Установка и настройка службы Active Directory

 

СОДЕРЖАНИЕ

1. Установка и настройка контроллера домена

.1 Терминология Active Directory

.2 Установка служб AD (Active Directory)

.3 Настройка контроллера домена

. Domain Name System (DNS)

.1 Для чего он нужен DNS.

.2 Структура DNS зон

.3 Типы записей DNS и их создание.

.3.1 Создание записи типа SRV

.3.2 Создание записи типа А или AAAA

. Установка и настройка RMS (Служба управления правами)

.1 Требования для установки RMS

.2 Установка Net framework 3.5 SP1

.3 Создание пользователя для службы RMS

.4 Установка RMS (Служба управления правами)

.5 Действия на клиенте

. Установка и настройка WDS (Windows Deployment Services)

.1 Что такое WDS ?

.2 Компоненты WDS

.3 Установка WDS

.4 Настройка службы WDS

.5 Добавление образов в WDS

/ Установка и настройка WSUS (Windows Server Update Services)

.1 Установка Report Viewer

.2 Установка WSUS.

.3 Конфигурирование WSUS 3.0 SP2

.4 Настройка объектов GPO на контроллере домена для WSUS

.5 Поиск и одобрение обновлений WSUS

.6 Действия, которые необходимо выполнить на клиенте.

.7 Создание отчета об обновлениях установленных на клиенте

. Установка LINUX (Ubuntu, Cent OS, Open BSD) по сети

.1 Как это работает?

.2 Требования

.3 Установка tftpd32 v3.50

.4 Настройка tftpd32 v3.50

.5 Установка Ubuntu

.6 Создание образа загрузочной дискеты

.7 Действия на клиенте

. Создание файлов ответов.

.1 Требования для создания файлов ответов.

.1.1 Установка Windows SIM

.2 Примеры файлов ответов для одного образа Windows 7

.2.1 Пример файла ответов UNATTEND.xml

.2.2 Пример файла ответов IMAGE UNATTEND.xml

.3 Описание файлов ответов UNATTEND.xml и IMAGE UNATTEND.xml

.3.1 Описание тегов xml для файла ответов UNATTEND.xml

.3.2 Описание тегов xml для файла ответов IMAGE UNATTEND.xml

7.4 Файлы ответов на WDS-сервере

7.5 Модификация PXE загрузчика

7.6 Пример установки образа ОС с файлами ответов.

.7 Описание образов WDS

. Установка и настройка KMS (Key Management Service)

.1 Что такое KMS ?

.2 Корпоративные ключи KMS и MAK

.3 Схема работы KMS

.4 Требования использования службы KMS в локальной

.5 Действия необходимые для настройки KMS сервера.

.6 Настройки KMS-сервера

. Миграция параметров USMT (User State Migration Tool). (winXP и win 7).

.1 Требования

.2 Миграция файлов параметров из Windows XP в Windows 7

.3 Проверка миграции файлов.

ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ

AD - Active Directory «Активные директории», AD - LDAP <#"justify">BDC - резервный контроллер домена

CGI <#"justify">Checkbox - Галочка .- ( Default-First-Site-Name ) - Имя сайта по умолчанию.

DNS (Domain Name System) - система доменных имён- компьютерная распределённая система <#"justify">IMAGE UNATTEND.xml - конфигурирование системы после заливки образа, этот так называемая стадия OOBE (Out-Of-Box-Experience).

IP (Internet Protocol) - межcетевой протокол <#"justify">KKC (Knowledge Consistency Checker) - Проверки согласованности знаний является составной частью доменных служб Active Directory (AD DS), который отвечает за генерацию топологии репликации между контроллерами домена. Создание эффективной и отказоустойчивой топологии репликации является неотъемлемой частью достижения согласованности данных между контроллерами домена.

LDAP - (Lightweight Directory Access Protocol)-облегчённый протокол <#"justify">OU - (Organizational Unit) Организационное подразделение в котором создаются объекты (группы, пользователи и т.д. )- первичный контроллер домена

RMS - (Rights Management Services) - технология защиты документов Microsoft Active Directory <#"justify">SYSVOL - папка, в которой хранится серверная копия общих файлов домена, которые должны быть общими для общего доступа и репликации во всем домене.

TCP - Transmission Control Protocol (протокол управления передачей) - один из основных сетевых протоколов <#"justify">База AD - представляет собой древовидную структуру каталогов в которых хранятся объекты. Каталоги имеют название Organizational Unit или организационное подразделение OU .

Домен - Это логическое объединение объектов, имеющих одну общую базу службы каталогов, возможно размещенную на нескольких (компьютерах) контроллерах.

За?пись MX ( Mail Exchanger) - это один из типов записей в DNS <#"justify">Лес - это термин, применяемый для описания совокупности Active Directory деревьев. Каждое дерево в лесу имеет собственное отдельное пространство имен.

Начиная с 2010 года, в систему DNS внедряются средства проверки целостности передаваемых данных, называемые DNS Security Extensions (DNSSEC <#"justify">Служба каталогов - это база данных, хранящая все системные объекты предприятия и их атрибуты (Пользователи, Компьютеры, Группы, Принтеры, Разделяемые папки (Шары) ,Групповые политики) и набор сервисов, предоставляющих доступ к этой базе данных и обслуживание базы.

Чтобы отправить электронную почту на определённый адрес, сервер-отправитель делает DNS-запрос, запрашивая MX-запись домена <#"justify">Тема: Установка и настройка службы Active Directory

Объем работы: 113 стр.

Цель работы: Настроить программное обеспечение предприятия, которое позволит: централизованно хранить базу пользователей (AD) с отказоустойчивостью, предотвратить несанкционированное обращение к электронной информации (RMS), обеспечить обновление операционных систем и программного обеспечения (WSUS),обеспечить сетевую установку операционных систем. (WDS),автоматизировать установку операционных систем (файлы ответов),обеспечить автоматическую активацию ОС (KMS), перенести данные и параметры пользователей на Windows 7 (USMT).

Рекомендации по использованию: Рекомендую использовать данное программное обеспечение, на предприятиях или сетей с большим количеством компьютеров и пользователей.

1. УСТАНОВКА И НАСТРОЙКА КОНТРОЛЛЕРА ДОМЕНА ACTIVE DIRECTORY

Контроллер домена в компьютерных сетях - сервер, контролирующий область компьютерной сети (домен).

Существует два типа контроллера домена:

§первичный контроллер домена (PDC)

§резервный контроллер домена (BDC)

Контроллеры домена, работающие под управлением Windows Server 2003-2008, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory.

1.1 Терминология Active Directory

Контроллер домена - это сервер на котором располагается, база службы каталогов домена, а так же запущенные службы позволяющие получить доступ к этой базе. Для доступа к базе используется протокол LDAP и LDAPS. Контроллеров домена отвечающих за один и тот же домен может быть несколько, в этом случае между ними выполняется репликация базы данных.

В состав AD входит 5 служб:

)AD DS (Active Directory Directory Services) - Службы с помощью которой организована работа базы данных.

)AD CS (Active Directory Certification Services) - Отвечает за выфдачу сертификатов.

)AD LDS (Active Directory Lightweight Directory Services) - Обеспечивает работу дополнительных экземпляров баз данных служб каталогов. Это необходимо для работы некоторых приложений.

)AD RMS (Active Directory Rights Management Services) - Службы управления правами пользователей.

)AD FS (Active Directory Federations Services) - Позволяет настроить доверительные отношения, между двумя организациями.

Структура базы LDAP

Рисунок 1.1 - Структура базы LDAP

LDAP - протокол прикладного уровня <#"196" src="doc_zip2.jpg" />

Рисунок 1.2 - Пример базы LDAP на основе нашего проекта .

1.2 Установка служб AD (Active Directory)

) ПУСКВыполнитьdcpromo

) Далее выполняется проверка данных необходимых для установки AD (Active Directory).

) Далее запустится мастер AD (Active Directory). Так же можно использовать расширенный режим установки [Приложение А]

) Далее (информация о совместимости операционных систем).

) Далее (необходимо выбрать конфигурацию развертывания существующего или нового леса).

Т.к. это первый контроллер мы выбираем Создать новый домен в новом лесу и нажимаем далее .

Подчиненный контроллер домена необходимо включить в существующий лес.

) Теперь нам необходимо ввести полное доменное имя так называемое FQDN (Fully Qualified Domain Name) , для нового домена леса.

Мы вводим имя нашего домена, а именно ( jdsons.com )

) Далее мастер проверит введенное имя на уникальность .

) После этого мастер предложит нам выбрать режим работы леса.

Т.к. В нашей сети помимо Windows 2008 server будут ещё использоваться Windows 2003 server, мы выбираем вариант (для установки доверительных отношений, репликации данных, создания сложных топологий репликации).

В режиме работы леса Windows Server 2003 доступны все возможности режима Windows 2000, а также ряд дополнительных:

Репликация связанного значения, улучшающая репликацию изменений на членов групп.

Более эффективное создание сложных топологий репликации с помощью KCC.

Доверие леса, что предоставляет организациям удобство общего пользования внутренними ресурсами в нескольких лесах.

Все новые домены, созданные в этом лесу, будут автоматически функционировать в режиме работы домена Windows Server 2003.

) Далее выбираем режим работы домена, т.к. в нашей сети используются и 2003 и 2008 сервера.

В основном режиме работы домена Windows Server 2003 доступны следующие возможности:

универсальные группы

вложение групп

преобразование типа группы

журнал SID

Ограниченное делегирование, позволяющее приложению воспользоваться преимуществом безопасного делегирования пользовательских учетных данных с помощью протокола проверки подлинности Kerberos.

Обновления LastLogonTimestamp: Атрибут lastLogonTimestamp обновляется до времени последнего входа пользователя или компьютера и реплицируется по всему домену.

Возможность задать атрибут userPassword в качестве эффективного пароля для inetOrgPerson и пользовательских объектов.

Возможность перенаправлять контейнеры "Пользователи" и "Компьютеры" для определения новых известных расположений учетных записей пользователей и компьютеров.

) Далее устанавливаем дополнительные параметры контроллера домена.

Т.к. это первый контроллер домена он должен быть сервером глобального каталога и не может быть RODC .

Первый контроллер домена в лесу должен быть сервером глобального каталога и не может быть RODC.

Рекомендуется установить службу DNS-сервера на первый контроллер домена.

) Далее выбираем где будит хранится База Данных и Файлы журнала и папка SYSVOL - папка, в которой хранится серверная копия общих файлов домена, которые должны быть общими для общего доступа и репликации во всем домене. Папка Sysvol на контроллере домена содержит следующие элементы:

1 NET Logon являются общими. Обычно эти размещения объектов политики для сетевых компьютеров-клиентов и сценариев входа в систему.

Сценарии входа пользователей для доменов, где администратор использует Active Directory-пользователи и компьютеры.

Групповой политики Windows.

Соединения файловой системы.

)Служба репликации файлов (FRS) промежуточной папки и файлы, которые должны быть доступны и синхронизированных между контроллерами домена.

) Далее устанавливаем пароль администратора для восстановления служб каталогов в случае сбоя.

) Просмотр выбранных параметров.

Сделать данный сервер первым контроллером домена Active Directory в новом лесу.

Имя нового домена jdsons.com. Это имя является также именем нового леса.имя этого домена JDSONS.

Режим работы леса: Windows Server 2003

Режим работы домена: Windows Server 2003

Сайт: Default-First-Site-Name

Дополнительные параметры:

Контроллер домена только для чтения: Нет

Глобальный каталог: Дасервер: Да

Создать DNS-делегирование: Нет

Папка базы данных: C:\Windows\NTDS

Папка файлов журнала: C:\Windows\NTDS

Папка SYSVOL: C:\Windows\SYSVOL

Служба DNS-сервера будет установлена на этом компьютере.

Служба DNS-сервера будет настроена на этом компьютере.

Данный DNS-сервер будет основным DNS-сервером для этого компьютера.

Пароль администратора нового домена будет таким же, как и пароль локального администратора этого компьютера.

) Далее мастер доменных служб выполняет настройку доменных служб AD согласно выбранным параметрам. По желанию можно перезагрузить систему автоматически.

) Мастер завершает работу нужно нажать Готово.

\1.3 Настройка контроллера домена

Настройка контроллера домена выполнялась мастером, нам лишь остается создать необходимые подразделения (OU), необходимых пользователей определить для них права и разрешения, а также включить их в соответствующие группы.

) Создание подразделения

) Создание группы пользователей (группы необходимы для удобства распределения и поиска необходимых пользователей, а так же для назначения групповых политик).

) Создание пользователей

Заполнение данных (Имя, Фамилия, login - имя пользователя для входа в систему)

Далее необходимо задать пароль (в нашем случае, согласно политикам, это должен быть сложный пароль) На предприятии необходимо дать пользователю возможность самостоятельно назначить себе пароль для этого необходимо, установить checkbox Требовать смену пароля при следующем входе в систему. Пароль пользователя должен знать только сам пользователь !

В дополнительных свойствах пользователя необходимо назначить, адрес электронной почты, (это необходимо для обмена почтовыми сообщениями, а так же для службы управления правами RMS).

2. DNS (Domain Name System)

DNS (Domain Name System - система доменных имён) - компьютерная распределённая система <#"justify">DNS обладает следующими характеристиками:

§Распределённость администрирования. Ответственность за разные части иерархической структуры несут разные люди или организации.

§Распределённость хранения информации. Каждый узел сети в обязательном порядке должен хранить только те данные, которые входят в его зону ответственности и (возможно) адреса корневых DNS-серверов.

§Кеширование <#"justify">2.2 Структура DNS

Структура DNS зон нашего предприятия.

www.jdsons.com <#"226" src="doc_zip25.jpg" />

Буквы (имена) в треугольнике - это зоны, за каждую зону может отвечать отдельный сервер, что позволит распределить обязанности по администрированию.

Домен . - является корнем дерева. Полное - абсолютное или полностью определенное, fully qualified domain name - доменное имя заканчивается точкой, обозначающей корень доменного дерева, но часто эта завершающая точка опускается. Доменами верхнего уровня выступают двухбуквенные национальные домены или трехбуквенные домены ru, ua, com, edu, org, net, gov, int, и т.д.

.3 Типы записей DNS и их создание

Запись A (address record) или запись адреса связывает имя хоста с адресом IP. Например, запрос A-записи на имяreferrals.icann.org вернет его IP адрес -192.0.34.164

Запись AAAA (IPv6 address record) связывает имя хоста с адресом протокола IPv6 <#"131" src="doc_zip26.jpg" />

) В появившемся списке нужно найти запись типа SRV.

) Заполнить необходимые поля, такие как (Служба для которой создается SRV-запись, Протокол, Приоритет, Вес и Порт), а так же нужно указать узел службы.

Домен - доменное имя, для которого эта запись действует.

Служба - указывается символьное имя службы.

Протокол - транспортный протокол используемый сервисом, как правило TCP <#"184" src="doc_zip28.jpg" />

Запись SRV - Позволяет администраторам использовать несколько серверов для одного домена DNS, просто перенося службу TCP/IP с одного узла администрирования на другой, и назначать некоторые узлы-поставщики служб в качестве основных серверов служб, а другие узлы - в качестве вспомогательных или архивных.клиенты, используя SRV-запросы, обращаются за определенной службой TCP/IP и протоколом, направляются на определенный домен DNS и получают имена всех доступных серверов. RFC 2052

Создание записи типа А или AAAA

) В DNS создается запись узла, тип записи A. IPv4

В которой определяется соответствие имени и IP адреса.

Видео демонстрация создания записи A для IPv4.

Запись типа АААА - это тоже самое, что и запись типа А только для IPv6 .

3. УСТАНОВКА И НАСТРОЙКА RMS

Rights Management Services (RMS) (Служба Управления Правами)- это дополнительная служба помогающая предотвратить несанкционированное обращение к электронной информации в онлайновом и автономном режиме, внутри границ корпоративного брандмауэра и за его рамками.расширяет стратегию безопасности предприятия, защищая информацию с помощью строгих политик использования, которые сопровождают эти данные, куда бы они не попали. Сотрудники, работающие с информацией, могут четко определить, как адресат может использовать полученную информацию. В частности, можно определить, кто может открывать, редактировать, переадресовывать и/или выполнять иные операции с этой информацией. Организации могут создавать собственные шаблоны политик разграничения доступа, такие как «Конфиденциально-Только для чтения». Эти шаблоны можно непосредственно применять к таким документам, как стратегические бизнес-планы, финансовые отчеты, спецификации продукции, сведения о клиентах и электронные письма.

Более подробная информация [Ссылка 5]

Требования для установки RMS

) Net framework 3.5 SP1

) Электронная почта должна быть указана в свойствах пользователя.

3.1 Установка Net framework 3.5 SP1

) Загрузка Net framework 3.5 SP1

4. УСТАНОВКА И НАСТРОЙКА WDS

.1 Что такое WDS и зачем он нужен ?

(Windows Deployment Services) или Служба развертывания Windows - Служба WDS предназначена для централизованной установки систем на большом количестве компьютеров. С помощью WDS можно устанавливать как чистые системы, так и предварительно созданные образы, включающие в себя уже установленное ПО и драйвера (Такие образы то же можно создавать средствами WDS).

4.2 Компоненты WDS

Для работы WDS необходимы следующие компоненты:

Роль WDS содержит в себе 2 компоненты:

) Deployment Server (Сервер развертывания) - Обеспечивает хранение образов и работу с ними.

) Transport Server (Транспортный сервер) - Осуществляет передачу бразов с Deployment Server на конечный клиент.

Для того чтобы служба WDS работала в сети необходимо следующее

1) AD DS (Active Directory Directory Services) - Службы с помощью которой организована работа базы данных.

2) DNS (Domain Name System) - система доменных имён - компьютерная распределённая система <#"justify">4.3 Установка WDS

)Установка роли службы развертывания Windows

)Компоненты, которые входят в состав службы WDS. Это Сервер развертывания и Транспортный сервер.

)Ход установки.

4.4 Настройка службы WDS

) Запускаем мастер. Предварительно был настроен DHCP и создан дополнительный раздел, на котором будут храниться файлы образов и файлы ответов.

) Выбираем другой жесткий диск (в нашем случае, это раздел диска).

) Т.к. сервис DHCP будит, запущен на одном из роутеров, то галочки Не прослушивать порт 67 и Настроить для тега 60 DHCP-параметра значение PXE Client устанавливать не нужно, а 60-тег для DHCP нужно настроить на роутере со службой DHCP в ручную.

) Если на клиенте нет операционной системы, или в настройках BIOS\boot в первом пункте установлено значение PXE UNDI … - это означает что клиент готов для установки ОС. Следовательно, чтобы избежать установки ОС на нежелательные компьютеры, было принято решение установить галочку Уведомлять администратора - таким образом администратор сам решает на какие клиентские компьютеры будит установлена та или иная операционная система.

) Запуск служб развертывания.

4.5 Добавление образов в WDS

)Добавляем образ установки (это весь Windows с программами сжатый в один файл с расширением *.wim).

) Образы можно помещять в группы для удобства, даем имя этой группе.

Windows 7 Enterprice.

) Далее выбираем папку с образами, в нашем случае это второй раздел нашего диска.

) После выбора папки и завершения действий, образы появятся в виде списка, после чего к ним можно будит подключать файлы ответов.

Так же необходимо подключить и образы загрузки, таким же образом.

5. УСТАНОВКА И НАСТРОЙКА WSUS

компьютерный сеть контроллер домен

Report Viewer - Программа для создания отчетов по обновлениям, к примеру на какие компьютеры, какие обновления были установлены.(Windows Server Update Services) - Сервер обновлений Windows. Если такой сервис присутствует на предприятии, то пользователя не нужно обратятся за обновлениями в интернет, они загружают обновления с сервера WSUS, что экономит интернет трафик. Сервер загружает обновления на свой диск, а клиенты при необходимости забирают нужные обновления сервера.

Для установки WSUS нам понадобится пакет WSUS30-KB972455-x86 и Report Viewer.

.1 Установка Report Viewer

) Запуск мастера установки

) Лицензионное соглашение.

) Конфигурирование инсталлятора.

) Завершение установки

5.2 Установка Windows Server Update Services

) Запускается мастер служб WSUS

) Выбираем полную установку сервера с консолью администрирования. Т.к. нам необходимо настраивать обновления WSUS на сервере, было принято решение выбрать полную установку.

) Предупреждение (необходимо установить дополнительные компоненты).

) Установка дополнительных компонентов необходимых для работы WSUS.

) Продолжаем установку WSUS 3.0 SP2 (принимаем соглашение).

) Указываем папку и которой клиенты будут получать обновления.

)Указываем папку, в которой будет храниться база данных.

)Можно указать какой Web-сайт будит использоваться для Web-служб WSUS 3.0 SP2. Было принято решение установить рекомендованное значение Использовать существующий веб-узел IIS по умолчанию.

) Вся информация об установке.

) Установка

) Установка завершена.

5.3 Конфигурирование WSUS 3.0 SP2

) Запускается мастер конфигурирования WSUS

) Предложение принять участие в программе улучшение качества Центра обновления Microsoft

) Настройка выше стоящего сервера для синхронизации содержимого.

Т.к. это первый сервер мы можем синхронизировать его с центром обновления Microsoft.

) Далее настраиваем прокси-сервер для выхода в интернет.

) Установка соединения.

) Загрузка информации об обновлениях.

) Выбор языков загружаемых обновлений.

) Выбор обновлений, которые нужно загружать на сервер, для последующей установки их на клиентские компьютеры. Обновления, выбранных программных продуктов будут загружены на наш сервер WSUS.

) Выбор классов для синхронизации , существует 9 классов обновлений:

Драйверы - Программный компонент, предназначенный для поддержки нового оборудования.

Критические обновления - Широко распространяемое исправление для специальной проблемы, обусловленной критической ошибкой, которая не связана с проблемой безопасности.

Накопительные обновления - накопительный набор исправлений, обновления безопасности, критические обновления, упакованные обновления вместе, для упрощения развертывания. Накопительные обновления направлены на конкретные области, такие как "Безопасность" или компонентов продуктов, таких как "IIS".

Обновления определений - Широко распространяемые и часто выходящие обновления программного обеспечения, содержащие дополнения к базе определений продукта. Базы данных определений обычно используются для обнаружения объектов со специальными атрибутами, таких как программы, написанные злоумышленниками, Web-узлы созданные для несанкционированного получения закрытых данных, или нежелательная электронная почта.

Обновления системы безопасности - Широко распространяемое исправление проблемы безопасности в определенном продукте.

Обновления - Широко распространяемое исправление для специальной проблемы, обусловленной некритической ошибкой , которая не связана с проблемой безопасности.

Пакеты новых функций - Выпуск новых функций, которые обычно включаются в следующую версию продукта.

Пакеты обновления - накопительный набор исправлений, обновлений безопасности, критических обновлений, исправлений дефектов продукции найденных в продукте с момента его выпуска. Пакеты также могут содержать ограниченное число клиентов запрашивающих конструктивные изменения или особенности.

Средства - Программа или функция, помогающая в выполнении одной задачи или набора задач.

Было принято решение выбрать все классы т.к. неизвестно какие классы обновлений нам понадобятся в будущем.

) Настройка автоматической синхронизации.

Было принято решение синхронизировать обновления 1 раз в день. в 8:00 утра.

) Завершение первоначальной настройки сервера.

) Рекомендации по интеграции WSUS в сферу IT.

Описание рекомендаций.

Использование SSL с WSUS - Для защиты развернутой копии WSUS можно использовать протокол SSL. Использование SSL позволяет клиентским компьютерам и подчиненным серверам WSUS производить проверку подлинности сервера WSUS. Протокол SSL также используется WSUS для шифрования метаданных (сведений об обновлениях), которыми обмениваются клиенты и подчиненные серверы WSUS. Следует отметить, что протокол SSL используется WSUS только для защиты метаданных, но не содержимого (самих файлов обновлений). Этот способ также используется Центром обновления Майкрософт для распространения обновлений.

Создание группы компьютеров - На этом этапе на сервере WSUS создаются группы компьютеров. Любая группа, кроме группы «Не назначенные компьютеры», может содержать вложенные группы. Это новая функция версии WSUS 3.0.

Назначение компьютеров в группы со стороны клиента с помощью групповой политики - Перед выполнением этой операции необходимо создать группу компьютеров. Рекомендуется создать новый объект групповой политики, содержащий только параметры WSUS. Этот объект групповой политики необходимо связать с подходящим контейнером Active Directory. В простой среде можно связать один объект групповой политики WSUS с доменом.

Автоматическое одобрение установки обновлений - Администратор может установить правила для автоматического одобрения свежих обновлений сразу после их синхронизации. При таком одобрении могут учитываться классы обновлений, продукты и группы компьютеров. Кроме того, можно задать автоматическое одобрение новых редакций обновлений, автоматическое удаление устаревших обновлений и автоматическое одобрение обновлений WSUS. Все эти правила можно включить или выключить в любое время.

5.4 Настройка объектов GPO на контроллере домена для WSUS

)Создание GPO (объекта групповой политики) WSUS

Путь к настройкам (Политика WSUS Конфигурация компьютераПолитики Административные шаблоны Компоненты WindowsЦентр обновления Windows).

) Настройка автоматического обновления (3- автоматическая загрузка и уведомление об установке, установка по расписанию ежедневно в 3:00 )

) Указывается служба размещения обновлений Microsoft в интрасети.

Т.е. куда клиенты будут, обращается за обновлениями.

) Частота поиска автоматических обновлений.

) Разрешить немедленную установку обновлений. Указывает, будет ли служба автоматического обновления устанавливать некоторые обновления без прерывания работы служб Windows и без перезагрузки Windows.

) Указывает, будет ли служба автоматического обновления доставлять с веб-сайта Центра обновления Windows как важные, так и рекомендуемые обновления.

.5 Поиск и одобрение обновлений WSUS

После того как WSUS и политики GPO будут установлены и настроены необходимо выполнить синхронизацию нашего сервера с сервером Microsoft.

Перед тем, как одобрять какие либо обновления, необходимо синхронизировать их с сайтом Microsoft.

Процент выполнения синхронизации в данный момент (12%). Необходимо дождаться завершения синхронизации, для того чтобы WSUS мог определить каким компьютерам необходимы обновления. Примерное время синхронизации составило 5ч. 26 мин. (время может отличатся в зависимости от выбора синхронизируемых обновлений и скорости их загрузки).

) Поиск в полученных обновлениях, находим нужное обновление.

Было принято решение одобрить обновление для Media Center Windows 7 (KB2284742). Для проверки работоспособности.

) Одобрение обновления.

) Одобрение обновления Media Center Windows 7 (KB2284742) выполнено.

.6 Действия, которые необходимо выполнить на клиенте

) Выполнить поиск обновлений (Панель управления\Система и безопасность\Центр обновления Windows ) Нажимаем на кнопку Проверка обновлений После чего выполнится поиск доступных обновлений.

)Устанавливаем найденные обновления .

) Подготовка к установке.

) Если обнавления успешно установлены появится щиток зеленого цвета.

) После установки необходимо выключить или перезагрузить компьютер.

) Сравнение номеров обновлений.

6. УСТАНОВКА LINUX (UBUNTU, CENT OS, OPEN BSD) ПО СЕТИ

6.1 Как это работает?

Принцип работы такой же как и WDS для Windows систем, только настраивается сетевая установка LINUX иначе.

Клиент загружается по сети с помощью PXE-загрузчика, PXE-загрузчик получает IP-адрес от DHCP-сервера встроенного в программу tftpd32 которая установлена на сервере, за тем клиент скачивает загрузчик и ждет ввода команды:

) ENTER - клиент загрузится с локального диска.

) Dos - загрузится досовская дискетка (загрузочная дискета). После чего начинается установка linux ничем не отличающаяся от установки linux с диска.

Загрузочная дискета создается ранее на основе необходимого образа операционной системы (Ubuntu, Cent OS или Open BSD).

6.2 Требования

) На компьютере под управлением Windows должен быть установлен tftpd32 v3.500 (бесплатный TFTP/DHCP сервер).

) Клиентский компьютер должен поддерживать PXE-загрузку.

) Образ ОС которую нужно установить.

6.3 Установка tftpd32 v3.50

) Скачиваем и устанавливаем tftpd.

Соглашаемся с лицензией

) Оставляем галочки как есть, и выбираем запуск после установки.

) Создаем папку TFTPD в корне диска C:\ в ней создаем папку root в которой будут находится файлы связанные с linux.

) Установка завершена.

) Каталог TFTPD в корне диска C:\TFTPD\root был создан при установке tftpd 32.

6.4 Настройка tftpd32 v3.50

) После установки tftpd v3.500 заходим в Settings.

) Нужно убедится в том, что на вкладке GLOBAL выбраны TFTP и DHCP.

) На вкладке TFTP необходимо указать путь к каталогу C:\TFTPD .

) Необходимо настроить DHCP-сервер.

) Указываем начальный IP-адрес для выдачи.

) Количество выдаваемых адресов не менее 1

) Имя загрузочного файла linux указываем позже.

) Так же нужно указать:сервер (172.16.100.1)

Шлюз (172.16.100.254)

Маску сети (255.255.255.0)

Имя домена (jdsons.com)

6.5 Установка Ubuntu

1) Необходимо скачать файлы для сетевой загрузки <http://launchpad.net/ubuntu/+archivemirrors> Выбираем Europe путь (#"152" src="doc_zip50.jpg" />

) Необходимо скопировать файл C:\tftpd\root\ubuntu-installer\amd64\pxelinux.cfg\default в C:\tftpd\root\pxelinux.cfg

) После распаковки архива указать в настройках программы tftpd32 в DHCP загрузочный файл pxelinux.0 .

6.6 Создание образа загрузочной дискеты

) Нужно установить программу для создания загрузочных дискет (мы использовал WinImagе )

) Создание образа дискеты

Выбираем образ linux который хотим установить в нашем случае это (ubuntu-11.04-server-i386).

) Сохраняем образ дискеты.

) Выбираем путь для сохранения образа дискеты.

) Полученный файл необходимо переместить в папку C:\TFTPD\root .

6.7 Действия на клиенте

) Нужно убедится в том, что на клиенте в BIOS сетевой загрузчик находится на первом месте.

7. СОЗДАНИЕ ФАЙЛОВ ОТВЕТОВ

Файлы ответов необходимы для автоматизации установки ОС windows.

7.1 Требования для создания файлов ответов

) Для создания файлов ответов, необходимо установить дополнительные компоненты из дистрибутива KB3AIK_RUSIM - System Image Manager, который входит в состав AIK - Windows Automated Installation Kit .

.2 Установка Windows SIM

Запускается мастер, нужно принять лицензионное соглашение.

Интерфейс Диспетчера образов системы Windows, с файлом ответов.

При создании файла ответов существует 7 этапов установки системы (передачи или проходы). Некоторые проходы являются обязательными при установке системы, в некоторые системы нужно переводить с помощью специальных команд.

Семь этапов начального конфигурирования установки Windows с помощью файлов ответов:PE - Первая фаза установки Windows которая заканчивается копированием образа Install.wim (разбивка жесткого диска, подключение к WDS добавление драйверов для Windows PE и т.д.) В WDS входящим в состав Win2008R2 драйвера в образ WindowsPE можно добавлять через консоль WDS. В Win2008 нужно пользоваться или утилитами командной строки(imagex, dism), или с помощью Windows SIM создавать соответствующий файл ответов. Речь здесь идет только о тех драйвера, без которых не сможет начаться установка системы (Сетевая карта, HDD).Servicing- этот этап начинается после копирования образа но перед его конфигурированием. На этом этапе обычно выполняется установка дополнительных драйверов, обновлений, языковых пакетоввыполняется на этапе конфигурирования системы, но до появления окна приветствия. На этом этапе можно настроить сетевые параметры, принадлежность к домену, локализацию системы, часовой пояс, имя компьютераSystem- Эту фазу называют еще Windows Welcome. Это финальное конфигурирование системы, настройка режима обновления, создание пользователей и т.п.System- В эту фазу можно войти только по выполнении команды sysprep /audit. Это можно сделать как в уже распечатанной система, так и в нераспечатанном нажав Shift+F12. В этом режиме создается временная учетная запись администратора, и можно будет внести изменения в настройку системы, не распечатывая ее.User- настройка профиля обычного пользователя. Настройки применяются к профилю Default User, на базе которого создаются все остальные профили. В этот режим можно войти командой sysprep /audit. В этом режиме можно назначить тему рабочего стола, разместить ярлыки на рабочем столе и т.п.переход в него выполняется командой sysprep /generalize. Это удаление из OS специфичной информации, например не очищать журналы системы при запечатывании компьютера.

7.2 Примеры файлов ответов для одного образа Windows 7

Пример файла ответов UNATTEND.xml для первоначального этапа конфигурирования установки системы. (Дирекция)

<?xml version="1.0" encoding="utf-8"?>

<unattend xmlns="urn:schemas-microsoft-com:unattend">

<settings pass="windowsPE">

<component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="#"justify">Пример файла ответов IMAGE UNATTEND.xml для завершающих этапов конфигурирования установки системы. (Дирекция)

<?xml version="1.0" encoding="utf-8"?>

<unattend xmlns="urn:schemas-microsoft-com:unattend">

<settings pass="oobeSystem">

<component name="Microsoft-Windows-International-Core" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="#"justify"><InputLocale>en-us</InputLocale>

<SystemLocale>ru-ru</SystemLocale>

<UILanguage>ru-ru</UILanguage>

<UserLocale>ru-ru</UserLocale>

</component>

<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="#"justify"><OOBE>

<HideEULAPage>true</HideEULAPage>

<NetworkLocation>Work</NetworkLocation>

<ProtectYourPC>1</ProtectYourPC>

</OOBE>

<UserAccounts>

<LocalAccounts>

<LocalAccount wcm:action="add">

<Password>

<Value>UABhACQAJAB3ADAAcgBkAFAAYQBzAHMAdwBvAHIAZAA=</Value>

<PlainText>false</PlainText>

</Password>

<DisplayName>WinUser</DisplayName>

<Name>WinUser</Name>

<Group>Administrators</Group>

</LocalAccount>

</LocalAccounts>

</UserAccounts>

</component>

</settings>

<settings pass="specialize">

<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="#"justify"><RegisteredOrganization>JohnDoe&amp;Sons</RegisteredOrganization>

<RegisteredOwner>Management</RegisteredOwner>

<TimeZone>FLE Standard Time</TimeZone>

<ComputerName>*</ComputerName>

</component>

<component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="#"justify"><Identification>

<Credentials>

<Domain>jdsons.com</Domain>

<Password>Pa$$w0rd</Password>

<Username>Администратор</Username>

</Credentials>

<JoinDomain>jdsons.com</JoinDomain>

</Identification>

</component>

</settings>

<cpi:offlineImage cpi:source="wim://server8/reminst/images/%D0%BE%D1%82%D0%B4%D0%B5%D0%BB%20it.wim#Windows 7 ENTERPRISE" xmlns:cpi="urn:schemas-microsoft-com:cpi" />

</unattend>

7.3 Описание файлов ответов UNATTEND.xml и IMAGE UNATTEND.xml

.3.1 Описание тегов xml для файла ответов UNATTEND.xml

В начале файла ответов указывается (версия в нашем случае 1.0, кодировка utf-8, а так же настройка самого файла)

<settings pass="windowsPE"> - Настройки для образа WinPE

<component> - Начало компонентов.

(Имя компонента, архитектура, ключ, язык - нейтральный, версия).\UILanguage (ru-RU) - Во время установки будит использоваться русский язык.(0419:00000419) - Во время установки Windows использовать русский язык.

SystemLocale (ru-RU) - Использовать русские шрифты и кодовые страницы для программ не использующих Unicode.и UILanguageFallback (ru-RU) - Использовать русский язык в интерфейсе операционной системы.

UserLocale (ru-RU) - Использовать российский формат для отображения даты и времени, денежных единиц и чисел.

</component> Конец компонентов.

<component> - Начало компонентов.

(Имя компонента, архитектура, ключ, язык - нейтральный, версия).- Конфигурация жесткого диска.(wcm:action="modify") - Действие которое нужно выполнить с диском Модифицировать- Создание раздела.(wcm:action="modify") - Действие которое нужно выполнить с разделом диска Модифицировать(1)- Значение 1 означает, что раздел будит первым в очереди на создание

Extend (false) - Создаваемый раздел займет все свободное место.(Primary)- Создаваемый раздел будит основным.(20000) - Размер дискового пространства.

</CreatePartition> - Закрытие тега отвечающих за раздел диска.

</CreatePartitions> - Закрытие тега отвечающих за разделы диска.(0)-Выбор диска (нумерация начинается с 0 )

WillWipeDisk (false) - Не производим полную очистку диска т.к. он новый и Windows сам его отформатирует

</Disk> - Закрытие тега выбора диска.(Never)- Не отображать меню выбора жесткого диска.

</DiskConfiguration> Закрытие тега конфигурации диска.

<ImageInstall> - Тег отвечающий за установку образа.

<OSImage> - Тег отвечающий за выбор образа операционной системы.

<InstallFrom> Тег отвечает за то, от кого будит, устанавливается образ.

<Credentials> - Указываются полномочия.

<Domain> (jdsons.com) - Указывается домен в котором располагается пользователь от имени которого буди осуществляется установка.

<Password > (********) - Пароль пользователя.

<Username> (Администратор). Имя пользователя от имени которого будит выполнятся установка образа.

</Credentials> Закрытие тега отвечающего за полномочия.

<InstallFrom> - Закрытие тега отвечающего за то, от кого будит устанавливается образ.

<InstallTo> - Куда будит выполняться установка.

<DiskID> (0) - идентификатор диска, 0- установка на 1-й диск.

<PartitionID> (1)- раздел на который будит выполнятся установка 1-й раздел.

</InstallTo> - Закрытие тега отвечающего за то, куда будит выполняться установка.

<InstallToAvailablePartition> (true) - Будит ли образ устанавливается на имеющийся раздел да.

</InstallToAvailablePartition> - Закрытие тега.

<WillShowUI> (OnError) - Отображать меню выбора жесткого диска в случае ошибки. </WillShowUI> - Закрытие тега.

</OSImage> - Закрытие тега выбора образа.

</ImageInstall> - Закрытие тега отвечающего за установку образа.

<WindowsDeploymentServices> Конфигурация выбора образа.

<ImageSelection> - Отвечает за выбор образа

<InstallTo> - Куда устанавливать ОС

<DiskID>0</DiskID> - (0) Устанавливать на первый диск потому что диски нумеруются с 0.

<PartitionID>1</PartitionID> - На какой раздел диска устанавливать ОС (устанвливать на первый раздел).

</InstallTo> Закрытие тега.

<InstallImage> - Отвечает за то какой образ устанавливать.

<Filename>Directorate.wim</Filename> - Здесь указывается имя файла образа.

<ImageName>Directorate</ImageName> - Здесь указывается имя образа.

<ImageGroup>GROUP</ImageGroup> - Здесь указывается группа в которой находится образ.

</InstallImage> - Закрытие тега

</ImageSelection> - Закрытие тега

<Login> - Указывается учетная запись пользователь, от имени которого будит выполняться установка.

<Credentials> - Указываются полномочия.

<Domain>jdsons.com</Domain> - Название домена.

<Password>Pa$$w0rd</Password> - Пароль пользователя.

<Username>Администратор</Username> - Имя пользователя.

</Credentials> Закрытие тега полномочий.

</Login> - Закрытие тега.

</WindowsDeploymentServices>

<Restart>Restart</Restart> - Перезагрузка компьютера после завершения всех операция.

</component> - Закрытие тега компонентов.

</settings>

<cpi:offlineImage cpi:source="wim://server8/reminst/images/%D0%BE%D1%82%D0%B4%D0%B5%D0%BB%20it.wim#Windows 7 ENTERPRISE" xmlns:cpi="urn:schemas-microsoft-com:cpi" /> - Здесь указывается информация о том где создавался файл ответа и для какого образа (информация о том где создавался файл ответа и где он используется может отличатся).

</unattend> - завершающий тег файла Unattend.

7.3.2 Описание тегов xml для файла ответов IMAGE UNATTEND.xml

<?xml version="1.0" encoding="utf-8"?> - Версия xml 1.0 и кодировка текста utf-8.

<unattend xmlns="urn:schemas-microsoft-com:unattend"> - Схема файла xml.

<settings pass="oobeSystem"> -Начало этапа oobeSystem описаный выше.

<component name="Microsoft-Windows-International-Core" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="#"justify">Здесь указывается компоненты а так же указываются ( имя компонента, архитектура, публичный ключ кольца, нейтральный язык, версия сферы, адреса сайтов схем).

<InputLocale>en-us</InputLocale> - Поддержка английского языка при установке windows.

<SystemLocale>ru-ru</SystemLocale> - Использовать шрифты и кодовые страницы для программ не поддерживающих Unicode.

<UILanguage>ru-ru</UILanguage> - Во время установки использовать русский язык.

<UserLocale>ru-ru</UserLocale> - Использовать русский язык в интерфейсе пользователя.

</component> - Закрытие тега компонентов.

<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="#"justify">Здесь так же указывается компоненты, а так же указываются ( имя компонента, архитектура, публичный ключ кольца, нейтральный язык, версия сферы, адреса сайтов схем).

<OOBE> Здесь начинается этап OOBE описанный выше.

<HideEULAPage>true</HideEULAPage> - Скрыть страницу выбора сетевого профиля.

<NetworkLocation>Work</NetworkLocation> - Выбор сетевого профиля Рабочая сеть.

<ProtectYourPC>1</ProtectYourPC> Здесь указывается уровень защиты 1,2 или 3 .

</OOBE> - Завершение этапа OOBE.

<UserAccounts> - Этот тег отвечает за аккаунты пользователей.

<LocalAccounts> - Локальные аккаунты

<LocalAccount wcm:action="add"> - Действие которое будет выполнено Добавить

<Password> - Здесь указывается пароль.

<Value>UABhACQAJAB3ADAAcgBkAFAAYQBzAHMAdwBvAHIAZAA=</Value> - Значение зашифрованого пароля.

<PlainText>false</PlainText> - Здесь указывается зашифрован ли пароль или он остается как есть (Зашифрован).

</Password> - Закрытие тега.

<DisplayName>WinUser</DisplayName> - Отображаемое имя пользователя.

<Name>WinUser</Name> - Имя пользователя.

<Group>Administrators</Group> - Группа в которую включен пользователь.

</LocalAccount> - Закрытие тега Локального аккаунта.

</LocalAccounts> - Закрытие тега локального аккаунта.

</UserAccounts> - Закрытие тега пользовательского аккаунта.

</component> - Закрытие тега компонентов.

</settings> - Закрытие тега настроек.

<settings pass="specialize"> Начало этапа Specialize.

<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="#"justify">Тег компонентов, так же указываются компоненты, а так же указываются ( имя компонента, архитектура, публичный ключ кольца, нейтральный язык, версия сферы, адреса сайтов схем).

<RegisteredOrganization>JohnDoe&amp;Sons</RegisteredOrganization> - Указывается организация для которой зарегестрируется образ после установки.

<RegisteredOwner> Directorate </RegisteredOwner> - Для какого подразделения зарегистрирован образ.

<TimeZone>FLE Standard Time</TimeZone> - Указывается стандарт времени. (GMT+02:00) Helsinki, Kiev, Riga, Sofia, Tallinn, Vilnius

<ComputerName>*</ComputerName> - Имя компьютера, если установлена * имя генерируется автоматически.

</component> - Закрытие тега компонентов.

<component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="#"justify">Тег компонентов, так же указываются компоненты, а так же указываются ( имя компонента, архитектура, публичный ключ кольца, нейтральный язык, версия сферы, адреса сайтов схем). Отвечает за включение компьютера в домен.

<Identification> - Тег идентификации.

<Credentials> - Указываются полномочия.

<Domain>jdsons.com</Domain> - Здесь указывается в какой домен включать компьютер.

<Password>Pa$$w0rd</Password> - Пароль пользователя.

<Username>Администратор</Username> - От имени этого пользователя компъютер будит включен в домен.

</Credentials> - Закрытие тега полномочий..

<JoinDomain>jdsons.com</JoinDomain> - В како домене регистрировать компьютер.

</Identification> - Закрытие тега идентификации.

</component> - Закрытие тега компонентов.

</settings> - Закрытие тега настроек.

<cpi:offlineImage cpi:source="wim://server8/reminst/images/%D0%BE%D1%82%D0%B4%D0%B5%D0%BB%20it.wim#Windows 7 ENTERPRISE" xmlns:cpi="urn:schemas-microsoft-com:cpi" /> -

Здесь указывается информация о том где создавался файл ответа и для какого образа (информация о том где создавался файл ответа и где он используется, может отличатся).

</unattend> - завершающий тег файла Unattend.

Подробнее о файлах ответов [Ссылка 2]

7.4 Файлы ответов на WDS-сервере

Файл ответов UNATTEND.xml указывается в настройках сервера.

Файл ответов IMAGE UNATTEND.xml указывается в настройках образа.

7.5 Модификация PXE загрузчика

загрузчик - это микро чип на сетевой карте который выполняет поиск DHCP серверов и получения IP-адреса, для дальнейшей связи с сервером служб развертывания. После получения адреса от DHCP PXE-загрузчик, загружает образ boot.wim - в котором располагается небольшая операционная система позволяющая скачать образ Windows, а так же в ней содержатся драйвера для сетевых карт и т.п.

Модификация PXE загрузчика необходима для облегчения работы и экономии времени администратора, которому необходимо было бы нажимать кнопку F12 на каждом компьютере, на котором устанавливается операционная система. Для того чтобы модифицировать загрузчик необходимо изменить файл который использует загрузчик. По умолчанию используется файл pxeboot , его необходимо заменить на файл pxeboot.n12 .- обозначает no F12 т.е. на запрашивать нажатие клавиши F12.

7.6 Пример установки образа ОС с файлами ответов

) Было принято решение отключить нажатие клавиши F12 для того чтобы ускорить установку и с экономить время (которое было бы затрачено для выполнения этого действия на 200 клиентских компьютерах).

)Копирование образа ОС MiniPE.

)начинается установка после которой должны быть вопросы.

)Лицензионное соглашение.

) Обновление или полная установка.

) Создание или изменение жесткого диска.

) Выбор диска и раздела.

) Размер раздела и т.д.

На все эти и другие вопросы отвечает файл ответов UNATTEND.xml.

) Дальше как обычно начинается копирование файлов из образа Windows ранее созданного на WDS сервере.

) После всех выполненных операций система перезагрузится и после загрузки появится предложение нажать CTRL+ALT+DEL .

) Вход в систему под доменной учетной записью.

(Вход в: JDSONS) означает, что компьютер успешно включен в домен jdsons.

Видео демонстрация работы WDS .

7.7 Описание образов WDS

Описание использованного дистрибутива ОС Windows 7, для создания образов операционных систем

) Имя образа Windows 7

) Редакция Entrerprice

) Платформа x86

) Язык - RU

) VL - Volume License необходимо активировать каждые 180 дней через kms сервер

) UPG - Upgrade объединенная позиция для перехода на Windows XP Professional.

) OEM (Original Equipment Manufacturer) - Лицензия на программное обеспечение для продажи вместе с новым компьютерным оборудованием.

Приобрести полную версию операционной системы Windows можно либо в составе полностью собранной компьютерной системы, либо вместе с не периферийным компонентом компьютерного оборудования, например, таким как модуль памяти. Приложения и серверное ПО может поставляться только в составе полностью собранных компьютерных систем.

) Диск DVD 2,12 ГБ (ru_windows_7_enterprise_x86_dvd_x15-70945 x86)

9) Для установки ОС (Операционных Систем) , мы использовали службы развертывания Windows WDS (Windows Deployment Services) (т.к. эта служба значительно упрощает установку операционных систем на большое количество компьютеров). Результаты работы представлены в скриншотах.

Так же было предусмотрено необходимое количество, образов операционных систем для разных отделов Каждый из перечисленных образов был оснащен файлами ответов по нашей инициативе (т.к. это позволяет устанавливать каждый образ абсолютно автоматически, без вмешательства администратора или пользователя, для установки операционной системы просто необходимо включить компьютер и подождать некоторое время. В каждом файле ответов определены уникальные параметры для клиентского компьютера [Имя компьютера, включение в домен создаваемые локальные пользователи и д.р.]).

Распределение образов по отделам (Дерекция, Бухгалтерия,Отдел Продаж и закупок, Отдел Логистики, Отдел IT, Отдел Маркетинга, Отдел ПО).

)Дирекция.1 образ, 2 файла ответов UNATTEND.xml & IMAGE UNATTEND.xml.MS Office 2010.

)Бухгалтерия.1 образ, 2 файла ответов UNATTEND.xml & IMAGE UNATTEND.xml.MS Office 2010.

)Отдел Продаж и закупок.1 образ, 2 файла ответов UNATTEND.xml & IMAGE UNATTEND.xml.MS Office 2010.

)Отдел Логистики..1 образ, 2 файла ответов UNATTEND.xml & IMAGE UNATTEND.xml.MS Office 2010.

)Отдел IT.1 образ, 2 файла ответов UNATTEND.xml & IMAGE UNATTEND.xml.Нет программного обеспечения .

)Отдел Маркетинга.1 образ, 2 файла ответов UNATTEND.xml & IMAGE UNATTEND.xml.MS Office 2010 , Photoshop CS4, CorelDraw .

)Отдел ПО.1 образ, 2 файла ответов UNATTEND.xml & IMAGE UNATTEND.xml.MS Visual Studio 2010 .

И того у нас получилось 7 образов ОС, для 7 организационных подразделений, на котором располагаются файлы.

После установки всех ОС на компьютеры можно входить доменными пользователями а, компьютеры необходимо распределить по организациям на контроллере домена .

В целях безопасности, на все образы операционных систем, был установлен сложный пароль для локальной учетной записи Администратор и создана дополнительная локальная учетная запись WinUser с административными правами, для которой так же был установлен сложный пароль. Учетная запись администратора была заблокирована.

8. УСТАНОВКА И НАСТРОЙКА KMS

8.1 Что такое KMS ?

(Key Management Service) - Это сервис многократной активации Windows продуктов. С помощью KMS-ключа можно активировать несколько операционных систем под управление Windows. Количество активируемых операционных систем зависит от того, на какое количество ОС приобретался данный ключ.

Установка и настройка KMS (Key Management Service) в корпоративной среде windows 2008 server- это служба управления ключами предназначена для автоматической активации корпоративных версий продуктов:server 2008 (Enterprise)Vista (Business / Enterprise)7 (Enterprise)

8.2 Корпоративные ключи KMS и MAK

Существует 2 типа корпоративных ключей:

)MAK (Multiple Activation keys) - Используются для активации одиночных компьютеров без использования KMS сервера.) Предназначены для активации отдельных систем по телефону или интернету.) Используются там, где нет подключения к KMS серверу в течении 180 дней.) Существуют ограничения по количеству активаций.) Управление MAK ключами осуществляется с помощью Volume Activation Management Tool.) MAK ключи необходимо вводить отдельно на каждой ОС

) KMS (Key Management Service) - Специальные ключи, использующиеся для активации продуктов внутри корпоративной сети, с помощью службы KMS. Регистрация ключа должна продлевается по истечении 180 дней от первой активации. Такой тип активации не рекомендуется использовать, если сотрудник компании находится в отпуске более 6 месяцев и не сможет получить доступ к сети предприятия, т.к. это повлечет за собой не желательные последствия.

Преимущества Key Management Service .) Возможность автоматического ввода ключа (Операционная система находит в сети запись DNS, KMS-сервер и получит с него ключ)) Возможность автоматической активации

с) Безопасность ключа (ключ зашифрован и содержится в хранилище доверенных данных сервера, ключ не доступен для пользователей)) Ведение учета использования лицензий с помощью (MSSCOM)

8.3 Схема работы KMS

При регистрации в корпоративной сети KMS-хоста в DNS создается SRV-запись указывающая KMS-клиентам куда обращаться за активацией

На картинке показаны DNS Windows Server 2008 и Host KMS как отдельные системы. У нас все эти сервисы находятся на одном компьютере.2008 Server, он же DNS , он же KMS-Host.

Host - (так же является сервером KMS) на нем выполнена активация с помощью KMS или MAK ключа, через интернет или с помощью телефона, на нем установлен сам сервер KMS, установлен ключ KMS, создана запись SRV на DNS сервере.

Операционная система по записи DNS, находит сервер KMS и осуществляет запрос ключа и выполнение активации.

Установка ключа, его активация и создание записи.

) Устанавливаем ключ KMS.

) Регистрируем его в интернете.

) Создается запись SRV в DNS автоматически или в ручную (я создавал запись в ручную, для демонстрации настроек SRV записи).

Поиск KMS-сервера,KMS-ключей и активация Windows на клиенте.

) Компьютер ищет KMS-сервер с помощью записи в DNS.

) Клиент обращается к KMS-серверу для получения ключа.

) KMS выбирает один из ключей, согласно редакции ОС установленной на клиенте.

) KMS-сервер отправляет ключ клиенту для активации.

) На клиенте происходит активация ОС с помощью ключа полученного от KMS-сервера.

На клиенте может быть установлена любая операционная система, главное чтобы на сервер были внесены ключи для этих ОС. В нашем случае это ОС:

) Windows 2008 server.

) Windows 7 Enterprise.

8.4 Требования использования службы KMS в локальной сети

Схема

Ограничение на количество компьютеров

Требования для службы KMS

) Установка службы MKS может, осуществляется только на операционные системы Windows Server 2008 или Windows Server 2003.

В состав Windows 2008 server - служба KMS входит по умолчанию.

Для Windows Server 2003 требуется установка Key Management Service 1.1 .

) Сервер DNS и доступ к нему через порт 1688.

) Доступ сервера KMS к сети Интернет (для первоначальной регистрации) не обязательно, т.к. можно активировать сервер KMS с помощью MAK ключа по телефону.

8.5 Действия необходимые для настройки KMS сервера

) Изменение разрешений SRV-записи на сервере DNS) Необходимо создать глобальную группы KMS-Hosts в AD.) Добавить в созданию группу учетную запись будущего сервера KMS.) В DNS предоставить права данной группе на создание записей SRV.

) Автоматическая публикация KMS в домене) Необходимо создать в реестре запись путь (HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ SL )) Запись DnsDomainPublishlist типа Multi-String Value .) Нужно изменить суффикс домена jdsons.com) Перезапустить службу Software Licensing Service (Служба лицензирования программного обеспечения).

) Установка сервера KMS) На будущем сервере KMS необходимо дать командуC:\windows\system3slmgr.vbs /ipk < указать KMS-ключ>)Далее нужно активировать систему посредством Интернет с помощью команды.C:\windows\system3slmgr.vbs /ato) И перезапустить службу Software Licensing Service (Служба лицензирования программного обеспечения).

) Настройка дополнительных исключений Firewall.

Необходимо создать входящее правило для фильтрации.

8.6 Настройка KMS-сервера

) Создание глобальной группы безопасности.

) Добавление сервера KMS в группу.

) Создание записи в реестре.

) Создание SRV-записи в DNS

) Запыление полей SRV-записи.

) Необходимо Остановить и Запустить следующие службы: 1)Остановка и запуск службы Активация Windows

) Остановка и запуск службы Защита программного обеспечения

) Установка KMS ключа на сервер.

) Активация через интернет.

) Настройка Firewall (необходимо отключить входящее правило).

Демонстрация работы KMS невозможна по нескольким причинам.

) Недостаточно места для установки необходимого количества ОС.

) Нет необходимых ключей для активаций ОС Windows 7 и Windows 2008 server.

) Windows 7 Enterprise невозможно активироваться с помощью ключей MAK,KMS, а так же с помощью активаторов .

9. МИГРАЦИЯ ПАРАМЕТРОВ USMT

(User State Migration Tool) - предназначена для переноса данных и параметров пользователей из одной операционной системы на другую.

9.1 Требования

) Нужно установить Windows AIK из дистрибутива KB3AIK_RU.

.2 Миграция файлов параметров из Windows XP в Windows 7

) Необходимо установить Windows AIK из дистрибутива.

Установка утилит из дистрибутива KB3AIK_RU бала рассмотрена ранее.

Далее запускаем командную строку средств развертывания.

) Запускаем утилиту scanstate которая сканирует пользователей на наличие индивидуальных параметров и файлов.

) Создание файла необходимого для миграции параметров пользователей, устанавливаем пароль на этот файл (команды на скрине). Этот файл сохраняется в указанной папке.

) Результат выполнения команд.

) Забираем полученный фал на Windows 7 .XPWindows 7

) Запускаем скопированный файл, на Windows 7 и вводим пароль.

7) Данный файл средства переноса данных открывается.

) Перенос элементов на новый компьютер.

) Перенос файлов и параметров завершается

) Можно просмотреть отчет о перенесенных файлах.

) Далее необходимо перезагрузить компьютер для применения параметров.

9.3 Проверка миграции файлов

7Windows XP

Windows 7Windows XP

Выводы

В данной работе, была установлена и настроена служба Active Directory на 2-х серверах для отказоустойчивости, создана структура базы пользователей, контроллер домена работает как с 2003 так и 2008 серверами, настроен DNS сервер и созданы необходимые DNS-записи, созданы группы пользователей, каждому пользователю назначен пароль и адрес электронной почты и т.д., так же была настроена служба управления правами предотвращающая несанкционированный доступ к документам других пользователей, установлено дополнительное ПО для RMS, так же установлена и настроена служба WDS позволяющая устанавливать ОС Windows 7 по сети и созданы необходимые образы, так же созданы файлы ответов позволяющие автоматически отвечать на вопросы по установке Windows в ходе установки, Настроены групповые политики: с помощью которых подключается сетевой диск (создается на клиенте) ссылающийся на файловый сервер, а так же политики связанные с безопасностью такие как: 1) длинна пароля 2) сложный пароль 3) срок действия пароля и т.д. Установлена и настроена служба обновлений WSUS позволяющая своевременно обновлять Windows системы и установленное на н Windows программное обеспечение, а так же настроены необходимые политики для этой службы. Также было настроено соответствующее ПО для установки операционных систем LINUX по сети. Так же была установлена и настроена служба управления ключами для автоматической активации ОС Windows (KMS) и были перенесены данные и параметры пользователей с Windows XP на Windows 7.

Перечень ссылок

1) <#"justify">Приложение

ПРИЛОЖЕНИЕ A

Описание необходимых технических средств

(рекомендуемые требования)

Для функционирования проэкта необходимо следующее оборудование:

Требования к аппаратным средствам и программному обеспечению (ПО)

В качестве рабочей станции может быть использован любой компьютер, подключенный к локальной сети и оснащенный HTTP-браузером.

Сервер 1: DC1

Для функционирования комплекса необходим сервер, со следующим программным обеспечением:

·Windows 2008R2 SP1 - ОС должна быть установлена на компьютере

Характеристики сервера (минимальные требования):

·Процессор: Intel Pentium D 3 ГГц

·Оперативная память: 1 Гб.

·Жесткий диск объемом : 80 Гб (UDMA-33)

·2 Сетевые карты UTP: 100\1000 Мбит

Службы, работающие на: DC 1 :

) Active Directory

) DNS, WSUS

) TFTPD-Linux (сетевая установка)

) KMS

Сервер 2: DC2

Для функционирования комплекса необходим сервер, со следующим программным обеспечением:

·Windows 2008R2 SP1 - ОС должна быть установлена на компьютере

Характеристики сервера (минимальные требования):

·Процессор: Intel Pentium D 3 ГГц

·Оперативная память: 1 Гб.

·1-Жесткий диск объемом : 80 Гб (UDMA-33)

·2-Жесткий диск объемом : 80 Гб (UDMA-33)

·2 Сетевые карты UTP: 100\1000 Мбит

Службы, работающие на: DC 2:

) RMS

)WDS

)Файлы ответов

Клиент:

Для функционирования комплекса необходим сервер, со следующим программным обеспечением:

·Без операционной системы.

Характеристики сервера (минимальные требования):

·Процессор: AMD Athlon64 2ГГц

·Оперативная память: 512 Мбайт

·Жесткий диск объемом: 20 Гб (UDMA-33)

·1 Сетевая карта UTP: 100 Мбит

Локальная вычислительная сеть:

Для хорошей производительности необходимо иметь сеть с пропускной способностью не менее 100 Мбит.

Процедура инсталляции

Какие файлы используются в ПО и описание их назначения?

·Файлы с расширением *.iso - это дистрибутивы дисков с программным обеспечением

·Файлы с расширением *.exe - это приложения

·Файлы с расширением *.tar - архивы с файлами.

·Файлы с расширением *.cab - инструкции.

Что необходимо для инсталляции?

·Windows 2008 server x86.iso - дистрибутив операционной системы Windows 2008 server.

·Windows 2003 SEL_EN.iso - дистрибутив операционной системы Windows 2003 server для компьютеров филиала.

·ru_windows_7_enterprise_x86_dvd_x15-70945 x86.iso - дистрибутив операционной системы Windows 7 Enterprise x86 для клиентских компьютеров.

·ru-winxp-pro-with-sp3-vl x86.iso - дистрибутив операционной системы Windows XP x86 для клиентских компьютеров филиала (использовался для миграции параметров).

·KB3AIK_RU.iso - комплекс программ для Windows. (Windows AIK, .Net Framework, MSXML 6 SP1,MDT, Windows SIM (файлы ответов) и т.д.)

·Adobe_Photoshop CS4(CZ_HU_PL_RO_RU_TR_UA)Box.iso - Adobe Photoshop CS4 использовался для создания образа Windows 7, для отдела Маркетинга

·CorelDRAW.Graphics.Suite.X5.SP2.iso - Corel DRAW использовался для создания образа Windows 7, для отдела Маркетинга

·ru_visual_studio_2010_ultimate_x86_528427.iso - MS Visual Studio CS4 использовался для создания образа Windows 7, для отдела Программного обеспечения

·office.2010.x86.iso - использовался для создания образа Windows 7, для отделов Бухгалтерия, Продаж и закупок, Маркетинга, Логистики, Дирекция

ПО для AD (Active Directory) , а так же DNS (Domain Name System)

-Входят в состав дистрибутива Windows 2008 server x86.iso и устанавливаются одновременно.

ПО для RMS (Rights Management Services)

-dotnetfx35.exe - Net Framework 3.5 необходим для работы служба управления правами.

ПО для WSUS (Windows Server Update Services)

-ReportViewer.exe - Report Viewer необходим для создания отчетов об обновлениях на клиентах и серверах.

-WSUS30-KB972455-x86.exe - Компонент WSUS для Windows server.

-wsus30sp2eulas.cab - инструкции к WSUS 3.0

ПО для WDS (Windows Deployment Services)

-Входит в состав дистрибутива Windows 2008 server x86.iso .

ПО для KMS (Key Management Service)

-Входит в состав дистрибутива Windows 2008 server x86.iso .

ПО для USMT (User State Migration Tool)

-Входит в состав дистрибутива KB3AIK_RU.iso.

ПО для LINUX и прочих систем этого семейства.v4.00.exe - Программа для выдачи адреса клиенту и передачи ему загрузочной дискеты..05.tar - Это архив в котором находится файл для передачи клиенту pxelinux.0 .Image 8.5.exe - Программа для создания загрузочной дискеты.Rar.exe - Программа для распаковки архивов с файлами..04-server-i386.iso - дистрибутив LINUX который будит установлен на компьютер.

_diskotix2.img - Это файл загрузочной дискеты созданный программой Win Image 8.5, на основе дистрибутива ubuntu-11.04-server-i386.iso ..tar - Файл для сетевой загрузки (файл является индивидуальным для каждой их архитектур x64 или i386).

Описание дополнительных настроек сопутствующего ПО:

Все действия описаны непосредственно в дипломной работе.

Подготовка к работе:

Все действия описаны непосредственно в дипломной работе.

Можно начинать работу!

СОДЕРЖАНИЕ 1. Установка и настройка контроллера домена .1 Терминология Active Directory .2 Установка служб AD (Active Directory) .3 Настройка ко

Больше работ по теме: