика блокировки Не определено
30 мин
Не определено
30 мин.
ч Продолжительность блокировки уче..
>
<
ОК
Отмена
Рис. 4.4. Предлагаемые значения
4.1.4. Настройка групп с ограниченным доступом
Настройки политики групп с ограниченным доступом управля-1
ют списком членов групп, а также группами, к которым принадлежит |
настроенная группа.
. ............................................................... iiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii....... iiiHiiiiiiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiitiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiitF
Вы можете настроить ограниченную группу так:
1. В оснастке Шаблоны безопасности выберите узел Группы с ограни
ченным доступом. На правой панели вы увидите уже настроенные груп
пы с ограниченным доступом в алфавитном порядке. Также перечислены
члены группы.
2. Для добавления ограниченной группы щелкните правой кнопкой мыши
по узлу Группы с ограниченным доступом и выберите команду Доба
вить группу. В диалоге Добавление группы нажмите кнопку Обзор.
3. В диалоге Выбор: «Группы» введите группу, которую вы хотите ограни
чить, или нажмите Проверить имена. Если будет найдено несколько со
впадений, выберите учетную запись, которую вы хотите использовать, и
затем нажмите ОК. Если совпадения не будут найдены, измените введен-
I kii i 4 Основы бе {опасное i и \\ melons Sein er
ное вами имя и попытайтесь поискать снова. Повторите этот шаг столько
раз, сколько будет необходимо, затем нажмите ОК.
4. В диалоге Свойства, показанном на рис. 4.5, вы можете использовать
опцию Добавить членов группы для добавления членов в груп
пу. Нажмите кнопку Добавить членов группы, а затем укажите чле
нов группы. Если в группе не должно быть никаких членов, выделите
всех членов и нажмите Удалить. Любые члены, которые не определены
в установке политики для ограниченной группы, будут удалены при при
менении шаблона безопасности.
5. В диалоге Свойства нажмите кнопку Добавить группы для указания
групп, к которым эта группа будет принадлежать. Если вы не определяете
членство в группах, группы, которым принадлежит эта группа, не будут
изменены при применении шаблона.
6. Нажмите ОК для сохранения настроек.
HSJUSRS Свойства
?
X
Настройка членства для HSJUSRS
Члены этой группы:
НЭтв группа должна быть пустой»
Ц|2^^Т^^^Л^ПГТЫ J
Zta»'«
Эта группа входит в
;«□«
Рис. 4.5. Свойства группы
Для удаления ограниченной группы выполните эти действия:
• В оснастке Шаблоны безопасности выберите узел Группы с ограни
ченным доступом. На панели справа будут в алфавитном порядке вы
ведены группы. Члены группы будут выведены напротив имени группы.
•
Щелкните правой кнопкой мыши (или нажмите и удерживайте имя груп
пы пальцем) и выберите команду Удалить. Когда вас попросят подтвер
дить действие, нажмите Да.
и
j|Windows
4.1.5. Включение, отключение и настройка системных служб
Настройки политики для системных служб контролируют об
щую безопасность и режим запуска локальных служб.
Вы можете включить, выключить и настроить системные службы:
1. В оснастке Шаблоны безопасности выберите узел Системные службы.
На панели справа будут отображены установленные в данный момент
службы, выводится имя службы, тип запуска и настройка разрешений.
Когда работаете со службами, помните следующее:
»
Если шаблон не изменяет тип запуска службы, в колонке Автозагруз
ка выводится Не определено. В противном случае выводится одно из
следующих значений: Автоматически, Вручную, Отключен.
»
Если шаблон не изменяет конфигурацию безопасности службы в ко
лонке Разрешение, выводится значение Не определено. В противном
случае выводится Настроено.
2. Дважды щелкните по записи службы, чтобы открыть ее диалог Свой
ства, изображенный на рис. 4.6. Чтобы определить и применить пара
метры политики, включите флажок Определить следующий параметр
политики в шаблоне. Для очистки политики и отмены ее применения
снимите этот флажок.
3. Если вы включите настройку политики, укажите тип запуска службы: Ав
томатический, Вручную, Запрещен. Помните следующее:
»
Автоматический - служба будет запущена автоматически при за
пуске операционной системы. Выберите эту установку для важных
служб, которые точно безопасны. Эти службы будут запущены на всех
компьютерах, к которым применяется шаблон безопасности, если, ко
нечно, службы установлены на этих компьютерах.
»
Вручную - предотвращает автоматический запуск службы, но раз
решает запуск службы вручную пользователем, приложением или
другой службой. Выберите эту установку, когда нужно ограничить не
нужные или неиспользуемые службы или когда вам нужно ограничить
службы, которые не совсем безопасны.
170
U Window;I кии । ( к новы ос юниспос i и \\ indows Sci \ er
»
Запрещен - предотвращает запуск службы, автоматический или руч
ной. Выберите эту установку для службы, запуск которой вы хотите
запретить.
4. Если вы хотите изменить (или просто просмотреть) конфигурацию безо
пасности, нажмите кнопку Изменить параметры. Появится диалог Без
опасность для , в котором вы сможете установить
разрешения для определенных пользователей и групп, которые могут за
пускать, останавливать и приостанавливать службу на компьютере.
5. Нажмите ОК.
?
Свойства: DHCP-клиент
X
Параметр шаблона политики безопасности
QОпределить следующий параметр политики в шаблоне;
Выберите режим запуска службы:
Q автоматический
ОВручную
Запрещен
Изменить параметры...
Отмена
Прицепить
Рис. 4.6. Изменяем настройки шаблона для системных служб
4.1.6. Настройка параметров безопасности для реестра и
файловой системы
Настройки политик для файловой системы контролируют безопас
ность для файлов и папок в локальной файловой системе. Параметры
политик для реестра контролируют значения ключей реестра, связан
ных с безопасностью.
Illlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllr
Вы можете просмотреть или изменить параметры для определенных в дан
ный момент ключей реестра и путей файловой системы с помощью следую
щих действий:
[ 171
.a
1. В оснастке Шаблоны безопасности выберите узел Реестр или Файло
вая система, в зависимости от того, с чем вы хотите работать. На правой
панели будет выведен список всех защищенных путей. Для добавления
пути в список щелкните правой кнопкой мыши на узле Реестр или Фай
ловая система и выберите команду Добавить раздел или Добавить
файл соответственно.
2. Дважды щелкните на пути реестра или файловой системы для просмотра
его параметров, как показано на рис. 4.7.
^ Файл
Действие
Вид
Избранное
Окно
Справка
П X ^;О
Корень консоли
Is Анализ и настройка безопасности
$$ SOFTWARE
fe Шаблоны безопасности
ф & Classes
Добавление объекта
v ^ C.XUsersXAAMHHHopaTopxDocuments'i
фs Удад&ь акдц^
Расширенный 4 Стандартный /
__
4? параметре®
Рис. 4.10. Параметры Проводника
Как видите, есть много полезных и не очень политик. Рассмотрим несколь
ко полезных. Так, политика Скрыть выбранные диски из окна «Мой
компьютер» (рис. 4.11) позволяет удалить значки выбранных дисков из
окна Этот компьютер (в последних версиях Windows это окно называется
именно так).
Ц Скрыть выбранные диски из окна «Мой компьютер»
Справка:
Этот параметр политики позволяет скрывать выбранные
диски в окне «Мой компьютер».
Ограничить доступ к диску О
Этот параметр политики позволяет удалять значки
выбранных жестких дисков из окна «Мой компьютер» и
проводника. Кроме того, буквы дисков, представляющие
выбранные диски, не отображаются в стандартном
диалоговом окне «Открыть».
■Если вы включаете этот параметр политики, выберите
диск или группу дисков в раскрывающемся списке.
Примечание. Этот параметр политики удаляет значки
дисков. Пользователи при этом могут получить доступ к
содержимому скрытых дисков с помощью других
Рис. 4.11. Ограничиваем доступ пользователей к определенным дискам
Сервер на Windows и Linux
Впрочем, если пользователь окажется умным и введет путь диска (напри
мер, D:\) в окне Проводника, он сможет получить доступ к нему. Для таких
умных пользователей предназначена политика Запретить доступ к дискам
через «Мой компьютер» (рис. 4.12).
Рис. 4.12. Запретить доступ к дискам
Неплохо было бы еще и запретить пользователю использовать окно Выпол
нить (открывается при нажатии Win + R). Для этого нужно включить поли
тику Отключить сочетания клавиш Windows + X. Правда, эта политика
«убьет» все сочетания, в том числе и Win + R, но отдельной политики, кото
рая бы отключала отдельные команды, в современных версиях Windows нет
(хотя раньше была политика, скрывающая команду Выполнить).
4.2.2. Запрещаем доступ к командной строке и PowerShell
Окно Выполнить используют самые начинающие пользователи. Продвину
тые пользователи используют или командную строку, или PowerShell.
Запретить пользователям использовать командную строку можно с помо
щью политики Конфигурация пользователя, Административные шабло
ны, Система, Запретить использование командной строки (рис. 4.13).
Также включите опцию Запретить также обработку сценариев в команд
ной строке, чтобы нельзя было запускать сценарии из командной строки.
178
** Windows
Глава 4. Основы безопасности Windows Server
Рис. 4.13. Запрещаем использование командной строки
Отдельной политики, запрещающей запуск PowerShell, нет, но есть полити
ка, запрещающая запуск определенных приложений. Она называется Не за
пускать указанные приложения Windows и находится все в том же разде
ле Система. Включите ее и запретите запуск powershell.exe и powershell ise.
ехе (рис. 4.14).
Рис. 4.14. Запрет запуска PowerShell
179
Также, пока вы еще не «ушли» из раздела Система, неплохо было бы
запретить запуск редактора реестра. Для этого включите политику Запре
тить доступ к средствам редактирования реестра.
4.2.3. Максимальное время работы пользователя
Политика Конфигурация пользователя, Административные шаблоны,
Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов
удаленных рабочих столов, Ограничение сеансов по времени, Задать
ограничение по времени для активных сеансов служб удаленных рабо
чих столов позволяет задать максимальную продолжительность сеанса. Ее
можно установить, например, в 8 часов.
J Задать ограничение по времени для активных сеансов служб удаленных рабочих столов
□
X
§ Задать ограничение по времени для активных сеансов служб удаленных рабочих столов
Предыдущий параметр
О й* wans
Следующий параметр
Комментарий
& 5>л«чепе
О йтклюмвно
Требования к версии:
Параметры;
Справка;
Ограничение активного сеанса:
8 «асов
Не ниже операционных систем Windows Server Ж1 или Windows ХР
Professional
м
Этот параметр позволяет задать максимальный период
времени, в течение которого сеанс служб удаленных
рабочих столов может оставаться активным прежде чем
будет а к тс магически отключен.
Если вы включаете этот параметр политики, необходимо
выбрать требуемое ограничение по времени в списке
ограничений для активных сеансов. Службы удаленных
рабочих столов автоматически отключают активные сеансы
по истечении указанного времени За две минуты до
отключения сеанса служб удаленных рабочих столов
пользователь получает предупреждение, после которого он
может сохранить открытые файлы и закрыть программы.
Для консольного сеанс» ограничения ле времени к
активным сеанс ам не применяются.
Если вы отключаете или не настраиваете этот параметр
политики, на уровне групповой политики он не определен.
По умолчанию службы удаленных рабочих столов
Отмена
Применить
Рис. 4.15. Ограничиваем время сеанса
К сожалению, ничто не помешает пользователю снова залогиниться на сер
вере. Ограничить время входа на сервер можно только с помощью оснастки
Пользователи и компьютеры Active Directory, но далеко не все терминаль
ные серверы являются контроллерами домена, к сожалению. Разворачивать
контроллер домена только ради этой функции не хочется (например, если
терминальный сервер у вас используется только ради совместного доступа к
1С, нет смысла настраивать контроллер домена).
Глава 4. Основы безопасности Windows Server
Рис. 4.16. Установка времени входа учетной записи
4.2.4. Отключение элементов панели управления
I С помощью групповых политик можно отключить некоторые элемен
ты панели управления.
В разделе Конфигурация пользователя, Административные шаблоны,
Панель управления находятся две замечательных политики - Скрыть
указанные элементы панели управления и Запретить доступ к панели
управления и параметрам компьютера. Первая позволяет запретить
выбранные элементы панели управления, а вторая вообще запрещает доступ
к панели управления и к параметрам компьютера.
4.3. Настройка межсетевого экрана с помощью
групповых пол итик
В последних версиях Windows брандмауэр по умолчанию включен. Однако
его параметры, установленные по умолчанию, удобны не для всех: защита
ль
Сервер на Windows и Linux
активна, но задействованы исключения, обеспечивающие работу компьюте
ра в локальной сети. В сетях с развернутыми системами управления бранд
мауэр будет блокировать доступ таких программ. Не будет обеспечиваться и
должный уровень защиты в публичных сетях. Именно поэтому брандмауэры
Windows нуждаются в централизованной настройке с помощью групповых
политик.
Параметры настройки групповой политики брандмауэра Windows можно
найти по следующему пути: Конфигурация компьютера, Администра
тивные шаблоны, Сеть, Сетевые подключения, Брандмауэр Защитни
ка Windows (рис. 4.17).
В политике Брандмауэр Защитника Windows вы найдете контейнеры Про
филь домена и Стандартный профиль. Первый используется при работе
компьютера в домене, а второй — когда компьютер подключен к сети, где
нет домена Windows.
Если на предприятии внедрена система удаленного мониторинга, то нужно
открыть для этой программы все порты и включить опцию Разрешать ис
ключения для удаленного управления — что даст возможность управле
ния через удаленную консоль.
□
/ Редактор локальной групповой политики
файл
Действие
Дид
Справка
й «II т
Windows Connect Now
Состояние
а
Автономные файлы
□ Беспроводной дисплей
Состояние
Комментарий
Не задана
Нет
Ci Профиль домена
^ Стандартный профиль
j Диспетчер подключений Windows
:: Индикатор состояния сетевого подк
Л Обнаружение топологии связи (Link
J:, Брандмауэр Защитника Windows: Разрешить ...
> □ Параметры TCP/IP
^ Параметры взаимодействия клиент.
□ Проверка подлинности для террито
■ j Рабочая станция Lanman
О Сервер
Lanman
... Сетевая изоляция
* ■';'.': Сетевые подключения
.:. Брандмауэр Защитника Windows
> Ei Служба WLAN
z . □ Служба WWAN
X Фоновая интеллектуальная служба г v Н
I \ Расширенный Д Стандартный /
1 параметров
Рис. 4.17. Настройка параметров брандмауэра Windows при помощи групповых
политик
Для стандартного профиля нужно запретить использование всех исключе
ний брандмауэра, потому что такой вариант является самым безопасным для
публичной сети, а мы организуем сеть предприятия.
182
ИИИМИИ
Windows
I i !i,j
Основы
DHCP-сервер позволяет
централизованно настраивать
временные 1Р-вдреса и связанные
с ними данные, предоставлять их
клиентским компьютерам, а также
управлять ими.
]
Остановит г
!
Отмена
I
Рис. 5.1. Установка роли "Доменные службы Active Directory
187
Сервер на Windows и Linux
Ь Мастер добавлений ролей и компонентов
, Добавить компоненты, необходимые для
Доменные службы Active Directory?
Вы не можете установить Доменные службы Active Directory,
если также не установлены следующие службы ролей или
компоненты.
л Средства удаленного администрирования сервера
* Средства администрирования ролей
-* Средства AD DS и AD LDS
Модуль Active Directory для Windows PowerShell
л Средства AD DS
[Средства] Центр администрирования Active Dire;
[Средства] Оснастки и программы командной ср;
^Средства] Управление групповой политикой
@ Включить средства управления (если применимо)
fr^^v^tvm^^vtvm^iN'vr^vv»^
r'^w*»?*^'^
Добавить компоненты ^ i
Отмена
Рис. 5.2. Нажмите кнопку "Добавить компоненты" для установки необходи
мых для работы AD DS компонентов
^ Мастер добавления ролей и компонентов
КОНЕЧНЫЙ СЕРВЕР
WIN-LSOGBECFHS
Доменные службы Active Directory
Перед незлом работы
Тип установки
Выбор сервера
Роли сервера
Доменные службы Active Directory (АО OS) хранят сведения о пользователя*' компьютерах и
других устройствах сети Они помогают администраторам безопасно управлять этими сведениями
и упрощают общий доступ к ресурсам и совместную работу пользователей.
На что обратить внимание:
Компонент»:
• Чтобы пользователи могли входить в сеть в случае отключения сервера, установите в каждом
домене как минимум два контроллера домена.
Подтверждение
• Доменные службы X tive Directory требуют наличия в сети установленного DNS-сервера. Если
DNS-cepcep не установлен, будет предложено установить роль DNS-сервера на данном
компьютере.
Отдельная веб-служба Azure Active Directory предоставляет пользователям
возможностьупрощенного управления удостоверениями и доступом, отчетность о
безопасности, единый вход в облако и локальные веб-приложения.
Дополнительные сведения о Azure Active Directory
Настройка Office 365 с подключением Azure Active Directory
«Назад
г 5
Далее*
установить
:
Отмена
Рис. 5.3. На что обратить внимание при установке
В ходе установки вам будет сообщено, что для обеспечения отказоустойчи
вой работы сети нужно установить как минимум два контроллера домена и
настроить DNS-сервер - если такая роль еще не установлена, ее будет пред
ложено установить на этом же компьютере (рис. 5.3). Просмотрите список
188
Глава 5. Разворачивание Active Directory
устанавливаемого программного обеспечения и нажмите Установить. Все,
можно сделать перерыв на кофе, а потом приступим ко второй части.
^ Мастер добавления ролей и компонентов
КОНЕЧНЫЙ СЕРВЕ»
WlN-tGOGSECFEJS
Подтверждение установки компонентов
1еред началом работы
Чтобы установить из выбранном сервере следующие роли, службы ролей или компоненты,
нажмите кнопку “Установить’',
^ Автоматический перезапуск конечного сервера, если требуется
На этой странице могут быть отображены дополнительные компоненты (например, средства
администрирования), гак как они были выбраны автоматически, если вы не хотите устанавливать
эти дополнительные компоненты, нажмите кнопку "Назад", чтобы снять их флажки.
•
; Доменные службы Active Directory
Подтзжкдйние
: Средства удаленного администрирования сервера
Средства администрирования ролей
Средства AD DS и AD LDS
Модуль Active Directory для Windows PowerShell
Средства AD DS
Центр администрирования Active Directory
Оснастки и программы командной строки AD DS
i Управление групповой политикой
Экспорт параметров конфигурации
Указать альтернативный исходный путь
[
«Назад
.
Далее:
^Установить;;
Отмена
]
Рис. 5.4. Нажмите кнопку "Установить"
Вторая часть развертывания - необходимо Повысить роль этого сервера
до уровня контроллера домена (рис. 5.5). Нажмите данную ссылку, и при
ступим ко второй части развертывания AD DS. Будет запущен Мастер
настройки доменных служб Active Directory (рис. 5.6).
^ Мастер добавления ролей и компонентов
КОНЕЧНЫЙ СЕРВЕ»
WiN-LGOGBECFEJS
Ход установки
Просмотр хода установки
^| Установка компонента
Требуется настройка. Установка выполнена на WK^CtoG&ECIHS.
Доменные службы Active Directory
Чтобы сделать этот компьютер контроллером домена, требуются дополнительные
действия.
Повысить роль этого сервере до уровня контроллера домена
Средства удаленного администрирования сервера
Средства администрирования ролей
Средства AD DS и AD LDS
Модуль Active Directory для Windows PowerShell
Средства AD DS
Центр администрирования Active Directory
ц
Этот мастер можно закрыть, не прерывая выполняющиеся задачи. Наблюдайте за ходом
выполнения задачи или откройте эту страницу снова, выбрав на панели команд пункт
"Уведомления", а затем "Сведения о задаче".
Экспорт параметров конфигурации
^Закрыть 5
Рис. 5.5. Установка AD DS завершена
Сервер на Windows и Linux
□
^ Мастер настройки доменных служб Active Directory
Укажите сведения о домене для этой операции
Проверка предваритель... i
Имя корневого домена:
exampfexon^
Подробнее о возможных конфигурациях развертывания
Наш
; :
Далее >
]
установит*
[
Отмена
Рис. 5.6. Мастер настройки доменных служб Active Directory
Данный мастер заменяет файл Dcpromo.exe, который использовался для на
стройки контроллеров домена в старых версиях Windows Server. Мастер так
же запускает файл Adprep.exe для подготовки надлежащей схемы. Если ра
нее Adprep.exe не запускался отдельно, будет установлен первый контроллер
домена на базе Windows Server 2019 в существующем домене/лесу, мастер
попросит ввести соответствующие учетные данные, необходимые для запу
ска команды Adprep. Для подготовки леса нужно предоставить учетные дан
ные члена одной из следующих групп: Администраторы предприятия, Ад
министраторы схемы или Администраторы домена. Для подготовки домена
необходимо предоставить учетные данные члена группы Администраторы
домена. При установке первого контроллера домена только для чтения (read
only domain controller, RODC) в лесу нужно предоставить учетные данные
члена группы Администраторы предприятия.
Ваши действия зависят от текущей инфраструктуры. При настройке новой
сети, когда не было существующих контроллеров домена, нужно выбрать
Добавить новый лес и указать имя корневого домена, например example.
com.
Далее нужно выбрать режим работы леса и режим работы домена. Если вы
не планируете в этом домене использовать старые версии Windows Server,
выбирайте самый новый режим - Windows Server 2016. Да, даже если вы
используете Windows Server 2019, самым новым режимом работы леса явля
ется Windows Server 2016.
л
Глава 5. Разворачивание Active Directory
Обратите внимание на следующие параметры:
•
Режим работы леса - определяет, какие функции и возможности есть на
уровне леса.
•
Режим работы домена - определяет, какие функции будут доступны на
уровне домена.
•
DNS-сервер - если DNS-сервер еще не был установлен, тогда не выклю
чайте этот параметр.
•
Глобальный каталог - на начальной установке доменных служб Active
Directory обязателен; когда вы разворачиваете второй контроллер домена,
то можете не устанавливать этот параметр.
•
Контроллер домена только для чтения (RODC) - позволяет настро
ить этот сервер как контроллер домена только для чтения. При установке
первого контроллера в этом домене данная опция будет недоступна. Но
вы сможете настроить RODC после установки первого контроллера до
мена. Позже мы еще не раз поговорим о RODC.
• Пароль для режима восстановления служб каталогов (DSRM) - он
может потребоваться, когда у вас будут проблемы с активным каталогом
или вам нужно будет сбросить пароль доменного администратора. Дан
ный пароль должен отличаться от того, который вы используете для учет
ной записи Администратор. Сохраните этот пароль в надежном месте.
& Мастер настройки доменных служб Active Directory
Параметры контроллера домена
Конфигурация разверты..
Выберите режим работы нового леса и корневого домена
П&рамегры ю»|жмдй.,;
Режим работы леса:
: Windows Server 2056
Режим работы домена:
; Windows Server 20’6
Укажите возможности контроллера домена
SI ONS-сервер
1 Глобальный каталог (GQ
' Контрол лер домена только для чтения (RODC)
Введите пароль для режима восстановления служб каталогов (DSRM)
Пароль:
1|
Подтверждение пароля
Рис. 5.7. Параметры контроллера домена
[ 191
&
Сервер на Windows и Linux
Далее будет момент с делегированием DNS, но так как это у нас новый лес
и домен, то мы этот пункт пропускаем - просто нажмите кнопку Далее (рис.
5.8). Следующий шаг - задаем короткое имя (NetBIOS) домена, обычно
оставляют то, что предлагается мастером установки домена Active Directory.
Set Мастер настройки доменных служб Active Directory
□
ЦЕЛЕВОЙ СЕРВЕР
WIN-LGOGSEOTJS
Параметры DNS
| .| Делегирование для этого DNS-сервера невозможно создать, поскольку полномочная родительск... Дополнительно
Конфигурация рвзаерты.
Укажите параметры делегирования DNS
Параметры контроллера.
; Создать делегирование DNS
Дополнительные парам.
1росмспреть параметры
Дополнительные 'ведение о делегировании DNS
Остановить . i
Отмена
Рис. 5.8. Просто нажмите кнопку 'Далее
О
^ Мастер настройки доменных служб Active Directory
ЦЕЛЕВОЙ СЕРВЕР
WJN-LGOGBECFDS
Дополнительныё параметры
Конфигурация раззерты...
Проверьте NetBiOS-имя. присвоенное домену., и при необходимости измените его
Параметры контроллера...
Параметры DNS
Имя домена NetBIOS:
EXAMPLE
Лулл
Просмотреть параметры
Проверка предеаритеды..
Подробнее о дополнительных возможностях
Хсшйжить .
Рис. 5.9. Короткое имя домена
L 192 ’
X
Глава 5. Разворачивание Active Directory
Затем нужно указать расположение базы данных AD DS, файлов журналов
и папки SYSVOL. Как правило, предложенные значения нет смысла менять.
Просмотрите заданные параметры (рис. 5.10) и нажмите кнопку Далее, если
все правильно. Нажмите кнопку Установить, чтобы приступить к повыше
нию уровня сервера. Сервер будет автоматически перезагружен после повы
шения уровня.
fc Мастер настройки доменных служб Active Directory
ЦЕЛЕВОЙ СЕРВЕР
WiN4GOG8ECFFJS
П рос мот per ь пара метры
Просмотрите выбранные параметры:
Параметры кс
Сделать данный сервер первым контроллером домена Active Directory в новом лесу.
Имя нового домена: ’6xample.com". Это имя является также именем нового леса.
NetBIOS-имя домена EXAMPLE
; Режим работы леса: Windows Server 2016
Режим работы домена: Windows Server 2016
Дополнительные параметры:
: Глобальный каталог Да
■ DNS-сервер: Да
i Создать DNS-делегирование: Нет
Для автоматизации дополнительных установок эти параметры
можно экспортировать в сценарий Windows Power Shell
< Назад
:
Далее >
Рис. 5.10. Просмотр параметров
□
^ Мастер настройки доменных служб Active Directory
ЦЕЛЕВОЙ СЕРВЕР
WIN LGOGBECFHS
звании
I ^ See проверки готовности к установке выполнены успешно. Чтобы запустить установку, нажмите...
Перед установкой доменных служб Active Directory на этом компьютере нужно проверить, что
выполнены предварительные требования
Просмотр результатов
На контроллерах домена под управлением Windows Server 2019 по умолчанию
применяется параметр безопасности ’ Разрешать алгоритмы шифрования,
совместимые с Windows NT 4.0". который не позволяет использовать менее
надежные алгоритмы шифрования при создании сеансов по защищенным
каналам.
Дополнительные сведения об этом параметре см. в статье 942554 базы знаний
Gtttp^/go.microsoft.com/fsMink/?linkl Панель управления > Система и безопасность ; Система
анельуправления •
о вашем компьютере
..n^rtcw^mxv/Mn^jj^
| Локальный cef Свойства системы
^ Все серверы
; Имя компьютере Оборудование Пополнительно Удаленный доступ
® ADDS
Указанные ниже сведения используются для идентификации
компьютера в сети.
& DNS
Я
Windows Server 2019
(Microsoft
Списание
й ns
Полное имя:
Например "IlS-cepsep производственного отдела”
или“Сервер бухгалтерии"
WiN-LGOGBECFFJS.exampie.сет
Домен.
exampie com
^ Файловые слуз
Чтобы переименовать компьютер или
присоединить его к домену или рабочей группе,
нажмите кнопку''Изменить"
Изменить...
!ei(R) CoreuMi i5-7200U CPU ® 2.50GHz 2.71 GHz
l-раэрядная операционная система, процессе» хб4
еро и сенсорный ввод недоступны
। параметры рабочей труппы
W-LGOGgECFDS
f!N-LGOG8ECFHSe>amoie.corri
Kampie.com
Отмена
J
OK
''AioneaunsW^
Рис. 6.8. Свойства системы
X
Изменение имени компьютера или домена
Вы можете изменить имя и принадлежность этого
компьютера. Изменения могут повлиять на доступ к
сетевым ресурсам.
Имя компьютера:
|dESKTOP-IU66CN2
Полное имя компьютера:
DESKTOP-IU66CN2
Дополнительно
Является членом
(•(домена.
jexample.com
О рабочей группы:
WORKGROUP
Рис. 6.9. Изменение имени компьютера
или домена
Отмена
illllll
t
I II
II I I I
III
I
II I
I
I
II I
I
I
I II
II
I
I
II
II
I
I III llllllllllliu
Примечание. Контроллер домена нельзя присоединить к другому
домену. Его нужно сначала понизить до уровня обычного сервера и
только потом присоединять к другому домену. Далее будет показано,
как это сделать.
Allllll IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII llllllllllliu Illilllllllllllllllllliu IIIllllllllllllllllllllllllIIIlllllIIIIII III Illilllllll II llllllllllliu Illi Illi III ПИ I... I UI I Illi III llllllllllliu.... lUlUUIIIIIUIIIIUIIIIII........IIIIIIIIIIUIUU..... Hill.... I.... IIIIUIIUIIIII.... ..
Сервер на Windows и Linux
Если имя не удалось изменить, будет отображено соответствующее сообще
ние, информирующее об этом, или сообщение о том, что учетная запись уже
существует. Данная проблема может возникнуть при попытке изменить имя
компьютера, который уже подключен к домену, либо если этот компьютер
имеет активную сессию в этом домене. Можно закрыть приложение, под
ключенное к домену, например Проводник, получающий доступ к общей
папке в сети. После этого можно повторить процесс изменения имени
компьютера.
Если есть другие проблемы при соединении с доменом, убедитесь, что у
настраиваемого компьютера правильная конфигурация сети. На компьютере
должны быть установлены сетевые службы и в свойствах TCP/IP должен
быть указан правильный DNS-сервер.
У всех аутентифицированных пользователей есть полномочия Добавление
рабочих станций к домену, и по умолчанию пользователи могут создавать
до 10 учетных записей компьютера при присоединении компьютера к доме
ну. Пользователи, у которых есть полномочия Создание объектов: account,
для контейнера Computers могут создать неограниченное количество учет
ных записей компьютера в домене. Однако у учетных записей компьютера,
созданных аутентифицированными пользователями, владельцем является
член группы Администраторы домена, а у учетных записей, созданных
пользователями с правами Создание объектов: account, в качестве вла
дельца устанавливается пользователь, создавший эту учетную запись. Если
предоставить полномочие Создание объектов: account, можно также пре
доставить полномочие Удаление объектов: account, чтобы пользователи
могли удалить учетные записи компьютера из домена.
Предоставить привилегии Создание объектов: account, Удаление объек
тов: account (или обе эти привилегии) для контейнера Computers можно с
помощью следующих действий:
1. Откройте оснастку Active Directory - пользователи и компьютеры
или Центр администрирования Active Directory. В оснастке Active
Directory - пользователи и компьютеры убедитесь, что в меню Вид
активирована команда Дополнительные параметры.
2. Щелкните правой кнопкой мыши по контейнеру Computers и выберите
команду Свойства.
3. На вкладке Безопасность нажмите кнопку Дополнительно. В диалого
вом окне Дополнительные параметры безопасности для «Computers»
"130 ]
Глава 6. Основы администрирования Л1)
нажмите кнопку Добавить, чтобы открыть окно Элемент разрешения
для «Computers».
4. Щелкните по ссылке Выберите субъект. В окне Выбор: «Пользова
тель», «Компьютер», «Учетная запись служба» или «Группа» выбе
рите пользователя или группу, которым нужно предоставить полномочия,
и нажмите кнопку ОК. Задайте привилегии и снова нажмите кнопку ОК.
Рис. 6.10. Предоставление полномочий
6.3. Управление контроллерами домена
6.3.1. Понижение роли контроллера домена
Ранее был подробно рассмотрен процесс установки контроллера домена
(развертывания AD DS), сейчас же мы рассмотрим, как понизить роль кон
троллера домена до уровня обычного сервера, что позволит переместить
этот сервер в другой домен.
Для понижения роли контроллера домена выполните следующие действия:
231
1. В консоли Диспетчер серверов в меню Управление выберите команду
Удалить роли и компоненты, в результате будет запущен мастер удале
ния ролей и компонентов. Если мастер отобразит страницу Перед нача
лом работы, прочитайте приветствие и нажмите кнопку Далее.
2. На странице Выбор целевого сервера показан пул серверов, добавлен
ных для управления. Выберите сервер, который нужно настроить, и
нажмите кнопку Далее.
3. На странице Выбор ролей сервера сбросьте флажок Доменные службы
Active Directory, указав тем самым, что нужно удалить эту роль.
4. Появится новое окно. В нем установите флажок Удалить средства
управления; чтобы средства управления AD DS были удалены, нажми
те кнопку Удалить компоненты. После этого нажмите кнопку Продол
жить. Затем нажмите кнопку Далее дважды.
5. На странице Учетные данные обратите внимание на вашу текущую
учетную запись. Если нужно, предоставьте другие учетные данные с пра
вами, необходимыми для удаления контроллера домена. Нажмите кнопку
Далее.
6. Если будет отображена страница Предупреждения, отметьте флажок
Продолжить удаление, а затем нажмите кнопку Далее.
7. Введите новый пароль и его подтверждение для вашей локальной учет
ной записи Администратор. Пароли должны совпадать. Нажмите кнопку
Далее.
8. На странице Подтверждение удаления компонентов есть возможность
установить флажок Автоматический перезапуск конечного сервера,
если требуется. Поскольку для полного удаления необходим запуск сер
вера, можно выбрать эту опцию, а затем подтвердить ее, нажав кнопку
Да. Когда будете готовы продолжить, нажмите Удалить.
6.3.2. Просмотр и передача ролей домена
Оснастку Active Directory пользователи и компьютеры могут также
использовать для просмотра или изменения FSMO-ролей. На уровне
домена можно работать с ролями для владельцев относительных ID,
владельцев эмулятора первичного контроллера домена и владельцев
инфраструктуры.
Глава 6. Основы администрирования AD
Чтобы просмотреть текущие FSMO-роли, выполните следующие действия:
• В оснастке Active Directory - пользователи и компьютеры щелкните
правой кнопкой мыши по элементу Пользователи и компьютеры Active
Directory в дереве консоли. Из контекстного меню выберите команду Все
задачи | Хозяева операций. Будет открыто окно Хозяева операций, изо
браженное на рис. 6.11.
•
В окне Хозяева операций есть три вкладки. Вкладка RID показывает те
кущее положение владельца относительных идентификаторов, на вкладке
PDC отображено местоположение текущего владельца эмулятора PDC, а
вкладка Инфраструктура демонстрирует положение текущего мастера
инфраструктуры.
Рис. 6.11. Хозяева операций
Передать текущие операции другим серверам можно так:
1. В дереве консоли щелкните правой кнопкой мыши на узле Пользовате
ли и компьютеры Active Directory, а затем выберите команду Сменить
контроллер домена.
2. В окне Смена сервера каталогов выберите опцию Этот контроллер до
мена или экземпляр AD LDS, затем выберите контроллер домена, на
который нужно перенести FSMO-роли, и нажмите кнопку ОК.
Сервер на Windows и Linux
JJ Windows
3. В дереве консоли щелкните правой кнопкой мыши на узле Пользователи
и компьютеры Active Directory. В контекстном меню выберите команду
Все задачи | Хозяева операций.
4. В окне Хозяева операций перейдите на вкладку RID, PDC или Инфра
структура (в зависимости от типа роли, которую нужно перенести).
5. Нажмите кнопку Изменить для передачи роли ранее выбранному
контроллеру домена. Нажмите кнопку ОК.
6.4. Управление организационными единицами
Организационные единицы помогают организовать объекты, применить
групповую политику к ограниченному числу объектов и т. д. Далее будет
показано, как создавать и управлять организационными подразделениями.
6.4.1. Создание организационных подразделений
Обычно организационные подразделения создаются для отображения дело
вой или функциональной структуры организации. Также можно создавать
подразделения из административных соображений, например, если нужно
предоставить права делегирования пользователям или администраторам.
Можно создать организационные подразделения как подгруппы домена или
как дочерние подразделения в пределах существующего организационного
подразделения.
Для создания организационного подразделения выполните следующие
действия:
•
В оснастке Active Directory - пользователи и компьютеры или Центре
администрирования Active Directory щелкните правой кнопкой мыши
на узле домена или существующего организационного подразделения, в
зависимости от того, куда нужно добавить новое организационное под
разделение. Из контекстного меню Выберите команду Создать | Подраз
деление.
234
Глава 6. Основы администрировании Л1)
• Введите имя организационного подразделения и нажмите кнопку ОК.
• Теперь можно переместить учетные записи и общие ресурсы в организа
ционное подразделение.
6.4.2. Просмотр и редактирование свойств организационных
подразделений
Для просмотра и редактирования свойства организационного подразделения
выполните действия:
1. Откройте оснастку Active Directory - пользователи и компьютеры или
Центр администрирования Active Directory.
2. Щелкните правой кнопкой мыши на организационном подразделении,
с которым нужно работать, а затем выберите команду Свойства. Это
отобразит окно Свойства, позволяющее просмотреть и отредактировать
свойства.
6.4.3. Переименование и удаление организационных
подразделений
Переименовать или удалить организационное подразделение в оснастке
Active Directory - пользователи и компьютеры можно так:
1. Щелкните правой кнопкой мыши на организационном подразделении,
которое нужно переименовать или удалить.
2. Для удаления подразделения выберите команду Удалить, затем подтвер
дите удаление, нажав кнопку Да.
3. Для переименования подразделения выберите команду Переименовать,
затем введите новое название подразделения и нажмите клавишу .
В Центре администрирования Active Directory аналогичным образом
можно удалить подразделение, но для переименования нужно открыть его
окно Свойства, ввести новое имя и нажать кнопку ОК.
[2Л5
Сервер на Windows и Linux
6.4.4. Перемещение организационных подразделений
Любое организационное подразделение можно переместить в любое место
в пределах домена. В оснастке Active Directory - пользователи и компью
теры просто выберите подразделение и переместите его в нужное место.
В оснастке Active Directory - пользователи и компьютеры и в Центре ад
министрирования Active Directory организационное подразделение можно
переместить также с помощью команды Переместить:
1. Щелкните правой кнопкой мыши на папке подразделения, которое нужно
переместить, и выберите команду Переместить.
2. В окне Переместить разверните домен и затем выберите контейнер, в
который нужно переместить организационное подразделение. Нажмите
кнопку ОК.
Мы только что рассмотрели управление компьютерами, контроллерами до
менов и организационными подразделениями.
236
Глава 7.
Управление учетными
записями пользователя и
группы
Сервер на Windows и Linux
jj^ndow
Управление учетными записями пользователей - одна из самых важных за
дач администратора Windows Server.
Вам не просто придется создавать и удалять учетные записи, иногда сбра
сывая их пароль, вам нужно будет балансировать между потребностями
пользователей по мере выполнения их служебных обязанностей и потреб
ностями организации по защите важной или даже секретной информации.
В небольшой организации можно с легкостью предоставить доступ «всем
ко всему», но в таких организациях, как правило, и нет потребности в Active
Directory и Windows Server вообще — все можно решить с помощью рабо
чих групп. На таких предприятиях, где число компьютеров не превышает
15-20 штук, можно обойтись вообще без Windows Server, а использовать
только клиентские версии Windows, объединенные в одну рабочую группу
— вполне нормальная практика из соображений экономии. Не нужно ни по
купать сам Windows Server, ни выделять отдельный компьютер под него. С
ростом числа пользователей администрирование такой сети становится все
менее и менее удобным.
|||1шн11П1Ш111Ш11111Н111П1111111111111111111111111111111111111111111111111111111111111111111111111111П11111111111111111111Ш1Ш11111111111111Н1111111111111И11111111111111111111111111111Ш111111111111111111111т^^
При работе с Windows вы должны понимать, что существуют учетные
записи трех типов - локальные, учетные записи домена и учет
ные записи Microsoft.
тли
Глава 7. Управление учетными записями пользователя и группы
В этой главе уделяется внимание доменным учетным записям и отчасти бу
дут затронуты локальные.
Операционная система Windows Server предоставляет учетные записи поль
зователя и группы (членом которых являются пользователи). Учетные за
писи пользователя предназначены для отдельных пользователей. Учетные
записи групп разработаны для упрощения администрирования множества
пользователей. В отличие от учетной записи пользователя, учетная запись
группы не может использоваться для входа в систему. Учетные записи груп
пы часто называют просто группами.
7.1. Типы учетных записей пользователей
Как уже отмечалось во введении в эту главу, существует три типа учетных
записей:
• Учетные записи пользователей, определенные в Active Directory, на
зываются учетными записями пользователей домена. Посредством
единого входа в систему учетные записи пользователей домена могут
получить доступ ко всем ресурсам домена. Учетные записи пользовате
лей домена создаются в оснастке Active Directory - пользователи и
компьютеры.
• Учетные записи пользователей, определенные на локальном компью
тере, называются локальными учетными записями пользователей.
Локальные учетные записи пользователей имеют доступ только к локаль
ному компьютеру и должны пройти аутентификацию перед обращением
к сетевым ресурсам. Создать локальные учетные записи может с помо
щью утилиты Локальные пользователи и группы.
• Учетные записи Microsoft. Используются для доступа к многочислен
ным устройствам и службам Майкрософт: для входа в Skype, Outlook,
com, OneDrive, Windows Phone и Xbox LIVE, для получения доступа к
своим файлам, фотографиям, контактам и настройкам с любого устрой
ства. Такие учетные записи более характерны для домашних и личных
компьютеров, нежели для корпоративной сети.
Г 239 1
7.2. Имя входа и идентификаторы безопасности
Все учетные записи пользователей идентифицируются с помощью имени
входа. В Windows Server имя входа состоит из двух частей:
1. Имя пользователя — текстовая метка учетной записи;
2. Домен пользователя или рабочая группа — рабочая группа или домен,
где существует учетная запись пользователя.
Для пользователя mark, чья учетная запись создана в домене example.com,
полное имя входа будет mark@example.com . Имя входа в старом формате (в
ОС, предшествовавших Windows 2000) — EXAMPLE\mark.
При работе с Active Directory также нужно указать полное имя пользователя
(fully qualified domain name, FQDN).
FQDN-имя пользователя — это комбинация доменного имени
пользователя DNS (Domain Name System), контейнера или организаци-1
онного подразделения, где находится учетная запись пользователя, I
и имени пользователя. Для пользователя example.com\users\mark
example.com — это доменное имя DNS, users — контейнер или органи-1
зационное подразделение, a mark — имя пользователя.
Учетные записи пользователей также имеют пароли и публичные серти
фикаты, связанные с ними. Пароли — это аутентификационные строки для
учетной записи. Публичные сертификаты состоят из публичного и частно
го ключей для идентификации пользователей. Можно войти интерактивно,
используя пароль. Также можно войти, предоставив сертификат на смарткарте.
Хотя Windows Server отображает имя пользователя для описания его при
вилегий и разрешений, ключевыми идентификаторами для учетных записей
являются идентификаторы безопасности (Security Identifiers, SID).
SID — это уникальные идентификаторы, которые генерируются при созда
нии учетных записей. Каждый SID учетной записи состоит из ID безопас-
Глава 7. Управление учетными записями пользователя и группы
ности домена и уникального относительного ID (relative ID, RID), который
выделен хозяином относительных идентификаторов.
Операционная система Windows Server использует эти идентификаторы для
отслеживания учетных записей отдельно от имен пользователей. SID приме
няется для разных целей. Две самые важные цели: простое изменение имен
и безопасное удаление учетных записей (не нужно волноваться, что кто-то
получит доступ к ресурсам, воссоздав учетную запись с таким же именем).
При изменении имени пользователя Windows Server связывает определен
ный SID с новым именем. При удалении учетной записи SID, связанный с
ней, больше не является действительным. Позже, даже если кто-то создаст
учетную запись с тем же именем пользователя, у новой учетной записи не
будет тех же полномочий и разрешений, как у предыдущей. Потому что у
новой учетной записи будет новый SID.
7.3. Учетные записи групп
В дополнение к учетным записям пользователей Windows Server предостав
ляет группы.
I Вообще говоря, группы используются для предоставления полномо- |
чий пользователям, выполняющим похожие действия, и упрощения |
администрирования учетных записей.
Я111111111 I и ill и и и I । । I и и
i i i i i i i и и и ill
i ill и inn и I I i и Innin
IJIIIIIIIII II I II I I II II I II II III I I I II II II1II II II II II I иг
Если пользователь — участник группы, которая может получить доступ к
ресурсу, то и этот определенный пользователь тоже может получить доступ
к этому ресурсу. Таким образом, можно предоставить доступ пользователю
к различным необходимым ему для выполнения своих обязанностей ресур
сам, сделав его членом определенной группы. Обратите внимание, несмотря
на то, что можно войти в систему, используя учетную запись пользователя,
нельзя войти в систему с помощью учетной записи группы.
Например, у нас есть отдел продаж, сотрудники которого нуждаются в до
ступе ко всем ресурсам, относящимся к маркетингу. Вместо предоставления
необходимого доступа к этим ресурсам каждому отдельному сотруднику,
Сервер на Windows и Linux
можно сделать пользователей членами группы маркетинга. В этом случае
будут автоматически получены привилегии группы.
Поскольку разные домены Active Directory могут иметь группы с одина
ковым названием, группы часто указываются в виде домен\группа, напри
мер example\sales для группы sales в домене example. При работе с Active
Directory также нужно указать FQDN для группы. FQDN для группы — это
конкатенация DNS-имени, контейнера или организационного подразделе
ния и имени группы. Для группы example.com\users\sales: example.com —
DNS-имя домена, users — название контейнера или организационного под
разделения и sales — имя группы.
7.3.1. Типы групп
ОС Windows Server поддерживает группы трех типов:
1. Локальные группы — группы, определенные на локальном компьюте
ре. Они используются только на локальном компьютере и создаются с
помощью утилиты Локальные пользователи и группы.
2. Группы безопасности — группы, которые имеют связанные с ними де
скрипторы безопасности. Группы безопасности в доменах создаются с
помощью оснастки Active Directory - пользователи и компьютеры.
3. Группы рассылки — группы, которые используются в списках рассыл
ки электронной почты. Они не имеют дескрипторов безопасности, свя
занных с ними. Создаются оснасткой Active Directory - пользователи и
компьютеры.
7.3.2. Область действия группы
В Active Directory есть несколько областей (диапазонов) групп — локаль
ный домен, встроенный локальный, глобальный и универсальный. Область
группы определяет, что можно сделать, а что — нет. То есть группы можно
создавать и использовать в разных областях.
• Локальные группы домена — группы в основном используются для
назначения разрешений доступа к ресурсам в пределах одного домена.
l 242
Глава 7. Управление учетными записями пользователя и группы
Локальные группы домена могут включать членов из любого домена в
лесу и из доверяемых доменов в других лесах. Обычно глобальные и уни
версальные группы являются членами локальных групп домена. Лучше
всего такие группы использовать для управления доступом к ресурсам,
таким как принтеры и совместно используемые папки.
• Встроенные локальные группы — группы со специальной областью
группы, имеют разрешения локального домена и часто, для простоты, от
носятся к локальным группам домена. Разница между локальными встро
енными группами и другими группами в том, что нельзя создавать или
удалять встроенные локальные группы. Можно только модифицировать
встроенные локальные группы. Упоминание локальных групп домена от
носится и к встроенным локальным группам, если явно не указано иное.
• Глобальные группы — группы, которые используются преимуществен
но для определения прав пользователей и компьютеров в одном и том
же домене, разделяющих подобную роль, функцию или работу. Члены
глобальных групп — только учетные записи и группы из домена, где они
были определены.
• Универсальные группы — группы, используемые преимуществен
но для определения наборов пользователей или компьютеров, которые
должны иметь широкие разрешения по всему домену или лесу. Членами
универсальных групп могут быть учетные записи пользователей, гло
бальные группы и другие универсальные группы из любого домена в де
реве доменов или лесу.
7.3.3. Идентификаторы безопасности и учетные записи групп
Как и с учетными записями пользователей, ОС Windows Server отслеживает
учетные записи группы с помощью уникальных SID. Это означает, что не
возможно удалить учетную запись группы, воссоздать ее снова и затем ожи
дать, что все полномочия останутся теми же. У новой группы будет новый
SID, и все полномочия старой группы будут потеряны.
ОС Windows Server создает маркеры безопасности для каждого входа поль
зователя. Маркеры безопасности определяют ID учетной записи и SID всех
групп безопасности, к которым принадлежит пользователь. Размер маркера
увеличивается по мере добавления пользователя в дополнительные группы
безопасности, и у этого есть последствия:
[243]
Сервер на Windows и Linux
•
2| Wine
Маркер безопасности должен быть передан процессу входа пользователя
перед завершением входа. Когда число групп безопасности высокое, про
цесс входа занимает больше времени;
• Чтобы определить права доступа, маркер безопасности отправляется на
каждый компьютер, к которому пользователь хочет получить доступ.
Поэтому у размера маркера безопасности есть прямое влияние на загруз
ку сети.
7.4. Учетные записи пользователей и групп по
умолчанию
При установке Windows Server 2019 операционная система устанавливает
учетные записи групп и пользователей по умолчанию. Эти учетные записи
разработаны для обеспечения базовой установки, необходимой для построе
ния сети. По умолчанию доступны учетные записи трех типов:
7. Встроенные (Built-in) — учетные записи пользователя и группы, устанав
ливаемые с операционной системой, приложениями и службами.
2. Предопределенные (Predefined) — учетные записи пользователя и груп
пы, установленные с операционной системой.
3. Неявные (Implicit) — специальные группы, также известные как специ
альные идентификаторы, создаваемые неявно, когда происходит доступ к
сетевым ресурсам.
7.4.1. Встроенные учетные записи пользователей
Встроенные учетные записи пользователей имеют специальное назначение
в Windows Server. Все системы Windows Server имеют несколько встроен
ных учетных записей пользователей:
•
LocalSystem — псевдоучетная запись для запуска системных процес
сов и управления задачами уровня системы. Эта учетная запись — часть
группы Администраторы на сервере и имеет все права пользователя на
244 1
Глава 7. Управление учетными записями пользователя и группы
сервере. Если настраиваете приложения или службы на использование
этой учетной записи, все связанные процессы получат полный доступ к
системе сервера. Много служб запускается с помощью учетной записи
LocalSystem. В некоторых случаях эти службы имеют привилегии взаи
модействовать с рабочим столом. Службы, которым нужны альтернатив
ные привилегии или права входа, запускаются под учетными записями
LocalService или NetworkService.
• LocalService — псевдоучетная запись с ограниченными привилегиями,
которая предоставляет доступ только к локальной системе, является
частью группы Пользователи на сервере и имеет те же права, что и учет
ная запись NetworkService, за исключением, что она ограничена только
локальным компьютером. Настройте приложения и службы на использо
вание этой учетной записи, когда соответствующим процессам не нужно
получать доступ к другим серверам.
•
NetworkService — псевдоучетная запись для запуска служб с необхо
димыми дополнительными привилегиями и правами входа в локальную
систему и сеть. Эта учетная запись — часть группы Пользователи на сер
вере и предоставляет меньше разрешений и привилегий по сравнению с
учетной записью LocalSystem (но больше, чем LocalService). В частности,
процесс, запущенный с этой учетной записью, может взаимодействовать
всюду по сети, используя учетные данные учетной записи компьютера.
•
При установке дополнений или приложений на сервер могут быть уста
новлены другие учетные записи по умолчанию.
7.4.2. Учетная запись ” Администратор”
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII II III II И И III II II I II II I I II I II II I I I
I I II II I II II I I HI I
I
I I I I I III lllllllll III1III 11 II I
I I II
I
I I I II lllllll ИНН I I II II II I II I III II I II II I I
II I
I II I llllllllllllllllllltllll
Администратор — предопределенная учетная запись, обеспечиваю-1
щая полный доступ к файлам, каталогам, службам и другим объектам. |
В Active Directory у учетной записи Администратор есть полный
доступ и полные полномочия, распространяющиеся на весь домен.
В противном случае у учетной записи Администратор есть доступ только
к локальной системе. Несмотря на то, что некоторые файлы и каталоги мо
гут быть временно защищены от учетной записи Администратор, она может
взять под свой контроль эти ресурсы в любое время, изменив права доступа.
245
Сервер на Windows и Linux
По умолчанию учетная запись Администратор включена, но можно отклю
чить или переименовать ее, чтобы улучшить безопасность. Для переимено
вания учетной записи используется политика безопасности Учетные запи
си: переименование учетной записи администратора.
По умолчанию учетная запись Администратор для домена — член групп
Администраторы, Администраторы домена, Пользователи домены, Админи
страторы предприятий, Владельцы-создатели групповой политики и Адми
нистраторы схемы. Информацию об этих группах можно найти в следую
щем разделе.
7.4.3. Учетная запись "Гость"
llll!ll1lllllllinill1lllllllll1IIIIIIHII £2 Конфигурация программ
v г J Конфигурация Windows
> 3 Политика разрешения
^ Сценарии (запуск/заве|
> aw Развернутые принтеры
* i Параметры безопасней
v Л Политики учетных за
> Л Политика паролей
: Э Политика блокирс
■ Л Политика Kerbero:
> Л Локальные политика
> Л Журнал событий
? L# Группы с ограничен)
’ . $ Системные службы
> Ц Реестр
> ^ Файловая система
> ^ Политики ПрОВОДНО)
' : кЛоммтлп Кирам ямам* V
Рис. 7.5. Политики блокировки учетной записи
Пороговое значение блокировки
Политика Пороговое значение блокировки определяет число по- |
пыток входа в систему, которые может сделать пользователь, прежде |
чем учетная запись будет заблокирована.
Если решите использовать управление блокировкой, вам придется балан
сировать между предотвращением взлома учетной записи и потребностями
пользователей, которые испытывают затруднения при получении доступа к
своим учетным записям.
Очень часто пользователи забывают свои пароли. Если это так, им понадо
бится несколько попыток входа в систему. У пользователей рабочей группы
также могут быть проблемы при доступе к удаленной системе, если их теку
щие пароли не совпадают с паролями, которые ожидает удаленная система.
Например, удаленная система могла записать несколько неудачных попы
ток входа в систему, прежде чем пользователь получил приглашение ввести
правильный пароль, потому что Windows Server попытался автоматически
I.ива 7. Управляше yiei пымп записями но. и» юван< in и i руины
войти в удаленную систему. В доменной среде это обычно не происходит
благодаря функции единого входа в систему.
Можно установить значение порога блокировки от 0 до 99. Значение 0 уста
новлено по умолчанию — учетные записи не будут заблокированы из-за
неуспешных попыток входа. Любое другое значение указывает порог бло
кировки. Помните, что высокое значение повышает риск взлома системы
хакером. Рекомендуемый диапазон для этого порога — от 7 до 15 попыток.
Этого достаточно, чтобы пользователь ввел правильный пароль, и снижает
вероятность взлома хакером.
Продолжительность блокировки учетной записи
Если чья-то учетная запись будет заблокирована, политика Про
должительность блокировки учетной записи установит время
блокировки. Можно установить продолжительность блокировки от
1 до 99 999 минут или же задать неограниченное время блокировки,
установив значение 0.
Лучшая рекомендация — блокировать учетную запись навсегда. Тогда толь
ко администратор сможет ее разблокировать. Это предотвращает повторные
попытки взлома хакерами и заставляет пользователей, чья учетная запись
заблокирована, обратиться за помощью к администратору, что обычно хоро
шая идея. Поговорив с пользователем, можно определить, что пользователь
делает неправильно, а затем помочь ему избежать проблем в будущем.
Время до сброса счетчика блокировки
ОС Windows Server отслеживает каждую неудачную попытку входа и увели
чивает число неудачных попыток входа. Чтобы поддерживать баланс между
потенциальными блокировками от допустимых проблем безопасности и
блокировками, которые могут произойти от простой человеческой ошибки,
другая политика определяет, сколько времени поддерживать информацию о
неудачных попытках входа в систему.
ф
267
Эта политика называется Время до сброса счетчика блокировки. Исполь
зуйте ее, чтобы сбросить счетчик неудачных попыток входа в 0 после опре
деленного периода ожидания. Способ работы политики прост: если период
ожидания истек с момента последней неудачной попытки входа, счетчик
плохих попыток сбрасывается в 0. Счетчик плохих попыток входа также
сбрасывается, когда пользователь успешно входит в систему.
Если политика Время до сброса счетчика блокировки включена, можно
установить любое значение — от 1 до 99 999 минут. Как и с пороговым
значением блокировки, необходимо выбрать оптимальное значение между
нуждами безопасности ипотребностями пользователя. Хорошее значение —
от одного до двух часов. Такой период ожидания должен быть достаточно
продолжительным, чтобы заставить хакеров ждать дольше, чем они хотят,
перед повторной попыткой получить доступ к учетной записи.
Если политика Время до сброса счетчика блокировки не установлена или
отключена, счетчик плохих попыток сбрасывается только при успешном
входе пользователя в систему.
7.7.4. Политики Kerberos
IIIIIIIIIIIIIIIIIIIIIIII.............................................................. IIIIIIIIII....... lllllll.... ............................................... .
Kerberos — основной механизм аутентификации, используемый в
домене Active Directory. Протокол Kerberos применяет билеты для
проверки идентификации пользователей и сетевых служб. Билеты
содержат зашифрованные данные, которые подтверждают идентифи
кационные данные в целях аутентификации и авторизации.
Можно контролировать продолжительность билета, его обновление и при
нудительное ограничение с помощью следующих политик:
•
Принудительное ограничение входа пользователей;
•
Максимальный срок жйзни билета службы;
•
Максимальный срок жизни билета пользователя;
•
Максимальный срок жизни для возобновления билета пользователя;
•
Максимальная погрешность синхронизации часов компьютера.
Глава 7. Управление учетными записями пользователя и ( руины
Редактор управления груг
Файл
Действие
Дид
^правка
:w п
Пол.
Максима пъна!
Конфигурация программ
Конфигурация Windows
Политика разрешения
Сценарии {запуск/заве:
5 мин.
билета служба:
для возобновив.
входа
600
Включен
Параме' >ы безопасное
Поли-
Политика Kerbero:
Журнал собь!
■х Реестр
Рис. 7.6. Политики Kerberos
Максимальная погрешность синхронизации часов
компьютера
Это одна из политик Kerberos, которую, возможно, следует изменить. По
умолчанию все компьютеры в домене должны синхронизироваться с разни
цей в 5 минут. Если это не так, будет сбой аутентификации.
Если есть удаленные пользователи, входящие в домен без синхронизации
своих часов с сервером времени сети, возможно, нужно скорректировать это
значение. Можно установить любое значение от 0 до 99 999. Значение 0 не
устанавливает погрешность, т. е. удаленные системы должны точно синхро
низировать время, иначе произойдет сбой аутентификации.
Принудительное ограничение входа пользователей
IIIIIIIIIIIIIIIIIIIIIIIIII II II I I
II I II I I II fl II I
IIIIIIIIIIIIIIIIIIIIIII
II
ill
II I II I I
II
I
I
I
I I I II Hill Hill I II IIIIIIIIIIIIIU.
Политика Принудительное ограничение входа пользователей
позволяет убедиться, что применены все ограничения, установлен
ные для учетной записи пользователя.
iiiiiiiliiiiiiiiiiiiiiiiiiiiiiiiiiiiliiililiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiF
( ервср на Windows и I in и \
Например, если лимитированы часы регистрации пользователя, эта поли
тика осуществляет ограничение. По умолчанию политика включена, а ее
отключение требуется лишь в очень редких случаях.
Политики задания максимального срока жизни
Политики Максимальный срок жизни билета службы и Мак
симальный срок жизни билета пользователя устанавливают
максимальную продолжительность действия билета службы или
пользователя. По умолчанию у билетов службы максимальная про
должительность жизни — 600 минут, у билетов пользователя —10
часов.
Можно изменить срок жизни билетов. Для билетов службы допустимый ди
апазон — от 0 до 99 999 минут, для билетов пользователя — от 0 до 99 999
часов. Значение 0 отключает отслеживание срока жизни. Любое другое зна
чение устанавливает определенное время жизни.Истекающий билет пользо
вателя может быть возобновлен при условии, что возобновление допустимо
настройками политики Максимальный срок жизни для возобновления
билета пользователя. По умолчанию максимальный период возобновления
составляет 7 дней. Можно изменить период возобновления на любое значе
ние от 0 до 99 999 дней. Значение 0 выключает максимальный период воз
обновления, а любые другие значения устанавливают определенный период
возобновления.
7.8. Настройка глобальных прав пользователя
При работе в Active Directory для администрирования политик прав пользо
вателя воспользуйтесь следующими инструкциями:
1. Откройте GPO, с которым нужно работать, а затем разверните узел Ло
кальные политики, раскрыв дерево консоли. Этот узел находится в узле
Конфигурация компьютера \ Конфигурация Windows \ Параметры
безопасности.
3
Глава 7. Управление учетными записями пользователя и группы
2. Выберите политику Назначение прав пользователя для управления
правами пользователя. Для настройки назначения прав пользователя
дважды щелкните на праве пользователя или щелкните правой кнопкой
мыши и выберите команду Свойства.
3. Включите параметр Определить следующие параметры политики.
После этого нажмите кнопку Добавить пользователя или группу, что
бы добавить в список учетную запись пользователя/группы.
4. Нажмите кнопку ОК для закрытия окна Свойства.
Файл Действие вид Справка
. й Политика разрешения имен
& Сценарии {запус^зввершвние;
> ф Развернутые примеры
* Ш Параметры безопасности
Политика
Параметр полигики
х Архивация файлов и каталогов
Не
& Блокировка орании в памяти
Не
L восстановление файлов и каталогов
Не
& вход в качестве пакетного задания
Не
& Вход а качестве службы
Не
^ Выполнение задач по обстукиванию томов
Не
... Добавление рабочих станций к домену
& Доступ к диспетчеру учетных данных от име...
* Л Политики учетных записей
Л Политика паролей
^ Доступ к компьютеру из сети
> ^ Политика блокировки учетной з
Ш Завершение работы системы
> Л Политика Kerseros
& Загрузка и выгрузка драйверов устройств
* J Локальные политики
& Замена маркера уровня процесса
Политика аудита
& Запретить вход в систему через службу удал...
■ J Назначение прав пользователя
& Запретить локальней вход
; 4 Параметры безопасности
& Изменение метки объекта
J Журнал событий
у. Изменение параметров среды изготовителя
* Группы с ограниченным доступом " i
& Изменение системного времени
> i& Системные службы
$
Изменение часового пояса
- а Реестр
i* Имитация клиента после проверки подлини...
■■ /« Файловая система
:■ & Политики проводной сети (IEEE 80.
& Локальный вход в систему
> Й Монитор брандмауера Защитника
й Политики диспетчера списка сетей
й Политики беспроводной сети {IEEE
> ^ Политики открытого ключа
? 3 Политики ограниченного ислольз<
Свойства: Завершение работы системы
Параметр политики безопасности Объяснение
Завершение работы системы
Не i
Hei
^Определить следующие параметры политики
Hei
Не ■
Не:
не i
Не
Не
Не
Не
не
Не
^’й4”
£jjo«aii^niwj^^
Не
Не
Ш Настройка квот памяти для процесса
Не
& Обход перекрестной проверки
Не
& Отказать в доступе к этому компьютеру из се... Не
& Отказать во входе е качестве пакетного зада.. Не
& Отказать во входе в качестве службы
Не
:. Отключение компьютера от стыковочного уз... Не
ОК
Отмана
Приманить
Рис. 7.7. Настройка глобальных прав пользователя
7.9. Создание учетной записи пользователя
Учетные записи пользователя и группы позволяют Windows Server
отслеживать и управлять информацией о пользователях, в том числе
разрешениями и привилегиями.
Для создания учетной записи пользователя обычно применяются две следу
ющие административных утилиты:
• Active Directory - пользователи и компьютеры — используется для администрирования учетных записей через домен Active Directory;
।
ГЫ?
Сервер на Windows и Linux
•
Центр администрирования Active Directory — с его помощью также
можно управлять учетными записями Active Directory;
• Локальные пользователи и группы — используется для администри
рования учетных записей на локальном компьютере.
Для каждого пользователя, которому необходим доступ к сетевым ресурсам,
необходимо создать учетную запись пользователя. Для создания учетных
записей пользователей домена применяется Центр администрирования
Active Directory или оснастка Active Directory - пользователи и компью
теры. Локальные учетные записи пользователей можно создать с помощью
утилиты Локальные пользователи и группы.
Создание пользователя в Центре администрирования Active Directory и
оснастке Active Directory - пользователи и компьютеры равносильно. В
результате использования этих оснасток будет создан объект пользователя.
Вы можете использовать то средство, которое вам больше нравится. Далее
будет рассмотрен процесс создания паролей в Центре администрирования
Active Directory.
1. В дереве консоли Центра администрирования Active Directory пере
йдите в контейнер, в который нужно поместить учетную запись пользо
вателя (обычно это контейнер Users), а затем выберите команду Создать,
Пользователь (рис. 7.8). Откроется окно Создать Пользователь,
изображенное на рис. 7.9.
Рис. 7.8. Центр администрирования Active Directory. Пользователи
272
Глава 7. Управление учетными записями пользователя и группы
□
ЗАДАЧИ
# Учетная запись
Учетная запись
Организация
ф Никогда
О Конец
Членство
Фамилия:
Параметру паролей
Полнее имя:
Профиль
Зход пользователя (.
Политика
араметры пароля:
^
sk Требовать смены пароля при следующем входе в си.,.
О Другие параметры пароля
Вход пользователя;...: example
Приемник команд
Пароль:
ираыетры шифрования:
Другие параметры:
Защита от случайного удаления
Oprai
должность:
Комната:
Отдел:
Эл. почта
Организация
|) Дополнительные сведения
Рис, 7,9, Окно создания пользователя
2. Введите имя, отчество и фамилию в предоставленные текстовые поля.
Эти текстовые поля используются для создания полного имени, которое
также является отображаемым именем.
3. При необходимости внесите изменения в поле Полное имя. Полное имя
должно быть уникальным в пределах домена, максимальная длина — 64
символа.
4. В поле Вход пользователя (UPN) введите имя входа пользователя. Из
раскрывающегося списка выберите домен, с которым нужно связать учет
ную запись. Это действие установит полное имя входа.
5. Первые 20 символов имени входа используются для заполнения поля
Вход пользователя (SAMAccountName). Это имя пользователя в старом
формате (для ОС, предшествовавших Windows 2000), оно должно быть
уникальным в пределах домена.
6. Все другие текстовые поля в окне являются необязательными. Устано
вите и подтвердите пароль пользователя (при желании). Дополнительно
установите флажок Защита от случайного удаления, чтобы отметить
учетную запись как защищенную в Active Directory. Защищенные учет
ные записи могут быть удалены, только если флаг защиты будет удален
перед попыткой удаления учетной записи.
Сервер на Windows и Linux
7. Если нужно, установите параметры пароля:
»
Требовать смены пароля при следующем входе в систему — если
флажок установлен, пользователь должен изменить пароль сразу
после входа в систему;
»
Запретить смену пароля пользователем — если флажок установлен,
пользователь не сможет изменить пароль;
»
Срок действия пароля не ограничен — если флажок установлен,
время действия пароля для этой учетной записи никогда не истекает.
Эта установка переопределяет политику учетной записи домена. Не
ограниченный срок действия пароля — плохая идея, поскольку она не
мотивирует пользователя изменять свой пароль.
8. Нажмите кнопку ОК для создания учетной записи пользователя.
Для создания локальной учетной записи пользователя можно использовать
утилиту Локальные пользователи и группы:
1. В диспетчере серверов выберите команду Средства, а затем Управление
компьютером. Либо можно нажать комбинацию клавиш +
и выбрать из появившегося меню команду Управление компьютером.
2. Щелкните правой кнопкой мыши на записи Управление компьютером
в дереве консоли и выберите команду Подключиться к другому
компьютеру. Теперь можно выбрать систему, локальными записями ко
торой нужно управлять. У контроллеров домена нет локальных поль
зователей и групп.
3. В узле Служебные программы выберите узел Локальные пользовате
ли и группы.
4. Щелкните правой кнопкой мыши на узле Пользователи, а затем выбе
рите команду Новый пользователь. Откроется одноименное диалоговое
окно (рис. 7.10). Заполните поля.
5. Нажмите кнопку Создать.
22 Window s
Глава 7. Управление учетными записями пользователя и группы
Рис, 7.10. Создание локального пользователя
7.10. Создание учетной записи группы
Учетные записи групп применяются для управления привилегиями сразу
для многих пользователей. Создать глобальные учетные записи групп мож
но в Центре администрирования Active Directory или оснастке Active
Directory - пользователи и компьютеры. Локальные учетные записи групп
создаются в утилите Локальные пользователи и группы.
Если вы собираетесь создавать учетные записи группы, помните, что учет
ные записи групп обычно создаются для подобных типов пользователей.
Следующие типы групп, возможно, придется создать:
• Группы для подразделений в пределах организации — в большинстве
случаев пользователи, которые работают в одном отделе (подразделении),
нуждаются в доступе к одним и тем же ресурсам. Часто нужно создавать
группы, организованные по подразделению, например Руководство, Про
дажи, IT и т. д.
• Группы для определенных приложений — пользователи часто нужда
ются в доступе к приложению и ресурсам, относящимся к приложению.
Если создать группу для приложения, можно быть уверены в том, что у
пользователей есть соответствующий доступ к необходимым ресурсам и
файлам приложения.
275
Сервер на Windows и Linux
•
Группы для ролей в пределах организации — также можно организо
вать группы по ролям пользователей в пределах организации. Например,
руководители нуждаются в доступе к одним ресурсам, а супервизоры и
обычные пользователи — к другим. Создавая группы на основе ролей в
организации, можно убедиться, что вы предоставляете пользователям
доступ, в котором они нуждаются.
Для создания глобальной группы нужно выполнить действия:
1. В Active Directory - пользователи и компьютеры: щелкните правой
кнопкой мыши по контейнеру, в который нужно поместить группу, затем
выберите команду Создать, Группа. Откроется окно Новый объект Группа (рис. 7.11).
2. В консоли Центра администрирования Active Directory: щелкните пра
вой кнопкой мыши по контейнеру, в который нужно поместить группу.
Выберите команду Создать на панели контейнера, а затем команду Груп
па. Откроется окно Создать Группа.
Новый объект - Группа
' J
Создать в:
X
example.com/Users
Имя группы:
Имя группы (пред-Windows 2000):
Область действия группы
О Локальная в домене
® Глобальная
Тип группы
(^ Группа безопасности
О Группа распространения
0 Универсальная
ОК
[
Отмена
1
I------------------------I
Рис. 7.11. Создание глобальной группы
В большинстве случаев нужно только ввести название группы и нажать
кнопку ОК.
276
Глава 7. Управление учетными записями пользователя н группы
7.1L Управление членством в группе
Несколько замечаний относительно членства в группе:
•
Все новые пользователи домена являются членами группы Пользовате
ли домена, их основная группа указывается как Пользователи домена;
• Все новые рабочие станции домена и рядовые серверы являются членами
группы Компьютеры домена, их основная группа — Компьютеры
домена;
•
Все новые контроллеры домена становятся членами группы Контролле
ры домена, их основная группа — Контроллеры домена.
Управлять членством в группе можно несколькими способами:
•
Включать в группу одну учетную запись;
•
Включать в группу сразу несколько учетных записей;
• Установить основную группу для отдельных пользователей и компьюте
ров.
Добавить или удалить учетную запись любого типа можно так:
1. Дважды щелкните на пользователе, компьютере или группе в оснастке
Active Directory - пользователи и компьютеры или в Центре адми
нистрирования Active Directory. Откроется окно Свойства учетной за
писи.
2. На вкладке или панели Член групп выбраны группы, членом которых
является выбранная учетная запись. Нажмите кнопку Добавить, что
бы сделать учетную запись членом дополнительной группы. Откроется
окно Выбор: «Группа». Теперь можно выбрать группы, членом которых
должна стать учетная запись.
3. Для удаления учетной записи из группы выберите группу и затем нажми
те кнопку Удалить.
4. Нажмите кнопку ОК.
Г 277 ]
Сервер на Windows и Linux
Свойства: test
Входящие звонки
Объект
Сеансы
Безопасность
Адрес
Среда
Удаленное управление
Профиль служб удаленных рабочих столов
Общие
X
?
Учетная запись
Опубликованные сертификаты
СОМ*
Профиль
Член групп
Редактор атрибутов
Телефоны
Организация
Репликация паролей
Улен групп:
Добавить,.
Основная группа
Удадить
Пользователи домена
...
W^У
Нет необходимости изменять основную
группу, если только не используются клиенты
Macintosh или POSIX-совместимые приложения.
OK
I
Отмена
Применить
^ Дополнительные параметры общего доступа
v О
Войск е панели управления
Изменение параметров общего доступа для различных сетевых профилей
Windows создает отдельный сетевой профиль для каждой используемой сети. Для каждого профиля
вы можете выбрать особые параметры.
Частная
Гостевая или общедоступная
Доменный (текущий профиль)
Сетевое обнаружение
Если включено сетевое обнаружение, этот компьютер может видеть другие компьютеры и
устройства в сети и виден другим компьютерам.
ф Включить сетевое обнаружение
О Отключить сетевое обнаружение
Общий доступ к файлам и принтерам
Если общий доступ к файлам и принтерам включен, то файлы и принтеры, к которым
разрешен общий доступ на этом компьютере, будут доступны другим пользователям в сети.
$ включить общий доступ к файлам и принтерам
О Отключить общий доступ к файлам и принтерам
Рис. 8.1. Включение сетевого обнаружения
После включения сетевого обнаружения еще раз просмотрите Дополни
тельные параметры общего доступа и убедитесь, что параметр включен.
i 282 j
Глава 8. Управление сетью TCP/IP
Дело в том, что если отключены некоторые службы, необходимые для сете
вого обнаружения, этот параметр окажется выключенным даже после вклю
чения.
Если у вас так и оказалось, убедитесь, что запущены следующие службы
(тип запуска для этих служб нужно установить - Автоматически):
•
Function Discovery Provider Host — fdPHost (Хост поставщика функции
обнаружения) - отвечает за обнаружение в сети других компьютеров;
• Function Discovery Resource Publication — FDResPub (Публикация ресур
сов обнаружения функции) - отвечает за то, чтобы другие компьютеры
могли обнаружить в сети ваш компьютер;
• DNS Client — dnscache (DNS-клиент);
•
Далее убедитесь, что вы подключены именно к доменной сети. Если вы из
менили параметры общего доступа для доменной сети, а сами подключены,
например, к частной сети, у вас ничего не выйдет. Тип сети выводится в об
ласти Просмотр активных сетей. На рис. 8.2 показано, что вы подключены
к доменной сети.
Ц» Центр управлений сетями и общим доступом
~>
*
ф
^ « СетьиИнт™ > Центр управления сетями и общим доступом
—
vO
Панель управления —
Просмотр основных сведений о сети и настройка подключений
домашняя страница
_
_
Просмотр активных сетей
Изменение параметров
адаптера
□
: Помех»ллнели управления
exatnple.com
Тип доступа:
Доменная сеть
Подключения:
X
/*
Интернет
№ Ethernet)
Изменить дополнительные
параметры общего доступа
Изменение сетевых параметров
Создание и настройка нового подключения или сети
Настройка широкополосного, коммутируемого или VPN-подключения либо настройка
маршрутизатора или точки доступа.
ЯВ Устранение неполадок
Диагностика и исправление проблем с сетью или получение сведений об устранении
неполадок
См также
Брандмауэр Защитника
WitTdows
Свойства браузера
Рис. 8.2. Просмотр активного сетевого профиля
Сервер на Windows и Linux
После включения упомянутых служб вы сможете включить параметр Вклю
чить сетевое обнаружение - он больше не будет сбрасываться. Чтобы все
заработало как следует, перезагрузите компьютер.
Чтобы включить сетевое обнаружение с помощью групповой политики, вы
полните следующие действия:
1. Запустите оснастку Управление групповой политикой (gpmc.msc).
2. Щелкните правой кнопкой мыши на GPO для контроллеров домена или
даже для всех компьютеров домена, выберите команду Изменить.
3. Перейдите в Конфигурация компьютера, Политики, Административ
ные шаблоны, Сеть, Обнаружение топологии связи (Link-Layer) и
включите обе политики, как показано на рис. 8.3.
Рис. 8.3. Редактирование групповой политики
4. Закройте редактор групповой политики, откройте консоль и введите ко
манду gpupdate /force (рис. 8.4).
284
Глава 8. Управление сетью TCP/IP
Рис. 8.4. Применение групповой политики
Подключение по локальной сети создается автоматически, если в компью
тере есть сетевой адаптер и он подключен к сети. Если на компьютере уста
новлено несколько сетевых адаптеров, у каждого из них будет собственное
подключение к локальной сети. Если доступных сетевых подключений не
существует, следует подключить компьютер к сети или создать подключение
другого типа.
Для работы по протоколу TCP/IP компьютеру необходим 1Р-адрес.
В Windows Server существует несколько способов настройки IP-адреса:
•
Вручную. IP-адреса, назначаемые вручную, называются статическими
IP-адресами. Такие фиксированные адреса не изменяются, пока админи
стратор не изменит их. Как правило, статические IP-адреса назначаются
серверам Windows. При этом следует настроить также ряд дополнитель
ных параметров, чтобы помочь серверу «освоиться» в сети.
• Динамически. Динамические IP-адреса назначаются во время запуска
компьютера DHCP-сервером (если он установлен в сети). Время от вре
мени такие адреса могут изменяться. По умолчанию все IP-адреса
компьютера считаются динамическими.
на
Windows
и
МНИНИННИЦ fc^ndows
• Альтернативный адрес (только для IPv4). Когда компьютер настроен на
использование DHCPv4, но в сети нет доступного DHCPv4-cepeepa, ОС
Windows Server автоматически назначает компьютеру частный альтерна
тивный IP-адрес. По умолчанию альтернативный адрес IPv4 назначается
из диапазона 169.254.0.1—169.254.255.254 с маской подсети 255.255.0.0.
Также можно назначить пользовательский альтернативный 1Ру4-адрес,
что особенно полезно на ноутбуке.
При назначении статического IP-адреса кроме самого IP-адреса нужно
указать маску подсети, а также, при необходимости, шлюз по умолчанию
для межсетевого взаимодействия. IP-адрес — это числовой идентификатор
компьютера. Схемы IP-адресации различаются в зависимости от настройки
сети, но в большинстве случаев они назначаются на основе конкретных се
тевых сегментов.
Адреса IPv6 сильно отличаются от адресов IPv4.
В 1Ру6-адресах первые 64 бита представляют идентификатор сети, а остав
шиеся 64 бита — сетевой интерфейс. В IPv4-адресах переменное число пер
вых битов обозначает идентификатор сети, а остальные биты — идентифи
катор хоста. Допустим, используется протокол IPv4 и компьютер в сегменте
сети 10.0.10.0 с маской подсети 255.255.255.0. Первые три группы битов
обозначают сетевой идентификатор, а доступные для хостов адреса находят
ся в диапазоне от 10.0.10.1 до 10.0.10.254. Адрес 10.0.10.255 зарезервирован
для широковещательной передачи.
Если компьютер находится в частной сети, не имеющей прямого выхода в
Интернет, следует использовать частные 1Ру4-адреса, приведенные в табл.
8.1.
Таблица 8.1. Частные адреса IPv4
Идентификатор
частной сети
Маска сети
Диапазон сетевых адресов
10.0.0.0
255.0.0.0
10.0.0.0-10.255.255.255
172.16.0.0
255.240.0.0
172.16.0.0-172.31.255.255
192.168.0.0
255.255.0.0
192.168.0.0-192.168.255.255
Каждый установленный сетевой адаптер может быть подключен к одной ло
кальной сети. Подключения создаются автоматически.
Глава 8. Управление сетью TCP/IP
Для настройки IP-адреса конкретного подключения выполните следующие
действия:
1. В Центре управления сетями и общим доступом щелкните по ссылке
Изменение параметров адаптера. На странице Сетевые подключения
щелкните правой кнопкой мыши по соединению, с которым необходимо
работать, выберите команду Свойства.
2. Дважды щелкните на протоколе TCP/IPv6 или TCP/IPv4 в зависимости от
того, какой тип IP-адреса нужно настроить.
3. Выберите переключатель Использовать следующий IP-адрес и запол
ните, соответственно, IP-адрес, маску подсети. Если компьютеру необхо
дим выход в другие TCP/IP-сети, в Интернет или другие подсети, укажи
те IP-адрес шлюза по умолчанию в поле Основной шлюз.
4. Доменная система имен (DNS) необходима для разрешения доменных
имен. Введите адреса предпочитаемого и альтернативного DNS-серверов
в предоставленные поля. Обычно на контроллере домена развернут соб
ственный DNS-сервер, поэтому его адрес будет 127.0.0.1.
5. Когда закончите, нажмите кнопку ОК дважды. Повторите этот процесс
для других сетевых адаптеров и IP-протоколов, которые необходимо
настроить.
Параметры
Сеть и Интернет * Сетевые подключения
«>>•« 825741 Gigabit Network Connection
Состояние
Настроить.
Отмеченные компоненты используются этин подключением
Отмучить IP-адрес автоматически
ай *з» Клиент для сетей Microsoft
Набор номера
VPN
Прокси-сервер
ф Использовать следующий IF- адрес:
S* ^S Планировщик пакетов QoS
IP Версии 4 < TCP,'IPv4)
Протокол мультиплексоре сетевого адаптера (Мойер
Драйвер протокола ПОР (Майкрософт1.
IP версии 6: TCP,'IPv6j
Установить
Параметры if можно назначать автоматически, если сеть
поддерживает эту возможность, а противном случае узнайте
параметры IF у сетевого администратора.
Свойстве
□писание
Протокол TCP/IP Стандартный протокол глобальных сетей
обеспечивающий связь между различными
взаимодействующими сетями.
; 255 . 255 . 255
Основной шлюз:
192
168
ф Использовать следующие адреса ONS-cepaepoe
Предпочитаемый ONS-cepeep:
Альтернативный ONS-cepeep:
Q] Подтвердить параметры при выходе
Рис. 8.5. Настройка сети
Дополнительно...
Сервер на Windows и Linux
В окне свойств протокола IP можно также установить и альтернативный IPадрес — на вкладке Альтернативная конфигурация (рис. 8.6).
Свойства: IP версии 4 (TCP/IPv4)
Общие
X
Альтернативная конфигурация
Если этот компьютер используется в нескольких сетях, введите
параметры альтернативной конфигурации протокола IP
Q Автоматический частный IP-адрес
0 Выполнить проверку* правильности параметров при выхс
OK
I
Отмена
Рис. 8.6. Альтернативная конфигурация
8.3. Настройка нескольких шлюзов
Для обеспечения отказоустойчивости в случае отказа маршрутизатора мож
но настроить компьютеры на базе Windows Server так, что они будут исполь
зовать несколько основных шлюзов. При назначении нескольких шлюзов
Windows Server использует метрику шлюза для определения, какой шлюз
задействовать и в какое время. Метрика шлюза характеризует затраты на
маршрутизацию для данного шлюза. Первым используется шлюз с наимень
шей метрикой. Если компьютер не может установить связь с этим шлюзом,
Windows Server пытается использовать шлюз, следующий по возрастанию
метрики.
Выбор лучшего способа настройки нескольких шлюзов зависит от конфи
гурации сети. Если компьютеры в вашей организации настраиваются при
помощи DHCP, вероятно, лучше задавать дополнительные шлюзы через па
раметры на DHCP-сервере. Если же компьютеры используют статические
IP-адреса или нужно задавать IP-адреса шлюзов самостоятельно, выполните
следующие действия:
J88J
Глава 8. Управление сетью TCP/IP
1. В Центре управления сетями и общим доступом щелкните по ссылке Из
менение параметров адаптера. На странице Сетевые подключения
щелкните правой кнопкой мыши по необходимому соединению, выбери
те команду Свойства.
2. Дважды щелкните на TCP/IPv6 или TCP/IPv4 в зависимости от типа
настраиваемого IP-адреса.
3. Нажмите кнопку Дополнительно, чтобы открыть окно Дополнитель
ные параметры TCP/IP, показанное на рис. 8.7.
4. Панель Основные шлюзы показывает шлюзы, которые были настроены
вручную (если таковые имеются). При необходимости введите адреса до
полнительных шлюзов.
5. Когда будете готовы, нажмите кнопку ОК.
Дополнительные параметры TCP/IP
Параметры IF
dns
X
WINS
[3 Автоматическое назначение метрики
ОК
Отмена
Рис. 8.7. Настройка нескольких шлюзов
8.4. Сброс сети
Если что-то пошло не так и после внесения определенных изменений сеть
не работает, попробуйте выполнить сброс сети. Для этого откройте окно Па
раметры, перейдите в раздел Сеть и Интернет (рис. 8.8) и выберите коман
ду Сброс сети.
Сервер на Windows и Linux
Параметры
&
-
О
X
СОСТОЯНИв
Равная
изменить свойства нодкжт*“ни»
I Найти параметр
Р|
Показать доступные сети
Сеть и Интернет
Изменение сетевых параметров
&
Состояние
ZEh
Настройка параметров адаптера
Просмотр сетевых .мыят^хт и изменение параметров
подключения.
Ethernet
**
Набор номера
яг»
VPN
@
Прокси-сервер
S>
Параметры общего доступа
Определите, к каким данным вы хотите предоставить доступ для
сетей, с которыми к тенамене» соединение.
А
Средство устранения сетевых неполадок
Диагностика и устранение проблем с сетью
Просмотр свойств если
'
Брандмауэр Windows
Центр управления сетями и общим доступом
Сброс с еги
Рис. 8.8. Сброс сети
Сброс сети нужно выполнять только в самом крайнем случае, когда вы не
понимаете, почему сеть не работает. Попытайтесь разобраться и понять, что
пошло не так — иначе вы потеряете все сделанные ранее настройки.
8.5. Отключение брандмауэра
Часто бывает, что тот или иной компонент работает неправильно из-за
настроек брандмауэра. Проверить, так ли это, достаточно просто. В
окне Сеть и Интернет выберите команду Брандмауэр Windows (рис.
8.9).
.............................................................................................................
Далее выберите доменный профиль и отключите брандмауэр, как показа
но на рис. 8.10. Если ваш сетевой компонент заработал, значит, проблема в
брандмауэре и нужно выполнить его настройку. Если же нет, значит, причи
на в чем-то еще - не забудьте включить брандмауэр, поскольку без него ваше
устройство является уязвимым.
290
Глава 8. Управление сетью TCP/IP
безопасность Windows
()
in)
Кабинет
О
Защита от вирусов и угроз
М
Брандмауэр и безопасность сети
В
Управление приложениями/браузером
Q
Безопасность устройства
Брандмауэр и безопасность
сети
Кто и что может получить доступ к вашим сетям.
Видео сообщества Windows
Узнать больше о брандмауэр и
сетевой защите
^ Сеть домена (активный)
Брандмауэр включен.
Кто защищает меня?
Управление поставщиками
2$ Частная сеть
Брандмауэр включен.
св Общедоступная сеть.
Брандмауэр включен.
Изменение свои параметры
конфиденциальности
Просмотрите и измените
параметры конфиденциальности
устройства под управлением
Windows 10.
Параметры конфиденциальности
Средство устранения неполадок подключения к сеги и
Интернету
Заявление с конфиденциальной
Рис. 8.9. Управление брандмауэром
безопасность Windows
Рабочие сети, которые присоединены к домену.
Активные доменные сети
1л)
Кабинет
О
Защита от вирусов и угроз
^
Брандмауэр и безопасность сети
В
Управление приложениями/браузером
3
Безопасность устройства
И? example.com
Брандмауэр Защитника Windows
Помогает защитить устройство при подключении к
доменной сети.
Изменение свои параметры
конфиденциальности
Просмотрите и измените
параметры конфиденциальности
устройства под управлением
Windows 10.
Параметры конфиденци'н1ъности
Панель мониторинга
конфиденциальности
Заявление о конфиденциальности
Межсетевой экран домена выключен. Ваше
устройство может оказаться чувствительным.
$ZD О™Входящие подключения
Запрещает входящие подключения при работе в
доменной сети.
П Блокирует все входящие подключения, в том числе
для приложений, указанных в списке разрешенных
программ.
Рис. 8.10. Брандмауэр отключен
Обратите внимание на рис. 8.10. Внизу страницы есть параметр, позволяю
щий блокировать все входящие подключения. Он полезен, если на сервер ве
дется атака и вам нужно временно блокировать все входящие подключения.
291
Сервер на Windows и Linux
Для настройки брандмауэра выберите команду Дополнительные настрой
ки (она находится внизу страницы, поэтому не видна на рис. 8.9). После это
го вы увидите привычное и знакомое окно настройки брандмауэра. Впервые
оно появилось в Windows 7, и за эти годы не то что администраторы, но и
обычные пользователи успели с ним познакомиться.
□
^ Монитор брандмауэра Защитника Widows в режиме повышенной безопасности
Файл
^ *
Действие Дид
С' В I
X
Справка
if Монитор брандмауэра;
Miwktop
Winders в режиме повышенной беголасн...
Ш Правила для входящ;
Брандмауэр Защитника Windows в режиме повышенной безопасности обесг
компьютеров, работающих под управлением ОС Windows.
^ Правила для исходя^
Sf Правила безопасной
W Наблюдение
Действия
Монитор брандмауэра Защ...
^
^
*
Импортировать полит*...
Экспорт политики...
Обзор
Восстановить политику...
Профиль домена активен
#
Диагностика / восстано...
Брандмауэр Защитника Windows включен
Су
Входящие подключения, не соответствующие ни одному правилу, запрещены
Вид
Ш
Исходящие подключения, не соответствующие ни одному правилу, разрешена
Обновить
Свойства
Частный профиль
W
Брандмауэр Защитника Wincows включен
О
Входящие подключения, не соответствующие ни одному правилу, запрещены
О
Справка
Исходящие подключения, не соответствующие ни одному правилу, разрешена
Общий профиль
#
О
Брандмауэр Защитника Windows включен.
Входящие подключения, не соответствующие ни одному правилу, запрещены
Исходящие подключения, не соответствующие ни одному правилу, разрешена
Приступая к работе
Проверка подлинности при передаче данных между комп
Создайте правила безопасности подключения, чтобы указать, как и когда выполн v
Рис, 8,11, Окно настройки брандмауэра
Вкратце настройка брандмауэра осуществляется так:
•
На панели слева есть возможность выбора правил для входящих и исхо
дящих соединений. Выберите один из типов правил (рис. 8.12). Вы уви
дите список правил. Включенные (активные) правила помечены зеленой
галкой слева от названия правила.
•
Правило можно включить и выключить. Это очень удобно: вы можете от
ключить правило, если оно вам временно не нужно, а не удалять его. Для
включения/выключения правила дважды щелкните на нем. Откроется
окно параметров правила (рис. 8.13). В нем вы увидите флажок Включе
но - выключите его, если правило необходимо отключить.
W2J
Глава 8. Управление сетью TCP/IP
# Монитор брандмауэра Защитника Windows а режиме повышенной безопасности
файл
* Ф
Действие
£ид
-
В “Т
""
Справка
# Монитор брандмауэра
Правила для «ходящих подключу* w
S3 Правим для входящ Имя
Ж Правим дм исхода
Обнаружение кэширующих уз...
$Ь Правила безопасное
Получение содержимого Bran...
> Ш Наблюдение
Сервер размещенного кэша Вт...
Действия
Группа
Профиль
Включе; *
BranchCache - обнар...
Все
Нет
BranchCache - получе...
Все
Нет
Нет
BranchCache ■ сервер... Все
# FTP-сервер (входящий график... FTP-сервер
Нее
Фильтровать по состояли ►
Фильтровать по группе
►
Вид
►
Да
Все
Да
^mDNS (UDP-H
mDNS
Частный
&mDNS(UDF4n)
mDNS
Домен
Да
Да
#mDNS (UDJMn)
mDNS
Общий
Hee
4
^
Обновить
Да
^
Экспортировать список».
Нет
О
Справка
h # Архивация данных Windows (L Архивация Windows
Bee
Да
is Si Архивация данных Windows {(L Архивация Windows
Bee
Да
ii # Беспроводной дисплей (входя... Беспроводной диспя».
Все
Да
Ц Si Обратный канал инфраструктур Беспроводной диспл. .
is # Веб-службы Active Directory (Т._ Веб-службы Active Di... Все
Да
ii Si Веб-средство просмотра класс... Веб-средство проем...
Все
Да
И # Веб-средство просмотра класс... Веб-средство проем...
Все
Да
Удаленный рабочий стол — о...
Дистанционное упра...
Все
Нет
Удаленный рабочий стол — л...
Дистанционное упра...
Все
Нет
Рис. 8.12. Правила для входящих подключений
Свойства: mDNS (UDP-in)
Область
Общие
m
X
Дополнительно
Программы и службы
Удаленные пользователи
Протоколы и порты
Локальные субъекты
Удаленные компьютеры
Это предопределенное правило, и некоторые его
свойства нельзя изменить
Общие
.,,
•*
................ ................... ......
Списания:
Правило входящих подключений для трафика mDNS [UDP]
/0
Действие
ф Евзрешить подключение
О Разрешить только безопасное подключение
О Блокировать подключение
[
OK
j
Отмена
Прэдннит^
Рис. 8.13. Свойства правила
Для создания правила используется кнопка Создать правило. Она на
ходится на панели справа в списке правил. При создании правила нуж
но выбрать его тип - для программы (ограничение работы определенной
программы), для порта (ограничение использования определенного пор-
39 Windows
Сервер на Windows и Linux
та) и некоторые другие. Первые два типа правил (рис. 8.14) используются
чаще всего. Первый позволяет блокировать/разблокировать программу
по ее названию. Для этого не нужно знать, какие сетевые порты исполь
зует программа, и удобно, если программа может использовать несколько
сетевых портов. Второй тип правила подойдет, если в списке программ
нет нужной вам программы. Вам нужно знать, какие порты использует
программа. Далее вы указываете эти порты при создании правила Для
порта (рис. 8.15). Вы можете перечислить порты через запятую или ука
зать диапазон портов, например 1010-1020. После этого нужно выбрать,
что сделать: разрешить сетевую активность или запретить (рис. 8.16).
Рис. 8.14. Создание правила
Рис. 8.15. Указываем порты
[ 294
Рис. 8.16. Действие правила
В настройках правил брандмауэра нет ничего сложного. Если что-то пойдет
не так, всегда можно отключить правило или даже весь брандмауэр. Осто
рожность нужно соблюдать только при удаленной настройке правил бранд
мауэра (например, по протоколу RDP) - чтобы не закрыть доступ самому
себе, иначе вам придется получать физический доступ к серверу для его
настройки, а это не всегда удобно.
Глава 9.
Сервисы DNS и DHCP
Сервер на Windows и Linux
Щ Windows
Сервисы DNS и DHCP являются ключевыми для любой сети на базе Active
Directory. Без сервиса DNS невозможна работа Active Directory, а сервис
DHCP отвечает на назначение динамических IP-адресов узлам сети. В прин
ципе, без DHCP на сервере можно обойтись - использовать встроенный
DHCP-сервер роутера, но такую блажь могут себе позволить лишь неболь
шие организации. В крупных организациях, как правило, разворачивают
несколько DHCP-серверов для балансировки нагрузки, а встроенные аппа
ратные серверы - отключают. В результате можно не только балансировать
нагрузку, но и централизованно управлять DHCP, что невозможно при ис
пользовании DHCP на роутере.
9.1. Сервис DNS
9.1.1. Интеграция с Active Directory
| Домены Active Directory используют DNS для реализации своей струк
туры имен и иерархии. Служба каталогов Active Directory и DNS
настолько тесно взаимосвязаны, что перед установкой доменных
служб Active Directory (AD DS) необходимо установить DNS в сети.
298
i^ndOWS
Глава 9. Сервисы DNS и DHCP
При установке первого контроллера домена в сети есть возможность автома
тически установить DNS, если DNS-сервер не найден. Также можно указать,
должны ли DNS и Active Directory полностью интегрироваться. В большин
стве случаев на оба вопроса следует дать утвердительный ответ. При полной
интеграции информация DNS хранится в Active Directory, что позволяет вос
пользоваться всеми преимуществами Active Directory.
Важно понимать различия между частичной и полной интеграцией.
• Частичная интеграция. При частичной интеграции для хранения ин
формации DNS используется стандартное хранилище.Информация DNS
хранится в текстовых файлах с расширением dns в заданной по умолча
нию папке %SystemRoot%\System32\Dns. Обновления DNS проводятся
через единственный полномочный DNS-сервер. Этот сервер задан как
основной DNS-сервер конкретного домена или области внутри домена,
которая называется зоной (zone). Клиенты, использующие динамическое
обновление DNS через DHCP, должны быть настроены на работу с ос
новным DNS-сервером зоны. В противном случае DNS-информация на
них обновляться не будет. Если в сети отсутствует основной DNS-сервер,
проводить динамические обновления через DHCP нельзя.
• Полная интеграция. При полной интеграции информация DNS хранит
ся в Active Directory, в контейнере dnsZone. Поскольку DNS-информация
— это часть Active Directory, любой контроллер домена может получить
доступ к данным, и динамические обновления через DHCP можно прово
дить по модели с несколькими хозяевами. А это позволяет любому кон
троллеру домена, на котором запущена служба DNS-сервер, обрабаты
вать динамические обновления. Клиенты, использующие динамические
обновления DNS через DHCP, могут работать с любым DNS-сервером
внутри зоны. Еще одно преимущество интеграции с каталогом заключа
ется в возможности управлять доступом к DNS-информации при помощи
системы безопасности каталога.
В предыдущих версиях DNS-сервера для Windows Server перезапуск DNSсервера в больших организациях с большим числом зон, интегрированных
в AD DS, мог длиться часами. Это происходило потому, что данные зон
загружались не в фоновом режиме одновременно с запуском службы DNS.
В целях повышения эффективности DNS-серверов в Windows Server 2012 и
более поздних версиях они существенно доработаны. Теперь перезагрузки
Г 299
Сервер на Windows и Linux
данных зон из AD DS осуществляются в фоновом режиме. Это гарантирует
способность DNS-сервера отвечать на запросы, в том числе и из других зон.
9.1.2. Настройка разрешения имен на DNS-клиентах
Лучший способ настроить разрешение имен на DNS-клиентах зависит от
конфигурации сети. Если компьютеры используют DHCP, возможно, лучше
настроить DNS через параметры на DHCP-сервере. Если компьютеры ис
пользуют статические IP-адреса или необходимо указать отдельные параме
тры DNS на отдельных системах, нужно настроить DNS вручную.
Настроить параметры DNS можно на вкладке DNS окна Дополнительные
параметры TCP/IP.
Чтобы открыть это окно, выполните следующие действия:
1. В Центре управления сетями и общим доступом щелкните по ссылке
Изменение параметров адаптера. В окне Сетевые подключения щел
кните правой кнопкой мыши по нужному подключению и выберите ко
манду Свойства.
2. Дважды щелкните по протоколу, который хотите настроить — TCP/IPv6
или TCP/IPv4. —
----------------------------------------------х
Свойства; IP версии 4 (TC₽/IPv4)
Общие
Альтернативная конфигурация
Параметры IP можно назначать автоматически, если сеть
поддерживает эту возможность, В противном случае узнайте
параметры IP у сетевого администратора.
(Ц) Получить IP-адрес автоматически
0 Использовать следующий 1Р-адрес:
0 Палучить адрес DNS-сервера автоматически
^ Использовать следующие адреса DNS-серверов:
Предпочитаемый DNS-сервер:
Н
.
Альтернативный DNS-сервер:
|
| Подтвердить параметры при выходе
Дополнительно...
Рис. 9.1. Свойства TCP/IPv4
3. Если используете DHCP и нужно, чтобы адрес DNS-сервера был задан
по DHCP (рис. 9.1), установите переключатель Получить адрес DNS-
Г Ж) 1
Глава 9. Сервисы DNS и DI К Т
сервера автоматически. В противном случае установите переключатель
Использовать следующие адреса DNS-серверов, а затем введите адреса
основного и дополнительного DNS-серверов в соответствующих полях.
4. Нажмите кнопку Дополнительно, чтобы открыть диалоговое окно До
полнительные параметры TCP/IP. Перейдите на вкладку DNS и
настройте необходимые параметры:
»
Адреса DNS-серверов, в порядке использования — укажите IPадрес каждого DNS-сервера, который используется для разрешения
доменных имен. Чтобы добавить IP-адрес сервера в список, нажми
те кнопку Добавить. Нажмите кнопку Удалить, чтобы удалить адрес
выделенного сервера из списка. Чтобы изменить выделенную запись,
нажмите кнопку Изменить. Если указано несколько серверов DNS, их
приоритет определяется очередностью в списке. Если первый сервер
не может ответить на запрос о разрешении имени хоста, запрос по
сылается на следующий DNS-сервер и т. д. Чтобы изменить позицию
сервера в списке, выделите его и воспользуйтесь кнопками со стрел
ками вверх и вниз.
» Дописывать основной DNS-суффикс и суффикс подключения —
обычно по умолчанию этот переключатель установлен. Включите этот
параметр для разрешения неполных имен компьютеров в основном
домене. Допустим, происходит обращение к компьютеру server в ро
дительском домене example.com. Для разрешения имя компьютера бу
дет автоматически дополнено суффиксом DNS — server.microsoft.com.
Если в основном домене компьютера с таким именем нет, запрос не
выполняется. Основной домен задается на вкладке Имя компьютера
диалогового окна Свойства системы.
» Добавлять родительские суффиксы основного DNS-суффикса —
по умолчанию этот переключатель установлен. Включите его для
разрешения неполных имен компьютеров в иерархии родительских/
дочерних доменов. В случае неудачного запроса в ближайшем роди
тельском домене, для попытки разрешения запроса используется суф
фикс родительского домена более высокого уровня. Этот процесс про
должается, пока не будет достигнута вершина иерархии доменов DNS.
Допустим, в запросе указано имя компьютера server в родительском
домене dev.example.com. Сначала DNS пытается разрешить имя
компьютера server.dev.example.com, а потом, в случае неудачи, пыта
ется разрешить имя server.example.com.
Сервер на Windows и Linux
» Дописывать следующие DNS-суффиксы (по порядку) — устано
вите этот переключатель, чтобы задать использование особых DNSсуффиксов вместо имени родительского домена. Нажмите кнопку До
бавить, чтобы добавить суффикс домена в список. Нажмите кнопку
Удалить, чтобы удалить выделенный суффикс домена из списка. Для
редактирования выделенной записи нажмите кнопку Изменить. Раз
решается указать несколько суффиксов домена. Если первый суффикс
не позволяет разрешить имя, DNS применяет следующий суффикс из
списка. Если первый суффикс не был разрешен, берется следующий
суффикс и т. д. Чтобы изменить очередность суффиксов домена, выбе
рите нужный суффикс и измените его положение кнопками со стрел
ками вверх и вниз.
»
DNS-суффикс подключения — в этом поле задастся DNS-суффикс
подключения, переопределяющий DNS-имена, уже настроенные на
использование с данным подключением. Обычно имя домена DNS
указывается на вкладке Имя компьютера диалогового окна Свой
ства системы.
»
Зарегистрировать адреса этого подключения в DNS — включите
этот параметр, если нужно зарегистрировать все IP-адреса для этого
соединения в DNS с FQDN-именами компьютеров. Этот параметр
включен по умолчанию.
»
Использовать DNS-суффикс подключения при регистрации в
DNS — установите этот флажок,
Дополнительные параметры TCP/IP
если нужно, чтобы все IP-адреса
для данного подключения реги
стрировались в DNS родительско
го домена.
Параметры IP
DNS
WINS
Адреса DNS-серверов, в порядке использования:
Следующие три параметра применяются для всех подключений,
использующих TCP/IP. Для разрешения неизвестных имен:
ф) Дописывать основной DNS-суффикс и суффикс подключения
(2 Добавлять родительские суффиксы основного DNS-суффикса
О Дописывать следующие DNS-суффиксы (по порядку):
(^Зарегистрировать адреса этого подключения в DNS
П Использовать ONS-суффикс подключения при регистрации в DNS
Рис. 9.2. Дополнительные параметры ТСРДР
302
Глава 9. Сервисы DINS и DHCP
9.1.3. Типы серверов
Любую систему Windows Server 2019 можно настроить как DNS-сервер.
Доступны четыре типа DNS-серверов:
1. Основной сервер, интегрированный с Active Directory — DNS-сервер
полностью интегрированный с Active Directory. Все данные DNS хранят
ся непосредственно в Active Directory.
2. Основной сервер — основной DNS-сервер домена с частичной инте
грацией с Active Directory. В этом случае основная копия DNS-записей и
конфигурация домена хранятся в текстовых файлах с расширением dns.
3. Вторичный (дополнительный) сервер — резервный DNS-сервер. Хра
нит копию DNS-записей, полученную с основного сервера и передачи зон
для обновлений. Вторичный сервер при запуске получает всю необходи
мую информацию с DNS-сервера.
4. Сервер пересылки (forward-сервер) — сервер, кэширующий DNSинформацию после lookup-запросов и всегда передающий запросы на
другие серверы. Сервер пересылки хранит DNS-информацию до обнов
ления, до истечения срока действия или до перезапуска сервера. В отли
чие от вторичных серверов forward-сервер не запрашивает полную копию
файлов базы данных зоны. Это означает, что при запуске сервера пере
сылки его база данных пуста.
9.1.4. Установка и базовая настройка DNS-сервера
Для установки DNS-сервера необходимо с помощью мастера добавления
ролей и компонентов добавить роль DNS-сервер. Если вы уже устанавли
вали Active Directory, то данная роль должна быть установлена автомати
чески.
После установки DNS-сервера можно использовать консоль Диспетчер
DNS для настройки и управления DNS-сервером. Для вызова консоли
Диспетчер DNS (рис. 9.3) выберите команду DNS из меню Средства в дис
петчере серверов.
Сервер на Windows и Linux
Рис. 9.3. Диспетчер DNS
Если настраиваемый сервер не отображается в представлении дерева, нуж
но подключиться к нему. Щелкните правой кнопкой мыши по узлу DNS в
представлении дерева и выберите команду Подключение к DNS-серверу.
Запись для DNS-сервера должна появиться в представлении дерева консоли
Диспетчер DNS. Щелкните правой кнопкой мыши на записи сервера и вы
берите команду Настроить DNS-сервер. Будет запущен мастер настройки
DNS-сервера. Нажмите кнопку Далее.
На странице Выбор действия по настройке установите переключатель
Настроить только корневые ссылки, чтобы указать, что в этот раз вы хо
тите создать только базовые структуры.
Мастер настройки DNS-сервера
Выбор действия по настройке
Вы можете выбрать типы зон просмотра, подходящие для размеров сети.
Опытные администраторы могут настроить корневые ссылки.
Выберите действие, которое необходимо выполнить:
0 Создать зону прямого просмотра (рекомендуется для небольших сетей)
Этот сервер является полномочным для DNS-имен локальных ресурсов, но
пересылает все остальные запросы поставщику услуг Интернета или другим
DNS-серверам, Мастер настроит корневые ссылки, но не создаст зону
обратного просмотра,
0 Создать зоны пряного и обратного просмотра (рекомендуется для больших сетей)
Этот сервер может быть полномочным для зон прямого и обратного
просмотра. Он может быть настроен на рекурсивное разрешение имен,
пересылку запросов другим DNS-серверам или на обе функции. Мастер
настроит корневые ссылки.
($^строить только корневые ссылки (рекомендуется для опытных пользователей^
Мастер настроит только корневые ссылки. Серверы пересылки, а также зоны
прямого и обратного просмотра вы можете настроить позже.
< Назад
I
Далее >
Рис. 9.4. Мастер настройки DNS
Глава 9. Сервисы DNS и DHCP
Нажмите кнопку Далее, а затем - кнопку Готово. На этом базовая настройка
DNS-сервера завершена.
9.1.5. Создание основной зоны
После установки службы DNS-сервер на сервер можно сконфигурировать
основной сервер с помощью следующих действий:
1. Запустите консоль Диспетчер DNS. Если необходимый сервер не отобра
жается, подключитесь к нему, как было описано ранее.
2. Запись DNS-сервера должна быть выведена в дереве консоли Диспетчер
DNS. Щелкните правой кнопкой мыши на записи сервера и выберите ко
манду Создать новую зону. Будет запущен мастер создания новой зоны.
Нажмите кнопку Далее.
3. Можно выбрать тип зоны. Если основной сервер настраивается с инте
грацией в Active Directory (на контроллере домена), выберите переключа
тель Основная зона и убедитесь, что отмечен флажок Сохранять зону
в Active Directory (см. рис. 9.5). Если интеграция DNS с Active Directory
не нужна, выберите переключатель Основная зона и сбросьте флажок
Сохранять зону в Active Directory. Нажмите кнопку Далее.
Мастер создания новой зоны
Тип зоны
DNS-сервер поддерживает различные типы зон и хранения информации.
Выберите тип зоны, которую вы хотите создать:
(•Основная зона
Создание копии зоны, непосредственно обновляемой на данном сервере,
(2) Дополнительная зона
Создание копии зоны, расположенной на другом сервере. Это позволяет
распределять нагрузку основных серверов и обеспечивает отказоустойчивость.
Q Зона-заглушка
Создание копии зоны, содержащей только записи сервера имен (NS), начальные
записи зоны (SOA) и, возможно, связанные записи узлов (тип А). Сервер,
содержащий зону-заглушку, не является полномочным для этой зоны.
^Сохранять зону в Active Directory (доступнотолько для DNS-сервера,
являющегося доступным для записи контроллером домена)
< Назад
)
Далее >
Рис. 9.5. Создание новой зоны
I
Отмена
Сервер на Windows и Linux
4. Если зона интегрируется с Active Directory, выберите одну из стратегий
репликации (в противном случае пропустите этот шаг):
»
Для всех DNS-серверов, работающих на контроллерах домена в
этом лесу — выберите эту стратегию для самой обширной реплика
ции. Помните, что лес Active Directory содержит также все деревья
доменов, использующие данные каталога совместно с текущим доме
ном.
»
Для всех DNS-серверов, работающих на контроллерах домена в
этом домене — выберите эту стратегию, если нужно реплицировать
DNS-информацию в пределах текущего домена.
»
Для всех контроллеров домена в этом домене (для совместимости
с Windows 2000) — выберите эту стратегию, если нужно реплициро
вать DNS-информацию всем контроллерам домена в текущем домене,
что необходимо для совместимости с Windows 2000. Хотя эта страте
гия обеспечивает более широкую репликацию DNS-информации вну
три домена и обеспечивает совместимость с Windows 2000, не каждый
контролер домена является DNS-сервером (и не нужно настраивать
каждый контроллер домена как DNS-сервер).
Мастер создания новой зоны
Область репликации зоны, интегрированной в Active Directory
Вы можете указать, каким образом следует реплицировать данные DNS в
вашей сети.
Укажите, каким образом вы хотите реплицировать информацию зоны:
О Для gcex DNS-серверов, работающих на контроллерах домена в этом лесу:
example.com
($)|Для всех DNS-gepBepoe, работающих на контроллерах домена в этом домене:
(example.com___ _______
__ __________ __ ___________
О Для всех контроллеров домена в этом домене (для совместимости с Windows
2000): example.com
На все контроллеры домена, указанные в области данного раздела каталога:
< Назад
| Далее > |
Отмена
Рис. 9.6. Область репликации зоны
5. Нажмите кнопку Далее. Выберите переключатель Зона прямого про
смотра, а затем нажмите кнопку Далее (рис. 9.7).
Г 306
Глава 9. Сервисы DNS и DHCP
dows
Мастер создания новой зоны
Зона прямого ням обратного просмотра
Вы можете использовать зону для прямого или обратного просмотра.
Выберите тип зоны просмотра, которую вы хотите создать:
(^[Зона прямого просмотра;
Зона прямого просмотра преобразовывает DNS-имена в IP-адреса и
предоставляет информацию о доступных сетевых службах.
О Зона обратного просмотра
Зона обратного просмотра преобразует IP-адреса в DNS-имена.
Назад
=
Далее >
j
Отмена
Рис. 9.7. Выбор типа зоны
6. Введите полное DNS-имя зоны. Имя зоны определяет, как сервер или
зона вписываются в доменную иерархию DNS. Например, если создает
ся основной сервер для домена example.com (рис. 9.8), в качестве имени
зоны следует ввести example.com. Нажмите кнопку Далее.
Мастер создания новой зоны
Имя зоны
Каково имя новой зоны?
Имя зоны указывает часть пространства имен DNS, для которой сервер является
полномочным. Оно должно представлять доменное имя вашей организации
(например, microsoft.com) или часть доменного имени (например,
newzone.mlcrosoft.com ). Имя зоны не является именем DNS-сервера.
Имя эоны:
example.com
< Назад
Далее >Д
Отмена
Рис. 9.8. Имя зоны
[ 307 '
Сервер на Windows и Linux
7. Если настраивается основная зона, которая не интегрируется с Active
Directory, нужно указать имя файла зоны. Имя файла базы данных зоны
DNS по умолчанию должно быть уже введено. Оставьте это имя без из
менений или введите новое. Нажмите кнопку Далее.
8. Укажите, будут ли разрешены динамические обновления.
»
Разрешить только безопасные динамические обновления —
когда зона интегрирована с Active Directory, можно использовать спи
ски управления доступом для ограничения круга клиентов, которые
могут осуществлять динамические обновления. Когда включена эта
опция, только клиенты с авторизированными учетными записями
компьютера и одобренными списками управления доступом могут ди
намически обновлять свои записи ресурсов в DNS.
»
Разрешить любые динамические обновления — выберите эту
опцию, чтобы разрешить любому клиенту обновлять свои записи ре
сурсов в DNS. Клиенты могут быть безопасными и небезопасными.
»
Запретить динамические обновления — отключает динамические
обновления DNS. Нужно выбрать эту опцию, только если зона не ин
тегрирована с Active Directory.
9. Нажмите кнопку Далее. А затем нажмите кнопку Готово для заверше
ния этого процесса. Новая зона будет добавлена на сервер, базовые DNSзаписи будут созданы автоматически.
Мастер создания новой зоны
Завершение мастера
создания новой зоны
Работа мастера создания новой зоны успешно
завершена. Были заданы следующие параметры:
Имя:
example.com
а.
Тип:
Интегрированная в Active Directory
основная
Тип просмотра:
Переслать
Примечание. Вам следует добавить записи в зону или '
убедиться, что записи обновлены динамически. Затем
вы можете проверить разрешение имен при помощи
программы NSLOOKUP.
Для закрытия мастера и создания новой зоны нажмите
кнопку "Готово”.
То^^
Рис. 9.9. Зона создана
Отмена
Глава 9. Сервисы DNS и DHCP
10.Один DNS-сервер может предоставлять сервис для нескольких доменов.
Если у вас есть несколько родительских доменов, например example.com
и firma.com, нужно повторить этот процесс для настройки остальных зон
просмотра. Также надо настроить зоны обратного просмотра.
11. Нужно добавить записи компьютеров, далее будет показано, как это сде
лать.
9.1.6. Создание дополнительного сервера DNS
Дополнительные серверы обеспечивают отказоустойчивость DNSI службы сети. Если используется полная интеграция с Active Directory, I
настраивать дополнительные серверы не нужно.
Достаточно запустить службу DNS на нескольких контроллерах домена, и
Active Directory будет реплицировать информацию DNS на все контроллеры.
При использовании частичной интеграции следует настроить дополнитель
ные серверы, чтобы уменьшить нагрузку на основной сервер. В небольшой
или средней сети можно использовать в качестве дополнительных серверов
DNS-серверы интернет-провайдера.
Для установки дополнительных серверов с целью повышения отказоустой
чивости и балансировки нагрузки выполните следующие действия:
1. Запустите консоль Диспетчер DNS. Если нужного сервера нет в списке,
подключитесь к нему, как было описано ранее.
2. Щелкните правой кнопкой мыши на записи сервера, а затем выберите ко
манду Создать новую зону. Будет запущен мастер создания новой зоны.
Нажмите кнопку Далее.
3. На странице Тип зоны выберите переключатель Дополнительная зона.
Нажмите кнопку Далее.
4. Дополнительные серверы могут использовать как зоны прямого просмо
тра, так и зоны обратного просмотра. Сначала нужно создать зону прямо
го просмотра, поэтому выберите переключатель Зона прямого просмо
тра и нажмите кнопку Далее.
5. Введите DNS-имя зоны и нажмите кнопку Далее.
Сервер на Windows и Linux
Endows!
6. В списке Основные серверы введите IP-адрес основного сервера зоны
и нажмите клавишу . Мастер попытается проверить сервер. Если
произошла ошибка, убедитесь, что сервер подключен к сети и введен пра
вильный IP-адрес. Если нужно скопировать данные зоны с других серве
ров на случай недоступности первого сервера, повторите этот шаг.
7. Нажмите кнопку Далее, а затем кнопку Готово. В большой сети, возмож
но, придется настроить зоны обратного просмотра на дополнительных
серверах.
9.1.7. Обратная зона
Прямые просмотры используются для разрешения доменных имен в IPадреса. Обратные просмотры служат для разрешения IP-адресов в доменные
имена. Каждый сегмент сети должен иметь зону обратного просмотра.
Зона обратного просмотра создается аналогично зоне прямого просмотра,
только на странице выбора типа зоны (рис. 9.7) нужно выбрать Зона обрат
ного просмотра, а вместо имени домена нужно указать 1.168.192.in-addr.
агра, если адрес сети у вас 192.168.1.0.
Если есть несколько подсетей в одной сети, например 192.168.10 и 192.168.11,
можно ввести только часть сети в качестве имени зоны. Например, в этом
случае нужно использовать имя 168.192.in-addr.arpa и разрешить консоли
Диспетчер DNS создать необходимые зоны подсетей, когда они понадобят
ся.
9.1.8. Управление записями DNS
После создания необходимых файлов зоны можно добавить в них записи.
|||11|||1|1||11Ш1111111111111111111111111111111111111111111111111111М11|1Н111П111111111!1|1111111П111Ш11111Ш11111111ШШ111111111Ш1111тН11Ш1111111Ш1111111111111111|11111111||111|11111111111Н111111111111111П111Н11Ш^
Для компьютеров, к которым необходим доступ из Active Directory и
доменов DNS, нужно создать записи DNS.
Хотя существует много типов записей DNS, большинство из них не исполь
зуется часто. Давайте сконцентрируем внимание на тех записях, которые
чаще всего востребованы.
310
Jf Windows1 кпщ (). Сервисы DNS и DHCP
1. A (1Ру4-адрес) — используется для преобразования имени узла в IPv4адрес. Когда у компьютера есть несколько сетевых карт, 1Ру4-адресов
(или несколько и сетевых карт, и адресов), для компьютера должно быть
создано несколько записей адреса.
2. АААА (1Ру6-адрес) — используется для преобразования имени узла в
1Руб-адрес. Когда у компьютера несколько сетевых карт, 1Ру6-адресов
(или несколько и сетевых карт, и адресов), для компьютера должно быть
создано несколько записей адреса.
3. CNAME (canonical name, каноническое имя) — устанавливает псевдо
ним для имени узла. Например, можно с помощью этой записи устано
вить псевдоним www.example.com для узла server.example.com.
4. MX (mail exchanger) — указывает сервер обмена почты для домена,
позволяющий отправлять сообщения электронной почты корректным
почтовым серверам в домене.
5. NS (name server) — определяет сервер имен для домена. У каждого ос
новного и дополнительного сервера должна быть эта запись.
6. PTR (указатель) — создает указатель, преобразующий IP-адрес в имя
узла (обратный запрос).
7. SOA (start of authority, начало полномочий) — объявляет хост, облада
ющий наибольшими полномочиями в зоне и потому являющийся наилуч
шим источником DNS-информации в зоне. Начальная запись зоны (SOA)
должна быть в каждом файле зоны (который создается автоматически при
добавлении зоны). Также она объявляет другую информацию о зоне,
например ответственное лицо, интервал обновления, интервал повтора
и т. д.
Чтобы создать новый элемент узла при помощи записей адреса и указателя,
выполните следующие действия:
1. В консоли Диспетчер DNS раскройте папку Зоны прямого просмотра
нужного сервера.
2. Щелкните правой кнопкой мыши на домене, который нужно обновить,
и выберите команду Создать узел (А или АААА). Откроется окно, по
казанное на рис. 9.10.
3. Введите имя компьютера, например web-server, и IP-адрес, например
192.168.1.21.
ГЕЕ
4. Установите флажок Создать соответствующую PTR-запись.
5. Нажмите кнопку Добавить узел, а затем кнопку ОК. Повторите этот про
цесс для добавления других узлов.
6. Нажмите кнопку Готово, когда закончите.
Новый узел
X
Имя (если не указано, используется родительский домен):
[I
Полное доменное имя (FQDN):
1 example.com.
IP-адрес:
[2] Создать соответствующую PTR-запись
|
[ Разрешать любому прошедшему проверку пользователю
обновлять DNS-записи с таким же именем владельца
Добыть
Отмена
Рис, 9.10. Создание А-записи
Для создания записи CNAME выполните следующие действия:
•
В консоли Диспетчер DNS разверните папку Зоны прямого просмотра
нужного сервера.
•
Щелкните правой кнопкой мыши на домене, который нужно обновить, и
выберите команду Создать псевдоним (CNAME).
•
В поле Псевдоним введите псевдоним. Псевдоним — это однокомпо
нентное имя, например www или ftp.
•
В поле Полное доменное имя (FQDN) конечного узла введите полное
имя компьютера, для которого создается псевдоним.
•
Нажмите кнопку ОК.
Остальные DNS-записи создаются аналогично — путем выбора соответ
ствующей команды из контекстного меню. Исключение составляет запись
SOA. Для ее изменения щелкните правой кнопкой мыши на зоне, которую
Глава 9. Сервисы DNS и DHCP
нужно обновить, и выберите команду Свойства. Перейдите на вкладку
Начальная запись зоны (SOA) и обновите текстовые поля, показанные на
рис. 9.11.
example.com - свойства
Передачи зон
Безопасность
Начальная запись зоны (SOA)
WINS
Серверы имен
Общие
Серийный номер:
Увеличить
Основнойсервер:
win-lgogbecfljs.example.com
О£зор...
Ответственное дицо (RP • Responsible Person)
postmaster example com
£)бзор.
Интервал обновления
Интервал повтора.
Срок истекает после:
Мин. срок жизни TTL
(по умолчанию).
Срок жизни (TTL)
записи:
OK
.1
g
j
О
:0
Отмена
(ДШШЯЧММ.СС)
Справка
Рис. 9.11. Редактирование SOA-записи
На вкладке Начальная запись зоны (SOA) доступны следующие пара
метры:
• Серийный номер — отражает версию файлов базы данных DNS. Номер
обновляется автоматически при внесении изменений в файлы зоны, но
можно обновить его и вручную. По этому номеру дополнительные сер
веры определяют, изменилась ли зона. Если серийный номер основного
сервера превышает серийный номер дополнительного сервера, записи из
менились, и дополнительный сервер может запросить DNS-записи зоны.
Кроме того, можно настроить DNS на уведомление дополнительных сер
веров об изменениях (что ускоряет процесс обновления).
•
Основной сервер — полное доменное имя сервера, в конце которого сто
ит точка. Она обозначает конец имени и гарантирует, что к записи не бу
дет добавлена информация о домене.
•
Ответственное лицо — адрес электронной почты лица, ответственного
за домен. По умолчанию здесь стоит имя hostmaster, за которым следует
точка. Это обозначает адрес hostmaster@дoмeн.com. При вводе здесь дру-
Сервер на Windows и Linux
l^ndows
того адреса замените точкой символ @ в адресе электронной почты и в
конце адреса также поставьте точку.
•
Интервал обновления — интервал, через который дополнительный сер
вер проводит проверку обновлений зоны. Если интервал установлен в
60 минут, изменения на дополнительном сервере отобразятся через час.
Можно уменьшить сетевой трафик, увеличивая это значение.
• Интервал повтора — время после сбоя, в течение которого дополни
тельный сервер не загружает базы данных зоны. Если задан интервал 10
минут, после сбоя передачи базы данных зоны дополнительный сервер
ждет 10 минут, прежде чем отправить новый запрос.
•
Срок жизни истекает после — период времени, в течение которого ин
формация зоны на дополнительном сервере считается достоверной. Если
дополнительный сервер в течение этого времени не может загрузить дан
ные с основного сервера, данные в кэше дополнительного сервера уста
ревают, и дополнительный сервер перестает отвечать на DNS-запросы.
Установка этого параметра в 7 дней позволяет данным на дополнитель
ном сервере быть достоверными неделю.
• Мин. срок жизни TTL (по умолчанию) — минимальное время жизни
записей на дополнительном сервере. Данное значение можно установить
в днях, часах, минутах или секундах. Когда это время заканчивается, до
полнительный сервер считает срок действия соответствующей записи ис
текшим и сбрасывает ее. После этого необходимо отправлять очередной
запрос на основной сервер. Делайте минимальный срок жизни относи
тельно большим, например 24 часа. Это сократит сетевой трафик и повы
сит производительность. С другой стороны, нужно помнить, что высокое
значение замедляет распространение обновлений через Интернет.
•
Срок жизни (TTL) записи — время жизни конкретной SOA-записи в
формате ДД:ЧЧ:ММ:СС. Как правило, оно должно совпадать с мини
мальным временем жизни всех записей.
9.2. Настройка DHCP
9.2.1. Введение в DHCP
Протокол динамической конфигурации узла (Dynamic Host Configuration
Protocol, DHCP) используется для упрощения администрирования доменов
Active Directory, и далее в этой главе будет рассказано, как это сделать.
3
Глава 9. Сервисы DNS и DHCP
Протокол DHCP служит для динамического назначения конфигураци
онной информации TCP/IP-клиентам сети.
Протокол не только экономит время, необходимое на настройку клиентов
сети, но и предоставляет централизованный механизм для обновления кон
фигурации. Для включения DHCP в сети нужно установить и настроить
DHCP-сервер. Этот сервер отвечает за назначение необходимой сетевой ин
формации.
Работает DHCP так:
1. Клиентский компьютер выбирает IP-адрес из подсети класса В 169.254.0.0
с маской подсети 255.255.0.0, зарезервированной Microsoft. Перед ис
пользованием 1Ру4-адреса клиент при помощи протокола ARP проверяет,
не занят ли данный 1Ру4-адрес другим клиентом.
2. Если адрес занят, клиент повторяет шаг 1. После десяти неудачных попы
ток произойдет ошибка. Если клиент отключен от сети, результат ARPтестирования всегда будет успешным, поэтому клиент получит первый
попавшийся 1Ру4-адрес.
3. Если выбранный 1Ру4-адрес доступен, клиент соответствующим образом
настраивает сетевой адаптер. Далее клиент пытается связаться с DHCPсервером, каждые 5 минут посылая в сеть запрос. После успешной уста
новки связи клиента с сервером клиент получает аренду и заново настра
ивает сетевой интерфейс.
IIIIIIIIIIIIIIII1IIII
'I
Примечание. В случае с IPv6 процедура сложнее, но в общих чертах |
похожа. I
.............................................................................................................................................................. ..... ........................................................ и.......... ................................ iitiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiF
DHCP-сервер в Windows Server может работать в одном из двух режимов:
1. Режим балансировки нагрузки. В этом режиме администратор указы
вает процентное соотношение загрузки каждого сервера. Обычно исполь
зуется соотношение 50/50, чтобы нагрузка на каждый сервер была оди
наковой. Но можно использовать другие соотношения, например 60/40,
при этом один сервер будет обрабатывать 60% запросов, другой — 40%.
Сервер на Windows п Linux
I....................г^л
2. Режим горячего резервирования. В этом режиме один из серверов дей
ствует как основной сервер и обрабатывает DHCP-запросы. Другой сер
вер является резервным и используется, когда произошел сбой основно
го сервера или на основном сервере закончились IP-адреса для аренды.
Обычно для резервного сервера резервируется 5% IP-адресов.
Настройка отказоустойчивости DHCP предельно проста и не требует класте
ризации или какой-либо другой расширенной настройки.
Для настройки отказоустойчивости DHCP нужно выполнить следующие
действия:
1. Установите и настройте два DHCP-сервера. Серверы должны находиться
в одной и той же физической сети.
2. Создайте область DHCPv4 на одном из серверов. Область — это пул IPv4или 1Ру6-адресов, которые можно назначить клиентам с помощью арен
ды.
3. Как только укажете, что другой сервер является партнером отказоустой
чивости для области DHCPv4, область будет реплицирована партнеру.
9.2.2. Области адресов
l!IIIIIUIIIIIIIIIIIIIIIIIIIIII|IIIIIIHIIIlltlinillllllllllllllllllllllllllllllll1llllllllllllllllllllllllllllllll1lllllllllllllllllllll1llllll1l /dev/null || echo Debian'
# Параметры ядра Linux по умолчанию
GRUB_CMDLINE_LINUX_DEFAULT="quiet"
# Еще одна строка для задания параметров ядра
GRUB_CMDLINE_LINUX="initrd=/install/gtk/initrd.gz"
# Раскомментируйте эту строку,
режим
#GRUB_TERMINAL=console
#
#
#
#
если вы хотите отключить графический
Разрешение в графическом режиме
Вы можете использовать только те режимы, которые ваша видеокарта
поддерживает через VBE. Просмотреть список
таких режимов можно с помощью команды 'vbeinfo'
Jnux
Глава 10. Управление загрузкой Linux
#GRUB_GFXMODE=640x480
# Раскомментируйте эту строку, если вы не хотите
# использовать UUID-имена устройств
#GRUB_DISABLE_LINUX_UUID=true
# Раскомментируйте, если хотите запретить генерирование меток восстановления
#GRUB_DISABLE_RECOVERY=”true”
# Раскомментируйте, если хотите получить гудок при загрузке GRUB
#GRUB INIT TUNE=”480 440 1”
Как видите, параметры из файла /etc/default/grub понятны и не нуждаются в
особых комментариях. Но в нем мы узнали о еще одной команде — update
grub. Так какую из них использовать — update-grub или grub-mkconfigl
На самом деле это почти одна и та же команда. Дело в том, что команда grubmkconfig по умолчанию выводит конфигурацию GRUB2 на экран, поэтому,
чтобы она записалась в файл /boot/grub/grub.cfg, запускать ее нужно так:^
sudo grub-mkconfig > /boot/grub/grub.cfg
Или же вы можете ввести команду update-grub, которая сделает то же самое.
Другими словами, команда update-grub — это сценарий, который вызыва
ет только что приведенную команду. Как по мне, то использовать команду
update-grub удобнее.
Так какую стратегию GRUB2 использовать? Редактировать шаблоны и пара
метры или сразу конфигурационный файл? Если вы работаете за компьюте
ром в гордом одиночестве и нет и не предвидится других администраторов,
тогда можете выбрать ту стратегию, которая вам больше нравится.
Если же есть или планируются другие администраторы, то нужно редакти
ровать шаблоны и параметры вместо редактирования конфигурационного
файла вручную. Дело в том, что если вы внесете изменения непосредствен
но в конфигурационный файл, а потом другой администратор захочет из
менить какой-то незначительный параметр, например, добавить гудок при
загрузке GRUB2, то команда update-grub перезапишет все сделанные вами
изменения.
Сервер на Windows и Linux
Л-lnux
10.2.2. Выбор метки по умолчанию
Как правило, даже если у вас установлена одна только Linux, у вас будет
несколько загрузочных меток (несколько записей menuentry). Выбрать метку
по умолчанию можно с помощью параметра GRUB DEFAULT. Нумерация
меток начинается с 0, то есть первой метке соответствует значение 0.
После того, как вы установите другой номер метки по умолчанию, нужно
ввести команду update-grub и перезагрузить систему.
Другими словами, последовательность такая: редактируем файл /etc/default/
grub, изменяем значение параметра GRUB DEFAULT и вводим команду
update-grub.
10.2.3. Загрузка Windows
Упор в этой книге делается на применение Linux в работе с сервером, при
чем в разных сферах жизнедеятельности, однако вдруг вы захотите устано
вить Linux на домашний компьютер, скорее всего, ей придется "сожитель
ствовать" с Windows.
Чтобы добавить возможность загрузки Windows из GRUB2, нужно отредак
тировать файл /etc/grub.d/40_custom и добавить в него следующие строки:
Здесь Windows находится на /dev/sdal, и адрес этого раздела указывается в
set root. Значение UUID нужно заменить на UUID вашего Windows-раздела.
О том, как "вычислить" UUID раздела мы уже поговорили, надеюсь, с этим
не возникнет трудностей. Остальные параметры можете оставить без изме
нения (еще не забудьте исправить hdO в drivemap, если Windows установлена
не на первом жестком диске).
338
Глава 10. Управление загрузкой Linux
10.2.4. Пароль загрузчика GRUB2
Загрузчик GRUB позволял только установить пароль — или общий, или на
загрузку определенной метки. Загрузчик GRUB2 более гибкий в этом плане,
поскольку вы можете настроить не только пароли, но и логины. Также есть
минимальная система разграничения прав доступа.
Итак, в GRUB2 есть суперпользователь, который может редактировать
загрузочные метки.
Существует возможность восстановить пароль root путем передачи |
ядру параметра init. Но для этого нужно отредактировать конфигура- |
цию GRUB2.
Если вы установите пароль суперпользователя, то изменить конфигурацию
загрузчика вы сможете только после ввода этого пароля.
Также в GRUB2 есть обычные пользователи, которые имеют право только
выбирать загрузочную метку. Они не имеют права редактировать конфигу
рацию загрузчика. В принципе, можно обойтись одним паролем суперполь
зователя, но при желании GRUB2 может довольно гибко разграничить права
пользователей.
Давайте сначала добавим пароль суперпользователя. Для этого в файл /etc/
grub.d/OO_header добавьте строки:^
set superusers=”main_admin’'
password main_admin 123456789
Первая команда задает суперпользователя main_admin, а вторая — задает
для него пароль. Старайтесь избегать общепринятых имен вроде admin,
root и т.д. Так у злоумышленника, который хочет изменить конфигурацию
GRUB2, будет две неизвестных.
Пароль пока в незашифрованном виде, и это не очень хорошо. Поскольку
если загрузиться с LiveCD или LiveUSB, то его можно будет увидеть. Позже
я покажу, как зашифровать пароль.
339
По сути main_admin тоже был бы обычным пользователем, если бы не
инструкция set superusers, которая делает его суперпользователем.
Представим, что у нас есть следующие строки:
set superusers="main_admin”
password main_admin 123456789
password me 12345
Пользователь main_admin может загружать операционные системы и
редактировать конфигурацию GRUB2. Пользователь те может только
загружать операционные системы.
Если вы хотите, чтобы определенные метки могли загружать только опреде
ленные пользователи, добавьте к menuentry параметр —users:
Данный хеш нужно указать вместо пароля пользователя. Однако вместо
инструкции passed нужно использовать password_pbkdf2.
Например:
password_pbkdf2 me
grub.pbkdf2.sha512.10000.9290F727ED06C38BA4549EF7DE25CF5642659211B7FC076F2D2708
0136.887CFF169EA83D5235D8004742AA7D6187A41E3187DF0CE14E256D85ED97A979080136.887CFF169EA8335235D8004242AA7D6187A41E3187DF0CE14E256D85ED97A97357AAA8FF0A3871AB9EEFF458392F462F495487387F685B7472FC6C29E293F0A0
После изменения файлов из каталога /etc/grub.d не забудьте ввести команду
upgrade-grub для обновления основного файла конфигурации.
10.2.5. Установка загрузчика
Команда установки загрузчика такая же, как и в случае с GRUB:
# /sbin/grub-install
Например:
# /sbin/grub-install /dev/sda
Поскольку GRUB2 у вас уже установлен, вряд ли вам придется вводить эту
команду. Исключение может составить разве что переустановка Windows,
которая перезапишет загрузочный сектор своим загрузчиком. Поэтому вам
придется загрузиться с LiveCD, выполнить chroot для вашей старой корне
вой системы и ввести команду grub-install для установки загрузчика GRUB2.
Г 341 "
Сервер па Windows и Linux
Л-lnux
10.3. Система инициализации
После своей загрузки ядро передает управление системе инициализации.
Цель этой системы — выполнить дальнейшую инициализацию системы.
Самая главная задача системы инициализации — запуск и управление
системными службами.
Служба (сервис, демон) — специальная программа, выполняющаяся
в фоновом режиме и предоставляющая определенные услуги (или,
как говорят, сервис — отсюда и второе название).
Что превращает обычный компьютер, скажем, в FTP-сервер? Правиль
но, запущенная служба FTP — тот же ProFTPD или подобная. Вы можете
установить программу ProFTPD и настроить ее на автоматический запуск
системой инициализации. Тогда при каждой загрузке наш компьютер будет
превращаться в FTP-сервер. Аналогично и с другими сервисами — доста
точно установить определенную программу, чтобы превратить компьютер в
веб-сервер или почтовый сервер. Но стоит вам отключить ее, и компьютер
уже прекращает предоставлять обеспечиваемые программой услуги, следо
вательно, превращается в самый обычный компьютер.
В мире Linux существовало очень много разных систем инициализации —
init, upstart, init-ng. Все их рассматривать уже нет смысла, поскольку в совре
менных дистрибутивах используется современная система инициализации
systemd.
systemd — подсистема инициализации и управления службами в Linux,
фактически вытеснившая в 2010-е годы традиционную подсистему init.
Основная особенность — интенсивное распараллеливание запуска служб
в процессе загрузки системы, что позволяет существенно ускорить запуск
операционной системы. Основная единица управления — модуль, одним из
типов модулей являются "службы" — аналог демонов — наборы процессов,
запускаемые и управляемые средствами подсистемы и изолируемые
контрольными группами.
ftlnux
Глава К). Управление загрузкой Linux
10.3.1. Принцип работы
Система инициализации systemd используется во многих современных дис
трибутивах, в частности в Fedora, Ubuntu, CentOS и openSUSE. На данный
момент это самая быстрая система инициализации. В Astra Linux использу
ется немного модифицированный ее вариант — systemdgenie.
Давайте подумаем, как можно ускорить запуск Linux? Можно пойти по пути
upstart — параллельно запускать службы. Но параллельный запуск — не
всегда хорошо. Нужно учитывать зависимости служб. Например, сервис
d-bus нужен многим другим сервисам. Пока сервис d-bus не будет запущен,
нельзя запускать сервисы, которые от него зависят.
Если сначала запускать основные сервисы и ждать, пока они будут запуще
ны, а потом уже запускать службы, которые от них зависимы, особого вы
игрыша в производительности по сравнению с init вы не увидите. Но если
сервис d-bus (или любой другой, от которого зависят какие-то другие серви
сы) запускается долго, то всеостальные службы будут ждать его.
Как обойти это ограничение?
При своем запуске службы проверяют, запущена ли необходимая им
служба, по наличию файла сокета. Например, в случае с d-bus — это
файл /var/run/dbus/system_bus_socket.
Если мы создадим сокеты для всех служб, то мы можем запускать их парал
лельно, особо не беспокоясь, что произойдет сбой какой-то службы при за
пуске из-за отсутствия службы, от которой они зависят. Даже если несколь
ко служб, которым нужен сервис d-bus, запустятся раньше, чем сам сервис
d-bus, — ничего страшного. Каждая из этих служб отправит в сокет (главное,
что он уже открыт!) сообщение, которое обработает сервис d-bus после того,
как он запустится. Вот и все.
Но это не единственное "ухищрение", посредством которого осуществля
ется ускорение запуска компьютера, инициализацию которого производит
systemd. Эта система инициализации запускает только необходимые серви
сы. Остальные же будут запущены по мере необходимости.
Концепция отложенного запуска используется и в других операционных
системах — например, в MacOS X (там система инициализации называется
Сервер на Windows и Linux
launchd) и в Windows (концепция отложенного запуска служб). Так что ре
шение не очень новое, но зато проверенное.
Основными функциями systemd являются:
•
Активация на основании сокетов — система инициализации systemd
прослушивает сокеты всех системных служб. Сокеты передаются
системным службам сразу после запуска сервисов. Благодаря этому осу
ществляется параллельный запуск сервисов. Также это позволяет переза
пускать сервисы без потери любых отправленных им сообщений, то есть
пока сервис перезапускается, отправленные ему сообщения накаплива
ются, и он сможет их обработать после того, как будет запущен.
• Активация на основании устройств — systemd может запустить опре
деленные службы, когда станет доступным определенный тип оборудова
ния. Например, вы подключили Bluetooth-адаптер, может быть запущен
сервис bluetooth.
• Активация на основании d-bus — служба инициализации может запу
стить сервисы, которые используют d-bus для межпроцессного взаимо
действия, например, когда клиентское приложение попытается связаться
с системной службой.
• Активация на основании путей — systemd может запустить службу,
если изменится содержание каталога.
•
Управление точками монтирования и автоматическим монтирова
нием — система инициализации отслеживает и управляет точками мон
тирования и автоматического монтирования.
•
Снимки системных состояний — благодаря этой возможности systemd
может сохранить состояние всех модулей и восстановить предыдущее
состояние системы.
•
Параллелизация — systemd запускает системные службы параллельно
благодаря активации на основании сокетов. Параллельная активация су
щественно сокращает время загрузки системы.
•
Обратная совместимость с SysV — поддерживаются сценарии инициа
лизации SysV, что упрощает переход на systemd. Однако все устанавли
ваемые в современных дистрибутивах пакеты служб уже адаптированы
под systemd, поэтому не нужно надеяться, что во время установки пакета
какого-то сервиса будут установлены SysV-сценарии. Будут созданы фай
лы, необходимые для запуска сервиса посредством systemd.
344
Odnux
Глава 10. Управление загрузкой Linux
10.3.2. Конфигурационные файлы systemd
Обилие различных конфигурационных файлов systemd может ввести в сту
пор даже бывалого линуксоида, не говоря уже о пользователе, который впер
вые видит systemd. Когда я впервые познакомился с systemd, у меня было
только одно желание — снести ее и установить вместо нее init. Но мы это
не будем делать. Чтобы разобраться со всеми файлами, нужно понимать, как
работает эта система.
В systemd используется концепция модулей (юнитов). Существующие типы
модулей описаны в таблице 10.1.
Таблица 10.1. Типы модулей системы инициализации systemd
Тип
Описание
service
Служба (сервис, демон), которую нужно запустить. Пример име
ни модуля: network.service. Изначально systemd поддерживала
сценарии SysV (чтобы управлять сервисами можно было, как
при использовании init), но в последнее время в каталоге /etc/
init.d систем, которые используют systemd, практически нет (или
вообще нет), а управление сервисами осуществляется только по
средством systemd
Цель. Используется для группировки модулей других типов. В
target
systemd нет уровней запуска, вместо них используются цели. На
пример, цель multi-user.target описывает, какие модули должны
быть запущены в многопользовательском режиме
snapshot
Снимок. Используется для сохранения состояния systemd. Сним
ки могут использоваться для перевода системы из одного состоя
ния в другое, например, в состояние сна и пробуждение
mount
Точка монтирования. Представляет точку монтирования. Система
инициализации systemd контролирует все точки монтирования.
При использовании systemd файл /etc/fstab уже не главный, хотя
все еще может использоваться для определения точек монтирова
ния
( срвср на Х\ indows и I Jiiu\
automount
Автоматическая точка монтирования. Используется для монтиро
вания сменных носителей — флешек, внешних жестких дисков,
оптических дисков и т.д.
socket
Сокет. Представляет сокет, находящийся в файловой системе или
в Интернете. Поддерживаются сокеты AFINET, AFINET6, AF_
UNIX. Реализация довольно интересная. Например, если сервису
service 1.service соответствует сокет service 1.socket, то при попыт
ке установки соединения с service 1.socket будет запущен servicel.
service
device
Устройство. Представляет устройство в дереве устройств. Работа
ет вместе с udev: если устройство описано в виде правила udev, то
его можно представить в systemd в виде модуля device
path
Файл или каталог, созданный где-то в файловой системе
scope
Процесс, который создан извне
slice
Управляет системными процессами. Представляет собой группу
иерархически организованных модулей
swap
Представляет область подкачки (раздел подкачки) или файл под
качки (свопа)
timer
Представляет собой таймер системы инициализации systemd
Модули хранятся в следующих каталогах:
• /etc/systemd/system/ — обладает самым высоким приоритетом. Здесь со
держатся модули, которые созданы и управляются системным админи
стратором.
• /run/systemd/system/ — модули, созданные во время выполнения.
Приоритет этого каталога ниже, чем каталога /etc/systemd/system/, но
выше, чем у /usr/lib/systemd/system.
• /usr/lib/systemd/system/ — модули, которые установлены из пакетов.
Типичный файл модуля типа service приведен в листинге 10.2.
Глава 10. Управление загрузкой Linux
Листинг 10.2. Типичный файл модуля типа service
[Unit]
Description=Daemon to detect crashing apps
After=syslog.target
В секции Unit содержится общая информация о сервисе. Эта секция есть и в
других модулях, а не только в сервисах.
Секция Service содержит информацию о сервисе. Параметр ExecStart опи
сывает команду, которую нужно запустить. Параметр Туре указывает, как
сервис будет уведомлять systemd об окончании запуска.
Секция Install содержит информацию о цели, в которой должен запускаться
сервис. В нашем видно, что сервис будет запущен при активации цели multi-
user. target.
Вы можете использовать эту "болванку" для написания собственного серви
са, который потом нужно поместить в файл /etc/systemd/system/HMa_cepBHca.
service. После этого нужно перезапустить саму systemd, чтобы она узнала о
новом сервисе:
# systemctl daemon-reload
10.3.3. Цели
Теперь поговорим о целях.
Файлы целей *.target предназначены для группировки вместе дру
гих юнитов systemd через цепочку зависимостей. Так, модуль цели
graphical.target, который используется для запуска графического сеан
са, запускает системные службы GDM (файл gdm.service) и Accounts
Service (accounts-daemon.service), а также активирует цель multi-user,
target.
347]
Сервер на W indows н Linux
В свою очередь, цель multi-user, target запускает другие системные службы,
например, D-Bus (dbus.service) и активирует другие цели вроде basic, target.
В systemd имеются предопределенные цели, которые напоминают стандарт
ный набор уровней запуска.
Некоторые цели называются runlevelN.target, чтобы упростить переход I
бывших пользователей init на systemd, а именно:
• poweroff. target (runlevelO.target) — завершение работы и отключение
системы;
• multi-user.target (runlevel2.target, runlevel3. target, runlevel4.target) —
многопользовательский режим, без графического интерфейса;
• graphical.target (runlevel5.target) — многопользовательский режим с гра
фическим интерфейсом;
•
reboot.target (runlevel6.target) — завершение работы и перезагрузка
системы.
Управление службами осуществляется с помощью программы systemctl.
Подробнее о службах мы поговорим чуть позже, а пока разберемся, как ис
пользовать systemctl для завершения работы системы:
Многим пользователям будет удобнее использовать старые команды halt,
poweroff и reboot. Но все же теперь вы знаете, что есть альтернативные спо
собы завершения работы.
Ф
Глава 10. Управление загрузкой Linux
10.4. Управление сервисами при использовании
systemd
При использовании системы инициализации systemd управление службами
осуществляется посредством программы systemctl. Команда systemctl ис
пользуется для разных целей, поэтому в таблице 10.2 представлены не все ее
параметры, а только те, которые имеют отношение к сервисам.
Таблица 10.2. Параметры программы systemctl
Параметр
Описание
start
Запускает сервис
stop
Останавливает сервис
restart
Перезапускает сервис
try-restart
Перезапуск сервиса только, если он запущен
reload
Перезагружает конфигурацию сервиса
status
Отображает подробное состояние сервиса
is-active
Отображает только строку active (сервис запу
щен) или inactive (остановлен)
list-units —type service —all
Выводит состояние всех сервисов
enable
Включает сервис (обеспечивает его автоматиче
ский запуск)
disable
Отключает сервис (сервис не будет автоматиче
ски запускаться при запуске системы)
Г 349
fllnux
Сервер на Windows и Linux
reenable
Деактивирует сервис и сразу его использует
list-unit-files —type service
Выводит список всех сервисов и сообщает, какие
из них активированы, а какие — нет
Первая команда запускает сервис httpd (веб-сервер), вторая — останавлива
ет. Обратите внимание, что ’’.service” можно не указывать.
Бывалые пользователи Linux сразу заметят удобства. Ранее, чтобы отклю
чить службу на определенном уровне запуска, нужно было удалить ее сим
волическую ссылку из определенного каталога. Аналогично, чтобы служба
запускалась на определенном уровне запуска (например, в графическом ре
жиме), нужно было создать символическую ссылку. Сейчас всего этого нет,
а есть только команды enable и disable, что гораздо удобнее.
Глава 11.
Управление процессами
Linux
Сервер на Windows и Linux
inux
Пришло время поговорить об управлении процессами Linux.
ILL Команды ps^ nice и kill
11.1.1. Получение информации о процессе
Современные операционные системы устроены так, что каждому процессу
присваивается уникальный номер — PID (Process ID, ИД процесса), исполь
зуя который можно управлять процессом, например, можно завершить про
цесс или изменить его приоритет.
Узнать PID можно с помощью команды ps. Команда ps, введенная без
параметров, просто показывает список процессов, запущенных на
текущем терминале.
................. hi..... ниш............. ши.... ............................................
Видно, что сейчас запущен bash и сама команда ps (правда, на момент за
вершения вывода процесс с ID 3535 уже не будет существовать, но на мо
мент самого вывода такой процесс существовал), см. рис. 11.1.
Глава 11. Управление процессами Linux
inux
Рис. 11.1. Команда ps
lllltlllllllllllllllllllllllll lllllllllllllll II I
Illi
lllllllllllllllllllll
Параметр -a позволяет вывести список всех процессов пользователя.
I III 11III III III III1IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII III 1111III III IIII III I III 1111 III I Hl IIIIllllll ГII HIIIIII
к I Illi III II lllllllllllll III Kill II II II III 111 II II I 11 I II II II I 111 II I II II lllllllll II III II
I
||
11
1 I
II I
11 II II I I II I Illi IIIIIIIIIIIIIIIIIIIIU.
Если нужно вывести процессы какого-то определенного пользовате- |
ля, тогда используйте параметр -и\
. ............................................................................................................................................................................................................и । m 11 п । и i in 1111 и i ui 11 in i in in in
$ ps -u root
353 ■
Л-inux
Сервер на Windows и Linux
ilin in ini inn i huh и i inn iniiiiihiill и ill и и ill и и и и i и nun i ill и ii i и i и ii i ini in i пни i( iii .1 iiiiiiiiiiiiiiiiiiiiiiiiiiiiiHniiiiiiiiiniiiiiiiHiiiiiiiitiiiiiiiiiHiiiiiiiiiiiiHiHiHiiiiiiiiiiiiHHiiiiHiiiiiHiiiitiiiiiHHiiiiiiiiiiiiniiiiiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiHiHiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiL
Вывести абсолютно все процессы можно с помощью опции -А
llllllllllllllllllllllllllllllllllllllllllll IIIIIIILIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIllllllllllHlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllirillllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllltllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllF
Обратите внимание на регистр опции! Поскольку в системе процессов будет
очень много, лучше перенаправить вывод программы на команду less для
более удобного просмотра (рис. 11
$ ps -А
|
less
_ ______ —
"
Рис. 11.3а. Команда ps -А |
Рис. 11.36. Команда ps -А |
less (начало вывода)
less (завершение вывода)
Глава 1 Г Управление процессами Linux
лпих
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII1IIIIIIIIIIIIIIII IIIIIIIIIII III ПНИ I II II I HI I Н II II II I
11
I II I I III I llllllll II II I
II
I I
I
I I
I
II II II 1 I I I II I II II
I
I
Примечание. Для выхода из программы less нажмите q на клавиа
туре. Листать вывод можно стрелками вверх и вниз.
IIIIIIIHIIIII 1111 I II III II III lllll I II Illi Hill II I I I I I II II I I I
IIIIIIIIIII I
NII III III II1III II II IIIIIIIHHII I II Illi II II II I I I II I H II
lllll
II
I
111 I III llllllllllllllllllllll llllll II
I
II
II
IIHIHII
I II
III Illi I
I I II II I II I I u.
Команда ps сортирует процессы no pid. Колонка tty — это терминал
к которому привязан процесс.
llllllll III IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII IIIIIIIIIIIIIIIII III III IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIIII ИНГ
Если в этой колонке вы видите знак ?, значит, процесс не привязан ни к
одному из терминалов. Как правило, это системные процессы-службы. Они
запускаются без привязки к терминалу. Чтобы отобразить только процессы
без привязки к терминалу, используется опция -г (рис. 11.4).
Рис. 11.4. Команда ps -х |
less
Колонка STAT — это состояние, в котором находится процесс. Возможные
значения для этой колонки приведены в таблице 11.1. Обратите внимание:
колонка STAT есть только тогда, когда программа запущена с параметром -х.
Если программа запущена с другими параметрами, например -А, вместо нее
будет колонка time, которая сообщает занимаемое процессом процессорное
время.
Сервер на Windows и Linux
Таблица 11.1. Возможные состояния процесса
Состояние
Описание
D
Процесс в непрерывном сне (как правило, ожидает вво
да/вывода)
R
Выполняется в данный момент
S
Ожидание (то есть процесс "спит" менее 20 секунд,
после чего он переходит или в состояние R или в состоя
ние D)
т
Процесс остановлен
t
То же, что и Т, но причина остановки — останов отлад
чиком
W
Процесс в свопинге (подкачке)
X
Процесс мертв, вы его никогда не увидите
Z
Процесс-зомби — он уже завершен, но не ’’похоронен”
его родителем, то есть процесс-родитель еще не считал
код завершения
У команды ps есть несколько синтаксисов установки параметров. Мы ис
пользовали BSD-синтаксис. Например, для вывода всех процессов в стан
дартном синтаксисе используется команда -е, а в нашем случае----- А.
Вы вольны использовать любой синтаксис, но в случае с BSD-синтаксисом
программа ps выводит дополнительное состояние процесса (работает по
добно программе ps в системе BSD).
Дополнительное состояние процесса описано в таблице 11.2.
ф
356
Л-inux
Глава 1 Г Управление процессами Linux
Таблица 11.2. Дополнительное состояние процесса (BSD-синтаксис)
Состояние
Описание
<
Высокий приоритет
N
Низкий приоритет
L
У процесса есть страницы, заблокированные в памяти
S
Это лидер сессии
1
Процесс является многопотоковым
+
Находится на первом плане в группе процессов
Последняя колонка вывода ps — это CMD. Она содержит команду, которой
был запущен процесс. Не просто название исполнимого файла, но путь (если
он был указан в команде) и переданные программе параметры.
Если программа была запущена без указания полного пути к исполнимому
файлу и вы хотите знать, где он находится, введите команду which, напри
мер:
$ which nano
/bin/nano
Если вам нужно узнать PID определенного процесса, но вам не хочется про
сматривать длинный список системных процессов, используйте команду
grep как фильтр. Например, следующая команда позволит нам узнать PID
процесса sshd (это SSH-сервер):
# ps -А | grep sshd
Если такой процесс не запущен, вывод будет пуст. Или же вы получите вы
вод вроде этого:
Сервер на Windows и Linux
Л-lnux
929 700:00:00 sshd
11.1.2. Изменение приоритета процесса
Когда мы знаем PID процесса, мы можем изменить его приоритет. В неко
торых случаях полезно изменить приоритет процесса. Например, можно по
высить приоритет процесса, выполняющего резервное копирование, чтобы
программа успела за ночь создать все необходимые резервные копии и что
бы этот процесс утром не мешал нормальной работе сервера.
Запустить программу с определенным приоритетом можно командой nice:
# nice -п команда аргументы
Здесь приоритет задается от -20 (максимальный приоритет) до 19 (мини
мальный). Если процесс уже был запущен и вы не можете его прерывать, но
повысить приоритет нужно, используйте команду renice:
# renice -п -р PID
11.1.3. Аварийное завершение процесса
Если процесс завис и его нельзя завершить, как обычно, тогда для его ава
рийного завершения используется команда kill. Формат вызова этой ко
манды следующий:
$ kill
[опции]
PID
Конечно, перед этим нужно узнать PID процесса. На рис. 11.5 изображена
команда kill в действии: сначала я вывел список процессов, чтобы узнать
PID процесса nano (1035), затем я ввел команду kill 1035, чтобы ’’убить”
этот процесс. Наконец, я вывел список процессов еще раз, чтобы убедиться,
что процесс nano завершен.
O«lnux
Глава 11. Управление процессами Linux
(roots Ioca 1host
PID TTY
1035 tty3
1125 ttyl
I roo t91 oca 1 hos t
I root S1 oca I hos t
"1# ps a
TIME CMD
00:00:00 nano
00:00:00 ps
~ J# kill 103!
'“ I il
Puc. 11.5. Использование команды kill
Используя параметры программы, можно по-разному завершить процесс.
Самый эффективный сигнал 9 (KILL) — означает аварийное завершение
процесса. Программа не может игнорировать или как-либо обработать этот
процесс.
IIIIIIIIIIIIIIIIIIIIII
I
III nil III lllllllllllllllll
I
I
II II
It
I
I
I I II II I III I lllllllllililllllllllllllll
Если нужно попытаться корректно завершить работу программы, ей
отправляют сигнал 15 (TERM), означающий, что программа должна
освободить все занятые ресурсы, сохранить все данные.
IlllllllllllllllllllllllllllllllillllllllllllllllllllllllllllllllllllllllllllllililllllllllllllllIIIIIIIIIIIIIIIIII
Вот только если программа зависла и не отвечает на запросы пользователя,
этот сигнал мало чем поможет, но попытаться стоит.
Сигнал 19 (STOP) позволяет временно приостановить работу про
граммы, а сигнал 18 (CONT) — возобновить приостановленный ранее
процесс.
Для сетевых служб полезен сигнал 1 (HUP), означающий, что процесс дол
жен перезапуститься и перечитать файл конфигурации. Полезно, когда вы
изменили файл конфигурации и хотите, чтобы демон был перезапущен (хотя
ф
Сервер на Windows и Linux
для этого правильнее использовать команду service). Обычная программа
при получении сигнала 7 завершает работу.
Пример отправки сигнала:
$ kill -9 1035
Если вам лень получать PID процесса, можно завершить его и по имени, ис
пользуя команду killall, например:
$ killall nano
Вот только если в вашей системе есть два процесса с именем папо, напри
мер, один на консоли tty2, а другой — на tty4, то будут завершены оба
процесса. Если это то, что вам нужно, используйте killall, в противном
случае лучше использовать команду kill для завершения именно того про
цесса, который можно завершить.
Еще есть команда xkill, позволяющая "убить" программу, имеющую
графический интерфейс.
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIN
Такие программы можно завершить и командой kill, но программа xkill
предоставляет графический метод завершения. После ввода этой команды
указатель мыши примет вид черепа. Для завершения программы нужно щел
кнуть по ее окну.
11.2. Команда top
Как было отмечено ранее, программа ps по умолчанию сортирует процессы
по колонке PID, а не по колонке time. Конечно, можно использовать раз
личные параметры программы, чтобы добиться нужного нам вывода, но все
равно программа не будет показывать ситуацию в реальном времени. Если
же вам нужно знать, что происходит с вашими процессами в реальном вре
мени, вам нужно использовать программу top (рис. 11.6).
Л-in их
Глава 11. Управление процессами Linux
Рис, 11.6. Команда top
Назначение колонок программы описано в таблице 11.3.
Таблица 11.3. Колонки программы top
Колонка
Описание
PID
PID процесса
USER
Владелец процесса (пользователь, запустивший про
грамму)
PR
Приоритет процесса
NI
Значение nice (см. ранее)
VIRT
Виртуальная память, которая используется процессом
RES
Размер процесса, который не перемещается в область
подкачки
Сервер на Windows и Linux
SHR
Разделяемая память, используемая процессом
S
Состояние процесса (см. табл. 11.1)
%CPU
Процессорное время, занимаемое процессом в данный
момент
%МЕМ
Память, используемая процессом
TIME+
Процессорное время, которое было потрачено с момента
запуска процесса
COMMAND
Команда запуска процесса
При просмотре списка программы top вы можете управлять сортировкой
процессов с помощью нажатия клавиши F, которая изменяет колонку, по ко
торой сортируется список процессов (рис. 11.7). По умолчанию сортировка
выполняется по колонке %СРи.
Рис. 11.7. Выбор колонки, по которой осуществляется сортировка
Нажатие клавиши показывает только процессы определенного пользо
вателя. После нажатия нужно будет ввести имя пользователя, процессы
362
inux
Глава 11. Управление процессами Linux
которого вы хотите просмотреть, или нажать Enter, чтобы просмотреть про
цессы всех пользователей.
11.3. Информация об использовании памяти и
дискового пространства
Хотя управление памятью и дисковым пространством не совсем относит
ся к управлению процессами, но эти самые процессы активно ’’поедают”
как память, так и дисковое пространство, поэтому иногда полезно знать, как
просмотреть информацию об использовании памяти (команда free) и дис
кового пространства (команда df), см. рис. 11.8.
Рис. 11.8. Команды free и df -Н
Программа free выводит информацию об использовании памяти
(Мет) и подкачки (Swap). Колонка total — это общее количество памя
ти в килобайтах, used — использованное количество памяти (тоже в
килобайтах), free — свободно памяти, shared — разделяемая память,
buff/cache — размер кэша, available — общий объем доступной
памяти.
Параметр -Н команды df означает вывод информации об объеме в удобных
для восприятия человеком единицах, то есть в мегабайтах и гигабайтах.
Сервер на Windows и Linux
Odnux
Обратите внимание на значение buff/cache в выводе команды free. Оно
показывает, сколько памяти задействовано под буфер ввода/вывода и кэш.
В нашем случае (рис. 11.8) — примерно 323 Мб. На реальном сервере это
значение будет гораздо выше. Немного освободить память можно, очистив
кэш. Для этого введите команду:
sync; echo 3 > /proc/sys/vm/drop_caches
Сначала мы командой sync сбрасываем содержимое буферов на диск, а за
тем уничтожаем кэш. Если просмотреть затем информацию об использова
нии памяти, то вы увидите, что размер кэша был уменьшен почти в три раза
(рис. 11.9). Однако помните, что эта команда может негативно отразиться
на стабильности системы и на скорости ее работы. Не всегда очистка кэша
таким вот варварским образом — это хорошо.
Рис. 11,9, До и после ввода команды sync; echo 3 > /ргос/sys/vm/
drop_caches
11.4. Команда/дае/
Команда fuser позволяет узнать, какой процесс открыл тот или иной
ресурс, например, файл или сетевой порт.
Л-inux
Глава 11. Управление процессами Linux
Примеры использования программы:
fuser -va 23/tcp
fuser -va /chroot/etc/resolv.conf
В первом случае мы получим идентификатор процесса, открывшего ТСРпорт 23, во втором — идентификатор процесса, открывшего файл /chroot/etc/
resolv.conf. Что делать далее — решать вам, например, можно ’’убить” этот
процесс командой kill.
Планировщик заданий нужен для периодического выполнения
каких-либо заданий.
Задания могут быть самыми разнообразными — очистка временного ката
лога для экономии места, очистка кэша, обновление баз антивируса, запу
щенного на почтовом сервере и т.д. Никаких ограничений нет — вы можете
написать на bash небольшой сценарий с необходимыми вам действиями, а
затем настроить планировщик для его периодического выполнения.
Самый древний планировщик заданий — cron. Он появился еще во времена
первых версий UNIX. Но примечательно то, что в современных дистрибу
тивах используется его модифицированная версия, которая настраивается
практически так же. Так, в современных версиях дистрибутивов openSUSE
и Fedora используется демон cronie, который является потомком того самого
демона cron.
Не будем вникать в тонкости новой версии, а просто разберемся, как ее
настроить. Как и в том самом cron, в cronie есть файл /etc/crontab — это
таблица расписания планировщика задач.
Формат записей в этом файле следующий:
ф
365 ;
Ллпих
Сервер на Windows и Linux
минуты (0-59) часы (0-23) день (1-31) месяц (1-12) день_недели
(0-6, 0 — Вс) команда
В листинге 11.1 приведен пример этого файла по умолчанию.
Примечание. Просмотреть (даже просмотреть, не говоря уже о моди
фикации!) файл /etc/crontab может только пользователь root. Поэтому
сначала нужно получить права root, а затем уже что-либо делать с
файлом /etc/crontab.
IIIIIIIIIIII II
I I I II I I I II I I ИНН I
II I I I I II
I II I II II II Illi I Illi I Illi Illi II II I III Illi I II I I II III I
Illi II
I
I III II I Hill I ИНН Illi I II I II Illi I НН I II II
II III III! Ill I II HIIIIHIIHII HIIHHIIIIIIIIIIIIIHIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIHIIII
Переменная SHELL задает путь к оболочке, PATH — путь поиска программ,
a MAILTO определяет имя пользователя, которому будет отправлен отчет
о выполнении расписания. В таблице расписания всего одна запись — она
проверяет наличие сценариев в каталогах cron.hourly, cron.daily, cron.weekly
и cron.monthly и их выполнение. Об этом мы поговорим чуть позже.
Представим, что вам нужно выполнять какой-то сценарий каждый день в
8:30. Для этого в /etc/crontab нужно добавить строку:
30
8
/usr/bin/script arguments
Однако планировщик предлагает более удобный способ изменения таблицы
расписания. Представим, что у вас есть команда, которую нужно выполнять
периодически.
Создайте файл myscript со следующим содержимым:
inux
Глава 11. Управление процессами Linux
#/bin/bash
/путь/ myscript аргументы
Сохраните файл и установите право выполнения для этого файла:
chmod +х myscript
Только что вы создали простейший сценарий, который просто выполняет
вашу команду с заданными аргументами. При желании, необходимости и
знании bash (информацию по этой оболочке вы без особых проблем найдете
в Интернете) вы можете усовершенствовать этот сценарий.
После того, как сценарий создан, его нужно поместить в один из каталогов:
• /etc/cron.hourly — содержит сценарии, которые будут выполняться каж
дый час;
• /etc/cron.daily — содержит сценарии, который будут выполняться еже
дневно;
• /etc/cron.weekly — сюда нужно поместить сценарии, которые будут вы
полняться еженедельно;
• /etc/cron.monthly — содержит сценарии, которые будут выполнены раз
в месяц.
Просто поместите сценарий в один из этих каталогов и положитесь на cron
— далее вашего вмешательства не требуется.
IllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllIlliIII IIIllllllIIIllllhllIlli IIIIIIIIIIIIIIIIII III III Illi IIIlinillllllllHl IIIllilllilllIII Illiilllllllinilllllllillllini
Также существует возможность создать отдельное расписание для
каждого пользователя. Для этого используется команда crontab.
iiiiiiiiitiiiiiiiiiiiiiiiiiiiiiliiiiiiliiiiiiiiiiiiiiiiiiiiiliiiiiiliiiiiiiiiiiiiiiiiiiiiliiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiHiiiiiiiuiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiihi hiiiiiiiiiiiiiiiiiii пн in ин и ini ini и iiiiiiii и iniiiuniiiitiiiiiiiHiiiii ин ininuni и шин lllllllllilillllllllllllllli
Однако такая возможность на современных серверах (когда пользователи
не работают с терминалом сервера непосредственно) используется доволь
но редко. При этом в файл /etc/cron.deny заносятся пользователи, которым
запрещено использовать планировщик cron. Если вам нужно отредактиро
вать таблицу расписания для каждого пользователя, используйте команду
crontab.
Л-inux
Сервер на Windows и Linux
В большинстве случаев команда будет такой:
crontab -е -и
После этого откроется текстовый редактор (определенный в переменной
окружения EDITOR) для редактирования таблицы расписания указанного
пользователя. Синтаксис такой же, как для общесистемной таблицы распи
сания.
11.5.2. Планировщик апасгоп
Планировщик апасгоп — еще один форк старого доброго планировщика
cron. Ситуация с апасгоп такая: когда стало понятно, что cron устарел, на
чали появляться альтернативные планировщики, подобные ему. У каждого
из них были свои преимущества и недостатки, но некоторые разработчики
дистрибутивов остановили свой выбор на планировщике апасгоп. Однако
прошло время, и сейчас этот планировщик практически не используется. В
основном используется планировщик cronie, который настраивается прак
тически так же, как и cron, что и было показано ранее.
Конечно, вам могут встретиться дистрибутивы, в которых по каким-то при
чинам используется апасгоп. Как правило, это устаревшие версии дистрибу
тивов. Если же вы обнаружили апасгоп в современной версии дистрибути
ва, то, скорее всего, это личное предпочтение разработчиков дистрибутивов.
|111|1111||1111|11111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111Н1111111111111111111111111111111111111111111111111111||||||||||||||||||(11111111111111111111111|1111111|11111111111111111111111111111111111111111111111111111111111111111111111111111Ш
Основное "визуальное" отличие этого планировщика — наличие фай
ла /etc/anacrontab вместо просто /etc/crontab.
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIINIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIlllllllllllllllimilllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllinilllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllH
Формат записей также другой:
Период
Задержка
ID
Команда
Пример таблицы расписания anacrontab:
1 5
7 10
30 75
Принцип прост: как и в предыдущем случае, вам нужно поместить ваш
сценарий в один из каталогов /etc/cron.daily, /etc/cron.weekly или /etc/cron.
monthly (каталога cron.hourly для этого планировщика не было предусмо
трено).
По сути, как только вы увидели каталоги cron.daily, cron.weekly или cron,
monthly, можете сразу помещать в них свои сценарии, особо не разбираясь,
какой планировщик установлен. Самое главное, чтобы служба cron была
включена.
369
Глава 12.
Пользователи и группы
Сервер на Windows и Linux
Ainux
12Х Введение в учетные записи Linux
Операционная система Linux поддерживает регистрацию и одновременную
работу множества пользователей. Обратите внимание: именно одновремен
ную работу. Раньше, еще во времена UNIX, были компьютеры, к которым
подключалось несколько мониторов и клавиатур.
Каждый комплект монитор+клавиатура назывался терминалом и пред
ставлял собой отдельное рабочее место пользователя. Пользователь
входил в систему, а его рабочее место в системе отображалось как
ttyN, где N — номер рабочего места.
Сегодня такие компьютеры уже более не востребованы, их вытеснили персо
нальные компьютеры, которые и стали называться персональными, посколь
ку предполагают подключение только одного рабочего места. Мониторов
можно подключить несколько, а устройство ввода — клавиатура — будет
одна. Но даже на таких компьютерах возможна одновременная работа
нескольких пользователей. Например, вы можете войти в систему как обыч
но — посредством графического интерфейса. Другие пользователи смогут
войти через ssh или FTP. И все вы будете работать с системой одновременно.
SSH-пользователи смогут выполнять команды и получать результат их вы
полнения, FTP-пользователи — обмениваться с вашим компьютером файла
ми.
372]
Глава 12. Пользователи и группы
Все учетные записи можно разделить на три вида:
7. Учетные записи обычных пользователей;
2. Учетные записи системных служб;
3. Учетная запись root.
С учетными записями обычных пользователей все ясно — они имеют право
входить в систему разными способами (если тот или иной способ не запре
щен настройками системы), для них определен домашний каталог (обычно
/Ьоте/), пароль и командная оболочка (как правило, в
последнее время используется /bin/bash).
Права обычных учетных записей:
• Право на вход в систему — по умолчанию обычный пользователь мо
жет войти в систему самыми разными способами, если это не ограничено
настройками системы (например, модулями РАМ). Пользователь может
войти локально — через консоль или в графическом режиме через
дисплей-менеджер вроде gdm. Также никто не запрещает (опять-таки
по умолчанию) удаленный вход, например, по SSH или FTP, если на
компьютере, в который осуществляется вход, установлены соответству
ющие службы.
• Право на запуск программ, не требующих для своего выполнения
прав root — как правило, такие программы находятся в каталогах /bin
и /usr/bin. А вот из каталога /sbin запустить программу может только су
перпользователь. Программы, действие которых распространяется на
всю систему, например, программы изменения сетевых интерфейсов,
программы разметки диска, находятся в каталоге /sbin (super-bin). Что
бы запустить эти программы, пользователю нужно получить полномочия
root. О том, как это сделать, будет сказано в следующем разделе.
• Обычный пользователь может создавать, удалять, читать, изменять,
запускать, устанавливать права и выполнять другие операции над фай
лами, которые находятся в его домашнем каталоге. Как правило, это ка
талог /Ьоте/. Хотя администратор может назначить
пользователю любой другой каталог, хоть /users/bagira, как правило, этого
никто не делает. Каталог /home может находиться физически на одном
разделе, что и корневая файловая система, а может находиться на другом
Сервер на Windows н Linux
разделе и даже на другом диске. На крупных серверах, как правило, под
/home отводят целый диск или даже создают RAID-массивы дисков.
• Право на чтение файлов — обычный пользователь может читать боль
шую часть файлов за пределами домашнего каталога. Исключения раз
ве что составляют домашние каталоги других пользователей (если эти
другие пользователи явно не разрешили этому пользователю читать их
файлы) и некоторые файлы/каталоги в /etc. Например, файл /etc/passwd
могут читать все пользователи, а вот файл /etc/shadow — только root.
• Пользователь не имеет право вносить изменения в конфигурацию
всей системы, то есть устанавливать программы, изменять глобальные
настройки устройств, параметры ядра, параметры загрузчика и т.д.
• Пользователь имеет право изменить свои пользовательские параме
тры, например, обои рабочего стола, некоторые переменные окружения,
которые будут влиять только на его работу и т.д.
•
Право на изменение своего пароля, но обычный пользователь не имеет
право изменять пароли других пользователей.
Учетные записи системных служб не имеют право входить в систему. Для
них не задан ни пароль, ни домашний каталог, а в качестве оболочки исполь
зуется /bin/true или /bin/false — чтобы пользователь, используя учетную за
пись службы, не мог войти в систему через консоль. От имени таких учетных
записей выполняются различные службы, например, от имени пользователя
www-data выполняется веб-сервер, gdm — учетная запись для GNOME
Display Manager и т.д.
Пользователь root — пользователь с максимальными правами, он может де
лать все:
• Право на изменение любого файла — root может читать, записывать,
удалять любые файлы, в том числе и файлы в домашних каталогах других
пользователей.
• Право на изменение конфигурации системы — пользователь root мо
жет изменять конфигурацию систему посредством редактирования фай
лов в каталоге /etc, /ргос, запуска конфигураторов системы.
• Право на запуск любых программ — root может запустить любую
программу, в каком бы каталоге она ни находилась.
Г 374 1
0Jnux
Глава 12. Пользователи и группы
• Право на создание, удаление, изменение (в том числе изменение паро
ля) других учетных записей.
• Право на установку и удаление программ.
Власть пользователя root неограниченна. Так было до определенного мо
мента, пока не появились системы принудительного контроля доступа вроде
SELinux, LIDS, Tomoyo, которые могут ограничить даже самого root. Вот
только беда подобных систем в том, что по умолчанию они неактивны или
даже не установлены, поэтому пока их не активировать, пользователь root
будет все равно самым главным.
Примечание. Напомним, что когда у вас привилегии пользователя
root, приглашение командной строки заканчивается символом #, а ког
да вы работаете как обычный пользователь — $.
12.2. Получение полномочий root
Самый простой способ получить права root — это войти как root. То есть
при входе в систему вы указываете имя пользователя root и пароль, указан
ный при установке. Проблема в том, что не во всех дистрибутивах этот трюк
сработает.
Illlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllin
Учитывая всю опасность, которую несет использование учетной за
писи root, во многих дистрибутивах учетная запись root отключена, а
вход как root ограничен самыми разными способами.
Например, в том же дистрибутиве Ubuntu учетная запись root попросту
отключена. Включать учетную запись root не рекомендуется — ведь злоу
мышленник знает, что учетка root есть везде и ему не придется угадывать
имя пользователя, останется только подобрать пароль root. А так вы исклю
чаете даже саму возможность входа как root. Тем более права root можно по
лучить другим образом, о котором мы поговорим далее. А пока рассмотрим
способы блокировки входа (кроме отключения учетной записи) root.
ПтГ
Сервер на Windows и Linux
inux
Часто вход как root ограничен на уровне менеджера дисплея. В дистрибути
вах, где используется графическая среда KDE и менеджер экрана KDM (К
Display Manager), нужно отредактировать файл /etc/alternatives/kdm4-config.
В нем нужно найти директиву AllowRootLogin и присвоить ей значение true,
чем вы разрешите вход как root в графическом режиме.
При использовании GDM (Gnome Display Manager) вход как root ограничен
не столько конфигурацией самого GDM, сколько РАМ-модулями. Нужно
открыть /etc/pam.d/gdm-password и найти строку, отвечающую за запрет вхо
да как root (рис. 12.1). Она может выглядеть, например, так:
auth required pam_succeed_if.so user != root quiet
Puc. 12.1. Фай.1 /etc/pam.d/gdm-password
Некоторые дистрибутивы разрешают заходить как root даже в графическом
режиме. Просто они отображают предупреждение о том, что работать как
root небезопасно. Пример такого дистрибутива — CentOS.
Настоятельно рекомендуется работать в системе как обычный пользователь,
а максимальные права получать только тогда, когда они вам действительно
нужны. Например, когда понадобится запустить какую-то программу, требу
ющую права root. При этом вам особо ничего не придется делать, кроме как
ввести пароль.
Odnux
Глава 12. Пользователи и i руины
Рассмотрим пример. Вы установили Ubuntu, при установке создали учетную
запись ubuntu и задали пароль. По умолчанию инсталлятор создает первую
учетную запись так, что она вносится в файл sudoers. В этом файле указы
ваются все учетные записи, имеющие право выполнять административные
задачи. Когда вы попытаетесь выполнить одну из таких задач, например, до
бавить нового пользователя, графический интерфейс автоматически запро
сит у вас ваш пароль. Это будет не пароль root, а ваш пароль, то есть пароль
пользователя ubuntu (рис. 12.2). Ему разрешено выполнять административ
ные задачи, просто система пытается убедиться, что вы - это вы, а не некто,
кто оказался за вашим компьютером во время вашего отсутствия.
Рис. 12.2. Ввод пользователя
Когда же вам нужна командная строка с правами root, не обязательно даже
переключаться в консоль. Достаточно открыть терминал и ввести команду
su. Она попросит вас ввести пароль root. После ввода пароля вы получаете
терминал с правами root. Это означает, что все команды, которые вы будете
вводить после ввода команды su и успешной аутентификации, будут выпол
няться с правами root.
Примечание. Если учетная запись root отключена, то вы не сможете
использовать команду sudo, так как она предполагает ввод пароля
root, а вы его не знаете.
Сервер па Windows п Linux
Л-1пих
Когда вы единственный администратор, команда su — идеальный вариант.
Но когда администраторов несколько, команда su — не выход, поскольку
пароль root нужно будет сообщить всем остальным администраторам. Если
потом возникнет нестандартная ситуация, выяснить, кто виноват, будет
сложнее.
На этот случай у пользователя rootмогут быть доверенные лица. Это может
быть помощник администратора, его заместитель — называйте, как хотите.
Есть лица, которым разрешено получать права root. Такие лица вносятся в
файл /etc/sudoers.
Редактировать файл /etc/sudoers можно только через команду visudo (рис.
12.3):^
export EDITOR=nano
sudo visudo
Рис. 12.3. Редактирование файла /etc/sudoers
Первая команда устанавливает переменную окружения EDITOR, задающую
удобный текстовый редактор, который будет использован для /etc/sudoers.
Вторая команда вызывает утилиту для редактирования файла /etc/sudoers.
Представим, что у нас есть пользователь bagira. которому нужно разрешить
делать все, что можно пользователю root.
Глава 12. Пользователи и группы
inux
Для этого нужно добавить в /etc/sudoers запись вида:
bagira
ALL=(ALL:ALL) ALL
Можно также добавить запись:
%sudoALL=(ALL:ALL) ALL
Она означает, что членам группы sudo можно делать все, что можно делать
пользователю root. Тогда всех администраторов-помощников нужно доба
вить в группу sudo (далее будет показано, как это сделать).
Сохраните файл и выйдите из редактора. Войдите как пользователь, кото
рому вы предоставили право sudo. В нашем случае это пользователь bagira.
Далее введите команду, которая требует прав root, через команду sudo:
sudo
Например:
sudo aptitude
Обратите внимание: система запрашивает пароль пользователя, а
не пароль root. Пользователь указывает свой пароль, а система знает,
что ему разрешено получать права root. В итоге наши помощники не
знают пароль root и смогут выполнять определенные действия с пра
вами root под своим именем.
Посмотрите на рис. 12.4. Хотя пользователь внесен в sudoers, ему отказано в
доступе при попытке запуска программы, требующей максимальные права.
Системе нужно указать, что вы явно хотите запустить такую программу и
предоставить максимальные права. Для этого нужно использовать команду
sudo, а в качестве аргумента - передать ей команду, которую вы хотите за
пустить с максимальными правами:
sudo visudo
Сервер на Windows и Linux
Odnux
Рис. 12.4. Нюанс запуска программы с максимальными правами
Контролировать получение прав sudo можно командой1:
# tail /var/log/auth.log | grep sudo
Посмотрите на рис. 12.5. Например, 4 июля 2020 года в 8:56 пользователь
ubuntu пытался выполнить команду sudo для выполнения команды tail /var/
log/secure. То есть в журнале отображаются не только попытки использова
ния sudo, но и журналируются даже вводимые пользователями команды.
Если вам нужно получить некоторый аналог команды su, чтобы вы могли
вводить сразу неограниченное количество команд с максимальными права
ми без приставки sudo, используйте следующий трюк — запустите с макси
мальными правами оболочку bash. Все команды, вводимые в этой оболочке,
будут выполнены с максимальными правами:^
sudo bash
Закрыть такой сеанс можно командой exit.
1
В некоторых дистрибутивах журнал аутентификации называется secure, а не auth.log
ф
Л-inux
Глава 12. Пользователи и группы
Рис. 12.5. Журнал аутентификации secure
Прежде, чем перейти к следующему разделу, разберемся, как включить учет
ную запись root в Ubuntu. Для этого нужно просто задать пароль:
sudo passwd root
Сначала нужно ввести ваш пароль, затем новый пароль для root, после этого
— подтвердить пароль. После этого вы сможете войти в систему как root в
консоли. Для входа в графическом режиме нужно редактировать файл, отно
сящийся к РАМ, как было сказано ранее. Отметим, что активация пользова
теля root — занятие небезопасное, гораздо правильнее использовать коман
ду sudo. На личном компьютере еще такое мероприятие допускается, но на
сервере — такое делать воспрещено.
12.3. Управление учетными записями пользователей
12.3.1. Создание учетной записи пользователя
Создать новую учетную запись пользователя можно командой adduser или
useradd. Чаще всего используется именно первая команда, вторая использу
ется гораздо реже.
Я
Сервер на Windows и Linux
Л-inux
В большинстве случаев adduser просто добавляет в файл /etc/passwd учет
ную запись пользователя. В дистрибутивах Debian и Ubuntu команда adduser
запрашивает контактную информацию (полное имя пользователя, номера
телефонов и т.д.), а также сразу устанавливает пароль пользователя (рис.
12.6).
Рис. 12.6. Создание нового пользователя в Ubuntu 20.04
Если в вашем дистрибутиве команда adduser не запросила пароль пользо
вателя, а просто добавила его учетную запись, тогда вам нужно еще ввести
команду passed 20 systend-resolve:x:181:183:systend Resolver,,,:/run/systemd:/usr/sbin/nologtn
/21 systemd-ttriesyncix:1S2:104:systemd Tine Synchronization,,,:/run/systemd:/usr/sbin/nologtn
$22 messagebus:x:183:186::/nonexistent:/usr/sbin/nologtn
j23 syslog:x:184:110::/home/syslog:/usr/sbtn/nologin
24 _apt:x:185:65534::/nonexistent:/usr/sbin/nologln
25 tss:x:186:lll:TPM software stack,,,:/var/llb/tpm:/btn/false
28 uuidd:x:187:114::/run/uuidd:/usr/sbin/nologtn
27 tcpdunp:x:108:115::/nonexistent:/usr/sbin/nologtn
28 avehiautotpd:x:ie9:il6:Avaht autotp daemon.,,:/var/lib/avahi-autotpd:/usr/sbtn/nologtn
^ 29 usbmux:x: 1 is:46:usbmux daemon,,,: /var/llb/usbmux: /usr/ sbin/nologin
30 rtktt:x:ill:ll7:RealttneKtt, ,,:/proc:/usr/sbin/nologtn
J 31 dnsnasq:x:112:6S534:dnsmasq, ,,:/var/lib/ntsc:/usr/sbtn/nologin
;32 cups-pk-helper:x:113:128:user for cups-pk-helper service,,,:/hone/cups-pk-helper:/usr/sbin/J nologtn
■■■■■Meech -dispatcher :x: 114:29:Speech Dispatcher,,,:/run/speech-dispatcher :/bin/false
■B|H0ahi:x:li5:i21;Avahl mDNS daemon,,,:/var/run/avahi-daemon:/usr/sbin/nologtn
;3S kernoops:x:116:6S534:Kernel Oops Tracking Daemon,,,:/:/usr/sbin/nologtn
^36 saned:x:117:123::/var/lib/saned:/usr/sbtn/nologtn
: 37 nm-openvpn:x:118:124:NetworkHanager OpenVPN,,,:/var/lib/openvpn/chroot :/usr/sbtn/nologin
38 hplip:x:119:7:HPLIP system user,,,:/run/hpltp:/btn/false
: 39 whoopste:x:128:125::/nonexistent:/btn/false
48 colord:x:121:126:colord colour management daemon,,,:/var/ltb/colord:/usr/sbin/nologtn
41 geoclue:x:122:127::/var/lib/geoclue:/usr/sbin/nologtn
42 pulse:x:123:128:PulseAudto daemon,,,:/vsr/run/pulse:/usr/sbin/nologtn
43 gnome initial-setup:x:124:65534::/run/gnome-tntttal-setup/ :/btn/false
Формат файла /etc/passwd приведен в таблице 12.1.
Таблица 12.1. Формат файла /etc/passwd
Номер
поля
Название
Описание
1
Имя пользователя
Имя, использующееся при входе в систе
му
2
Пароль
Поскольку пароль пользователя хранит
ся в файле /etc/shadow, то в файле /etc/
passwd вместо пароля просто указывает
ся символ ’х’
3
UID
Идентификатор пользователя
4
GID
Идентификатор группы пользователя
зш
Глава 12. Пользователи и группы
5
Полное имя поль
зователя
Устанавливается администратором и ни
на что не влияет. В крупных организа
циях имя пользователя помогает устано
вить контакт с пользователем. Это поле
может также содержать номер телефона,
номер комнаты и прочую информацию,
которую запрашивает adduser при созда
нии учетной записи пользователя
6
Домашний каталог
пользователя
Обычно это /Ьоте/
Оболочка
Программа, которая будет запущена при
входе пользователя в систему из консоли
(для графического режима это поле не
имеет значения). Список доступных обо
лочек хранится в файле /etc/shells
7
В файле /etc/shadow полей больше, чем в /etc/passwd.
Как и в случае с /etc/passwd, поля разделяются двоеточиями:
1. Имя пользователя. Совпадает с именем пользователя в файле /etc/passwd.
2. Зашифрованный пароль. Позже мы поговорим о том, как распознать алго
ритм шифрования, которым был зашифрован пароль.
3. Количество дней (с 1 января 1970 года), когда пароль был сменен в по
следний раз.
4. Число дней до смены пароля. Если в этом поле 0, то пароль может быть
сменен в любой момент.
5. Количество дней, после которых пароль должен быть сменен. Обычно
здесь значение 999999, которое показывает, что пользователь может ни
когда не менять свой пароль.
6. Число дней, в течение которых пользователь получает предупреждение о
необходимости изменить пароль. Обычно такие предупреждения пользо
ватель получает за неделю (7 дней) до часа "X”.
Сервер на Windows и Linux
7. Число дней после окончания действия пароля, когда пользователь еще
может работать со старым паролем. Если после этого срока пользователь
не сменит пароль, учетная запись будет заблокирована.
8. Число дней, начиная с 1 января 1970, после которых пароль будет забло
кирован.
9. Не используется.
Обычно последние три поля не используются. По зашифрованному паролю
можно понять, какой алгоритм шифрования использует система. Посмотри
те на начало зашифрованного пароля:
•
$ 1 $ — MD5. Ранее часто использовался, сейчас чаще используется SHA512, поскольку в MD5 обнаружились математические уязвимости;
•
$2$, $2а$ — Blowfish. Чаще используется в FreeBSD/OpenBSD, чем в
Linux;
•
$5$ -SHA-256;
•
$6$ — SHA-512. Используется в современных дистрибутивах.
Форматы файлов /etc/passwd и /etc/shadow были приведены "для общего раз
вития", чтобы вы понимали, что происходит.
Модифицировать учетную запись пользователя правильнее с помо- |
щью команды usermod, а не с помощью редактирования файла
/etc/passwd.
Конечно, можно внести небольшие изменения, например, изменить полное
имя пользователя. А вот для изменения остальных параметров, например,
домашнего каталога, правильнее использовать usermod, чтобы потом не де
лать много ручной работы.
12.3.3. Изменение и удаление учетных записей
Как было отмечено ранее, для модификации учетной записи пользователя
нужно использовать команду usermod, но прежде поговорим об изменении
Глава 12. Пользователи и группы
jnux
пароля, так как изменение пароля — это тоже, по сути, изменение учетной
записи.
Для установки и изменения пароля пользователя используется
команда passwd:^
# passwd
Если пользователь хочет изменить собственный пароль, то указывать имя не
нужно:
$ passwd
А вот теперь можно приступить к рассмотрению команды usermod. Формат
вызова этой команды следующий:
# usermod [параметры] учетная_запись
Параметры команды usermod описаны в таблице 12.2.
Таблица 12.2. Параметры команды usermod
Параметр
Описание
-a, -append
Добавляет пользователя в дополнительную груп
пу. Используется только с параметром -G
-с, —comment
комментарий
Добавляет комментарий для учетной записи
пользователя
-d, —home каталог
Задает новый домашний каталог пользователя.
Если указать параметр -т, то текущий домашний
каталог пользователя будет перенесен в новый
домашний каталог, который будет создан, если не
существует
. 387 .
Сервер на Windows и Linux
-е, —expiredate дата
Указывает дату устаревания учетной записи
пользователя. По достижении этой даты учетная
запись пользователя будет заблокирована. Дата
указывается в формате ГГГГ-ММ-ДД. Если дату
не указывать, то устаревание учетной записи бу
дет отключено
-f, —inactive дни
После указанного числа дней, которые пройдут
после устаревания пароля, учетная запись будет
заблокирована. Значение -7 означает, что эта воз
можность не используется, а 0 — запись будет за
блокирована сразу же после устаревания пароля
~g> "gid группа
Указывает имя или GID первичной группы поль
зователя. Группа с таким именем/GID должна
существовать. Все файлы в домашнем каталоге
пользователя, которые принадлежали бывшей
первичной группе, теперь будут принадлежать
новой группе
-G, —groups груп
па Ц, группа2,...,
spynnaN]
Список дополнительных групп, в которых на
ходится пользователь. Перечисление групп осу
ществляется через запятую без дополнительных
пробелов. Например, -G groupl,group2
-I, —login новое_имя
Изменяет имя пользователя на новое имя
-L, —lock
Блокирует учетную запись пользователя. Нельзя
использовать этот параметр с -р или -I
-m, -move-home
Перемещает домашний каталог. Используется
вместе с параметром -d
-o, -non-unique
При использовании с -и позволяет указать не
уникальный UID (идентификатор пользователя)
388
Odnux
Глава 12. Пользователи и группы
-р, --password пароль
Шифрованное значение пароля, которое возвра
щает функция crypt. Использовать этот параметр
не рекомендуется, поскольку другие пользова
тели увидят незашифрованный пароль в списке
процессов
-R, -root chroot
Выполняет изменения в каталоге chroot и ис
пользует файлы конфигурации из этого каталога
-s, —shell оболочка
Задает оболочку для пользователя. Если оболочка
не указана, то будет использована оболочка по
умолчанию
-uf —uid UID
Задает новый UID пользователя, который должен
быть уникальным
-U, —unlock
Разблокирует учетную запись пользователя
-Z, -selinux-user
SEUSER
Новый пользователь SELinux для пользователь
ского входа
Рассмотрим несколько примеров:
# usermod -d /home/new_home -m ubuntu
# usermod -L bagira
# usermod -G admins,sudo mark
Первая команда задает новый каталог для пользователя ubuntu. Теперь он бу
дет называться /home/newhome. Старые файлы (из каталога /home/ubuntu)
будут перемещены в новый домашний каталог.
Вторая команда блокирует учетную запись пользователя bagira. Третья ко
манда вносит пользователя mark в группы admins и sudo.
Теперь рассмотрим команду userdel (см. табл. 12.3):
# userdel
[параметры] пользователь
O-inux
Сервер на Windows и Linux
Таблица 12.3. Параметры команды userdel
Параметр
Описание
-f -force
Удаляет учетную запись, даже если пользователь
работает в системе. Также будет удален домашний
каталог и почтовый ящик, даже если другой пользо
ватель использует тот же домашний каталог. Если в
файле /etc/login.defs параметр USERGROUPS_ENAB
равен yes, то будет удалена и первичная группа поль
зователя, даже если она является первичной и для
другого пользователя. Довольно опасный параметр,
который может привести систему в нерабочее со
стояние
-г, —remove
Удаляет домашний каталог пользователя и почто
вый ящик. Файлы этого пользователя, созданные на
других файловых системах, нужно искать и удалять
вручную
-R, —root chroot
Выполняет изменения в каталоге chroot и использу
ет файлы конфигурации из этого каталога
-Z, -selinux-user
Удаляет все пользовательские сопоставления
SELinux для учетной записи пользователя
Пример удаления учетной записи ubuntu, домашний каталог и почтовый
ящик также будут удалены:
# userdel -г ubuntu
12.3.4. Группы пользователей
Для более простого управления пользователями их можно объединять в
группы. Например, можно задать ограничения ресурсов для группы пользо
вателей. Тогда они будут распространяться на всех пользователей, входящих
в группу, и вам не придется их устанавливать для каждого пользователя от
дельно.
Г 390
Ллпих
Глава 12. Пользователи и группы
Но прежде чем устанавливать права для группы, нужно эту группу создать.
Добавить группу можно командой groupadd, однако ничего плохого не
случится, если вы просто отредактируете файл /etc/group (не groups, а
именно group!) и добавите группу вручную.
При добавлении группы следите, чтобы ID группы был уникальным. Если
же вы не хотите ни за чем следить, тогда просто введите команду groupadd'.
# groupadd [параметры] имя_группы
С параметрами команды groupadd можно ознакомиться в справочной систе
ме — man groupadd.
12.4. Графические конфигураторы
Управлять учетными записями пользователя можно и с помощью графических
конфигураторов, что будет привычнее для бывших Windows-пользователей. В
Ubuntu для управления учетными записями пользователей нужно перейти в
окно Настройки, далее - в раздел Пользователи (рис. 12.8).
& йхьблохнрохать для ихылнаннн настроек
О Bluetooth
■
/ргос/sуs/net/ipv4/ip_fоrward
# Включаем NAT, чтобы локальные узлы могли получать доступ к Интернету
$ip -t nat -A POSTROUTING -о $WAN_IFACE1 -s $LOCAL_NET ! -d $LOCAL_NET -j
SNAT --to-source $WAN_IP1
# Отбрасываем INVALID-пакеты
$ip -A INPUT
-m state --state INVALID -j DROP
$ip -A FORWARD -m state --state INVALID -j DROP
# Разрешаем трафик через loopback
$ip -A INPUT -p all -i $LO_IFACE -j ACCEPT
Sip -A OUTPUT -p all -o $LO_IFACE -j ACCEPT
# Разрешаем трафик через внутренний адаптер
# Между сервером (шлюзом) и локальной сетью разрешаем все
$ip -A INPUT -р all -i $LAN_IFACE -s $LOCAL_NET --match state —state
NEW,ESTABLISHED -j ACCEPT
# Разрешаем исходящие новые и уже установленные соединения
# во внутреннюю сеть с адаптера локальной сети
$ip -A OUTPUT -р all -о $LAN_IFACE -d $LOCAL_NET --match state --state
NEW,ESTABLISHED -j ACCEPT
# Разрешаем новые и уже установленные соединения извне
# к портам 80 (веб-сервер) и 22 (ssh):
(с внешней сети)
$ip -A INPUT -р top -i $WAN_IFACE1 -m multiport --dports 80,22,25,110
--match state --state NEW,ESTABLISHED -j ACCEPT
Sip -A OUTPUT -p tcp -o $WAN_IFACE1 -m multiport --sports 80,22,25,110
--match state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешаем выход с сервера во внешнюю сеть, но только на определенные порты
# Разрешаем порты 80 (HTTP), 443 (SSL) и 53 (DNS)
Sip -A INPUT -i $WAN_IFACE1 -p tcp -m multiport - -sports 80,53,443 -j ACCEPT
$ip -A OUTPUT -o $WAN_IFACE1 -p tcp -m multiport —dports 80,53,443 -j ACCEPT
Sip -A INPUT -i $WAN_IFACE1 -p udp -m multiport - -sports 53 -j ACCEPT
Sip -A OUTPUT -o $WAN_IFACE1 -p udp -m multiport —dports 53 -j ACCEPT
# Открываем админу (192.168.1.10) доступ ко всему, что будет нужно
# Просмотрите список портов и откройте то, что вам будет нужно
# tcp
Sip -A FORWARD -р tcp -s 192.168.1.10 ! -d $LOCAL_NET -m multiport
--dports 80,53,443,22,25,110,5190 -j ACCEPT
$ip -A FORWARD -p tcp -d 192.168.1.10 ! -s $LOCAL_NET -m multiport
--sports 80,53,443,22,25,110,5190 -j ACCEPT
# Разрешаем ICQ только администраторам
i=0
for i in "${admins[@]}"
do
$ip -A FORWARD -p top -d $i --sport 5190 -j ACCEPT
$ip -A FORWARD -p top -s $i --dport 5190 -j ACCEPT
done
# Разрешаем избранным (список admins) доступ к сайтам из черного списка
>0
for j in ”${blacklist[@]}"
do
i=0
for i in "${admins[@]}"
do
$ip -A FORWARD -d $i -s $j -j ACCEPT
done
done
# Всем остальным запрещаем доступ к сайтам из списка blacklist
i=0
for i in "${blacklist[@]}"
do
$ip -A FORWARD -s $i -j DROP
done
# Разрешаем транзит некоторых пакетов
$ip -A FORWARD -р top -s $LOCAL_NET !
80,53,443 -j ACCEPT
$ip -A FORWARD -p tcp -d $LOCAL_NET !
80,53,443 -j ACCEPT
$ip -A FORWARD -p udp -s $LOCAL_NET !
53 -j ACCEPT
$ip -A FORWARD -p udp -d $LOCAL_NET !
53 -j ACCEPT
(80 , 443 и 53)
-d $LOCAL_NET -m multiport — — dpo r t s
После этого нужно обеспечить автоматический запуск нашего сценария /etc/
firewall/firewall.sh.
13.4. Настройка брандмауэра ufw
Традиционно в качестве брандмауэра (фильтра пакетов) в Ubuntu исполь
зуется iptables, но поскольку Ubuntu позиционируется как простой дистри
бутив, то и оболочка для iptables была разработана соответствующая - UTF
(Uncomplicated Firewall) - несложный файрвол.
Сервер на Windows и Linux
Л-inux
13.4.1. Проверяем состояние брандмауэра
Первым делом нужно убедиться, что пакет ufw вообще установлен, или
установить его, если это не так:
sudo apt install ufw
Как показано на следующей иллюстрации, уже установлена последняя вер
сия пакета ufw.
Рис. 13.2. Установлена самая новая версия ufw
Теперь посмотрим состояние брандмауэра:
# ufw status verbose
По умолчанию фильтр пакетов выключен, поэтому вы получите сообщение:
Состояние:
неактивен
Глава 13. Маршрутизация и настройка брандмауэра
inux
Не нужно спешить включать файрвол: сначала его нужно настроить. Ведь
если порт 22 окажется по умолчанию недоступен, то вы потеряете доступ
к своему серверу, если администрируете его удаленно. Об этом нужно пом
нить!
13.4.2. Базовая настройка
4IIIIIIIIIIIIIIIIIIHIIIIII Illi llllllllllllll llllllllllll I II II Illi II II I I I Illi I II II I
II
I I I I I II I I
I II
I I I II I Illi III llllll II I I I
lllllllllllllllll
и II I I I и
I II
I llllllllllllllllllllllllllllllllllllllllllllllllllllllllllllll
I По умолчанию брандмауэр запрещает все входящие соединения и раз
решает все исходящие.
IIIIIIIIIIIII II I I II I I 11 I I) I Illi II I I Hill III I IIIII1II Hill lllllllllll llllir
Такая политика идеальная с точки зрения безопасности (дальше вы поймете
почему) - ведь если кто-то (и вы в том числе) захочет к нему подключиться,
то у него это не получится. В то же время приложения на сервере смогут
создавать исходящие соединения.
Рассмотрим две команды:
ufw default deny incoming
ufw default allow outgoing
Данные два правила как раз и задают политику по умолчанию - запрещают
ся все входящие соединения и разрешаются все исходящие.
Итак, все входящие соединения запрещены. Чтобы к серверу можно было
’’достучаться” по определенному порту, его нужно сначала открыть. UFW
хорош тем, что вам даже не нужно помнить номер порта - нужно знать толь
ко название сервиса. Например, вот как можно разрешить подключение по
SSH:
ufw allow ssh
При этом UFW сам создаст правило для порта 22 - именно этот порт исполь
зуется для SSH. Брандмауэр знает порты и имена всех распространенных
служб (http, ssh, ftp, sftp и т.д.).
Однако если вы перенастроили ssh на нестандартный порт из соображений
той же безопасности, нужно явно указать номер порта:
ufw allow 3333
Сервер на Windows и Linux
O-inux
После разрешения ssh (это главное, чтобы сейчас файрвол нам не разорвал
соединение) можно включить ufw командой:
ufw enable
Вы увидите сообщение о том, что межсетевой экран включен и будет запу
скаться при загрузке системы.
Посмотрите на следующий скриншот (рис. 13.3).
Рис. 13.3. Процесс настройки ufw
Посмотрим, что произошло. Сначала мы разрешили ssh, на что получили
ответ, что правила обновлены:
Правила обновлены
Правила обновлены (v6)
Затем мы включаем файрвол и получаем сообщение, что он активен и будет
запускаться при загрузке системы.
На этом базовая настройка выполнена - ssh успешно работает, и мы можем
приступить к дальнейшей настройке фильтра пакетов.
426]
Л-inux
Глава 13. Маршрутизация и настройка брандмауэра
13.4.3. Создаем правила для других приложений
Теперь нужно разрешить работу других приложений. Как правило, нужно
разрешить службу http (веб-сервер), ftp и постараться не забыть о https (что
очень важно в последнее время):
ufw allow http
ufw allow https
ufw allow ftp
Сделать то же самое можно было бы и по номерам портов:
ufw allow 80
ufw allow 443
ufw allow 21
При желании можно разрешить целый диапазон портов, указав при этом
транспортный протокол (UDP или TCP):
Ufw позволяет разрешить определенному IP-адресу доступ ко всем портам
сервера, например:
ufw allow from 46.229.220.16
Если нужно разрешить доступ конкретному IP-адресу только к определенно
му порту, то делается это так:
ufw allow from 46.229.220.16 to any port 22
427
Сервер на Windows и Linux
Здесь мы разрешаем не все подключения к ssh, а только подключения с IPадреса 46.229.220.16.
Разрешить доступ целого диапазона IP-адресов (например, когда у админи
стратора динамический IP), можно так:
ufw allow from 123.45.67.89/24 to any port 22
13.4.5. Запрещаем IP-адреса и службы
Запретить доступ с определенного IP-адреса можно аналогично:
ufw deny from 123.45.67.89
При желании можно запретить все подключения к определенной службе:
ufw deny ftp
13.4.6. Удаление/сброс правил
Сбросить все правила можно командой:
ufw reset
Но убедитесь, что на момент ввода этой команды вы отключили файрвол,
иначе вы потеряете доступ по ssh.
Удалить конкретное правило можно по номеру.
Сначала введите следующую команду, чтобы узнать номер правила:
ufw status numbered
428
Глава 13. Маршрутизация и настройка брандмауэра
inux
Рис. 13.4. Список правил
13.4.7. Отключение файрвола
Отключить ufw можно командой ufw disable. Отключение может пона
добиться, если какие-то из правил работают неправильно и нужно
временно отключить файрвол, чтобы разрешить работу тех или иных
сервисов.
IIIIIIIIIIIIIIIIIIIIIIIIIII II I II II I I I II
I I I I
II I II
I
Illi
I I II I I I
II
I
I I II I IIIIIIIIIIIIIIIIIII1IIIIII
Если вы ранее использовали iptables, то наверняка заметили, что синтак
сис ufw гораздо проще. Если же до этого вам не приходилось настраивать
брандмауэр, то ufw - оптимальное решение, с которым не составит труда
разобраться даже начинающему администратору.
Глава 14.
Удаленный вход в
систему по SSH
Сервер на Windows и Linux
Ojnux
14.L Протокол SSH
Особенностью SSH-соединения является шифрование всех передаваемых
по нему данных. Если злоумышленник перехватит SSH-трафик, он не узнает
ни логин, ни пароль, ни команды, которые вы передавали на сервер.
В Linux используется свободная реализация протокола SSH OpenSSH.
Данная реализация была определена рабочей группой IETF. Не беспокой
тесь: OpenSSH так же безопасен, как и SSH. Далее мы будем говорить SSH,
а подразумевать именно OpenSSH.
Для шифрования передаваемых данных SSH-соединение может использо
вать различные алгоритмы, например BlowFish, 3DES (Data Encryption
Standard), IDEA (International Data Encryption Algorithm) и RSA (RivestShamir-Adelman algorithm). Алгоритм определяется настройками SSHсервера.
Чтобы удаленные пользователи могли подключиться к вашему серверу, на
нем нужно установить демон sshd. Как правило, этот демон содержится в
пакете openssh-server. Клиент SSH, то есть программа, с помощью которой
удаленные пользователи будут подключаться к вашему SSH-серверу, содер-
Глава 14. Удаленный вход в систему но SSH
inux
жится в пакете openssh-client. Итак, на компьютеры, с которых вы планируе
те подключаться к серверу, нужно установить пакеты openssh-client.
Что делать, если у вас не Linux, а подключаться к SSH-серверу все равно
нужно? Не беспокойтесь! SSH-клиенты созданы для самых разных опера
ционных систем. Один из самых хороших клиентов для Windows — Bitvise
SSH Client. Он бесплатный, поддерживает создание и загрузку профилей со
единений, что позволяет удаленно администрировать несколько серверов,
поддерживает не только передачу команд, но и файлов (по протоколу sFTP).
Для iOS можно использовать приложение WebSSH, а для Android — SSH
Client. Все эти приложения бесплатны.
J 09:15:43.965 Sitvise SSH Client 8.42, a fully featured SSH client for Windows.
Copyright (C) 2000-2020 by Sitvise Limited.
: 09:15:43.965 Visit www.bitvise.com for latest information about our SSH software.
I 09:15:43.965 Run ‘SvSsh -help' to learn about supported command-line parameters.
? 09:15:43.965 Cryptographic provider: Windows CHG (x86) with additions
: 09:15:44.467 Version status: Improvements available
SFTP GUI auto-complete can deadlock. Other minor issues. There is a compatible
update with fixes, improvements.
I 09:15:44.467 Optional update available.
i 09:15:44.547 Loading last used profile
I 09:15:44.555 Last used profile loaded successfully.
: 09:15:51.290 Creating new profile aborted,
I 09:15:58.541 Loading profile aborted.
г 09:16:10.631 Loading profile
s 09:16:10.635 Profile loaded successfully.
Программа ssh является SSH-клиентом и содержится в пакете
openssh-client. Как правило, этот пакет установлен по умолчанию и
вам не нужно его устанавливать вручную.
Формат вызова программы ssh следующий:
ssh [параметры]
Параметры можно не указывать, но раз они есть, знать о них вы обязаны
(табл. 14.1). Хочу предупредить сразу: опций у программы много и в таблице
14.1 будут представлены только самые полезные или, наоборот, бесполезные
(чтобы привлечь к ним ваше внимание) опции.
Таблица 14.1. Некоторые параметры программы ssh
Параметр
Описание
-7
Заставляет клиент использовать первую версию протоко
ла SSH. Можно использовать только при подключении к
очень старым серверам
-2
Клиент будет использовать только вторую версию про
токола SSH. Это означает, что если вы с этим параметром
попытаетесь подключиться к старому серверу, у вас ниче
го не выйдет. Как правило, ssh автоматически определяет
версию протокола и в параметрах -1 и -2 нет смысла
-4
Клиент будет использовать только 1Ру4-адреса
-6
Клиент будет использовать только 1Ру6-адреса
Глава 14. Удаленный вход в систему но SSH
-А
Включает перенаправление соединения агента аутентифи
кации. Данный параметр можно включить отдельно для
каждого узла в конфигурационном файле. Используйте
перенаправление агента с осторожностью. Данная возмож
ность является потенциально уязвимой
-а
Отключает перенаправление соединения агента аутенти
фикации
-Ь адрес
Использует адрес на локальной машине как адрес источ
ника соединения. Полезная опция, если у вас установлено
несколько IP-адресов
-с
Запрашивает сжатие всех данных (в том числе stdin, stdout,
stderr и данные XI1). Уровень сжатия устанавливается
опцией CompressionLevel для протокола версии 1. Сжатие
данных полезно на модемных линиях и других медленных
соединениях, но в быстрых сетях оно только вызовет лиш
ние задержки
-с
Задает список алгоритмов шифрования, разделенных за
пятыми в порядке предпочтения. Вы можете указать алго
ритмы blowfish, des или 3des. Данная опция используется
только для второй версии протокола SSH. Для первой вер
сии протокола можно указать лишь один предпочитаемый
протокол
-f
Переводит ssh в фоновый режим. Полезно, когда вы запу
скаете XII-программу (графическую программу) по SSH
-1 имя
Позволяет указать имя пользователя, под которым вы буде
те регистрироваться на SSH-сервере. Указывать не обяза
тельно, поскольку сервер и так попросит вас ввести логин
-р порт
Указывает порт SSH-сервера, отличный от используемого
по умолчанию (22)
Г 435
Л-inux
Сервер на Windows и Linux
-Q
’’Тихий” режим. В нем отображаются только фатальные
ошибки. Все, что не важно, выводиться не будет
-X
Включает перенаправление XII. Полезный параметр при
запуске графических программ
-X
Отключает перенаправление XII
-V
Подробный режим - антипод для -q
-г
Выводит номер версии
Использовать ssh очень просто. В следующем примере я подключаюсь как
root к узлу server:
$ ssh -1 root server
14.3. Настройка SSH-сервера
Теперь приступим к настройке SSH-сервера. Для его установки нужно уста
новить пакет openssh-server.
После этого нужно запустить сервер командой:
# service ssh start
Иногда сервис называется sshd, тогда команда будет иной:
# service sshd start
. 436 J
Л-inux
Глава 14. Удаленный вход в систему по SSH
Сервер сразу же готов к работе, и его вполне безопасно можно использовать
с параметрами по умолчанию.
Конфигурационный файл SSH-сервера называется /etc/ssh/sshd_config.
Пример файла конфигурации sshd config приведен в листинге 14.1 (с ком
ментариями на русском языке).
Листинг 14.1. Пример файла конфигурации sshd_config
# Какой порт будет использоваться для SSH-сервера. Порт по умолчанию - 22
# Теоретически, номер порта можно изменить, но на практике в этом нет
# необходимости. Защита с помощью изменения номера порта - дело
# неблагодарное, поскольку есть сканеры портов, которые могут легко вычислить
# номер порта
Port 22
# Какие адреса мы будем слушать. Чтобы sshd работал на всех интерфейсах,
# закомментируйте директиву ListenAddress
#ListenAddress ::
#ListenAddrеss 0.0.0.0
# Номер версии протокола
Protocol 2
# Ключи для протокола версии 2
HostKey /etc/ssh/ssh_host_rsa_key
НоstКеу /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
# Для улучшения безопасности включаем разделение привилегий
UsePrivilegeSeparation yes
# Время жизни (в секундах) и размер ключа сервера версии 1
KeyRegenerationlnterval 3600
ServerKeyBits 768
# Журналирование
SyslogFacility AUTH
LogLevel INFO
# Аутентификация:
LoginGraceTime 120
# Если нужно запретить вход как root по ssh (это не запрещает команду
# su), выключите этот параметр (установите значение по).
PermitRootLogin yes
StrictModes yes
# Максимальное количество попыток аутентификации
#MaxAuthTries 3
Сервер на W indows и Linux
# Использование RSA (yes)
RSAAuthentication yes
# Аутентификация с открытым ключом
PubkeyAuthentication yes
#AuthorizedKeysFile %h/ . ssh/authorized_keys
# Отключаем устаревшую .rhosts-аутентификацию
# Файлы ~/.rhosts and -/.shosts читаться не будут:
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
# Запрещаем (значение no)
PermitEmptyPasswords no
пустые пароли
# He используем аутентификацию вызов-ответ
Cha11engeResponseAuthentication no
# Параметры Kerberos
#KerberosAuthentication no
#KerbeгоsGetAFSToken no
#KerbeгоsOrLoca1Passwd yes
# Ke rbe г о s Tvi c ke t С1 e anup yes
# Параметры GSSAPI
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
# X11—форвардинг
XIIForwarding yes
XllDisplayOffset 10
# Выводить сообщение дня
(можете отключить)
PrintMotd yes
# Выводить время последнего входа
PrintLastLog yes
# Использовать постоянные ТСР-соединения
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
# Баннер
#Banner /etc/issue.net
Конфигурация по умолчанию вполне пригодна для использования. Я выде
лил несколько опций, которые вам, возможно, захочется изменить. Осталь
ные параметры вряд ли вы будете изменять.
14.4. Защищенное копирование файлов
Иногда возникает необходимость скопировать важные файлы по защищен
ному каналу. Заморачиваться с отправкой их почтой с использованием асин
хронного шифрования как-то не хочется, да и почтой можно передать только
файлы небольших размеров.
г................................................. ....................................................... .................. ""г.................. ।
Для защищенного копирования файлов используется утилита scp. |
Рассмотрим несколько примеров использования этой команды:
$ scp user@example . com: file . txt /home/ubuntu
Данная команда копирует файл file.txt с удаленного SSH-сервера example,
com в каталог /home/ubuntu. Вход на сервер будет выполнен от имени поль
зователя user. Пароль будет запрошен при запуске программы. Файл file.txt
должен находиться в домашнем каталоге пользователя user.
Аналогично, можно скопировать некоторый локальный файл в некоторый
удаленный каталог на SSH-сервере:
Теперь усложним задачу. Пусть нам нужно скопировать локальный каталог
dirl и все его содержимое (опция -г) в каталог /home/ubuntu/dir2 удаленного
сервера example.com. Команда будет такой:
$ scp -г dirl user@example.com:/home/ubuntu/dir2
439
Сервер на Windows и Linux
A.inux
А вот совсем сложный пример. Мы копируем файл /dir/file.txt, находящийся
на сервере hostl, в каталог /some/directory сервера host2. На обоих компью
терах должен быть запущен SSH-сервер.
14.5. Оптимизация SSH
SSH-сервер работает довольно быстро, но иногда администраторам прихо
дится столкнуться с торможением, особенно при входе пользователя.
Ускорить вход пользователя поможет отключение использования
DNS. Добавьте в файл конфигурации sshd_conf директиву:
UseDNS по
В этом случае IP-адреса не будут разрешаться в доменные имена, что су
щественно повысит производительность, поскольку не будет необходимости
обращаться к DNS-серверу и ждать от него ответа.
Также нужно использовать постоянные ТСР-соединения:
TCPKeepAlive yes
Еще можно отказаться от вывода сообщения дня, но на вход пользователя
это особо не повлияет:
PrintMotd по
Серьезное ’’торможение” (порой на несколько секунд) могут добавить РАМмодули. Но отключать РАМ-модули полностью не нужно!
Глава 14. Удаленный вход в систему по SSH
Достаточно из файлов /etc/pam.d/login и /etc/pam.d/sshd удалить строки:
session
session
optional
optional
pam_motd.so
pam_motd.so
motd=/run/motd.dynamic noupdate
После этого регистрация на вашем SSH-сервере будет происходить
мгновенно.
Глава 15.
Вопросы администрирования
веб-сервера
Сервер на Windows и Linux
inux
Прежде чем приступить к разработке, например, своего интернет-магази
на, нужно проделать много подготовительной работы - выбрать сервер, до
менное имя, SSL-сертификат, настроить программное обеспечение сервера
и установить саму CMS (Content Management System, систему управления
контентом). Только после этого можно начать продавать что-либо, то есть
занять сервер полезной работой.
15.1. Выбор доменного имени
Как яхту назовешь, так она и поплывет. Конечно, все зависит от личных
предпочтений руководства магазина, уже существующего названия торго
вой марки и других факторов. Как технический специалист, могу пореко
мендовать выбирать доменное имя второго уровня и желательно в домене
.сот (.сот), поскольку вы создаете именно интернет-магазин, а
не сайт общественной или правительственной организации.
С точки зрения SEO доменное имя второго уровня лучше, чем третьего,
например sales.example.org. А домен верхнего уровня (TLD) .сот идеально
подходит для коммерческих ресурсов.
Купить доменное имя можно на сервисе регистрации доменных имен,
например на reg.ru, nic.ru и т.д. Если у вас сервер будет не физический, а
виртуальный, совсем не обязательно покупать доменное имя у облачного
провайдера. Хотя, если вам удобнее, вы можете купить и сервер, и домен у
одной организации.
flinux
Глава 15. Вопросы администрирования веб-сервера
15.2. Выбор типа сервера
Для вашего интернет-магазина нужен собственный сервер, просто хостинг
не подойдет по причинам низкой производительности и невозможности гиб
кого управления программным обеспечением. Хотя некоторые провайдеры
предоставляют уже готовый хостинг с ПО для организации магазина, но как
будет работать такой магазин - никому не понятно. Я же рекомендую не
тратить свое время на подобные продукты (исключение SaaS-услуга с ин
тернет-магазином, например Shopify, но это уже совсем другой уровень и
если вы выбрали такую, то можете дальше эту книгу не читать, а купить
книгу по Shopify).
Итак, нужен собственный сервер. Возможны три варианта:
От первого варианта прошу вас отказаться. Во-первых, хороший сервер
стоит несколько тысяч евро. Это капитальные затраты, которые можно за
менить операционными посредством использования виртуального сервера.
Физический сервер можно использовать, если он уже был куплен до вас.
Во-вторых, физические серверы требуют существенных затрат на их обслу
живание:
• Нужно производить ремонт, модернизацию, чистку. В случае с виртуаль
ным сервером все это ложится на плечи провайдера. Вам не нужно ниче
го делать и ни на что тратиться.
• Нужно обеспечить резервное питание. Это не всегда возможно, посколь
ку часто альтернативным источником выступает дизель-генератор, а его
можно установить не везде (правила пожарной безопасности и уровень
шума мешают установить его в обычном офисном здании).
•
Необходимы вторая интернет-линия и роутер (маршрутизатор) с возмож
ностью переключения между каналами. Роутер стоит недорого, а вот за
Сервер на Windows и Linux
второй интернет-канал вам придется платить каждый месяц, даже если
вы его не используете. Хотя этот пункт менее проблематичен, чем второй.
• Необходимо обеспечить систему кондиционирования летом во избежа
ние перегрева сервера.
imiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiniiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiMiiniiiiiiiiiiiiiiiiiiiiiiimiiiiiiiiiiiiiiiiiiiiiiiitiiiiiiiiiiiiiiimiiiiiiiiiiiiiiw
Виртуальный сервер ничем по управлению не отличается от физи
ческого - вы можете установить любое программное обеспечение и
настроить сервер так, как вам нужно.
iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiinimiimiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiNiiiiiiiiiiiiiiiim
Зато у виртуального есть масса преимуществ:
•
Перед установкой какого-то расширения или внесением существенных
изменений в работу CMS или самого сервера вы можете сделать сни
мок (снапшот). В случае если что-то пойдет не так, восстановить все,
как было, можно за считанные секунды. Это основное преимущество
использования виртуализации. На продакшн-серверах данная функцио
нальность ’’must have” - пользователи вашего магазина не должны ждать,
пока администратор сделает откат при неудачной настройке.
•
Модернизация сервера занимает считанные минуты. Например, вы мо
жете докупить дополнительные ядра процессора и дополнительные ги
габайты оперативной памяти за считанные минуты. Более того, когда до
полнительные ресурсы вам будут не нужны, вы можете вернуть их в пул
и платить меньше. Например, на время сезонных распродаж (Новый год,
Рождество) вы можете добавить дополнительные ресурсы, а после празд
ников - вернуть их в пул.
Выделенный (dedicated) сервер - это то же самое, что и физический |
сервер, но установленный в дата-центр облачного провайдера.
Вы покупаете сервер и помещаете его на хранение в дата-центр. Провай
дер обеспечивает резервирование интернет-соединения, питание и охрану
сервера. Остальные операции, например модернизация сервера, его ремонт,
осуществляются за дополнительную плату. При этом вы не можете сделать
снимок сервера или доустановить, а потом вернуть ресурсы сервера.
Следующая таблица позволяет сравнить эти три вида серверов.
Л-inux
Глава 15. Вопросы администрирования веб-сервера
Таблица 15.1. Сравнительная таблица типов серверов
Тип сервера
Преимущества
Недостатки
Значительно дороже при
покупке и содержании
Физический
Настоящий компьютер из плат
и проводов
Всю сумму платим сразу
Сразу доступны все ресурсы
сервера
Требуется администратор
именно сервера
Более высокая производитель
ность
Необходимо платить за
colocation или обеспечивать
самому надлежащие усло
вия для работы сервера
Сложность модернизации
Гораздо дешевле физического
сервера
Простота обслуживания, не ну
жен отдельный администратор
в штате
Обеспечение работоспособно
сти - не ваша проблема
Быстрое клонирование сервера
Виртуальный
Быстрое создание ’’снимка"
сервера, что позволяет вос
становить сервер за считанные
секунды
Простая модернизация сервера
Оплата только за используемые
ресурсы, возможность быстро
изменить конфигурацию сер
вера
В стоимость уже входит IPадрес и интернет-канал
Производительность не
много ниже, чем у физиче
ского сервера
Нельзя увидеть/пощупать
физически
Сервер на Windows и Linux
Выделенный
Все преимущества физического
сервера
Дороже виртуального сер
вера
Услуги colocation уже входят в
тариф
Невозможно создать снап
шот, как в случае с вирту
альным сервером, нужно
использовать традицион
ные решения резервного
копирования
Не нужно беспокоиться о том,
что сервер может сломаться
Физический сервер, который
вы получаете сразу, а оплачива
ете - по мере использования
Арендовать виртуальный сервер в большинстве случаев выгоднее, проще и
удобнее, чем связываться с физическим сервером. Сегодня, по сути, физи
ческое оборудование имеет смысл приобретать, если вы сами планируете
предоставлять виртуальные серверы в аренду. Во всех остальных случаях
можно обойтись виртуальным сервером.
15.3. Выбор облачного провайдера
Очень важно не допустить ошибку при выборе облачного провайдера.
Такие ошибки могут очень дорого обойтись - вы потеряете деньги, время,
репутацию. Поэтому мыподготовили список, который необходимо уточнить
у облачного провайдера перед тем, как воспользоваться его услугами:
•
Уровень сертификации по Tier — узнайте, присвоен ли центру обмена
данных уровень по UTI. С Tier I и Tier II нечего связываться. Tier I - все
равно что разместить серверы у себя в офисе, поскольку данный уровень
не предполагает резервирования электропитания. Уровень доступности
99.671%, то есть 28.8 часов простоя в год. Самый надежный и доступный
по деньгам - Tier III. Резервируются все инженерные системы, обеспечи
ваются возможности ремонта и модернизации без остановки сервисов.
Tier III (99.98% доступности, или 1.6 часа простоя) предполагает построй
ку второго ЦОД внутри того же здания - ведь все нужно дублировать, в
том числе СКС, электричество, систему охлаждения, у всего серверного
Л-inux
Глава 15. Вопросы администрирования веб-сервера
оборудования должны быть независимые подключения к нескольким ис
точникам питания и т.д. В то же время стоимость будет гораздо ниже, чем
у Tier IV (99.99% доступности).
•
Наличие необходимых лицензий ФСТЭК — помните, что вы будете
хранить на данном сервере персональные данные своих клиентов, поэто
му наличие лицензий ФСТЭК - необходимое условие.
• Физическое размещение серверов — ФЗ-152 требует, чтобы персональ
ные данных граждан РФ хранились только в пределах РФ, поэтому фи
зическое местоположение играет роль. Как бы вам ни хотелось купить
сервер в США, ничего не выйдет.
•
Были ли раньше аварии на площадке — были ли на площадке выбран
ного вами провайдера аварии, и если были, то каковы их причины и какие
меры были приняты. Нужные сведения можно легко найти в Интернете,
равно как и отзывы довольных и не очень клиентов.
•
Наличие тестового режима — самый хороший способ протестировать,
подходит ли вам данная площадка или нет. Узнайте у провайдера, есть ли
тестовый режим и как им можно воспользоваться.
•
Чем является виртуальное ядро — облачные провайдеры измеряют
процессорную мощность своих серверов в виртуальных ядрах (vCPU).
Один vCPU может равняться одному физическому ядру процессора, а мо
жет и четверти (1/4) ядра. Этот вопрос нужно уточнить заранее. Покупая
виртуальную машину с процессором на 4 ядра, получите ли вы 4 ядра или
всего одно ядро (если IvCPU = 0.25 одного ядра)?
•
Базовая скорость интернет-канала — трафик, как правило, безлимит
ный, а вот скорость доступа к Интернету может быть разная. Некоторые
провайдеры предоставляют серверы с низкоскоростным интернет-соединением 10 Мбит/с, а за более скоростной доступ нужно доплачивать. Не
которые сразу предоставляют полноценный канал 100 Мбит/с без какихлибо доплат. Протестировать интернет-канал можно командой:
wget -О - https://raw.github.com/sivel/speedtest-cli/
master/speedtest.ру | python
Вы увидите скорость upload и download. В идеале она должна быть примерно
одинаковой и при соединении 100 Мбит/с у вас должен быть результат не
ниже 76 Мбит/с при прохождении теста.
449
Сервер на Windows и Linux
•
Скорость работы дисковой подсистемы — многие провайдеры предо
ставляют серверы с SSD-дисками. Получите тестовый доступ и подклю
читесь к серверу по ssh. Введите команду:
dd if=/dev/zero of=temp bs = lM count=2048
Вы увидите реальную скорость обмена данными с диском. Если провайдер
заявляет, что у вас SSD, а скорость обмена данными меньше 200 Мбайт/с,
ищите другого провайдера.
•
Периодичность и стоимость резервного копирования — уточните,
есть ли сервис резервного копирования или резервирование данных при
дется осуществлять своими силами, то есть покупать еще один виртуаль
ный накопитель, устанавливать и настраивать программное обеспечение
для бэкапа и т.д. Если сервис есть, то нужно уточнить, сколько он сто
ит, чтобы вы могли планировать свои месячные затраты на содержание
виртуальной инфраструктуры. Автор этой книги, работая с cloudways,
com, был удивлен, узнав, что поддержка снапшотов есть не для всех ти
пов серверов. Для серверов DigitOcean возможности создания снапшотов
нет. Лучше узнать это до того момента, как вам понадобится возможность
создания снапшота.
•
Тарификация — первым делом нужно уточнить единицу тарификации:
минута, час, день и т.д. Что произойдет, если вы выключите сервер на
некоторое время? Будет ли такой простой бесплатным или будет тарифи
цироваться только хранение информации? Что будет, если вы измените
конфигурацию сервера в меньшую сторону? Как и когда это отразится на
стоимости сервера? Допустим, вы заказали сервер с 16 Гб оперативной
памяти, а спустя некоторое время решили, что 16 Гб - это много и будет
достаточно 12 Гб. В 11:00 вы уменьшаете размер оперативной памяти.
Когда это отразится на тарификации? Моментально, через час или в на
чале следующего дня?
•
Скрытые платежи — узнайте, за что еще вам придется платить. Напри
мер, придется ли доплачивать за панель управления сервером, резервное
копирование и т.д. Постарайтесь по максимуму просчитать, сколько будет
стоить содержание виртуальной инфраструктуры в месяц, чтобы в конце
месяца это не было для вас неприятным сюрпризом.
•
Способы подключения к серверу — как можно подключиться к арендо
ванному серверу? Обычно предоставляется SSH-доступ, но может быть
еще и доступ через веб-консоль управления сервером, что будет особен-
3
Ai
но полезно, если вы при настройке брандмауэра случайно закроете сами
себе SSH-доступ - такое бывает.
• Служба поддержки — узнайте график и условия работы службы под
держки. Какие услуги саппорт (поддержка) оказывает платно, а какие
- нет. Например, если нет веб-консоли, а вы заблокируете сами себя и
обратитесь в саппорт, будет ли настройка брандмауэра платной или вам
помогут бесплатно?
15.4. Выбор конфигурации сервера
Конфигурацию сервера нужно подбирать исходя из выполняемых им функ
ций и установленного на сервере ПО. На первых порах вам хватит 4 процес
сорных ядер и 8 Гб оперативной памяти. Далее будьте готовы к расширению
ресурсов. Да, 8 ядер и 32 Гб ’’оперативки”. Если подобная конфигурация
сервера - для вас дорого, тогда стоит остановиться прямо сейчас и обратить
внимание на SaaS-решения - возможно, они окажутся дешевле.
Будьте готовы, что в реальных условиях вам понадобится как минимум 16
Гб памяти и 4-6 ядер. Соответственно, данные операционные расходы нуж
но будет закладывать в работу магазина.
15.5. Переезд с хостинга на сервер
Сейчас рассмотрим практический пример. Пусть у вас есть хостинг и на нем
есть сайт. Вы хотите перенести сайт на собственный веб-сервер (физиче
ский или виртуальный - без разницы).
15.5.1. Этапы переноса
Перенос сайта на VPS состоит со следующих этапов:
1. Копирование файлов на локальный компьютер.
2. Экспорт базы данных.
ф
Odnux
Сервер на Windows н Linux
3. Установка веб-сервера, СУБД и другого ПО на виртуальный сервер (ВС).
4. Настройка ПО на VPS.
5. Загрузка файлов с локальной системы на ВС.
6. Редактирование конфигурации движка (CMS).
7. Импорт базы данных на ВС.
8. Перенос домена.
15.5.2. Копирование файлов сайта на локальный компьютер
Подключитесь к виртуальному хостингу по FTP. Лучше всего для этого ис
пользовать FileZilla, поскольку этот FTP-клиент хорошо работает с большим
количеством файлов. Перейдите в каталог, содержащий файлы сайта. Как
правило, это каталог public_html. Если вы раньше администрировали сайт,
то наверняка знаете, как называется этот каталог. Если возникли сложности,
обратитесь в саппорт хостинг-провайдера.
Й«я пслыоватеяя
Размер flatto.
CetMWZAxMkKWit оа..
Файлы в задании (454)
Неулааиккя лер«д'«>■«,''>Г4жГ*'~
Sack
|
gext >
Cancel
|
Puc. 19,11. Данные, которые будут конвертированы
Нажмите кнопку Next, а затем - кнопку Finish для начала конвертирования
(рис. 19.12).
Рис. 19.12. Конвертирование в процессе
серверна^^ _________________________
Затем в каталоге, который вы указали в настройках конвертера, появятся два
файла - vmx и vmdk. Размер последнего будет большой - ведь это и есть об
раз диска.
Преобразование в формат OVF
Осталось преобразовать полученный vmdk-файл в формат OVF. Для этого
вам понадобится OVF Tool (https://www.vmware.corn/support/developer/ovf7 ).
Команда преобразования выглядит так:п
ovftool.exe
Перед этим нужно сменить каталог - перейдите в каталог, в который вы
установили VMware OVF Tool.
cd ’C:\Program Files
(x86)\VMware\VMware OVF Tool’
После завершения у вас появится виртуальная машина в формате OVF.
19.2.2. Утилита Disk2Vhd: преобразование в Hyper-V
В прошлом разделе было показано, как преобразовать реальный физиче
ский сервер в виртуальную машину в формате VMware, но если вы выбрали
Hyper-V, процесс будет другим. Нужно отметить, что процесс преобразова
ния в VMware довольно запутанный. Если вы выбрали Hyper-V, вам доста
точно использовать простую утилиту Disk2Vhd:
https://docs.microsoft.com/ru-ru/sysinternals/down/oads/disk2vhd .
Просто запустите утилиту на сервере, который нужно виртуализировать, вы
берите диски, подлежащие виртуализации, и нажмите кнопку Create.
Вот мы и завершили виртуализацию сервера в Windows.
522
Глава 20.
Виртуальный сервер на
базе VMware Workstation
Сервер на Windows и Linux
Л-inux
В прошлой главе мы рассмотрели виртуализацию сервера в Windows. Теперь
давайте разберемся, как это сделать в Linux.
VMware Workstation - один из самых популярных продуктов вир
туализации для десктопа. Посредством него пользователь сможет
■ создавать "виртуалки" с практически любой гостевой "операционкой"
- Windows, Linux, Solaris и др.
20.1. Установка VMWare
Главу начнем со следующей задачи - создать образ (виртуальный диск)
уже имеющегося сервера и подключить его к виртуальной машине, создан
ной в VMWare. При этом нет разницы, какой будет операционная систе
ма, под управлением которой будет работать VMWare. Если у вас VMWare
Workstation уже установлена в Windows, вы можете без проблем создать
виртуальный Linux-сервер в Windows. Никаких проблем с этим не будет, а
процесс создания будет мало отличаться от аналогичного Linux-процесса
(за исключением сугубо системных отличий, например, путей к файлам).
Поскольку эта глава посвящена Linux, то мы будем рассматривать Linuxвариант VMWare.
Загрузить инсталлятор VMWare можно (и нужно) с официального сайта:
https ://www. vmware. com/products/workstation-pro/workstation-pro-evaluation. html
Г 524 1
O.inux
Глава 20. Виртуальный сервер на базе VMware Workstation
После загрузки инсталлятора перейдите в папку Downloads и выполните ко
манду (хххххх нужно заменить версией вашего файла) :^л
chmod +х VMware-Workstation-Full-xxxxxx.х86 64.bundle
Этим мы разрешим выполнение инсталлятора. Запустите установщик (или
из командной строки, или через графический интерфейс - без разницы).
Учитывая размер файла установщика, нужно немного подождать, пока он
запустится. На первом экране инсталлятора будут отображены условия ли
цензии, просто нажмите кнопку Next.
Далее установщик спросит, хотите ли вы получать обновления VMware при
запуске. Здесь решать только вам, обычно обновления - штука хорошая, но
если все устраивает и нормально работает, то особого смысла в них тоже нет.
Рис. 20.1. Установка VMWare в Linux
Затем вас спросят, хотите ли вы участвовать в программе улучшения каче
ства (CEIP). Как и в предыдущем случае - решать только вам. Если не желае
те заморачиваться, просто выберите No. Далее более важный вопрос - нужно
ввести имя пользователя, который будет подключаться к Workstation Server.
Как правило, это пользователь, от имени которого вы сейчас работаете.
гй§2
Сервер на Windows и Linux
Следующий шаг - выбор каталога для хранения общих виртуальных машин
(далее - ВМ). Если имеется только один раздел, содержащий и файлы ОС,
и пользовательские данные, то этот каталог можно не изменять. А вот если
создано несколько разделов, то желательно выбрать каталог, находящийся
на самом большом и самом быстром накопителе. Для виртуальных машин
должно быть достаточно дискового пространства (если вы собрались виртуализировать уже готовый сервер, посмотрите, какой размер он занимает
прямо сейчас - вам понадобится столько же плюс 10-20% запаса). Что же
касается скорости, желательно размещать файлы виртуальных машин на
SSD-диске: так ВМ будут работать быстрее.
Рис. 20.2. Выбор каталога для виртуальных машин
Следующие два вопроса: номер порта HTTPS - не нужно изменять это зна
чение, особенно если вы не понимаете, зачем это нужно, - и серийный но
мер продукта. Если VMware Workstation пока не приобреталась, серийный
номер можно не вводить, и вы получите 30-дневную бесплатную версию.
Осталось только нажать кнопку Install для установки программы. Установка
проходит быстро, поэтому долго ждать не придется - через несколько минут
программа будет установлена. Как только установка будет завершена,
нажмите Close, чтобы закрыть инсталлятор.
I лава 20. Виртуальный сервер на базе VMware Workstation
Рис. 20.3. Установка завершена
20.2. Создание виртуальной машины
При запуске VMWare будет запрошен пароль пользователя, указанного при
установке. На рис. 20.4 - запущенная VMWare Workstation, напоминающая,
что у нас есть 30-дневный пробный период.
Рис. 20.4. VMWare Workstation для Linux
527
Сервер на Windows и Linux
A.inux
Нажмите кнопку Create a New Virtual Machine. В появившемся окне вы
берите метод конфигурации ВМ: Typical или Custom. В первом случае вам
будет задано меньше вопросов, во втором - больше, все просто.
Рис, 20,5. Выбор метода конфигурации
Установка гостевой ОС может быть выполнена или с привода CD/DVD, или
путем указания ISO-файла инсталляционного DVD, который можно без
проблем найти в Интернете. В первом случае нужно выбрать Use a physical
drive и указать имя устройства CD/DVD (обычно это /dev/srO), во втором Use ISO image и нажать кнопку Browse для выбора ISO-файла с гостевой
ОС. Можно также выбрать переключатель I will install the operation system
later, если необходимо установить гостевую систему позже. Нам как раз по
дойдет этот вариант, и позже вы поймете почему.
Затем нужно выбрать тип гостевой ОС (рис. 20.6). Поддерживаются различ
ные варианты Microsoft Windows, Linux и другие системы. Поскольку сервер
у нас работает на Linux, то нужно выбрать именно этот вариант.
Г 528
inux
Глава 20. Виртуальный сервер на базе VMware Workstation
Рис. 20.6. Выбор типа гостевой ОС
Следующий шаг - выбор имени виртуальной машины и каталога для хране
ния ее файлов. Обратите внимание: ранее мы выбирали каталог для общих
ВМ, а сейчас выбираем каталог для конкретной виртуальной машины. Впро
чем, рекомендации те же: должно быть достаточно дискового пространства
и накопитель должен быть достаточно быстрым (желательно SSD).
Размер дискового пространства имеет значение. К счастью, VMware эко
номно расходует место на диске, поэтому можете указать размер дискового
пространства с запасом - будет использовано ровно столько, сколько нужно.
Другими словами, вы указываете верхнюю границу, а реально виртуальная
машина займет дисковое пространство по факту потребления.
Также выберите режим виртуального диска - Store virtual disk as a single
file (хранить диск ВМ в одном файле) или Split virtual disk into multiple files
(разбить диск ВМ на несколько файлов). В первом случае ВМ (из-за размера
файла) будет сложнее перенести на другой компьютер, но ее производитель-
Сервер на Windows и Linux
Ainux
ность будет выше. Если не планируете переносить виртуальную машину,
можно выбрать первый вариант.
Далее мастер предоставит сводку по параметрам виртуальной машины (рис.
20.7). Нажав кнопку Customize Hardware, можно изменить параметры обо
рудования, например, указать количество процессоров, размер оперативной
памяти, тип работы сетевого адаптера и т.д.
Рис, 20,7, Нажмите эту кнопку
В окне Virtual Machine Settings нажмите кнопку Add. Нам нужно добавить
жесткий диск. Выберите Hard Disk, тип интерфейса SCSI, а вот когда
мастер дойдет до выбора диска, то нужно выбрать Use an existing virtual
disk и указать путь к созданному образу диска вашего сервера. О том, как его
создать, мы поговорим в следующем разделе.
Глава 20. Виртуальный сервер на базе VMware Workstation
20.3. Виртуализация физического сервера
Любой физический Linux-сервер можно относительно легко подвергнуть
виртуализации. Первым делом нужно снять образ диска для VMware с физи
ческого Linux-сервера.
Никакое дополнительное программное обеспечение для начала виртуализа
ции нам не нужно, поскольку образ можно создать стандартной командой
dd.
Здесь мы параметром if задаем входящий файл — весь диск /dev/sda. В ка
честве выходного файла (of) мы устанавливаем /mnt/share/sda.img — это и
будет наш образ диска. Параметр bs задает размер блока для ускорения про
цедуры копирования (по умолчанию 512 байт, следовательно, данные будут
сбрасываться небольшими блоками по 512 байт, что существенно замедлит
процедуру создания образа). Последний параметр указывает на необходи
мость копирования с игнорированием ошибок и создания точной (бит-в-бит)
копии физического диска.
Примечание. В точке монтирования /mnt/temp должно быть доста
точно места. Как минимум, должно быть свободно столько, сколько
займет копируемый физический диск после виртуализации.
После создания образа диска его нужно преобразовать в образ, подходя
щий для вашего гипервизора. Как вы уже догадались, в нашем случае - это
VMWare.
Далее будет показано, как преобразовать созданный с помощью команды dd
образ в формат VMWare. Для этого мы будем использовать qemu, точнее
утилиту qemu-img, входящую в состав этого пакета эмуляции.
Для проведения виртуализации физического сервера придется установить
весь пакет:
sudo apt install qemu
Обратите внимание, что в /mnt/temp должно быть достаточно места для хра
нения файла vmware.vmdk, который также будет большого размера. Создан
ный vmdk-файл уже можно использовать. Например, вы можете указать его
при создании виртуальной машины в VMWare Workstation в качестве образа
жесткого диска и сможете загрузиться с него.
532
Глава 21.
KVM - бесплатное решение
для виртуализации
Сервер на Windows и Linux
^inux
21.1. Что такое KVM
Гипервизор KVM (Kernel-based Virtual Machine) — это программное
обеспечение для виртуализации на платформе Linux, работающее на
разных операционных системах. Гипервизор распределяет ресурсы
между всеми подключенными компьютерами, на которых могут стоять
разные ОС, что позволяет запускать их одновременно.
Здесь нужно понимать важное отличие от решения, которое мы рассматри
вали в прошлой главе - на базе VMWare Workstation. Решение на базе VMWare подойдет в любительских целях - создать виртуальный сервер, дабы
что-то протестировать, например, попробовать новую версию дистрибутива
Linux, запустить Windows "внутри" Linux, развернуть копию сервера для
тестирования. Однако если вы надумаете предоставлять другим пользова
телям виртуальные серверы (то есть самому стать облачным провайдером),
VMWare Workstation будет не очень удобным решением, и она не обеспечит
должный уровень масштабируемости. Для этого у VMWare есть другие ре
шения. А вот KVM отлично справится с этой задачей. Конечно, его можно
использовать и как бесплатное решение виртуализации. Заметьте, в качестве
бесплатного аналога VMWare можно было бы использовать Virtual Box, но
сами по себе решения (VMWare Workstation и Virtual Box) - по сути, одина
ковые, только VMWare - коммерческий продукт, a Virtual Box - бесплатный,
и в книге не очень полезно для читателя рассматривать два разных продукта
с одинаковым функционалом. Поэтому мы рассматриваем более профессио
нальное и масштабируемое решение.
Л>пих
Глава 21. KVM - бесила 1 ное решение для виртуализации
21.2. Установка KVM
Прежде чем мы приступим к установке, нужно отметить, что все действия
мы будем производить в дистрибутиве Ubuntu. В других дистрибутивах воз
можны изменения, как минимум, будет использоваться другой менеджер па
кетов для установки KVM.
Первым делом проверим, поддерживает ли ваш процессор виртуализацию:
grep -Е '(vmxlsvm)’ /proc/cpuinfо
Результат выполнения данной команды приведен на рис. 21.1. Вникать осо
бо в вывод не нужно - главное, что он есть. А вот если в ответ на ввод этой
команды - тишина, значит, ваш процессор не поддерживает виртуализацию.
Рис. 21.1. Результат выполнения команды grep -Е '(vmx\svm)' /proc/cpuinfо
Сервер на Windows и Linux
Ubuntu поддерживает KVM на уровне ядра, а для работы с гипервизором
рекомендует использовать библиотеку libvirt, что мы и будем делать далее.
Но сначала нужно проверить поддержку аппаратной виртуализации, и для
этого введем команду:^
kvm-ok
В ответ вы должны увидеть следующий вывод:
INFO: /dev/kvm exists
KVM acceleration can be used
Осталось установить пакеты, необходимые для работы с KVM:
При желании также можно установить графическую оболочку для libvirt:
sudo apt install virt-manager
Использовать Virt Manager довольно просто - примерно как и VMWare
Workstation, и вы без проблем сможете освоить его самостоятельно. Мы же
сконцентрируемся на консольном варианте использования.
21.3. Создание виртуального сервера
В консольном варианте установки, настройки и управления системой неза
менимым инструментом является утилита virsh. У нее очень много параме
тров, с которыми вы можете ознакомиться в справочной системе (man virsh).
| Для создания виртуального сервера используется команда virt-install.
536
Глава 21. KVM - бесплатное решение для виртуализации
Рассмотрим сразу вариант использования этой команды:
Разумеется, все эти параметры можно ввести в одну строку, мы же использу
ем \ для удобства читателя. Разберемся, что есть что. Мы создаем виртуаль
ную машину с именем ubuntu2004 с 2 Гб оперативной памяти, 2 виртуаль
ными процессорами.
Гостевая операционная система задается параметром -os-variant.
Мы будем использовать Ubuntu 20.04. Предварительно нужно скачать и по
местить в каталог /iso (это может быть точка монтирования внешней файло
вой системы для экономии места на основной файловой системе) ISO-образ
дистрибутива. У нас он называется ubuntu-20.04. l-server-amd64.iso.
Образ виртуального диска мы будем хранить в каталоге =/var/lib/libvirt/
images.
Параметр size=20 задает размер виртуального диска в гигабайтах, то есть 20
Гб.
Сетевая карта - стандартная, то есть виртуальная машина будет ’’ходить” в
Интернет через NAT.
При желании вы можете не загружать ISO-образ, а получить его по сети.
Параметр -os-variant, как уже отмечалось, указывает гипервизору, под
какую именно ОС следует адаптировать настройки.
iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiim
.......
Список доступных вариантов ОС можно получить, выполнив команду:
osinfo-query os
Если такой утилиты нет в вашей системе, то ее нужно установить:
sudo apt install libosinfо-bin
После запуска установки в консоли появится вот такая надпись:
Domain installation still in progress. You can reconnect to the
console to complete the installation process.
Это вполне нормально. Продолжить установку мы сможем через VNC. Но
сначала нужно посмотреть, на каком порту он работает.
Введите команду:
virsh dumpxml ubuntu2004
538
Глава 21. KVM - бесплатное решение для виртуализации
Чтобы просмотреть доступные соединения, можно ввести команду
sudo netstat -tin.
Это показано на рис. 21.2.
Active Interrlet coni lections (only servers)
Proto Recv-Q Send-Q Local Address
tcp
В
S 192.168.122.1:53
tcp
В
8.8.0.0:22
tcp
8
8Л.8.6:5900 |
tcp
8
""CT"'T'"T: TIT1
tcp
8
*
tcp6
8
:: :22
tcp6
0
.г:Г:Ш
tcp6
8
:::111
State
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
Рис. 21.2. Определяем, на каком порту работает виртуальная машина
Порт 5900, на локальном адресе 127.0.0.1. Чтобы подключиться к VNC, не
обходимо использовать Port Forwarding через ssh. Перед тем как это сделать,
убедитесь, что tcp forwarding разрешен у демона ssh.
Для этого нужно проверить настройки sshd:
Выполняем команду на локальной машине:
ssh -fN -1 login
-L 127 . О.О.1:5900:localhost:5900 server_ip
Здесь мы настроили ssh port forwarding с локального порта 5900 на сервер
ный порт 5900. Вместо server_ip нужно указать ваш IP-адрес во внутрен
ней сети. Теперь уже можно подключиться к VNC, используя любой VNCклиент. Я предпочитаю UltraVNC из-за простоты и удобства.
После успешного подключения на экране отобразится стандартное окно
приветствия начала установки Ubuntu.
Рис. 21.3. Установка Ubuntu в виртуальной машине
21.4. Список команд virsh
Чтобы посмотреть запущенные виртуальные хосты (все доступные
можно получить, добавив -all):^
sudo virsh list
Остановить виртуальную машину можно так:
sudo virsh stop $VM_NAME
Запуск:
sudo virsh start $VM NAME
Отключение:
sudo virsh shutdown $VM NAME
Добавить виртуальную машину в автозапуск (чтобы она запускалась
автоматически при запуске физического сервера) можно командой:
sudo virsh autostart $VM_NAME
Очень часто требуется клонировать систему, чтобы в будущем ис
пользовать ее как каркас для других виртуальных ОС, для этого ис
пользуют утилиту virt-clone:^
virt-clone -help
Подробная информация об этой команде есть в справочной системе (man
virt-clone).
Сервер на Windows и Linux
В этой завершающей главе мы рассмотрели виртуализацию сервера в Linux
посредством использования гипервизора KVM. Надеемся, что данный мате
риал был вам полезен.
Книги по компьютерным технологиям, медицине, радиоэлектронике
Уважаемые авторы!
Приглашаем к сотрудничеству по изданию книг по IT-технологиям, электронике,
медицине, педагогике.
Издательство существует в книжном пространстве более 20 лет и имеет большой
практический опыт.
Наши преимущества:
- Большие тиражи (в сравнении с аналогичными изданиями других издательств);
- Наши книги регулярно переиздаются, а автор автоматически получает гонорар с
каждого издания;
- Индивидуальный подход в работе с каждым автором;
- Лучшее соотношение цена-качество, влияющее на объемы и сроки продаж, и, как
следствие, на регулярные переиздания;
- Ваши книги будут представлены в крупнейших книжных магазинах РФ и ближнего
зарубежья, библиотеках вузов, ссузов, а также на площадках ведущих маркетплейсов.
Ждем Ваши предложения:
тел. (812) 412-70-26
/ эл. почта: nitmail@nit.com.ru
Будем рады сотрудничеству!
Для заказа книг:
>
интернет-магазин: www.nit.com.ru / БЕЗ ПРЕДОПЛАТЫ по ОПТОВЫМ ценам
более 3000 пунктов выдачи на территории РФ, доставка 3-5 дней
более 300 пунктов выдачи в Санкт-Петербурге и Москве, доставка 1-2 дня
тел. (812) 412-70-26
эл. почта: nitmail@nit.com.ru
>
магазин издательства: г. Санкт-Петербург, пр. Обуховской обороны, д.107
метро Елизаровская, 200 м за ДК им. Крупской
ежедневно с 10.00 до 18.30
справки и заказ: тел. (812) 412-70-26
>
крупнейшие книжные сети и магазины страны
Сеть магазинов «Новый книжный»
>
тел. (495) 937-85-81, (499) 177-22-11
маркетплейсы ОЗОН, Wildberries, Яндекс.Маркет, Myshop и др.
Левицкий Н. Д., Завьялов А. В.
Сервер
на
Windows и Linux
Администрирование и виртуализация
Группа подготовки издания:
Зав. редакцией компьютерной литературы: М. В. Финков
Редактор: Е. В. Финков
Корректор: А. В. Громова
ООО "Издательство Наука и Техника"
ОГРН 1217800116247, ИНН 7811763020, КПП 781101001
192029, г. Санкт-Петербург, пр. Обуховской обороны, д. 107, лит. Б, пом. 1-Н
Подписано в печать 05.07.2023. Формат 70x100 1/16.
Бумага газетная. Печать офсетная. Объем 34 п.л.
Тираж 1500. Заказ 5865.
Отпечатано с готовых файлов заказчика
в АО «Первая Образцовая типография»,
филиал «УЛЬЯНОВСКИЙ ДОМ ПЕЧАТИ»
432980, Россия, г. Ульяновск, ул. Гончарова, 14
