CC BY
15УДК 004
Т.К. Толганбаев
ДОМЕННЫЕ СЛУЖБЫ ACTIVE DIRECTORY И ЯДРО СЕРВЕРА
Как уже многим известно о том, что организации стараются реализовать все доступные средства безопасности для серверов, являющихся контроллерами доменов, поскольку данные, которые хранятся в каталоге (а это в частности, пользовательские данные и пароли) уязвимы. Хотя в конфигурации Windows server 2008 на основе ролей уменьшается количество атак сервера, так как устанавливаются лишь компоненты и службы, которые необходимы для его ролей, это можно сделать и посредством установки ядра света (Server Core). Установка является минимальной, в ней даже отсутствует графически пользовательский интерфейс Проводник Windows. Стоит напомнить, что установку ядра сервера можно администрировать удаленно с помощью инструментов GUI (Graphical User Interface), однако для локальной настройки потребуется инструмент командной строки.
Ключевые слова: ядро сервера, Windows server 2008, доменные службы.
Ну что же давайте поговорим о Ядре сервера подробнее. Ядро сервера в Windows server 2008 представляет собой минимальную установку системы, которая занимает около 3 Гигабайт на жестком диске и требует меньше 256 Мбайт оперативной памяти. Для повышения безопасности и управляемости сервера установка ядра ограничивает роли и компоненты, при этом снижая фронт его атаки. Ограничивая количество запущенных одновременно служб и компонентов, поэтому возможности злоумышленников атаковать сервер сокращаются. Кроме того, в ядре сервера ослабевает административная нагрузка, связанная с управление сервера, так как сокращается потребность в обновлениях и технической поддержке. Рассмотрев с высокоуровневой точки зрения это деление на компоненты разделило кодовую базу Windows Server на соединенные друг с другом логические группы. Полученные таким образом детальные знания компонентов Windows Server и интерфейсы между ними позволили корпорации Майкрософт принять лучшие решения относительно компонентов, которые могут быть безопасно выделены. Путем урезания Windows до ее основ и даже удаления почти всех графических пользовательских интерфейсов была создана ОС меньшего размера с уменьшенной поверхностью атаки и меньшими требованиями к аппаратным ресурсам. Эти сниженные требования к оборудованию означают, что ядро сервера может быть установлена на менее мощных серверах. Ядро сервера позволяет продолжить использование старого оборудования, которое в ином случае пришлось бы утилизировать. [1]
Давайте рассмотрим сколько же ролей может поддерживать Ядро сервера.
1. Доменные службы Active Directory (AD DS);
2.Службы AD облегченного доступа к каталогам (Active Directory Lightweight Directory Service, AD LDS);
З^НСР-сервер (Dynamic Host Configuration Protocol (DHCP) Server);
4^№-сервер (DNS Server);
5.Файловые службы (File Service);
6.Сервер печати (Print Server);
7.Службы потокового мультимедиа (Streaming Media Service);
© Толганбаев Т.К., 2014.
Вестник магистратуры. 2014. № 6(33). Том I
ISSN 2223-4047
8.Веб-сервер (IIS) (Web Server (IIS)) - статический веб-сервер без возможности установки ASP.NET;
9.Hyper-V (виртуализацию Windows Server);
Не стоит забывать, что в ядре сервера поддерживаются следующие дополнительные компоненты.
1.Средство отказоустойчивости кластеров (Microsoft Failover Cluster);
2.Балансировка сетевой нагрузки (Network Load Balancing);
3.Подсистема UNIX-приложений (Sybsystem for UNIX-based applications);
4. Архивация Windows (Windows Backup);
5.Многопутевой ввод-вывод (Multipath I/O);
6.Диспетчер съемных носителей (Removable Storage Managment);
7.Шифрование диска (Windows BitLocker Drive Managment);
8. Службы SNMP (Simple Network Management Protocol (SNMP));
9^Г^-сервер (Windows Internet Naming Service (WINS));
10.Клиент Telnet (Telnet client);
11.Качество обслуживания QoS (Quality of Service);
Мы рассмотрели роли ядра сервера, а также дополнительные функции. Пришла пора рассказать, как же добавить роли AD DS ядру сервера. Поскольку в установке ядра сервера нет компонента мастер установки доменных служб AD DS, требуется из командной строки запустить команду Dсpromo.exe с параметрами настройки роли AD DS. Что бы больше узнать о параметрах Dсpromo.exe, откройте командную строку и введите команду dcpromo.exe/? [2]
Microsoft Windows [Uersion 6.1.7600]
<с> Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены. C:\Users\t.tolganbayeu>dcprono.exe/?
q1 C:\Windows\system32\dcpromo.exe
Параметры командной строки включают:
/unattendC:имя_файла]
Используется, чтобы задать автоматический режим работы или указать Файл сце нария автоматической установки.
/adu
Разрешает расширенные параметры пользователя, /un installBinaries
Используется для удаления двоичных Файлов доменных служб Active Directory.
/?С:<Pronot ion i CreateDcficcount ! UseExistingftccount ! Denotion>]
/?:Pronot ion, /?:CreateDCftccount, /?:UseExistingAccount, и /?:Denotion отображают параметры автоматической установки, применимые для указанной задачи. Параметры /CreateDCftccount и /UseExistingftccount:Attach являются взаимоисключающ ими.
/CreateDCftccount
Создает учетную запись R0DC.
/UseExistingftccount:ftttach
Связывает сервер с учетной записью R0DC.
Рис. 1. Окно команды dcpromo.exe/?
Для всех сценариев конфигурации необходима дополнительная информация. Например повышение ранга сервера до уровня контроллера домена введите команду dcpromo.exe/?: Promotion.
Мы закончили настройку ядра сервера, но иногда может потребоваться отключить контроллер домена от сети для проведения технического обслуживания либо навсегда удалить его. Делать это нужно корректно, чтобы удалить информацию об этом контроллере домена из Active Directory. Для удаления контроллера домена так же используется команда dcpromo.exe. При ее запуске на контроллере домена с помощью интерфейса Windows запуститься Мастер установки доменных служб AD (Active Directory Domain Service Installation Wizard). Что бы
удалить роль AD DS в установке ядра сервера из командной строки, введите команду dcpromo.exe/?: Demotion.
[c^C:\Windows\system32\cmd.eHe -|П|х|
Microsoft Windows [Uersion 6.1.7600] <c> Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены. 3
C:\Users\t.tolganbayev>dcprono.exe/?
С: \Users\t. to lganbayev >dcprono . exe/? Pronotion_
ы
Рис. 2. Команда повышение ранга сервера
fcT!] C:\Windo ws\system32\cmd.eHe jsl X
Microsoft Uindows [Uersion 6.1.7600]
<c> Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.
C:\Users\t.tolganbayev>dcpromo.exe/? : Denotion
Рис. 3. Команда удаления роли в AD DS
Откроется список параметров для операции понижения роли домена. При понижении роли контроллера домена требуется указать пароль, который будет назначен локальной учетной записи администратора сервера после выполнения этой операции. [3]
В этой статье я постарался максимально кратко описать все плюсы использования Ядра сервера. Конечно для новичка будет довольно затруднительно работать в такой среде, где все команды выполняться в командной строке. Зато это самый безопасный метод с минимальной нагрузкой на Ваш сервер.
Библиографический список
1.http://technet.microsoft.com/ru-ru/windowsserver/
2.http://system-administrators.info/?p=1919
3.Настройка AD Windows server 2008 (Дэн Холме, Нельсон Рест, Даниэль Рест)
ТОЛГАНБАЕВ Талгат Канатжанович - магистрант инженерно-технологического факультета, Центрально-Азиатский университет (Казахстан).
